Реализующая кибершпионские операции китайская APT Deep Panda, одного из членов которой в 2017 году арестовало ФБР США, отметилась новыми атаками на сервера VMware Horizon с использованием Log4Shell для развертывания нового руткита под названием Fire Chili.
Рютрит подписывается цифровой подписью с использованием сертификата Frostburn Studios (разработчика игр) или сертификата Comodo (программное обеспечение безопасности), чтобы избежать обнаружения с помощью AV-инструментов.
Аналитики Fortinet, которые отслеживали недавнюю активность Deep Panda, считают, что сертификаты были украдены у упомянутых разработчиков программного обеспечения.
В отслеживаемой кампании Deep Panda, исследователи Fortinet увидели, как хакерская группа развертывает новый руткит Fire Chili, избегая обнаружения в скомпрометированных системах.
Марварь представляет собой вредоносное ПО, которое устанавливается в качестве драйвера, который подключает различные API Windows, чтобы скрыть наличие других файлов и настроек конфигурации в операционной системе.
Руткит подписывается действительными цифровыми сертификатами, что позволяет ему обходить обнаружение программным обеспечением безопасности и загружаться в Windows без каких-либо предупреждений.
После запуска Fire Chili выполняет базовые системные тесты на выявление смоделированной среды и проверяет наличие структур ядра и объектов, которыми нужно злоупотреблять во время работы.
Fortinet сообщает, что последней поддерживаемой версией операционной системы Fire Chili является Windows 10 Creators Update, выпущенная в апреле 2017 года.
Цель руткита состоит в том, чтобы скрыть файловые операции, процессы, добавления ключей реестра и вредоносные сетевые соединения.
Для этой функции скрытия вредоносное ПО использует IOCTL (вызовы системы управления вводом/выводом), которые предварительно заполнены вредоносными артефактами и могут быть динамически настроены.
Например, чтобы скрыть вредоносные TCP-соединения от netstat, руткит перехватывает обычные вызовы IOCTL в стек устройств, извлекает полный список сетевых подключений, отфильтровывает свои собственные и, наконец, возвращает очищенную структуру.
В ходе анализа кампании Deep Panda, Фортинет представили ранее неизвестный руткит Fire Chili и две скомпрометированные цифровые подписи, одну из которых исследователи также напрямую связали с Винти. Хотя Deep Panda и Winnti, как известно, используют руткиты в рамках своего набора инструментов, Fire Chili - это новый штамм с уникальной кодовой базой, отличной от тех, которые ранее были связаны с группами.
Причина, по которой эти инструменты связаны с двумя разными группами, в настоящее время неясна. Возможно, разработчики групп делились ресурсами, такими как украденные сертификаты и инфраструктура C2, друг с другом. Это может объяснить, почему образцы были подписаны только через несколько часов после компиляции.
Рютрит подписывается цифровой подписью с использованием сертификата Frostburn Studios (разработчика игр) или сертификата Comodo (программное обеспечение безопасности), чтобы избежать обнаружения с помощью AV-инструментов.
Аналитики Fortinet, которые отслеживали недавнюю активность Deep Panda, считают, что сертификаты были украдены у упомянутых разработчиков программного обеспечения.
В отслеживаемой кампании Deep Panda, исследователи Fortinet увидели, как хакерская группа развертывает новый руткит Fire Chili, избегая обнаружения в скомпрометированных системах.
Марварь представляет собой вредоносное ПО, которое устанавливается в качестве драйвера, который подключает различные API Windows, чтобы скрыть наличие других файлов и настроек конфигурации в операционной системе.
Руткит подписывается действительными цифровыми сертификатами, что позволяет ему обходить обнаружение программным обеспечением безопасности и загружаться в Windows без каких-либо предупреждений.
После запуска Fire Chili выполняет базовые системные тесты на выявление смоделированной среды и проверяет наличие структур ядра и объектов, которыми нужно злоупотреблять во время работы.
