Forwarded from Social Engineering
💬 true story... Social Engineering.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Вопрос не в том «Взломают Вас или нет?», а «Насколько быстро Вы сможете обнаружить, что Вас уже взломали?!»
🖖🏻 Приветствую тебя user_name.• Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика.
• Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Дело в том, что сотрудников банка только что напугали предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают флешки, не разглашают ничего по телефону и строго следуют должностным инструкциям.
• «Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
• В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры.
• Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный сотрудник вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь требуется общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам.
• P.S: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности" — говорилось в письме. — "Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». 30% сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в 21 веке хакер может отправить письмо на бумаге.
• Вывод: Как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет 100% защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию. Твой S.E. #СИ #Пентест #Взлом.
Сравнивая математику инцидентов, связанных с утечкой данных 4 млн. (о котором мы писали еще позавчера) и 637 тыс. пользователей, можно ошибиться, ведь слитые в сеть данные на 637 138 граждан Албании затрагивают по факту более 22% всего населения страны.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Премьер-министр страны Эди Рама подтвердил инцидент и официально принес извинения за утечку, в результате которой была раскрыта личная информация граждан, включая также имена, номера удостоверений личности, зарплаты, должности и имена работодателей.
Файл в формате Excel начал распространяться с выходных в WhatsApp и Telegram, в том числе на теневых площадках со скамом. После его изучения, стало понятно, что это налоговые отчеты переданные бизнесом в правительство Албании за январь 2021 года. Расследование указывает на то, что данные были украдены не в результате внешней атаки, а скорее один из сотрудников Налогового управления или Института социального страхования.
Но гражданам Албании удивляться нечему, ведь незадолго до выборов в апреле этого года был другой инцидент с утечкой сведений в отношении более чем 910 тыс. лиц. По слухам, эти сведения были базой избирателей, которая перекочевала таким образом в адрес правящей Социалистической партии, и понятно для каких целей.
Наметившаяся отставка, отправленные на растерзание онлайн-мошенникам албанцы и медиахардкор - вот и все бонусы отчаянной борьбы за власть, в которой все средства оказались хороши. Очков не прибавило никому, только что разве - хакерам.
Balkan Insight
Albanian Prosecutors Probe Huge Suspected Leak of Personal Data
Prosecutors in Tirana said they are trying to verify the facts about a list allegedly detailing the salaries of around 630,000 Albanians that is being circulated online.
Вслед за коллегами из REvil, BlackMatter и Snatch вымогатели AvosLocker стали перезагружать скомпрометированные системы Windows в безопасном режиме в ходе своих последних атак.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Дело в том, что такая тактика значительно упрощает шифрование файлов жертв, ведь безопасный режим позволяет отключить большинство инструментов безопасности. Благодаря этому простому, но эффективному приему даже самые защищенные машины могут стать беззащитными перед ransomware.
И практика показывает, что новый подход оказался весьма рентабельным, поскольку количество жертв группы прилично растет.
Согласно отчету SophosLabs, операторы AvosLocker используют PDQ Deploy, легальный инструмент развертывания для автоматизации управления исправлениями, чтобы разместить несколько пакетных сценариев Windows на целевой машине, это помогает им подготовить основу для атаки.
Сценарии изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности, включая Защитник Windows, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance, создавая новую учетную запись пользователя на скомпрометированной машине newadmin и добавляя ее в группу пользователей Администраторы.
Затем они настраивают эту учетную запись для автоматического входа в систему при перезагрузке системы в безопасном режиме с подключением к сети и отключают разделы реестра диалогового окна Правовое уведомление, которые могут помешать автоматическому входу.
После чего скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. После включения полезная нагрузка программы-вымогателя запускается из контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, актор может запустить его вручную с помощью AnyDesk.
Особенностью является также и то, что в процессе заражения создается ключ RunOnce в реестре, который безфайлово выполняет полезную нагрузку вымогателя.
Чтобы избежать произвольных команд перезагрузки на машинах, рекомендуем убедиться, что инструменты безопасности могут обнаруживать и предотвращать добавление подозрительных ключей реестра.
При этом ни одно предупреждение не должно рассматриваться как низкоприоритетное, поскольку небольшая и, казалось бы, безобидная мелочь может быть ключевым звеном в цепочке заражения ransomware.
Sophos News
Avos Locker remotely accesses boxes, even running in Safe Mode
Infections involving this relatively new ransomware-as-a-service spiked in November and December
Исследователи компании Elastic задетектили вредоносную кампанию, которая использует действующий сертификат подписи кода для маскировки вредоносного кода под легитимные исполняемые файлы в системах Windows.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
Одна из полезных нагрузок, которую исследователи назвали Stealthy BLISTER, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Не менее трех месяцев, начиная с 15 сентября, длилась кампания по распространению вредоносного ПО Blister. Злоумышленники использовали сертификат подписи кода, действующий с 23 августа, который был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC на адрес электронной почты Mail.Ru (Привет, Вконтакте!).
Что же сказать: старый добрый прием с кражей уже выпущенных сертификатов, только в современных реалиях краду возможность выпуска и запрашивают действительный сертификат за спиной у компании (или вовсе на подставную).
