В арсенале хакерской группы Purple Fox новый троян FatalRAT, который был обнаружен в недавних атаках.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
Trend Micro
Purple Fox Uses New Arrival Vector and Improves Malware Arsenal
Forwarded from SecurityLab.ru
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
YouTube
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
Lapsus$ вернулись из отпуска, опровергнув все доводы о том, что в результате силовой операции лондонской полиции костяк группы и ее лидер были арестованы. Собственно, о чем мы и говорили совсем недавно.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Эскалация кибершпионского противостояния между Пакистаном и Индией эволюционирует и приобретает все более изощрённые и интересные методы шпионской деятельности.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.
Во многом благодаря исчезновению Raccoon Stealer на просторах даркнета набирает популярность вредоносное ПО Mars Stealer, следы которого стали фигурировать в недавних крупномасштабных кампаниях, о чем информируют исследователи из Morphisec.
Mars Stealer появился на рынке как переработанная версия вредоносного ПО Oski, разработка которого была прекращена в 2020 году, предлагая более широкий арсенал возможностей для кражи информации в различных приложениях. Низкий ценовой диапазон в 140-160 долларов делает ПО Mars Stealer достаточно доступным инструментом для клиентов различной масти.
В одной из новых обнаруженной Morphisec кампаний для Mars Stealer задействуется реклама Google Ads для продвижения в топ фишинговых сайтов офисного пакета OpenOffice, который до сих пор востребован среди пользователей. Продвигаемый таким образом установщик приложения на самом деле представляет собой исполняемый файл Mars Stealer, упакованный шифровальщиком Babadeda или загрузчиком Autoit.
Благодаря допущенной оператором этой кампании ошибки, исследователям удалось выяснить, что Mars Stealer собирал с зараженных хостов данные автозаполнения браузера, данные расширения браузера, кредитные карты, IP-адрес, код страны и часовой пояс. Кроме того, исследователи смогли обнаружить аккаунты злоумышленника в GitLab, идентифицировать украденные учетные данные, используемые для оплаты Google Ads и многое другое.
Morphisec установили, что Mars Stealer реализуется на 47 площадках в даркнет и Telegram. Операторы ПО в значительной степени сосредоточены на криптовалютных активах, в том числе плагинах MetaMask, Coinbase Wallet, Binance Wallet и Math wallet.
Но, пожалуй, более четко новый малварь разложили 3xp0rt в своем февральском отчете, с которым вы можете ознакомиться здесь
Mars Stealer появился на рынке как переработанная версия вредоносного ПО Oski, разработка которого была прекращена в 2020 году, предлагая более широкий арсенал возможностей для кражи информации в различных приложениях. Низкий ценовой диапазон в 140-160 долларов делает ПО Mars Stealer достаточно доступным инструментом для клиентов различной масти.
В одной из новых обнаруженной Morphisec кампаний для Mars Stealer задействуется реклама Google Ads для продвижения в топ фишинговых сайтов офисного пакета OpenOffice, который до сих пор востребован среди пользователей. Продвигаемый таким образом установщик приложения на самом деле представляет собой исполняемый файл Mars Stealer, упакованный шифровальщиком Babadeda или загрузчиком Autoit.
Благодаря допущенной оператором этой кампании ошибки, исследователям удалось выяснить, что Mars Stealer собирал с зараженных хостов данные автозаполнения браузера, данные расширения браузера, кредитные карты, IP-адрес, код страны и часовой пояс. Кроме того, исследователи смогли обнаружить аккаунты злоумышленника в GitLab, идентифицировать украденные учетные данные, используемые для оплаты Google Ads и многое другое.
Morphisec установили, что Mars Stealer реализуется на 47 площадках в даркнет и Telegram. Операторы ПО в значительной степени сосредоточены на криптовалютных активах, в том числе плагинах MetaMask, Coinbase Wallet, Binance Wallet и Math wallet.
Но, пожалуй, более четко новый малварь разложили 3xp0rt в своем февральском отчете, с которым вы можете ознакомиться здесь
Morphisec
Mars Stealer: Exclusive New Threat Research
Read the Morphisec Labs Team's research on the new Mars infostealer. Mars Stealer steals user credentials stored in many different browsers and cryptocurrency wallets.
В догонку к недавним экстренным исправлениям 0-day в движке JavaScript V8 на этой неделе Google выпустила новое обновление для Chrome с исправлением 28 задокументированных уязвимостей, некоторые из которых достаточно серьезны, чтобы привести к атакам с выполнением кода.
Chrome 100.0.4896.60 доступен для пользователей Windows, Mac и Linux и устраняет 9 ошибок с высоким уровнем серьезности. Большая часть из них относилась к ошибкам, связанным с использованием после освобождения, другие были связаны с переполнением буфера кучи и несоответствующей реализацией. 52 000 долларов США выплачено исследователям в качестве вознаграждения за некоторые из вскрытых дефектов безопасности. Окончательная сумма может быть намного выше, поскольку компании еще предстоит оценить гонорар за оставшиеся дыры.
Самый большой куш в 16000 долларов США за обнаружение CVE-2022-1135 сорвал Вей Юаню из MoyunSec VLab за уязвимость средней степени серьезности, связанную с использованием после освобождения в корзине покупок. В числе других исследователей: Халил Жани, Абделя Адима из Shielder, Ирван Курниаван, Сергей Тошин из Oversecurity, Абдулрахман Алькабанди, Microsoft Browser Vulnerability Research, Ман Юэ Мо из GitHub Security Lab, Томас Орлит, Алесандро Ортис, Морис Дауэр, Raven из лаборатории KunLun, Leecraso и Guang Gong из 360 Alpha Lab, Якун Чжан из Baidu Security.
Полный перечень исправлений и улучшений представлен в журнале.
Chrome 100.0.4896.60 доступен для пользователей Windows, Mac и Linux и устраняет 9 ошибок с высоким уровнем серьезности. Большая часть из них относилась к ошибкам, связанным с использованием после освобождения, другие были связаны с переполнением буфера кучи и несоответствующей реализацией. 52 000 долларов США выплачено исследователям в качестве вознаграждения за некоторые из вскрытых дефектов безопасности. Окончательная сумма может быть намного выше, поскольку компании еще предстоит оценить гонорар за оставшиеся дыры.