Fortinet сообщает, что последней поддерживаемой версией операционной системы Fire Chili является Windows 10 Creators Update, выпущенная в апреле 2017 года.
Цель руткита состоит в том, чтобы скрыть файловые операции, процессы, добавления ключей реестра и вредоносные сетевые соединения.
Для этой функции скрытия вредоносное ПО использует IOCTL (вызовы системы управления вводом/выводом), которые предварительно заполнены вредоносными артефактами и могут быть динамически настроены.
Например, чтобы скрыть вредоносные TCP-соединения от netstat, руткит перехватывает обычные вызовы IOCTL в стек устройств, извлекает полный список сетевых подключений, отфильтровывает свои собственные и, наконец, возвращает очищенную структуру.
В ходе анализа кампании Deep Panda, Фортинет представили ранее неизвестный руткит Fire Chili и две скомпрометированные цифровые подписи, одну из которых исследователи также напрямую связали с Винти. Хотя Deep Panda и Winnti, как известно, используют руткиты в рамках своего набора инструментов, Fire Chili - это новый штамм с уникальной кодовой базой, отличной от тех, которые ранее были связаны с группами.
Причина, по которой эти инструменты связаны с двумя разными группами, в настоящее время неясна. Возможно, разработчики групп делились ресурсами, такими как украденные сертификаты и инфраструктура C2, друг с другом. Это может объяснить, почему образцы были подписаны только через несколько часов после компиляции.
Fortinet Blog
New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits
FortiGuard Labs discovered a campaign by Deep Panda exploiting Log4Shell, along with a novel kernel rootkit signed with a stolen digital certificate also used by Winnti. Read to learn about these a…
Исследователи в области промышленной кибербезопасности из компании Claroty обнаружили две серьезные уязвимости, которые могут позволить злоумышленникам запускать атаки в стиле Stuxnet на программируемые логические контроллеры (ПЛК) производства Rockwell Automation.
Одна из ошибок CVE-2022-1161 классифицируется как «критическая» и затрагивает различные контроллеры CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix и SoftLogix. Вторая, отслеживаемая как CVE-2022-1159 высокой степени серьезности, затрагивает программное обеспечение для программирования Studio 5000 Logix Designer, которое используется на инженерных рабочих станциях.
По данным Rockwell Automation и Claroty, уязвимости могут позволить злоумышленнику, имеющему доступ к системам жертвы, вносить изменения в программный код ПЛК и модифицировать процессы автоматизации таким образом, что их нельзя обнаружить, как это было в случае с вредоносным ПО Stuxnet, которое США и Израиль использовали в отношении устройств Siemens для срыва ядерной программы Ирана, когда им удавалось повредить центрифуги на ядерном объекте.
Злоумышленник, модифицируя логику ПЛК, потенциально способен нанести физический ущерб, что может остановить производственные линии и негативным повлиять на функциональность роботизированных устройств.
Обнаруженные Claroty уязвимости в продуктах Rockwell нацелены на процесс разработки и передачи кода в ПЛК, который состоит из разработки кода на инженерной рабочей станции с использованием программного обеспечения Studio 5000, его компиляции в двоичный код, совместимый с ПЛК, и передачи на ПЛК, где он соответственно выполняется.
Критическая уязвимость позволяет злоумышленнику в сочетании с ранее раскрытой критической ошибкой обхода аутентификации CVE-2021-22681 с оценкой CVSS 10 контроллера Logix доставлять вредоносный код на контроллер, в то время как инженер будет видеть легитимный код ПО.
Другая уязвимость может быть использована злоумышленником с правами администратора на рабочей станции с программным обеспечением Studio 5000 для перехвата процесса компиляции и внедрения своего собственного кода в пользовательскую программу, опять же, не вызывая подозрений у инженеров.
Конечный результат использования обеих уязвимостей идентичный: инженер полагает, что в ПЛК работает на безопасном коде, в то время как на ПЛК выполняется совершенно другой и потенциально вредоносный код. Изменения в логическом потоке или предопределенных локальных переменных меняют нормальную работу ПЛК и приводят к отправке новых команд на физические устройства, управляемые контроллером.