Исследователи Elastic обнаружили подписанные и неподписанные версии Blister, и обе они имели низкий уровень обнаружения согласно VirusTotal. Для сокрытия кампании, хакеры использовали несколько методов.
Один из них заключался в том, чтобы встроить Blister в легитимную библиотеку (например, colorui.dll), после чего вредоносная программа запускалась с повышенными привилегиями с помощью команды rundll32. Наличие действующего сертификата и выполнение с админскими правами администратора позволяло Blister четко обходить решения безопасности.
Для сокрытия кода начальной загрузки Blister применяется сильная обсуфакция. В течение десяти минут код остается бездействующим, вероятно, избегая анализа песочницы, после чего расшифровывает встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба общеизвестны.
Вредоносная программа также обеспечивает свою стабильность с помощью одной копии в папке ProgramData, и второй - под именем rundll32.exe, а также запускается при каждой загрузке как дочерний элемент explorer.exe.
Безусловно, Sectigo своевременно сообщили о злоупотреблении сертификатом, но это как мы понимаем расходники. Несмотря на то, что цель обнаруженных атак остается неясной до настоящего времени, тем не менее, Elastic создали правило Yara для выявления активности Blister и предоставили индикаторы компрометации. На заметку.
www.elastic.co
Elastic Security uncovers BLISTER malware campaign — Elastic Security Labs
Elastic Security has identified active intrusions leveraging the newly identified BLISTER malware loader utilizing valid code-signing certificates to evade detection. We are providing detection guidance for security teams to protect themselves.
- Партнёрский пост -
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление
👨🏻💻 Все ваши данные могут быть украдены через роутер — пароли, email, залив фото и контактов в облако, данные банковских карт.
📶 Wi-Fi как и любое другое подключение к Сети, несет в себе угрозы.
@NeKaspersky опубликовал главные уязвимости роутеров и чёткие шаги — как защитить свои данные и роутер.
Осталось мест 57/100!!
Ссылка 👇🏻 на вступление
Никто и не сомневался, зная как Microsoft исправляют свои косяки, допуская при этом кучу других.
Согласно сведениям Sophos, хакеры нашли способ обойти патч для недавней уязвимости Microsoft Office и использовали его для кратковременного распространения вредоносного ПО Formbook.
Ошибка CVE-2021-40444 (с оценкой CVSS 8,8) затрагивающая MSHTML может быть использована для удаленного выполнения кода в уязвимых системах. Для эксплуатации необходимо добиться открытия жертвой вредоносного документа.
Об уязвимости стало известно 7 сентября, сразу после выявлении серии атак, в результате чего она была исправлена сентябрьским Patch Tuesday. Также был опубликован PoC, вызвавший резкую активизацию попыток ее эксплуатации в дикой природе.
Предоставленный Microsoft патч предназначен для предотвращения выполнения кода для загрузки архива Microsoft Cabinet (CAB), содержащего вредоносный исполняемый файл. Однако похоже, что злоумышленники нашли способ обойти патч, включив документ Word в специально созданный архив RAR.
Sophos утверждает, что злоумышленники распространили архивы в рамках кампании по рассылке спама в период 24 - 25 октября, после чего была быстро свернута, что указывает на «пробный запуск». При этом для добавления вредоносного документа Word в архив использовался PowerShell, и как только жертва открывала его для доступа к документу, сценарий выполнялся, что приводило к заражению вредоносным ПО Formbook.
Вложения представляют собой эскалацию злоупотреблений злоумышленником с ошибкой -40444 и демонстрируют, что даже патч не всегда может смягчить действия мотивированного и достаточно квалифицированного злоумышленника.
По заявлению компании, атака была возможна, потому что предоставленный патч был слишком узкоспециализированным и не учитывал до конца всех особенностей обработки WinRAR файлов.
Чего и следовало ожидать.
Согласно сведениям Sophos, хакеры нашли способ обойти патч для недавней уязвимости Microsoft Office и использовали его для кратковременного распространения вредоносного ПО Formbook.
Ошибка CVE-2021-40444 (с оценкой CVSS 8,8) затрагивающая MSHTML может быть использована для удаленного выполнения кода в уязвимых системах. Для эксплуатации необходимо добиться открытия жертвой вредоносного документа.
Об уязвимости стало известно 7 сентября, сразу после выявлении серии атак, в результате чего она была исправлена сентябрьским Patch Tuesday. Также был опубликован PoC, вызвавший резкую активизацию попыток ее эксплуатации в дикой природе.
Предоставленный Microsoft патч предназначен для предотвращения выполнения кода для загрузки архива Microsoft Cabinet (CAB), содержащего вредоносный исполняемый файл. Однако похоже, что злоумышленники нашли способ обойти патч, включив документ Word в специально созданный архив RAR.
Sophos утверждает, что злоумышленники распространили архивы в рамках кампании по рассылке спама в период 24 - 25 октября, после чего была быстро свернута, что указывает на «пробный запуск». При этом для добавления вредоносного документа Word в архив использовался PowerShell, и как только жертва открывала его для доступа к документу, сценарий выполнялся, что приводило к заражению вредоносным ПО Formbook.
Вложения представляют собой эскалацию злоупотреблений злоумышленником с ошибкой -40444 и демонстрируют, что даже патч не всегда может смягчить действия мотивированного и достаточно квалифицированного злоумышленника.