Самый большой куш в 16000 долларов США за обнаружение CVE-2022-1135 сорвал Вей Юаню из MoyunSec VLab за уязвимость средней степени серьезности, связанную с использованием после освобождения в корзине покупок. В числе других исследователей: Халил Жани, Абделя Адима из Shielder, Ирван Курниаван, Сергей Тошин из Oversecurity, Абдулрахман Алькабанди, Microsoft Browser Vulnerability Research, Ман Юэ Мо из GitHub Security Lab, Томас Орлит, Алесандро Ортис, Морис Дауэр, Raven из лаборатории KunLun, Leecraso и Guang Gong из 360 Alpha Lab, Якун Чжан из Baidu Security.
Полный перечень исправлений и улучшений представлен в журнале.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 100 to the stable channel for Windows, Mac and Linux. Chrome 100 is also pr...
Forwarded from Russian OSINT
🇺🇸Американские компании Apple и Meta (признана в РФ экстремистской организацией и запрещена) передали пользовательскую информацию хакерам, подделавшим официальный запрос от 👮правоохранительных органов
Как пишет Bloomberg, в середине 2021 года американские компании предоставили некоторые данные о клиентах, в том числе адрес, номер телефона и IP-адрес, получив поддельные "экстренные запросы информации".
Источники пояснили, что обычно запросы персональных данных удовлетворяются только при наличии ордера на обыск или судебной повестки, но экстренные запросы решения суда не требуют.
Полученные незаконным путем данные могли в теории использоваться социальными инженерами для облегчения схем финансового мошенничества и других целей. Какой объем данных попал в цепкие лапы матёрых злоумышленников остается в секрете.
https://www.interfax.ru/world/832289
Как пишет Bloomberg, в середине 2021 года американские компании предоставили некоторые данные о клиентах, в том числе адрес, номер телефона и IP-адрес, получив поддельные "экстренные запросы информации".
Источники пояснили, что обычно запросы персональных данных удовлетворяются только при наличии ордера на обыск или судебной повестки, но экстренные запросы решения суда не требуют.
Полученные незаконным путем данные могли в теории использоваться социальными инженерами для облегчения схем финансового мошенничества и других целей. Какой объем данных попал в цепкие лапы матёрых злоумышленников остается в секрете.
https://www.interfax.ru/world/832289
Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Praetorian
Spring Core on JDK9+ is vulnerable to remote code execution
Update: March 31, 2022 A patch has officially been released. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://tanzu.vmware.com/security/cve-2022-22965 Overview Spring Core on JDK9+ is vulnerable to remote code execution due…
За завидной регулярностью тайваньская компания QNAP стала информировать о проблемах. В этот раз в компании предупредили, что на определенное количество ее сетевых хранилищ (NAS) влияет недавно обнаруженная ошибка в криптографической библиотеке OpenSSL с открытым исходным кодом.
Как сообщают в компании, угрозу представляет уязвимость бесконечного цикла в OpenSSL и в случае ее эксплуатации позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».
Отслеживаемая как CVE-2022-0778 (CVSS 7,5) уязвимость связана с ошибкой, возникающей при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя неисправленных устройств.
Эта уязвимость не слишком сложна в использовании, но влияние ограничено DoS. Наиболее распространенный сценарий, в котором эксплуатация этой уязвимости может стать проблемой, — это доступ клиента TLS к вредоносному серверу, который обслуживает проблемный сертификат.
QNAP, которая в настоящее время исследует свою линейку, заявила, что под угрозой следующие версии операционной системы: QTS 5.0.x и выше, 4.5.4 и выше, 4.3.6 и выше, 4.3.4 и выше, 4.3.3 и выше, 4.2.6 и выше, QuTS hero h5.0.x и выше, h4.5.4 и выше, а также QuTScloud c5.0.x.
Несмотря на то, что патч был выпущен две недели назад, когда ошибка была публично раскрыта, QNAP объяснила, что ее клиентам придется подождать, пока компания не выпустит собственные обновления безопасности.
К общей радости на сегодняшний день пока нет никаких доказательств того, что уязвимость использовалась в реальных условиях, а патчи для операционных систем QTS и QuTScloud будут выпущены в ближайшее время.
В компании призвали клиентов максимально оперативно устанавливать любые исправления безопасности, которые они выпускают, дабы обезопасить себя от потенциальных атак.
Как сообщают в компании, угрозу представляет уязвимость бесконечного цикла в OpenSSL и в случае ее эксплуатации позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».
Отслеживаемая как CVE-2022-0778 (CVSS 7,5) уязвимость связана с ошибкой, возникающей при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя неисправленных устройств.
Эта уязвимость не слишком сложна в использовании, но влияние ограничено DoS. Наиболее распространенный сценарий, в котором эксплуатация этой уязвимости может стать проблемой, — это доступ клиента TLS к вредоносному серверу, который обслуживает проблемный сертификат.
QNAP, которая в настоящее время исследует свою линейку, заявила, что под угрозой следующие версии операционной системы: QTS 5.0.x и выше, 4.5.4 и выше, 4.3.6 и выше, 4.3.4 и выше, 4.3.3 и выше, 4.2.6 и выше, QuTS hero h5.0.x и выше, h4.5.4 и выше, а также QuTScloud c5.0.x.
Несмотря на то, что патч был выпущен две недели назад, когда ошибка была публично раскрыта, QNAP объяснила, что ее клиентам придется подождать, пока компания не выпустит собственные обновления безопасности.
К общей радости на сегодняшний день пока нет никаких доказательств того, что уязвимость использовалась в реальных условиях, а патчи для операционных систем QTS и QuTScloud будут выпущены в ближайшее время.