Компания Rockwell разработала различные меры для защиты от атак, а также разработала инструмент, который может обнаруживать работающий в ПЛК скрытый код.
Учитывая, что ПЛК производства Rockwell Automation активно задействуется и на российских объектах промышленной инфраструктуры, настоятельно рекомендуем внимательно отнестись к проблеме.
#ICS #АСУТП
Одна из ошибок CVE-2022-1161 классифицируется как «критическая» и затрагивает различные контроллеры CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix и SoftLogix. Вторая, отслеживаемая как CVE-2022-1159 высокой степени серьезности, затрагивает программное обеспечение для программирования Studio 5000 Logix Designer, которое используется на инженерных рабочих станциях.
По данным Rockwell Automation и Claroty, уязвимости могут позволить злоумышленнику, имеющему доступ к системам жертвы, вносить изменения в программный код ПЛК и модифицировать процессы автоматизации таким образом, что их нельзя обнаружить, как это было в случае с вредоносным ПО Stuxnet, которое США и Израиль использовали в отношении устройств Siemens для срыва ядерной программы Ирана, когда им удавалось повредить центрифуги на ядерном объекте.
Злоумышленник, модифицируя логику ПЛК, потенциально способен нанести физический ущерб, что может остановить производственные линии и негативным повлиять на функциональность роботизированных устройств.
Обнаруженные Claroty уязвимости в продуктах Rockwell нацелены на процесс разработки и передачи кода в ПЛК, который состоит из разработки кода на инженерной рабочей станции с использованием программного обеспечения Studio 5000, его компиляции в двоичный код, совместимый с ПЛК, и передачи на ПЛК, где он соответственно выполняется.
Критическая уязвимость позволяет злоумышленнику в сочетании с ранее раскрытой критической ошибкой обхода аутентификации CVE-2021-22681 с оценкой CVSS 10 контроллера Logix доставлять вредоносный код на контроллер, в то время как инженер будет видеть легитимный код ПО.
Другая уязвимость может быть использована злоумышленником с правами администратора на рабочей станции с программным обеспечением Studio 5000 для перехвата процесса компиляции и внедрения своего собственного кода в пользовательскую программу, опять же, не вызывая подозрений у инженеров.
Конечный результат использования обеих уязвимостей идентичный: инженер полагает, что в ПЛК работает на безопасном коде, в то время как на ПЛК выполняется совершенно другой и потенциально вредоносный код. Изменения в логическом потоке или предопределенных локальных переменных меняют нормальную работу ПЛК и приводят к отправке новых команд на физические устройства, управляемые контроллером.
Компания Rockwell разработала различные меры для защиты от атак, а также разработала инструмент, который может обнаруживать работающий в ПЛК скрытый код.
Учитывая, что ПЛК производства Rockwell Automation активно задействуется и на российских объектах промышленной инфраструктуры, настоятельно рекомендуем внимательно отнестись к проблеме.
#ICS #АСУТП
Claroty
The Old Switcheroo: Hiding Code on Rockwell Automation PLCs
Discover the vulnerabilities found in Rockwell programmable logic controllers (PLCs) and engineering workstation software. Learn more with Claroty.
GitLab устранил критическую уязвимость CVE-2022-1162, затрагивающую как GitLab Community Edition (CE), так и Enterprise Edition (EE), которая позволяет удаленным злоумышленникам получать доступ к учетным записям пользователей с помощью жестко заданных паролей.
Сейчас платформу DevOps от GitLab используют более 100 000 организаций, на ней зарегистрированы порядка 30 миллионов пользователей из 66 стран мира.
Дело в том, что для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, которым случайным образом был установлен жестко запрограммированный статический пароль.
GitLab также сбросили пароли ограниченного числа пользователей GitLab.com в рамках усилий по смягчению последствий CVE-2022-1162. Кроме того, коммит кода указывает на удаление GitLab файла lib/gitlab/password.rb, который использовался для назначения слабого жестко закодированного пароля константе TEST_DEFAULT.