По заявлению компании, атака была возможна, потому что предоставленный патч был слишком узкоспециализированным и не учитывал до конца всех особенностей обработки WinRAR файлов.
Чего и следовало ожидать.
Sophos News
Attackers test “CAB-less 40444” exploit in a dry run
An updated exploit takes a circuitous route to trigger a Word document into delivering an infection without using macros
Похоже, французская IT-компания отличилась по итогам года не в лучшую сторону, ведь вместо подарков Inetum Group получили ransomware.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum - это международная компания в сфере цифровых услуг и решений для бизнеса. Компания представлена в 26 странах, с общим штатам около 27 000 сотрудников. В 2020 году выручка конгломерата составила 1,966 млрд. евро.
Атака состоялась 19 декабря, вторжение повлияло на операционную деятельность компании во Франции. Официальное заявление Inetum Group по поводу атаки вымогателей вышло на следующий день, согласно которому в результате инцидента ни одна из основных инфраструктур, ориентированных на клиентов Inetum, не пострадала.
Среагировавшем на инцидент, компания изолировала все серверы в скомпрометированном периметре, а клиентские VPN были отключены. Как показало первичное расследование, Inetum Group совместно с ANSSI (Французское агентство по сетевой и информационной безопасности) уже идентифицировали конкретного актора, а опровергли слухи о возможном задействовании хакерами Log4Shell.
По данным LeMagIt, компания пострадала от вымогателей BlackCat (или ALPHV), работающих по схеме RaaS и впервые замеченные исследователями из Recorded Future и MalwareHunterTeam, о которых мы делали подробный разбор в начале декабря.
На текущий момент BlackCat охватили не так много целей, в основном атаковали корпоративный сектор в США, Австралии и Индии, теперь и Европа подтянулась. Учитывая, что BlackCat являются выходцами из REvil, можем уверенно сказать, что подарочки и сюрпризы еще впереди.
Inetum
Cyberattack on Inetum in France
Press Release
Forwarded from SecurityLab.ru
Итоги года от Александра Антипова: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы.
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
В предновогоднем выпуске «Security-новостей» главред SecurityLab.ru Александр Антипов представил 5 самых актуальных трендов информационной безопасности в уходящем году, три главные уязвимости по версии белых хакеров PT SWARM и рассказал о выходе Positive Technologies на биржу. А еще Дед Мороз информационной безопасности обещал подарки победителям новогодних конкурсов.
https://youtu.be/RYsZ4AvA_Uw
YouTube
Итоги 2021: 5 трендов кибербезопасности, топ-3 уязвимостей, конкурсы. Security-новости #44 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
0:00 Новогодний выпуск жарких новостей 🎄
ИБ тренды 2021 года
1:00 Совершенствование дипфейк технологий
3:31 Рост числа атак при…
На горизонте нарисовались новые дерзкие вымогатели Rook. Без особых манер хакеры публично заявили о своих аппетитах, сообщив о намерении срубить много бабла.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
По началу казалось, что на поле вышли клоуны и смелые сообщения группы в даркнете вызывали усмешки, однако после первых публикаций на DLS стало понятно, что парни вовсе не шутили.
А вот исследователи из SentinelLabs добавили вымогателям еще больше репутации, обнаружив сходство кода с авторитетными на поле ransomware вымогателями Babuk.
Как выяснили SentinelLabs в ходе изучения нового штамма, Rook обычно доставляется через Cobalt Strike. Первоначальным вектором заражения выступают фишинговые письма и торренты.
Полезная нагрузка упакована UPX или другими шифрами, чтобы помочь избежать обнаружения. При выполнении вредоносное ПО завершить процессы, связанные с программным обеспечением безопасности или другим приложением, которые могут помешать процессу шифрования. Rook также использует vssadmin.exe для удаления теневых копий томов для предотвращения восстановления файлов.
В некоторых случаях вступает в игру драйвер kph.sys от Process Hacker, что необходимо для отключения локальных решений по безопасности при определенных условиях. Кроме того, выявленные и изученные образцы не реализуют никаких механизмов стойкости.
Вместе с тем, SentinelLabs обнаружил многочисленные сходства кода между Rook и Babuk, полный исходный код которого был слить на одном из русскоязычных форумах в сентябре 2021 года.
Например, Rook использует одни и те же команды API EnumDependentServicesA для получения имени и статуса каждой запущенной службы и функций для их завершения. Используя OpenSCManagerA API, код получает Service Control Manager, получает дескриптор, а затем перечисляет все службы в системе.
Список блокируемых процессов и служб Windows также схожи у обоих программ-вымогателей, в том числе Steam, Microsoft Office и Outlook, Mozilla Firefox и Thunderbird.
Кроме того, используется один и тот же механизм удаления теневых копий томов. И Rook, и Babuk используют функции CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess и TerminateProcess для составления перечня запущенных процессов и блокирования любых найденных из жестко запрограммированного списка.
Все это указывает на то, что в основу Rook был положен код Babuk, а в случае, если к новому RaaS подтянутся квалифицированные операторы - Rook может повторить и даже превзойти своего сенсея, ведь уже на раннем этапе ещё 30 ноября вымогатели положили сходу банк - Kazkh.