В компании призвали клиентов максимально оперативно устанавливать любые исправления безопасности, которые они выпускают, дабы обезопасить себя от потенциальных атак.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Infinite Loop Vulnerability in OpenSSL - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
IT-компания по разработке ПО со штатом более чем 16 000 сотрудников и доходом в 1,2 млрд. долларов США, засветившаяся на днях в утечках Lapsus$ подтвердила инцидент и подтверждает слив 70 ГБ украденных данных.
Таким образом, опубликованные хакерами админские учетные данные, используемые Globant для работы над кодом в Jira, Confluence, GitHub, Crucible, атентичны. Равно как исходный код и проектная документация разработок компании для крупных клиентов.
По результатам исследования, проведенного SOS Intelligence, утечка данных содержит информацию о клиентах, а также репозитории кода с большим количеством закрытых ключей (полная цепочка, SSL-сертификаты веб-сервера, сервер Globant, ключи API).
Кроме того, утечка включает более 150 файлов базы данных SQL для различных клиентских приложений. Один из репозиториев предназначен для приложения Bluecap в области консультирования в финансовом секторе, которое Globant приобрела в конце 2020 года.
Все слитые образцы данных были сопоставлены с действующими системами, что еще раз подтвердило подлинность представленных хакерами данных.
Globant также заявила, что расследование инцидента не выявило доказательств того, что хакеры взломали какие-либо другие части ее инфраструктуры.
Хотя как знать, клиенты, например, о которых мы сообщали ранее, уже выразили свою крайнюю обеспокоенность, и, вероятно, не зря.
Таким образом, опубликованные хакерами админские учетные данные, используемые Globant для работы над кодом в Jira, Confluence, GitHub, Crucible, атентичны. Равно как исходный код и проектная документация разработок компании для крупных клиентов.
По результатам исследования, проведенного SOS Intelligence, утечка данных содержит информацию о клиентах, а также репозитории кода с большим количеством закрытых ключей (полная цепочка, SSL-сертификаты веб-сервера, сервер Globant, ключи API).
Кроме того, утечка включает более 150 файлов базы данных SQL для различных клиентских приложений. Один из репозиториев предназначен для приложения Bluecap в области консультирования в финансовом секторе, которое Globant приобрела в конце 2020 года.
Все слитые образцы данных были сопоставлены с действующими системами, что еще раз подтвердило подлинность представленных хакерами данных.
Globant также заявила, что расследование инцидента не выявило доказательств того, что хакеры взломали какие-либо другие части ее инфраструктуры.
Хотя как знать, клиенты, например, о которых мы сообщали ранее, уже выразили свою крайнюю обеспокоенность, и, вероятно, не зря.
Telegram
SecAtor
Lapsus$ вернулись из отпуска, опровергнув все доводы о том, что в результате силовой операции лондонской полиции костяк группы и ее лидер были арестованы. Собственно, о чем мы и говорили совсем недавно.
Для большей убедительности хакеры слили в сеть более…
Для большей убедительности хакеры слили в сеть более…
СРОЧНО В НОМЕР!
Британская инфосек компания SOS Intelligence, специализирующаяся на поисковых мероприятиях в дарквеб, сообщает о массовой утечке PIN от банковских карт по всему миру.
Отредактированный пруф присутствует.
Вот тебе, бабушка, и информационная безопасность в банковской среде...
https://twitter.com/SOSIntel/status/1509786154509422619
Британская инфосек компания SOS Intelligence, специализирующаяся на поисковых мероприятиях в дарквеб, сообщает о массовой утечке PIN от банковских карт по всему миру.
Отредактированный пруф присутствует.
Вот тебе, бабушка, и информационная безопасность в банковской среде...
https://twitter.com/SOSIntel/status/1509786154509422619
Twitter
SOS Intelligence
🚨BREAKING NEWS🚨 A hacking group has alleged they have leaked every single person's bank card PIN number. This could be the single most important hack of the card payment system in history! A file containing all PINs in the world was found on derp web. Redacted…
Apple выпустила экстренный обновления для исправления двух 0-day, которые активно используются в дикой природе для взлома iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения), а также компьютеров Mac под управлением macOS Monterey.
Уязвимости представляют собой ошибку записи за пределами памяти (CVE-2022-22674) в графическом драйвере Intel, которая позволяет приложениям считывать память ядра, а также проблема чтения за пределами памяти (CVE-2022-22675) в AppleAVD, медиа-декодере, который позволит приложениям выполнять произвольный код с привилегиями ядра.
Об ошибках сообщили анонимные исследователи, и Apple исправила их в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1 с улучшенной проверкой ввода и проверкой границ соответственно. Обстоятельства эксплуатации в дикой природе Apple не раскрывает.
В этом году на счету Apple уже пять исправленных 0-day: в январе-феврале были закрыты CVE-2022-22587, CVE-2022-22587, CVE-2022-22594, которые, как все яблочные дыры, вовсю становились предметом жесткой эксплуатации. Прошлогодние баги, к примеру, применялись в работе небезызвестного шпионского ПО Pegasus от компании NSO. Последствия мы все уже наблюдали.
Несмотря на то, что эти нулевые дни, скорее всего, использовались только в целевых атаках, все же настоятельно рекомендуем установить обновления безопасности как можно скорее, чтобы избежать возможных атак.
Уязвимости представляют собой ошибку записи за пределами памяти (CVE-2022-22674) в графическом драйвере Intel, которая позволяет приложениям считывать память ядра, а также проблема чтения за пределами памяти (CVE-2022-22675) в AppleAVD, медиа-декодере, который позволит приложениям выполнять произвольный код с привилегиями ядра.
Об ошибках сообщили анонимные исследователи, и Apple исправила их в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1 с улучшенной проверкой ввода и проверкой границ соответственно. Обстоятельства эксплуатации в дикой природе Apple не раскрывает.
В этом году на счету Apple уже пять исправленных 0-day: в январе-феврале были закрыты CVE-2022-22587, CVE-2022-22587, CVE-2022-22594, которые, как все яблочные дыры, вовсю становились предметом жесткой эксплуатации. Прошлогодние баги, к примеру, применялись в работе небезызвестного шпионского ПО Pegasus от компании NSO. Последствия мы все уже наблюдали.