GitLab также создала скрипт, который администраторы самоуправляемых экземпляров могут использовать для идентификации учетных записей пользователей, потенциально затронутых CVE-2022-1162.
Доказательств того, что какие-либо учетные записи были скомпрометированы злоумышленниками, использующими эту уязвимость, не получено.
Тем не менее администрация призывает пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы избежать потенциальных атак.
Сейчас платформу DevOps от GitLab используют более 100 000 организаций, на ней зарегистрированы порядка 30 миллионов пользователей из 66 стран мира.
Дело в том, что для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, которым случайным образом был установлен жестко запрограммированный статический пароль.
GitLab также сбросили пароли ограниченного числа пользователей GitLab.com в рамках усилий по смягчению последствий CVE-2022-1162. Кроме того, коммит кода указывает на удаление GitLab файла lib/gitlab/password.rb, который использовался для назначения слабого жестко закодированного пароля константе TEST_DEFAULT.
GitLab также создала скрипт, который администраторы самоуправляемых экземпляров могут использовать для идентификации учетных записей пользователей, потенциально затронутых CVE-2022-1162.
Доказательств того, что какие-либо учетные записи были скомпрометированы злоумышленниками, использующими эту уязвимость, не получено.
Тем не менее администрация призывает пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы избежать потенциальных атак.
GitLab
GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7
Learn more about GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Trend Micro исправляет серьезную уязвимость произвольной загрузки файлов в Apex Central, которая к этому времени уже применялась в целевых атак.
CVE-2022-26871 с оценкой CVSS 8,6 затрагивает как локальную версию, так и на версию SaaS консоли централизованного управления. Обнаружить багу удалось собственной исследовательской группе Trend Micro еще в начале марта, тогда же был выпущен патч для развертывания исправлений под версии SaaS. К настоящему времени доступна исправление 3 (сборка 6016) для локальных установок Apex Central.
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно загрузить произвольный файл, что может привести к удаленному выполнению кода.
Поставщик решений для кибербезопасности зафиксировал как минимум одну активную попытку потенциального использования этой уязвимости в реальных условиях, о чем поделились, выпустив соответствующий бюллетень. Однако конкретную информацию об этих атаках компания не разглашает.
Эксплуатация достаточно сложна и требует определенных условий, но тем не менее Trend Micro призывает всех клиентов как можно скорее обновиться до исправленной версии. Компания также выпустила серию правил и фильтров IPS для Trend Micro Cloud One и Trend Micro Deep Discovery Inspector для защиты от попыток эксплуатации.
Учитывая серьезность обнаруженной дыры CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей наряду с несколькими другими, включая недавнюю критическую уязвимость удаленного выполнения кода в Sophos Firewall, о которой мы также ранее сообщали.
CVE-2022-26871 с оценкой CVSS 8,6 затрагивает как локальную версию, так и на версию SaaS консоли централизованного управления. Обнаружить багу удалось собственной исследовательской группе Trend Micro еще в начале марта, тогда же был выпущен патч для развертывания исправлений под версии SaaS. К настоящему времени доступна исправление 3 (сборка 6016) для локальных установок Apex Central.
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно загрузить произвольный файл, что может привести к удаленному выполнению кода.
Поставщик решений для кибербезопасности зафиксировал как минимум одну активную попытку потенциального использования этой уязвимости в реальных условиях, о чем поделились, выпустив соответствующий бюллетень. Однако конкретную информацию об этих атаках компания не разглашает.
Эксплуатация достаточно сложна и требует определенных условий, но тем не менее Trend Micro призывает всех клиентов как можно скорее обновиться до исправленной версии. Компания также выпустила серию правил и фильтров IPS для Trend Micro Cloud One и Trend Micro Deep Discovery Inspector для защиты от попыток эксплуатации.