SentinelOne
New Rook Ransomware Feeds Off the Code of Babuk
Scavenging code leaked from Babuk, Rook's first victim was a bank and the theft of 1123 GB of data. Learn more about this new ransomware operator.
Vektor Security Channel - канал Дмитрия Момота (aka VektorT13). Он рассказывает про уникализацию, антидетекты, методики отслеживания, анти-фрод системы, отпечатки браузера, железа и операционной системы.
А еще у них отличный чат по мультиаккаунтингу.
А еще у них отличный чат по мультиаккаунтингу.
Telegram
Vektor T13 Security Channel
Канал посвящен технологиям уникализации и отслеживания пользователей, а также методам защиты от них. Support @VektorT13
Наш сайт https://detect.expert/
Наш сайт https://detect.expert/
Команда исследователей из Университета Стоуни-Брук и Palo Alto Networks обнаружили более 1200 фишинговых инструментов в дикой природе, которые за последние три года стали неотъемлемой частью арсенала современной киберпреступной экосистемы.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Известные также как наборы фишинговых инструментов MitM (Man-in-the-Middle) позволяют хакерам перехватывать и обходить двухфакторную аутентификацию (2FA) в ходе своих атак.
Дело в том, что крупный бизнес и многие технологические компании стали учитывать Bad Practice и уделять больше внимания безопасности, внедряя функции 2FA по умолчанию в свои продукты и системы.
В ответ на новые вызовы даркнет стал предлагать своим участникам новые инструменты. Примерно с 2017 года появились инфотеллеры, позволяющие украсть cookie аутентификации с заражённых хостов после завершения процесса 2FA.
Однако другим более популярным способом получения файлов аутентификации стал фишинг в моменте передачи трафика.
Для этого хакеры в течение последнего времени активно старые наборы инструментов для фишинга, добавляя функционал для обхода 2FA, полагаясь на фишинг в реальном времени и обратные прокси.
В первом случае используется фишинговая веб-панель, куда пользователь вводит свои учетные данные и код 2FA (полученный по электронной почте, SMS или приложению аутентификации), а оператор использует их для аутентификации на реальном сайте.
Технология применяется для быстрых атак, когда злоумышленнику не требуется долгих активных сессий и нет необходимости контроля файлов cookie аутентификации. К примеру, списания средств с систем онлайн-банкинга.
Но для более скрытного и стабильного доступа, в том числе атак на электронную почту или аккаунт соцсети, требуются cookie. И для этого современные преступники взяли на вооружение наборы фишинговых инструментов MitM, адаптированные в качестве обратных прокси, реализуя прохождение трафика между жертвой, фишинговым сайтом и реальным сервисом.
Поскольку весь трафик проходит через систему обратного прокси, злоумышленник получает необходимые файлы cookie аутентификации, которые он может впоследствии отработать самостоятельно или перепродать. При этом многие инструменты основаны на известных в инфосек Evilginx, Muraena и Modlishka.
Исследователи проанализировали 13 версий этих трех фишинговых наборов MitM и создали своеобразные фингерпринты, которые легли в основу инструмента PHOCA, который мог бы определить, использует ли фишинговый сайт обратный прокси - явный признак того, что злоумышленник пытался обойти 2FA и собрать файлы cookie аутентификации, а не только учетные данные.
Посредством PHOCA они просканили известные фишинговые URL-адреса в период с марта 2020 года по март 2021 года, и обнаружили, что 1220 из этих сайтов используют наборы фишинговых инструментов MitM. Ранее в период 2018-2019 гг. показатель не превышал 200, по данным RiskIQ.
Такая популярность MitM фишинга обусловлена не только растущим спросом, а, прежде всего, доступностью технологии. Большинство из приблуд бесплатны для скачивания, просты в экспликации, и имеют даже инструкции. Кроме того, хакеры практикуют совместные атаки и кооперацию.
Новый тренд указывает на дальнейшее эволюционирование современных фишинговых операций, которые по факту нивелируют усилия сообщества по переходу на 2FA.
Печальные, но достаточно значимые выводы. Настоятельно рекомендуем ознакомиться с полной версией отчета.
Предлагаем вам сегодня на вечер несколько статей для чтения:
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738
Ловушка для хакера: проверяем не читает ли кто-то ваши переписки (а если читают - пробиваем, кто это делает) 👉 https://news.1rj.ru/str/cyberyozh_official/736
Как VPN-провайдеры работают с логами. Реальные кейсы выдачи данных "по запросу" (крайне неприятная информация, но лучше это знать). 👉 https://news.1rj.ru/str/cyberyozh_official/737
Три ошибки Рассела Кнаггса, или 20 лет тюрьмы за неотправленное письмо (захватывающая дух статья про деанонимизацию и арест наркоторговца). 👉 https://news.1rj.ru/str/cyberyozh_official/738
Apache Software Foundation выпустили срочные исправления для серьёзных CVE-2021-44790 и CVE-2021-44224 во флагманском продукте Apache HTTP Server, в том числе связанным с удаленным выполнением кода и получить контроль над скомпрометированной системой.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
Ошибка CVE-2021-44790 позволяет посредством определённого запроса вызывать переполнение буфера в многокомпонентном парсере mod_lua в Apache HTTP Server 2.4.51 и более ранних версий. Исследователи из Apache Software Foundation не обнаружили эксплойта для уязвимости, но допустили потенциальную возможность его создания.