Несмотря на то, что эти нулевые дни, скорее всего, использовались только в целевых атаках, все же настоятельно рекомендуем установить обновления безопасности как можно скорее, чтобы избежать возможных атак.
Apple Support
About the security content of iOS 15.4.1 and iPadOS 15.4.1
This document describes the security content of iOS 15.4.1 and iPadOS 15.4.1.
Forwarded from Social Engineering
🧠 Социальная инженерия и фишинг. Профессиональный обман.
• Сегодня я рекомендую ознакомиться с интересной статьей на хабре, которая освещает тему фишинга и #СИ.
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/655795/
📌 В дополнение:
• Фишинг. Практический разбор.
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Фишинговые письма.
• Оформляем письмо для максимального отклика.
• Слабое звено. Подробный гайд по фишингу.
• Обходим спам-фильтр.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Социальная инженерия. Атака на Сбербанк.
• Социальная инженерия. Фишинг организаций. Black Hat.
• Фишинг и "Почта России".
• Методы, применяемые при фишинговых атаках.
• Фишинг с поддельным приглашением на встречу.
• Социальная Инженерия, фишинг и хейт.
• Социальная инженерия, Фишинг и атаки на майнеров.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Фишинг. Браузер в браузере.
Твой S.E. #Фишинг #СИ
🖖🏻 Приветствую тебя user_name.• #Фишинг — этот метод позволяет социальным инженерам обходить самые продвинутые защитные системы, воздействуя на эмоции и страхи людей, тем самым атакующий манипулирует жертвой, получает нужную информацию и заставляет свою цель действовать так, как нужно ему.
• Сегодня я рекомендую ознакомиться с интересной статьей на хабре, которая освещает тему фишинга и #СИ.
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/655795/
📌 В дополнение:
• Фишинг. Практический разбор.
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Фишинговые письма.
• Оформляем письмо для максимального отклика.
• Слабое звено. Подробный гайд по фишингу.
• Обходим спам-фильтр.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Социальная инженерия. Атака на Сбербанк.
• Социальная инженерия. Фишинг организаций. Black Hat.
• Фишинг и "Почта России".
• Методы, применяемые при фишинговых атаках.
• Фишинг с поддельным приглашением на встречу.
• Социальная Инженерия, фишинг и хейт.
• Социальная инженерия, Фишинг и атаки на майнеров.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Фишинг. Браузер в браузере.
Твой S.E. #Фишинг #СИ
Злую шутку сыграла Palo Alto Networks со своими клиентами.
Неправильная конфигурация панели управления Palo Alto Networks (PAN) привела к тому, что тысячи обращений в службу поддержки оказались доступны неавторизованному лицу.
Раскрытая конфиденциальная информация включала имена и контактную информацию обратившегося в службу поддержки, а также переписка между сотрудниками Palo Alto Networks и клиентом. Кроме того, некоторые запросы в службу поддержки содержали вложения, такие как журналы брандмауэра, дампы конфигурации, макеты групп безопасности сети (NSG), изображения сообщений об ошибках и другие ресурсы отладки, которыми клиенты поделились с персоналом PAN.
Обнаружить проблему удалось после обращения одного из клиентов PAN, который о ретранслировал ее персоналу Palo Alto Networks. Он отметил, что смог отследить 1989 обращений в службу поддержки, поделившись подтверждающими скринами. Более того, оказалась доступной возможность скачать вложения.
Как отметил анонимный клиент первые проблемы начались сразу после регистрации в службе поддержки и попутке доступа к Palo Alto Hub, откуда можно было установить Cloud Identity Engine. После чего он обратился с этой проблемой в службу поддержки PAN, и ему сказали, что его доступ к Palo Alto Hub «исправлен». Однако в ходе повторного входа около 1990 обращений в службу поддержки стали доступны для клиента во вкладке «Обращения моей компании».
Исправление ошибки заняло примерно восемь дней, после чего возможность доступа неавторизованного пользователя к 1900 несвязанным заявкам был отозвана. PAN не сообщили об уведомлении клиентов, или же вообще о намерении это сделать, заверив, что никаких действий со стороны клиентов не требуется, а ее продукты и услуги безопасны как никогда.
Неправильная конфигурация панели управления Palo Alto Networks (PAN) привела к тому, что тысячи обращений в службу поддержки оказались доступны неавторизованному лицу.
Раскрытая конфиденциальная информация включала имена и контактную информацию обратившегося в службу поддержки, а также переписка между сотрудниками Palo Alto Networks и клиентом. Кроме того, некоторые запросы в службу поддержки содержали вложения, такие как журналы брандмауэра, дампы конфигурации, макеты групп безопасности сети (NSG), изображения сообщений об ошибках и другие ресурсы отладки, которыми клиенты поделились с персоналом PAN.
Обнаружить проблему удалось после обращения одного из клиентов PAN, который о ретранслировал ее персоналу Palo Alto Networks. Он отметил, что смог отследить 1989 обращений в службу поддержки, поделившись подтверждающими скринами. Более того, оказалась доступной возможность скачать вложения.
Как отметил анонимный клиент первые проблемы начались сразу после регистрации в службе поддержки и попутке доступа к Palo Alto Hub, откуда можно было установить Cloud Identity Engine. После чего он обратился с этой проблемой в службу поддержки PAN, и ему сказали, что его доступ к Palo Alto Hub «исправлен». Однако в ходе повторного входа около 1990 обращений в службу поддержки стали доступны для клиента во вкладке «Обращения моей компании».
Исправление ошибки заняло примерно восемь дней, после чего возможность доступа неавторизованного пользователя к 1900 несвязанным заявкам был отозвана. PAN не сообщили об уведомлении клиентов, или же вообще о намерении это сделать, заверив, что никаких действий со стороны клиентов не требуется, а ее продукты и услуги безопасны как никогда.
Реализующая кибершпионские операции китайская APT Deep Panda, одного из членов которой в 2017 году арестовало ФБР США, отметилась новыми атаками на сервера VMware Horizon с использованием Log4Shell для развертывания нового руткита под названием Fire Chili.