Учитывая серьезность обнаруженной дыры CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей наряду с несколькими другими, включая недавнюю критическую уязвимость удаленного выполнения кода в Sophos Firewall, о которой мы также ранее сообщали.
Telegram
SecAtor
Sophos исправила критическую уязвимость в продукте Sophos Firewall версий 18.5 MR3 (18.5.3) и более ранних, позволяющую выполнять удаленное выполнение кода (RCE).
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует…
CVE-2022-1040 с оценкой CVSS 9,8 описывается как уязвимость обхода аутентификации и присутствует…
Исследователи FortiGuard Labs обнаружили, что несмотря на то, что создатель Mirai осенью 2018 года уехал в места не столь отдаленные, его последователи Beastmode (или же B3astmode) продолжают быстро внедрять недавно опубликованный эксплойт для заражения непропатченных маршрутизаторов Totolink с помощью вредоносного ПО Mirai.
Реализующий DDoS (app http, tcp ack, tcp syn, udp plain, udp vse, udp ovhhex, udp stdhex, udp CLAMP) ботнет с февраля по март 2022 года добавил пять новых эксплойтов, три из которых нацелены на некоторые маршрутизаторы TOTOLINK.
Злоумышленники добавили эксплойты TOTOLINK всего через неделю после того, как коды эксплойтов были публично опубликованы на GitHub, в попытке скомпрометировать максимально возможное количество устройств, прежде чем владельцы обновятся до последних выпусков прошивки.
Среди проанализированных Fortinet уязвимостей в устройствах Totolink, используемых ботнетом Beastmode: CVE-2022-26210 (нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R), CVE-2022-26186 (нацелен на TOTOLINK N600R и A7100RU), CVE-2022-25075-25084 (нацелены на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A360 и TR10 T6 и T6).
Помимо эксплойтов для Totolink ботнет Beastmode также содержит арсенал для заражения: D-Link (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L и DIR-836L) с помощью CVE-2021-45382, IP-камеры TP-Link Tapo C200 (CVE-2021-4045), маршрутизаторы Huawei HG532 (CVE-2017-17215), а также продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance (CVE-2016-5674).
Пользователям TOTOLINK рекомендуем поскорее накатить новую прошивку для уязвимых устройств.
Реализующий DDoS (app http, tcp ack, tcp syn, udp plain, udp vse, udp ovhhex, udp stdhex, udp CLAMP) ботнет с февраля по март 2022 года добавил пять новых эксплойтов, три из которых нацелены на некоторые маршрутизаторы TOTOLINK.
Злоумышленники добавили эксплойты TOTOLINK всего через неделю после того, как коды эксплойтов были публично опубликованы на GitHub, в попытке скомпрометировать максимально возможное количество устройств, прежде чем владельцы обновятся до последних выпусков прошивки.
Среди проанализированных Fortinet уязвимостей в устройствах Totolink, используемых ботнетом Beastmode: CVE-2022-26210 (нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R), CVE-2022-26186 (нацелен на TOTOLINK N600R и A7100RU), CVE-2022-25075-25084 (нацелены на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A360 и TR10 T6 и T6).
Помимо эксплойтов для Totolink ботнет Beastmode также содержит арсенал для заражения: D-Link (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L и DIR-836L) с помощью CVE-2021-45382, IP-камеры TP-Link Tapo C200 (CVE-2021-4045), маршрутизаторы Huawei HG532 (CVE-2017-17215), а также продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance (CVE-2016-5674).
Пользователям TOTOLINK рекомендуем поскорее накатить новую прошивку для уязвимых устройств.
Fortinet Blog
Fresh TOTOLINK Vulnerabilities Picked Up by Beastmode Mirai Campaign
FortiGuard Labs analyzed fresh TOTOLINK vulnerabilities which the Beastmode Mirai-based DDoS campaign added to its arsenal. Read about how this threat leverages these vulnerabilities to control aff…
Исследователи Cyble пошарились на рынках даркнета и обнаружили новый троян удаленного доступа (RAT) под названием Borat, реализующий функционал для организации DDoS-атак, обхода UAC и развертывания ransomware. Малварь по-взрослому задействуется в дикой природе и пользуется неплохой популярностью. И вот почему.