Другая CVE-2021-44224 может позволить направлять запросы на конечную точку Unix Domain Socket, вызывая подделку запросов на стороне сервера. Ошибка связана с разыменованием NULL или SSRF в конфигурациях прямого прокси в Apache HTTP Server 2.4.51 и более ранних версиях.
Учитывая значительное доминирование HTTP-сервера Apache в сети и начавшуюся активную эксплуатацию другой CVE-2021-40438 подделки запросов на стороне сервера SSRF в дикой природе, применить патч для кроссплатформенного веб-сервера следует незамедлительно, о чем также озаботилось CISA, спешно добавив новые баги в свой каталог эксплуатируемых CVE.
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
Не успели пользователи QNAP обновиться и выдохнуть, как попали под очередную волну атак программ-вымогателей ech0raix, нацеленных на устройства сетевого хранения (NAS).
Специалистам и службе поддержки QNAP вместо подготовки к Новому году пришлось разгребать многочисленные жалобы от пользователей с сообщениями о взломах своих устройств буквально за несколько дней до американского Рождества.
Атаки усилились с 20 декабря и, к сожалению, праздник стал далеко не для всех счастливым, так как операторы ransomware ech0raix стали требовать увеличения выкупа от 0,024 (1200$) до 0,06 биткойнов (3000$). Возможно, кому-то повезло чуть больше и его зашифровали старой версией ech0raix (до 17 июля 2019 г.), так как существует бесплатный дешифратор для заблокированных файлов. Ну, а тем, кому нет, придется обезжириваться или откатываться до заводских настроек.
В настоящее время неясно, как было скомпрометировано большинство устройств QNAP. Некоторые пользователи считают, что злоумышленники использовали уязвимость в программном обеспечении Photo Station, чтобы взломать их, а другие считают, что виной всему использование слабых паролей. В случае успешного доступа сначала хакеры создают пользователя в группе администраторов, а затем используют его для шифрования содержимого NAS.
Вымогатель eCh0raix написан на языке программирования Go и использует шифрование AES для шифрования файлов. Вредоносный код добавляет расширение encrypt к именам зашифрованных документов.
Мы уже писали, что NAS-серверы являются привлекательной целью и угрозам подвержены преимущественно плохо защищенные или уязвимые устройства QNAP, так как злоумышленники используют известные баги (например, последнюю уязвимость нулевого дня Roon Server) или проводят атаки методом грубой силы. Как говорится в народе - тупо, но сытно.
Специалистам и службе поддержки QNAP вместо подготовки к Новому году пришлось разгребать многочисленные жалобы от пользователей с сообщениями о взломах своих устройств буквально за несколько дней до американского Рождества.
Атаки усилились с 20 декабря и, к сожалению, праздник стал далеко не для всех счастливым, так как операторы ransomware ech0raix стали требовать увеличения выкупа от 0,024 (1200$) до 0,06 биткойнов (3000$). Возможно, кому-то повезло чуть больше и его зашифровали старой версией ech0raix (до 17 июля 2019 г.), так как существует бесплатный дешифратор для заблокированных файлов. Ну, а тем, кому нет, придется обезжириваться или откатываться до заводских настроек.
В настоящее время неясно, как было скомпрометировано большинство устройств QNAP. Некоторые пользователи считают, что злоумышленники использовали уязвимость в программном обеспечении Photo Station, чтобы взломать их, а другие считают, что виной всему использование слабых паролей. В случае успешного доступа сначала хакеры создают пользователя в группе администраторов, а затем используют его для шифрования содержимого NAS.
Вымогатель eCh0raix написан на языке программирования Go и использует шифрование AES для шифрования файлов. Вредоносный код добавляет расширение encrypt к именам зашифрованных документов.
Мы уже писали, что NAS-серверы являются привлекательной целью и угрозам подвержены преимущественно плохо защищенные или уязвимые устройства QNAP, так как злоумышленники используют известные баги (например, последнюю уязвимость нулевого дня Roon Server) или проводят атаки методом грубой силы. Как говорится в народе - тупо, но сытно.
И чего только не найдёшь в сети.
Вот, к примеру, Website Planet по случайке нашли Amazon S3 bucket, принадлежащее логистическому гиганту DW Morgan.
Мало того, что нашли, но еще и глянули чего там интересного, ведь содержимое просто болталось в незащищенном виде.
Утечка содержала более 100 ГБ финансовых, транспортных, личных и конфиденциальных данных или более 2,5 млн. файлов в отношении поставок, сотрудников и клиентов DW Morgan по всему миру, в том числе и весьма крупных - к примеру, Cisco и Ericsson, а также других завсегдатаев Fortune 500.
Утекло буквально все: логистика, телефоне номера, платежные реквизиты, счета, накладные, планы и соглашения, характер и перечень грузов и др.
После уведомления DW Morgan 12 ноября, ситуация была исправлена в течение 4 дней, но никто не может с точностью гарантировать, что данные не стали достоянием других серферов сети, особенно скилованных в определенной сфере.
Вот, к примеру, Website Planet по случайке нашли Amazon S3 bucket, принадлежащее логистическому гиганту DW Morgan.