Рютрит подписывается цифровой подписью с использованием сертификата Frostburn Studios (разработчика игр) или сертификата Comodo (программное обеспечение безопасности), чтобы избежать обнаружения с помощью AV-инструментов.
Аналитики Fortinet, которые отслеживали недавнюю активность Deep Panda, считают, что сертификаты были украдены у упомянутых разработчиков программного обеспечения.
В отслеживаемой кампании Deep Panda, исследователи Fortinet увидели, как хакерская группа развертывает новый руткит Fire Chili, избегая обнаружения в скомпрометированных системах.
Марварь представляет собой вредоносное ПО, которое устанавливается в качестве драйвера, который подключает различные API Windows, чтобы скрыть наличие других файлов и настроек конфигурации в операционной системе.
Руткит подписывается действительными цифровыми сертификатами, что позволяет ему обходить обнаружение программным обеспечением безопасности и загружаться в Windows без каких-либо предупреждений.
После запуска Fire Chili выполняет базовые системные тесты на выявление смоделированной среды и проверяет наличие структур ядра и объектов, которыми нужно злоупотреблять во время работы.
Fortinet сообщает, что последней поддерживаемой версией операционной системы Fire Chili является Windows 10 Creators Update, выпущенная в апреле 2017 года.
Цель руткита состоит в том, чтобы скрыть файловые операции, процессы, добавления ключей реестра и вредоносные сетевые соединения.
Для этой функции скрытия вредоносное ПО использует IOCTL (вызовы системы управления вводом/выводом), которые предварительно заполнены вредоносными артефактами и могут быть динамически настроены.
Например, чтобы скрыть вредоносные TCP-соединения от netstat, руткит перехватывает обычные вызовы IOCTL в стек устройств, извлекает полный список сетевых подключений, отфильтровывает свои собственные и, наконец, возвращает очищенную структуру.
В ходе анализа кампании Deep Panda, Фортинет представили ранее неизвестный руткит Fire Chili и две скомпрометированные цифровые подписи, одну из которых исследователи также напрямую связали с Винти. Хотя Deep Panda и Winnti, как известно, используют руткиты в рамках своего набора инструментов, Fire Chili - это новый штамм с уникальной кодовой базой, отличной от тех, которые ранее были связаны с группами.
Причина, по которой эти инструменты связаны с двумя разными группами, в настоящее время неясна. Возможно, разработчики групп делились ресурсами, такими как украденные сертификаты и инфраструктура C2, друг с другом. Это может объяснить, почему образцы были подписаны только через несколько часов после компиляции.
Рютрит подписывается цифровой подписью с использованием сертификата Frostburn Studios (разработчика игр) или сертификата Comodo (программное обеспечение безопасности), чтобы избежать обнаружения с помощью AV-инструментов.
Аналитики Fortinet, которые отслеживали недавнюю активность Deep Panda, считают, что сертификаты были украдены у упомянутых разработчиков программного обеспечения.
В отслеживаемой кампании Deep Panda, исследователи Fortinet увидели, как хакерская группа развертывает новый руткит Fire Chili, избегая обнаружения в скомпрометированных системах.
Марварь представляет собой вредоносное ПО, которое устанавливается в качестве драйвера, который подключает различные API Windows, чтобы скрыть наличие других файлов и настроек конфигурации в операционной системе.
Руткит подписывается действительными цифровыми сертификатами, что позволяет ему обходить обнаружение программным обеспечением безопасности и загружаться в Windows без каких-либо предупреждений.
После запуска Fire Chili выполняет базовые системные тесты на выявление смоделированной среды и проверяет наличие структур ядра и объектов, которыми нужно злоупотреблять во время работы.
Fortinet сообщает, что последней поддерживаемой версией операционной системы Fire Chili является Windows 10 Creators Update, выпущенная в апреле 2017 года.
Цель руткита состоит в том, чтобы скрыть файловые операции, процессы, добавления ключей реестра и вредоносные сетевые соединения.
Для этой функции скрытия вредоносное ПО использует IOCTL (вызовы системы управления вводом/выводом), которые предварительно заполнены вредоносными артефактами и могут быть динамически настроены.
Например, чтобы скрыть вредоносные TCP-соединения от netstat, руткит перехватывает обычные вызовы IOCTL в стек устройств, извлекает полный список сетевых подключений, отфильтровывает свои собственные и, наконец, возвращает очищенную структуру.
В ходе анализа кампании Deep Panda, Фортинет представили ранее неизвестный руткит Fire Chili и две скомпрометированные цифровые подписи, одну из которых исследователи также напрямую связали с Винти. Хотя Deep Panda и Winnti, как известно, используют руткиты в рамках своего набора инструментов, Fire Chili - это новый штамм с уникальной кодовой базой, отличной от тех, которые ранее были связаны с группами.
Причина, по которой эти инструменты связаны с двумя разными группами, в настоящее время неясна. Возможно, разработчики групп делились ресурсами, такими как украденные сертификаты и инфраструктура C2, друг с другом. Это может объяснить, почему образцы были подписаны только через несколько часов после компиляции.
Fortinet Blog
New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits
FortiGuard Labs discovered a campaign by Deep Panda exploiting Log4Shell, along with a novel kernel rootkit signed with a stolen digital certificate also used by Winnti. Read to learn about these a…
Исследователи в области промышленной кибербезопасности из компании Claroty обнаружили две серьезные уязвимости, которые могут позволить злоумышленникам запускать атаки в стиле Stuxnet на программируемые логические контроллеры (ПЛК) производства Rockwell Automation.
Одна из ошибок CVE-2022-1161 классифицируется как «критическая» и затрагивает различные контроллеры CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix и SoftLogix. Вторая, отслеживаемая как CVE-2022-1159 высокой степени серьезности, затрагивает программное обеспечение для программирования Studio 5000 Logix Designer, которое используется на инженерных рабочих станциях.