Borat позволяет удаленным злоумышленникам получить полный контроль над системой жертвы, в том числе к устройствам ввода, файлам, системе, полностью скрывая любые признаки своего присутствия.
Платформа RAT позволяет операторам настраивать различные компиляции для создания небольших полезных нагрузок и необходимого функционала для узкоспециализированных атак. При этом исполняемый файл полезной нагрузки BoratRat.exe был также идентифицирован на virustotal в качестве AsyncRAT, который и был положен в основу трояна.
По данным Cycle, Borat RAT поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера. Общий боевой арсенал нового RAT включает: кейлоггинг; развертывание ransomware c автоматическим созданием записки с требованием выкупа; DDoS; активация микрофона; доступ к камере; запуск скрытого удаленного рабочего стола; организация прокси-сервера; сбор информации о системе; внедрение вредоносного кода в легитимные процессы; кража учетных данных веб-браузеров на базе Chromium; перехват токенов Discord и др.
Исследователи Cyble фактически сравнивают Borat по функционалу со полноценной шпионской программой или полноформатным ransomware, отмечая при этом высокую опасность нового трояна, название которому скажем так, явно не соответствует запомнившемуся образу героя одноименной комедии в исполнении Саши Барона Коэна.
Borat позволяет удаленным злоумышленникам получить полный контроль над системой жертвы, в том числе к устройствам ввода, файлам, системе, полностью скрывая любые признаки своего присутствия.
Платформа RAT позволяет операторам настраивать различные компиляции для создания небольших полезных нагрузок и необходимого функционала для узкоспециализированных атак. При этом исполняемый файл полезной нагрузки BoratRat.exe был также идентифицирован на virustotal в качестве AsyncRAT, который и был положен в основу трояна.
По данным Cycle, Borat RAT поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера. Общий боевой арсенал нового RAT включает: кейлоггинг; развертывание ransomware c автоматическим созданием записки с требованием выкупа; DDoS; активация микрофона; доступ к камере; запуск скрытого удаленного рабочего стола; организация прокси-сервера; сбор информации о системе; внедрение вредоносного кода в легитимные процессы; кража учетных данных веб-браузеров на базе Chromium; перехват токенов Discord и др.
Исследователи Cyble фактически сравнивают Borat по функционалу со полноценной шпионской программой или полноформатным ransomware, отмечая при этом высокую опасность нового трояна, название которому скажем так, явно не соответствует запомнившемуся образу героя одноименной комедии в исполнении Саши Барона Коэна.
Cyble
Deep Dive Analysis – Borat RAT | Cyble
Cyble Research Labs analyzes Borat , a sophisticated RAT variant that boasts a combination of Remote Access Trojan, Spyware, Ransomware and DDoS capabilities.
Эксперты в один голос предрекают глобальный продовольственный кризис, обусловленный во многом агрессивной санкционной риторикой западных стран, а Lockbit уже вносят и свою лепту в цепочку поставок сельхозпродукции.
Под раздачу попала американская корпорация Scoular, занимающаяся продажей и переработкой зерна, кормов и пищевых ингредиентов. Компания была основана в 1892 году и имеет штаб более тысячи человек в 24 офисах и более чем на 90 производственных объектах. У компании 6 дней на решение вопроса с выкупом, в противном случае Lockbit намерены поделиться с общественностью 100 ГБ конфиденциальных данных.
Не легко приходится сейчас и PANASONIC, точнее ее предприятию из Канады. 2.62 ГБ коммерческих сведений начали утекать в сеть. Точнее их следует рассматривать как предлог для начала переговоров с Conti, которые разместили PANASONIC на свой DLS и дали понять, что они в деле.
В призме новых экономических реалий инциденты, связанные с ransomware, будут иметь более серьезные последствия.