Мало того, что нашли, но еще и глянули чего там интересного, ведь содержимое просто болталось в незащищенном виде.
Утечка содержала более 100 ГБ финансовых, транспортных, личных и конфиденциальных данных или более 2,5 млн. файлов в отношении поставок, сотрудников и клиентов DW Morgan по всему миру, в том числе и весьма крупных - к примеру, Cisco и Ericsson, а также других завсегдатаев Fortune 500.
Утекло буквально все: логистика, телефоне номера, платежные реквизиты, счета, накладные, планы и соглашения, характер и перечень грузов и др.
После уведомления DW Morgan 12 ноября, ситуация была исправлена в течение 4 дней, но никто не может с точностью гарантировать, что данные не стали достоянием других серферов сети, особенно скилованных в определенной сфере.
Website Planet
Report: US Logistics Company Exposes Fortune 500 Clients
Company name and location: D.W. Morgan, headquartered in the USA Size (in GB and amount of records): 100+ GB of data, over 2.5 million files
В полку борцов за конфиденциальность прибавляется.
Мы уже как-то рассказывали историю про то, как разработчикам богоспасаемого браузера Brave удалось сдержать свои обещания и запустить свой собственный «антитрекинговый» поисковик.
Теперь же разработчики поисковика DuckDuckGo намерены создать собственный браузер, делая ставку на конфиденциальность по умолчанию, что должно, по мнению автора инициативы Габриэля Вайнберга, стать безопасной альтернативой конкурентам Google Chrome и Microsoft Edge на основе Chromium.
Главный девиз многообещающего проекта: «Никаких сложных настроек, никаких вводящих в заблуждение предупреждений, никаких уровней защиты конфиденциальности - надежная защита конфиденциальности, которая установлена по умолчанию».
По словам разработчиков, в отличие от Chromium с открытым исходным кодом, компания намерена положить в основу своего браузера движок рендеринга от ОС, что позволит им «убрать много ненужного мусора, который за долгие годы накопился в основных браузерах».
Компания не предоставила никаких технических подробностей о новом браузере и не сообщила, когда он будет доступен, но мы будем следить за его реализацией.
Мы уже как-то рассказывали историю про то, как разработчикам богоспасаемого браузера Brave удалось сдержать свои обещания и запустить свой собственный «антитрекинговый» поисковик.
Теперь же разработчики поисковика DuckDuckGo намерены создать собственный браузер, делая ставку на конфиденциальность по умолчанию, что должно, по мнению автора инициативы Габриэля Вайнберга, стать безопасной альтернативой конкурентам Google Chrome и Microsoft Edge на основе Chromium.
Главный девиз многообещающего проекта: «Никаких сложных настроек, никаких вводящих в заблуждение предупреждений, никаких уровней защиты конфиденциальности - надежная защита конфиденциальности, которая установлена по умолчанию».
По словам разработчиков, в отличие от Chromium с открытым исходным кодом, компания намерена положить в основу своего браузера движок рендеринга от ОС, что позволит им «убрать много ненужного мусора, который за долгие годы накопился в основных браузерах».
Компания не предоставила никаких технических подробностей о новом браузере и не сообщила, когда он будет доступен, но мы будем следить за его реализацией.
Spread Privacy
DuckDuckGo in 2021: Building the Privacy Super App
We spent 2021 strengthening our all-in-one privacy solution and helping people take back their privacy with one easy download.
Forwarded from S.E.Reborn
log4j-honeypot-flask
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228
https://github.com/BinaryDefense/log4j-honeypot-flask
#honeypot #log4j
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228
https://github.com/BinaryDefense/log4j-honeypot-flask
#honeypot #log4j
GitHub
GitHub - BinaryDefense/log4j-honeypot-flask: Internal network honeypot for detecting if an attacker or insider threat scans your…
Internal network honeypot for detecting if an attacker or insider threat scans your network for log4j CVE-2021-44228 - BinaryDefense/log4j-honeypot-flask
В последние дни Норвегия становится полигоном для хакеров, серия мощных кибератак продолжает сотрясать государственный и частный сектор страны.
Крупнейшая норвежская медиакомпания Amedia приостановила работу во вторник, после разрушительной кибератаки на центральную инфраструктуру. Amedia является издателем более 90 газет и другой периодики с общей аудиторией более 2,5 миллионов читателей.
Инцидент существенным образом повлиял на выпуск и печать, а также рекламный блок компании, в результате чего рекламодатели не могут размещать свои объявления, а клиенты - управлять своими подписками.
До сих пор остается невыясненным, попали ли хакерам конфиденциальные сведения в отношении клиентов Amedia, в частности, система подписки потенциально содержит данные об именах, адресах, номерах телефонов и историю подписок клиентов. Но, конечно же, представители компании заверяют, что такие данные, как пароли, история чтения и финансовая информация, не пострадали.
Учитывая, что компания сообщила о проведении восстановительных работ - значит, за атакой стояла одна из групп ransomware.
За эти дни в руках вымогателей 21 декабря также побывала Nortura (один из крупнейших производителей продуктов питания в стране) с потерями в работе нескольких своих заводов, а также региональная администрация большой части северной Норвегии - Nordland fylkeskommune (муниципалитет Нурланда), которая зафиксировала сбои в работе муниципальных служб, в том числе школ и поликлиник.