По данным Rockwell Automation и Claroty, уязвимости могут позволить злоумышленнику, имеющему доступ к системам жертвы, вносить изменения в программный код ПЛК и модифицировать процессы автоматизации таким образом, что их нельзя обнаружить, как это было в случае с вредоносным ПО Stuxnet, которое США и Израиль использовали в отношении устройств Siemens для срыва ядерной программы Ирана, когда им удавалось повредить центрифуги на ядерном объекте.
Злоумышленник, модифицируя логику ПЛК, потенциально способен нанести физический ущерб, что может остановить производственные линии и негативным повлиять на функциональность роботизированных устройств.
Обнаруженные Claroty уязвимости в продуктах Rockwell нацелены на процесс разработки и передачи кода в ПЛК, который состоит из разработки кода на инженерной рабочей станции с использованием программного обеспечения Studio 5000, его компиляции в двоичный код, совместимый с ПЛК, и передачи на ПЛК, где он соответственно выполняется.
Критическая уязвимость позволяет злоумышленнику в сочетании с ранее раскрытой критической ошибкой обхода аутентификации CVE-2021-22681 с оценкой CVSS 10 контроллера Logix доставлять вредоносный код на контроллер, в то время как инженер будет видеть легитимный код ПО.
Другая уязвимость может быть использована злоумышленником с правами администратора на рабочей станции с программным обеспечением Studio 5000 для перехвата процесса компиляции и внедрения своего собственного кода в пользовательскую программу, опять же, не вызывая подозрений у инженеров.
Конечный результат использования обеих уязвимостей идентичный: инженер полагает, что в ПЛК работает на безопасном коде, в то время как на ПЛК выполняется совершенно другой и потенциально вредоносный код. Изменения в логическом потоке или предопределенных локальных переменных меняют нормальную работу ПЛК и приводят к отправке новых команд на физические устройства, управляемые контроллером.
Компания Rockwell разработала различные меры для защиты от атак, а также разработала инструмент, который может обнаруживать работающий в ПЛК скрытый код.
Учитывая, что ПЛК производства Rockwell Automation активно задействуется и на российских объектах промышленной инфраструктуры, настоятельно рекомендуем внимательно отнестись к проблеме.
#ICS #АСУТП
Одна из ошибок CVE-2022-1161 классифицируется как «критическая» и затрагивает различные контроллеры CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix и SoftLogix. Вторая, отслеживаемая как CVE-2022-1159 высокой степени серьезности, затрагивает программное обеспечение для программирования Studio 5000 Logix Designer, которое используется на инженерных рабочих станциях.
По данным Rockwell Automation и Claroty, уязвимости могут позволить злоумышленнику, имеющему доступ к системам жертвы, вносить изменения в программный код ПЛК и модифицировать процессы автоматизации таким образом, что их нельзя обнаружить, как это было в случае с вредоносным ПО Stuxnet, которое США и Израиль использовали в отношении устройств Siemens для срыва ядерной программы Ирана, когда им удавалось повредить центрифуги на ядерном объекте.
Злоумышленник, модифицируя логику ПЛК, потенциально способен нанести физический ущерб, что может остановить производственные линии и негативным повлиять на функциональность роботизированных устройств.
Обнаруженные Claroty уязвимости в продуктах Rockwell нацелены на процесс разработки и передачи кода в ПЛК, который состоит из разработки кода на инженерной рабочей станции с использованием программного обеспечения Studio 5000, его компиляции в двоичный код, совместимый с ПЛК, и передачи на ПЛК, где он соответственно выполняется.
Критическая уязвимость позволяет злоумышленнику в сочетании с ранее раскрытой критической ошибкой обхода аутентификации CVE-2021-22681 с оценкой CVSS 10 контроллера Logix доставлять вредоносный код на контроллер, в то время как инженер будет видеть легитимный код ПО.
Другая уязвимость может быть использована злоумышленником с правами администратора на рабочей станции с программным обеспечением Studio 5000 для перехвата процесса компиляции и внедрения своего собственного кода в пользовательскую программу, опять же, не вызывая подозрений у инженеров.
Конечный результат использования обеих уязвимостей идентичный: инженер полагает, что в ПЛК работает на безопасном коде, в то время как на ПЛК выполняется совершенно другой и потенциально вредоносный код. Изменения в логическом потоке или предопределенных локальных переменных меняют нормальную работу ПЛК и приводят к отправке новых команд на физические устройства, управляемые контроллером.
Компания Rockwell разработала различные меры для защиты от атак, а также разработала инструмент, который может обнаруживать работающий в ПЛК скрытый код.
Учитывая, что ПЛК производства Rockwell Automation активно задействуется и на российских объектах промышленной инфраструктуры, настоятельно рекомендуем внимательно отнестись к проблеме.
#ICS #АСУТП
Claroty
The Old Switcheroo: Hiding Code on Rockwell Automation PLCs
Discover the vulnerabilities found in Rockwell programmable logic controllers (PLCs) and engineering workstation software. Learn more with Claroty.
GitLab устранил критическую уязвимость CVE-2022-1162, затрагивающую как GitLab Community Edition (CE), так и Enterprise Edition (EE), которая позволяет удаленным злоумышленникам получать доступ к учетным записям пользователей с помощью жестко заданных паролей.
Сейчас платформу DevOps от GitLab используют более 100 000 организаций, на ней зарегистрированы порядка 30 миллионов пользователей из 66 стран мира.
Дело в том, что для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, которым случайным образом был установлен жестко запрограммированный статический пароль.
GitLab также сбросили пароли ограниченного числа пользователей GitLab.com в рамках усилий по смягчению последствий CVE-2022-1162. Кроме того, коммит кода указывает на удаление GitLab файла lib/gitlab/password.rb, который использовался для назначения слабого жестко закодированного пароля константе TEST_DEFAULT.
GitLab также создала скрипт, который администраторы самоуправляемых экземпляров могут использовать для идентификации учетных записей пользователей, потенциально затронутых CVE-2022-1162.
Доказательств того, что какие-либо учетные записи были скомпрометированы злоумышленниками, использующими эту уязвимость, не получено.
Тем не менее администрация призывает пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы избежать потенциальных атак.