Под раздачу попала американская корпорация Scoular, занимающаяся продажей и переработкой зерна, кормов и пищевых ингредиентов. Компания была основана в 1892 году и имеет штаб более тысячи человек в 24 офисах и более чем на 90 производственных объектах. У компании 6 дней на решение вопроса с выкупом, в противном случае Lockbit намерены поделиться с общественностью 100 ГБ конфиденциальных данных.
Не легко приходится сейчас и PANASONIC, точнее ее предприятию из Канады. 2.62 ГБ коммерческих сведений начали утекать в сеть. Точнее их следует рассматривать как предлог для начала переговоров с Conti, которые разместили PANASONIC на свой DLS и дали понять, что они в деле.
В призме новых экономических реалий инциденты, связанные с ransomware, будут иметь более серьезные последствия.
Twitter
BetterCyber
#Lockbit claims to have hacked Scoular, an agriculture supply chain company based in Nebraska, USA 🇺🇸... #Ransomware #RansomwareGroup
Forwarded from SecurityLab.ru
Пятьдесят пятый выпуск security-новостей с Александром Антиповым, главредом Securitylab.ru
https://www.youtube.com/watch?v=ui8r2Sflr1w
— Хакеры стали активнее эксплуатировать уязвимости нулевого дня
— Новая функция безопасности Windows блокирует уязвимые драйверы
— Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange
— Неизвестный хакер украл криптовалюту на сумму около $625 млн из блокчейна Ronin
— ИИ прослушивает екатеринбургских школьников и докладывает директору
— Власти США предупредили об атаках на источники бесперебойного питания
— Илон Маск хочет создать собственную соцсеть, свободную от цензуры
— Рекламодатели опасаются дальнейших планов Apple по обеспечению конфиденциальности
— Эксперты рассказали о ранних признаках возможного заражения вымогательским ПО
— ФСТЭК оставит иностранные компании без сертификатов
https://www.youtube.com/watch?v=ui8r2Sflr1w
— Хакеры стали активнее эксплуатировать уязвимости нулевого дня
— Новая функция безопасности Windows блокирует уязвимые драйверы
— Операторы IcedID распространяют вредонос через взломанные серверы Microsoft Exchange
— Неизвестный хакер украл криптовалюту на сумму около $625 млн из блокчейна Ronin
— ИИ прослушивает екатеринбургских школьников и докладывает директору
— Власти США предупредили об атаках на источники бесперебойного питания
— Илон Маск хочет создать собственную соцсеть, свободную от цензуры
— Рекламодатели опасаются дальнейших планов Apple по обеспечению конфиденциальности
— Эксперты рассказали о ранних признаках возможного заражения вымогательским ПО
— ФСТЭК оставит иностранные компании без сертификатов
YouTube
0Day-уязвимость в Google Chrome, $625 млн украли у Ronin. Security-новости #55 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
PT Application Inspector 4.0
Онлайн-митап 7 апреля 👉 https://promo.ptsecurity.com/application-inspector?utm_source=youtube&utm_…
PT Application Inspector 4.0
Онлайн-митап 7 апреля 👉 https://promo.ptsecurity.com/application-inspector?utm_source=youtube&utm_…
Пока немцы размышляют над предложением платить за российский газ в рублях, от вымогателей в адрес немецкого производителя ветряных турбин Nordex Group поступило другое предложение - рассчитаться за будущие ветряки в долларах, точнее за возобновление их производства.
Примерно такое же, как это было в случае с другим ветряным гигантом Vestas.
Дело в том, что после состоявшейся 31 марта атаки с использованием ransomware ИТ-системы Nordex были фактически парализованы и отключены. На минуту, компания проектирует, продает и производит ветряные турбины в объеме почти 6 миллиардов долларов на 2021 год, на заводах в Германии, Китае, Мексике, США, Бразилии, Испании и Индии.