Неужели подъехали подарочки, Merry Christmas!
Крупнейшая норвежская медиакомпания Amedia приостановила работу во вторник, после разрушительной кибератаки на центральную инфраструктуру. Amedia является издателем более 90 газет и другой периодики с общей аудиторией более 2,5 миллионов читателей.
Инцидент существенным образом повлиял на выпуск и печать, а также рекламный блок компании, в результате чего рекламодатели не могут размещать свои объявления, а клиенты - управлять своими подписками.
До сих пор остается невыясненным, попали ли хакерам конфиденциальные сведения в отношении клиентов Amedia, в частности, система подписки потенциально содержит данные об именах, адресах, номерах телефонов и историю подписок клиентов. Но, конечно же, представители компании заверяют, что такие данные, как пароли, история чтения и финансовая информация, не пострадали.
Учитывая, что компания сообщила о проведении восстановительных работ - значит, за атакой стояла одна из групп ransomware.
За эти дни в руках вымогателей 21 декабря также побывала Nortura (один из крупнейших производителей продуктов питания в стране) с потерями в работе нескольких своих заводов, а также региональная администрация большой части северной Норвегии - Nordland fylkeskommune (муниципалитет Нурланда), которая зафиксировала сбои в работе муниципальных служб, в том числе школ и поликлиник.
Неужели подъехали подарочки, Merry Christmas!
www.amedia.no
Amedia utsatt for et alvorlig dataangrep
Natt til tirsdag 28. desember ble flere av Amedias sentrale datasystemer satt ut av drift. Produksjonen av nettavis går som normalt, men ingen papiraviser blir publisert onsdag. Det er fordi systemer for publisering av papiravis, annonser og abonnementshåndtering…
Apache продолжает в ускоренном режиме образцово-показательно лепить заплатки на Log4j, выпустив новую версию 2.17.1, в которой была исправлена (уже запутались по счету) обнаруженная уязвимость удаленного выполнения кода (RCE) - CVE-2021-44832.
В реальности это уже пятая найденная за месяц CVE, после того как положившая начало Log4Shell - CVE-2021-44228 начала массово эксплуатироваться хакерами.
Пятая уязвимость RCE была обнаружена в 2.17.0 и получила оценку 6,6 по шкале CVSS, связана с отсутствием дополнительных элементов управления доступом JDNI в log4j.
JDBC Appender использует JndiManager при доступе к JNDI, который контролируется через системное свойство. Злоумышленник с разрешением на изменение файла конфигурации ведения журнала может создать вредоносную конфигурацию, используя JDBC Appender с источником данных, ссылающимся на JNDI URI, который, свою очередь, может выполнять удаленный код.
Новую лагу обнаружил Исследователь Янив Низрий из Checkmarx, вызвав бурю обсуждений в Twitter. Однако публично CVE была раскрыта существенно позже Марком Роджерсом, вице-президентом по кибербезопасности Okta, который как раз и пояснил, что использование ошибки зависит от нестандартной настройки log4j, когда конфигурация загружается с удаленного сервера. В целом, это позволило избежать преждевременного раскрытия как это было в ситуации с Log4Shell.
В очередной раз, рекомендуем как можно скорее перейти на последнюю версию 2.17.1 (для Java 8).
Но, к сожалению, патчи уже не окажут существенного влияния на ситуацию с Log4Shell, жертвы которой к настоящему могут даже и не догадываться о своей компрометации: до поры – до времени.
В реальности это уже пятая найденная за месяц CVE, после того как положившая начало Log4Shell - CVE-2021-44228 начала массово эксплуатироваться хакерами.
Пятая уязвимость RCE была обнаружена в 2.17.0 и получила оценку 6,6 по шкале CVSS, связана с отсутствием дополнительных элементов управления доступом JDNI в log4j.
JDBC Appender использует JndiManager при доступе к JNDI, который контролируется через системное свойство. Злоумышленник с разрешением на изменение файла конфигурации ведения журнала может создать вредоносную конфигурацию, используя JDBC Appender с источником данных, ссылающимся на JNDI URI, который, свою очередь, может выполнять удаленный код.
Новую лагу обнаружил Исследователь Янив Низрий из Checkmarx, вызвав бурю обсуждений в Twitter. Однако публично CVE была раскрыта существенно позже Марком Роджерсом, вице-президентом по кибербезопасности Okta, который как раз и пояснил, что использование ошибки зависит от нестандартной настройки log4j, когда конфигурация загружается с удаленного сервера. В целом, это позволило избежать преждевременного раскрытия как это было в ситуации с Log4Shell.
В очередной раз, рекомендуем как можно скорее перейти на последнюю версию 2.17.1 (для Java 8).
Но, к сожалению, патчи уже не окажут существенного влияния на ситуацию с Log4Shell, жертвы которой к настоящему могут даже и не догадываться о своей компрометации: до поры – до времени.
Checkmarx
CVE-2021-44832 - Apache Log4j 2.17.0 Arbitrary Code Execution via JDBCAppender DataSource Element
Being extremely focused and dedicated researchers, we wanted to do a security audit ourselves on the log4j package in the hope of finding something interesting. And after a week of reviewing the code and testing, we encountered a new undiscovered deserialization…
Представители хакерского андеграунда из Поднебесной не перестают мстить своим обидчикам за былые времена, а именно, связанная с Китаем хакерская группировка BlackTech штурмует японские компании, используя новое вредоносное ПО, которое отслеживается как Flagpro.