Сейчас платформу DevOps от GitLab используют более 100 000 организаций, на ней зарегистрированы порядка 30 миллионов пользователей из 66 стран мира.
Дело в том, что для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, которым случайным образом был установлен жестко запрограммированный статический пароль.
GitLab также сбросили пароли ограниченного числа пользователей GitLab.com в рамках усилий по смягчению последствий CVE-2022-1162. Кроме того, коммит кода указывает на удаление GitLab файла lib/gitlab/password.rb, который использовался для назначения слабого жестко закодированного пароля константе TEST_DEFAULT.
GitLab также создала скрипт, который администраторы самоуправляемых экземпляров могут использовать для идентификации учетных записей пользователей, потенциально затронутых CVE-2022-1162.
Доказательств того, что какие-либо учетные записи были скомпрометированы злоумышленниками, использующими эту уязвимость, не получено.
Тем не менее администрация призывает пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы избежать потенциальных атак.
GitLab
GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7
Learn more about GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Trend Micro исправляет серьезную уязвимость произвольной загрузки файлов в Apex Central, которая к этому времени уже применялась в целевых атак.
CVE-2022-26871 с оценкой CVSS 8,6 затрагивает как локальную версию, так и на версию SaaS консоли централизованного управления. Обнаружить багу удалось собственной исследовательской группе Trend Micro еще в начале марта, тогда же был выпущен патч для развертывания исправлений под версии SaaS. К настоящему времени доступна исправление 3 (сборка 6016) для локальных установок Apex Central.
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно загрузить произвольный файл, что может привести к удаленному выполнению кода.
Поставщик решений для кибербезопасности зафиксировал как минимум одну активную попытку потенциального использования этой уязвимости в реальных условиях, о чем поделились, выпустив соответствующий бюллетень. Однако конкретную информацию об этих атаках компания не разглашает.
Эксплуатация достаточно сложна и требует определенных условий, но тем не менее Trend Micro призывает всех клиентов как можно скорее обновиться до исправленной версии. Компания также выпустила серию правил и фильтров IPS для Trend Micro Cloud One и Trend Micro Deep Discovery Inspector для защиты от попыток эксплуатации.
Учитывая серьезность обнаруженной дыры CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей наряду с несколькими другими, включая недавнюю критическую уязвимость удаленного выполнения кода в Sophos Firewall, о которой мы также ранее сообщали.
CVE-2022-26871 с оценкой CVSS 8,6 затрагивает как локальную версию, так и на версию SaaS консоли централизованного управления. Обнаружить багу удалось собственной исследовательской группе Trend Micro еще в начале марта, тогда же был выпущен патч для развертывания исправлений под версии SaaS. К настоящему времени доступна исправление 3 (сборка 6016) для локальных установок Apex Central.
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно загрузить произвольный файл, что может привести к удаленному выполнению кода.
Поставщик решений для кибербезопасности зафиксировал как минимум одну активную попытку потенциального использования этой уязвимости в реальных условиях, о чем поделились, выпустив соответствующий бюллетень. Однако конкретную информацию об этих атаках компания не разглашает.
Эксплуатация достаточно сложна и требует определенных условий, но тем не менее Trend Micro призывает всех клиентов как можно скорее обновиться до исправленной версии. Компания также выпустила серию правил и фильтров IPS для Trend Micro Cloud One и Trend Micro Deep Discovery Inspector для защиты от попыток эксплуатации.
Учитывая серьезность обнаруженной дыры CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей наряду с несколькими другими, включая недавнюю критическую уязвимость удаленного выполнения кода в Sophos Firewall, о которой мы также ранее сообщали.
Telegram
SecAtor
Sophos исправила критическую уязвимость в продукте Sophos Firewall версий 18.5 MR3 (18.5.3) и более ранних, позволяющую выполнять удаленное выполнение кода (RCE).
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует…
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует…
Исследователи FortiGuard Labs обнаружили, что несмотря на то, что создатель Mirai осенью 2018 года уехал в места не столь отдаленные, его последователи Beastmode (или же B3astmode) продолжают быстро внедрять недавно опубликованный эксплойт для заражения непропатченных маршрутизаторов Totolink с помощью вредоносного ПО Mirai.
Реализующий DDoS (app http, tcp ack, tcp syn, udp plain, udp vse, udp ovhhex, udp stdhex, udp CLAMP) ботнет с февраля по март 2022 года добавил пять новых эксплойтов, три из которых нацелены на некоторые маршрутизаторы TOTOLINK.
Злоумышленники добавили эксплойты TOTOLINK всего через неделю после того, как коды эксплойтов были публично опубликованы на GitHub, в попытке скомпрометировать максимально возможное количество устройств, прежде чем владельцы обновятся до последних выпусков прошивки.
Среди проанализированных Fortinet уязвимостей в устройствах Totolink, используемых ботнетом Beastmode: CVE-2022-26210 (нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R), CVE-2022-26186 (нацелен на TOTOLINK N600R и A7100RU), CVE-2022-25075-25084 (нацелены на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A360 и TR10 T6 и T6).
Помимо эксплойтов для Totolink ботнет Beastmode также содержит арсенал для заражения: D-Link (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L и DIR-836L) с помощью CVE-2021-45382, IP-камеры TP-Link Tapo C200 (CVE-2021-4045), маршрутизаторы Huawei HG532 (CVE-2017-17215), а также продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance (CVE-2016-5674).
Пользователям TOTOLINK рекомендуем поскорее накатить новую прошивку для уязвимых устройств.
Реализующий DDoS (app http, tcp ack, tcp syn, udp plain, udp vse, udp ovhhex, udp stdhex, udp CLAMP) ботнет с февраля по март 2022 года добавил пять новых эксплойтов, три из которых нацелены на некоторые маршрутизаторы TOTOLINK.
Злоумышленники добавили эксплойты TOTOLINK всего через неделю после того, как коды эксплойтов были публично опубликованы на GitHub, в попытке скомпрометировать максимально возможное количество устройств, прежде чем владельцы обновятся до последних выпусков прошивки.
Среди проанализированных Fortinet уязвимостей в устройствах Totolink, используемых ботнетом Beastmode: CVE-2022-26210 (нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R), CVE-2022-26186 (нацелен на TOTOLINK N600R и A7100RU), CVE-2022-25075-25084 (нацелены на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A360 и TR10 T6 и T6).
Помимо эксплойтов для Totolink ботнет Beastmode также содержит арсенал для заражения: D-Link (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L и DIR-836L) с помощью CVE-2021-45382, IP-камеры TP-Link Tapo C200 (CVE-2021-4045), маршрутизаторы Huawei HG532 (CVE-2017-17215), а также продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance (CVE-2016-5674).
Пользователям TOTOLINK рекомендуем поскорее накатить новую прошивку для уязвимых устройств.
Fortinet Blog
Fresh TOTOLINK Vulnerabilities Picked Up by Beastmode Mirai Campaign
FortiGuard Labs analyzed fresh TOTOLINK vulnerabilities which the Beastmode Mirai-based DDoS campaign added to its arsenal. Read about how this threat leverages these vulnerabilities to control aff…
Исследователи Cyble пошарились на рынках даркнета и обнаружили новый троян удаленного доступа (RAT) под названием Borat, реализующий функционал для организации DDoS-атак, обхода UAC и развертывания ransomware. Малварь по-взрослому задействуется в дикой природе и пользуется неплохой популярностью. И вот почему.
Borat позволяет удаленным злоумышленникам получить полный контроль над системой жертвы, в том числе к устройствам ввода, файлам, системе, полностью скрывая любые признаки своего присутствия.
Платформа RAT позволяет операторам настраивать различные компиляции для создания небольших полезных нагрузок и необходимого функционала для узкоспециализированных атак. При этом исполняемый файл полезной нагрузки BoratRat.exe был также идентифицирован на virustotal в качестве AsyncRAT, который и был положен в основу трояна.
По данным Cycle, Borat RAT поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера. Общий боевой арсенал нового RAT включает: кейлоггинг; развертывание ransomware c автоматическим созданием записки с требованием выкупа; DDoS; активация микрофона; доступ к камере; запуск скрытого удаленного рабочего стола; организация прокси-сервера; сбор информации о системе; внедрение вредоносного кода в легитимные процессы; кража учетных данных веб-браузеров на базе Chromium; перехват токенов Discord и др.
Исследователи Cyble фактически сравнивают Borat по функционалу со полноценной шпионской программой или полноформатным ransomware, отмечая при этом высокую опасность нового трояна, название которому скажем так, явно не соответствует запомнившемуся образу героя одноименной комедии в исполнении Саши Барона Коэна.
Borat позволяет удаленным злоумышленникам получить полный контроль над системой жертвы, в том числе к устройствам ввода, файлам, системе, полностью скрывая любые признаки своего присутствия.
Платформа RAT позволяет операторам настраивать различные компиляции для создания небольших полезных нагрузок и необходимого функционала для узкоспециализированных атак. При этом исполняемый файл полезной нагрузки BoratRat.exe был также идентифицирован на virustotal в качестве AsyncRAT, который и был положен в основу трояна.
По данным Cycle, Borat RAT поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера. Общий боевой арсенал нового RAT включает: кейлоггинг; развертывание ransomware c автоматическим созданием записки с требованием выкупа; DDoS; активация микрофона; доступ к камере; запуск скрытого удаленного рабочего стола; организация прокси-сервера; сбор информации о системе; внедрение вредоносного кода в легитимные процессы; кража учетных данных веб-браузеров на базе Chromium; перехват токенов Discord и др.
Исследователи Cyble фактически сравнивают Borat по функционалу со полноценной шпионской программой или полноформатным ransomware, отмечая при этом высокую опасность нового трояна, название которому скажем так, явно не соответствует запомнившемуся образу героя одноименной комедии в исполнении Саши Барона Коэна.
Cyble
Deep Dive Analysis – Borat RAT | Cyble
Cyble Research Labs analyzes Borat , a sophisticated RAT variant that boasts a combination of Remote Access Trojan, Spyware, Ransomware and DDoS capabilities.
Эксперты в один голос предрекают глобальный продовольственный кризис, обусловленный во многом агрессивной санкционной риторикой западных стран, а Lockbit уже вносят и свою лепту в цепочку поставок сельхозпродукции.
Под раздачу попала американская корпорация Scoular, занимающаяся продажей и переработкой зерна, кормов и пищевых ингредиентов. Компания была основана в 1892 году и имеет штаб более тысячи человек в 24 офисах и более чем на 90 производственных объектах. У компании 6 дней на решение вопроса с выкупом, в противном случае Lockbit намерены поделиться с общественностью 100 ГБ конфиденциальных данных.
Не легко приходится сейчас и PANASONIC, точнее ее предприятию из Канады. 2.62 ГБ коммерческих сведений начали утекать в сеть. Точнее их следует рассматривать как предлог для начала переговоров с Conti, которые разместили PANASONIC на свой DLS и дали понять, что они в деле.
В призме новых экономических реалий инциденты, связанные с ransomware, будут иметь более серьезные последствия.
Под раздачу попала американская корпорация Scoular, занимающаяся продажей и переработкой зерна, кормов и пищевых ингредиентов. Компания была основана в 1892 году и имеет штаб более тысячи человек в 24 офисах и более чем на 90 производственных объектах. У компании 6 дней на решение вопроса с выкупом, в противном случае Lockbit намерены поделиться с общественностью 100 ГБ конфиденциальных данных.
Не легко приходится сейчас и PANASONIC, точнее ее предприятию из Канады. 2.62 ГБ коммерческих сведений начали утекать в сеть. Точнее их следует рассматривать как предлог для начала переговоров с Conti, которые разместили PANASONIC на свой DLS и дали понять, что они в деле.
В призме новых экономических реалий инциденты, связанные с ransomware, будут иметь более серьезные последствия.
Twitter
BetterCyber
#Lockbit claims to have hacked Scoular, an agriculture supply chain company based in Nebraska, USA 🇺🇸... #Ransomware #RansomwareGroup