По словам исследователей из NTT Security, китайская APT проводила атаки с использованием Flagpro на несколько компаний в сфере обороны, СМИ и связи Японии. Согласно их отчету, Flagpro используется BlackTech как минимум с октября 2020 года. Самый последний образец, проанализированный исследователями, датируется июлем 2021 года.
Flagpro, как правило, использовался в качестве полезной нагрузки первого уровня для разведывательных целей, но он также загружал и запускал вредоносное ПО второго уровня.
Вектор атаки классический и начинался с фишинговых сообщений, которые были созданы для целевой организации, сами же сообщения разумеется маскировались под электронные письма от делового партнера.
В сообщениях используется защищенное паролем вложение, как правило это ZIP или RAR архив, где пароль записан в теле электронного письма. А вот архив уже заряжен документом Microsoft Excel (.XLSM) с макросом, при выполнении которого создается исполняемый файл в каталоге запуска Flagpro.
Малварь взаимодействует с C2 и получает команды для выполнения, в том числе для загрузки и выполнения вредоносного ПО второго уровня. Команды от C2 кодируются с помощью Base64. В NTT Security сообщили, что злоумышленники сначала проверяют окружение цели, подходит ли она для запуска вредоносного ПО второй стадии или нет. Если они решат атаковать, то будет загружен и запущен другой образец вредоносного ПО.
Исследователи NTT также определили новую версию вредоносного ПО, получившего название Flagpro v2.0, которое может автоматически закрывать диалоговые окна, относящиеся к установлению внешних подключений, дабы снизить риск того, что пользователь обнаружит внешнее подключение вредоносным ПО.
Активность BlackTech была впервые подробно описана TrendMicro в 2017 году, где говорилось, что группа ориентирована на цели в Тайване, Японии и Гонконге с таргетом на кражу технологий.
Недавно BlackTech начала использовать другие штаммы вредоносных программ, известные как SelfMake Loader и Spider RAT, а это означает, что APT активно занимается разработкой новых вредоносных программ, что в свою очередь делает интересным наблюдение за последующими атаками BlackTech.
По словам исследователей из NTT Security, китайская APT проводила атаки с использованием Flagpro на несколько компаний в сфере обороны, СМИ и связи Японии. Согласно их отчету, Flagpro используется BlackTech как минимум с октября 2020 года. Самый последний образец, проанализированный исследователями, датируется июлем 2021 года.
Flagpro, как правило, использовался в качестве полезной нагрузки первого уровня для разведывательных целей, но он также загружал и запускал вредоносное ПО второго уровня.
Вектор атаки классический и начинался с фишинговых сообщений, которые были созданы для целевой организации, сами же сообщения разумеется маскировались под электронные письма от делового партнера.
В сообщениях используется защищенное паролем вложение, как правило это ZIP или RAR архив, где пароль записан в теле электронного письма. А вот архив уже заряжен документом Microsoft Excel (.XLSM) с макросом, при выполнении которого создается исполняемый файл в каталоге запуска Flagpro.
Малварь взаимодействует с C2 и получает команды для выполнения, в том числе для загрузки и выполнения вредоносного ПО второго уровня. Команды от C2 кодируются с помощью Base64. В NTT Security сообщили, что злоумышленники сначала проверяют окружение цели, подходит ли она для запуска вредоносного ПО второй стадии или нет. Если они решат атаковать, то будет загружен и запущен другой образец вредоносного ПО.
Исследователи NTT также определили новую версию вредоносного ПО, получившего название Flagpro v2.0, которое может автоматически закрывать диалоговые окна, относящиеся к установлению внешних подключений, дабы снизить риск того, что пользователь обнаружит внешнее подключение вредоносным ПО.
Активность BlackTech была впервые подробно описана TrendMicro в 2017 году, где говорилось, что группа ориентирована на цели в Тайване, Японии и Гонконге с таргетом на кражу технологий.
Недавно BlackTech начала использовать другие штаммы вредоносных программ, известные как SelfMake Loader и Spider RAT, а это означает, что APT активно занимается разработкой новых вредоносных программ, что в свою очередь делает интересным наблюдение за последующими атаками BlackTech.
Forwarded from Social Engineering
🔖 S.E.Заметка. AD. PowerView.
• PowerView 2.0 tricks.
• PowerView 3.0 tricks.
#AD, #Заметка. Твой S.E.
🖖🏻 Приветствую тебя user_name.• В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых ПК и список шар на удаленном компьютере:
• net share
• net view
• net view COMPUTER_NAME /all
• Но что если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит wmic. Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд:• wmic share get /format:list
• wmic /node: COMPUTER_NAME share get
• Полезный инструмент для поиска данных — PowerView. Он автоматически может обнаружить сетевые ресурсы и файловые серверы с помощью команд Find-DomainShare и Get-DomainFileServer.
• К слову, у нас в облаке есть отличный #CheatSheet для PowerView и дополнительный полезный материал:• PowerView 2.0 tricks.
• PowerView 3.0 tricks.
#AD, #Заметка. Твой S.E.