Компания заявила, что обнаружила вторжение «на ранней стадии» и смогла быстро принять ответные меры, предотвратив ее дальнейшее распространение. Хотя изначально инцидент замалчивался, как отмечают журналисты.
Сайт в настоящее время восстановлен и работает, чего не скажешь о внутренней инфраструктуре. По данным Renewables Now, компании удалось восстановить удаленный мониторинг и обслуживание примерно для 85% машин, изначально пострадавших от атаки.
Примерно такое же, как это было в случае с другим ветряным гигантом Vestas.
Дело в том, что после состоявшейся 31 марта атаки с использованием ransomware ИТ-системы Nordex были фактически парализованы и отключены. На минуту, компания проектирует, продает и производит ветряные турбины в объеме почти 6 миллиардов долларов на 2021 год, на заводах в Германии, Китае, Мексике, США, Бразилии, Испании и Индии.
Компания заявила, что обнаружила вторжение «на ранней стадии» и смогла быстро принять ответные меры, предотвратив ее дальнейшее распространение. Хотя изначально инцидент замалчивался, как отмечают журналисты.
Сайт в настоящее время восстановлен и работает, чего не скажешь о внутренней инфраструктуре. По данным Renewables Now, компании удалось восстановить удаленный мониторинг и обслуживание примерно для 85% машин, изначально пострадавших от атаки.
Nordex SE
Nordex Group impacted by cyber security incident
DGAP-News: Nordex SE / Key word(s): Miscellaneous02.04.2022 / 18:10 The issuer is solely responsible for the content of this announcement. PRESS RELEASE Nordex Group impacted by cyber security incident Hamburg, 2 April 2022. On 31 March 2022 Nordex Group…
Некоторые владельцы аппаратных кошельков, пребывали в холодном поту, после того когда узнали, что их кошельки не такие уж и "холодные", так еще и пустые.
На днях изощрённую фишиговую аферу провернули хакеры против владельцев криптовалютных кошельков Trezor.
В результате атаки злоумышленники получили семена восстановления (seed-фразы), которые владельцы кошельков сами благополучно написали после полученного поддельного электронного письма об утечке данных с просьбой установить якобы последнее программное обеспечение Trezor Suite. После "успешного" обновления, все что было накоплено непосильным трудом было благополучно украдено.
Более того, сайт для загрузки Trezor Suite выглядел почти настоящим, так как злоумышленники использовали Punycode для имитации домена trezor.com. При этом настоящий официальный сайт это вовсе trezor.io.
Вскоре разработчики Trezor сообщили, что данная фишинговая атака произошла из-за компрометации MailChimp.
MailChimp подтвердили, что хакеры с использованием социальной инженерии получили доступ к внутренней системе поддержке клиентов и инструментам управления учетными записями. Очевидно, злоумышленники воспользовались информацией, полученной в результате атаки для отправки поддельных электронных писем владельцам кошельков Trezor.
Суть письма состояла в том, что в Trezor произошел инцидент информационной безопасности, связанный с компрометацией 106 тыс. клиентов, и что кошелек, связанный с вашей электронной почтой, был тоже скомпрометирован, в связи с чем призываем загрузить последнюю версию Trezor Suite и следовать инструкциям по установке нового PIN-кода для своего кошелька.
Ну а дальше все по классике - многие владельцы кошельков ввели свои фразы для восстановления от 12 до 24 слов, а установленная малварь отправляла эту информацию злоумышленникам, которые благополучно сливали криптовалютные активы с кошельков жертв.
На днях изощрённую фишиговую аферу провернули хакеры против владельцев криптовалютных кошельков Trezor.
В результате атаки злоумышленники получили семена восстановления (seed-фразы), которые владельцы кошельков сами благополучно написали после полученного поддельного электронного письма об утечке данных с просьбой установить якобы последнее программное обеспечение Trezor Suite. После "успешного" обновления, все что было накоплено непосильным трудом было благополучно украдено.
Более того, сайт для загрузки Trezor Suite выглядел почти настоящим, так как злоумышленники использовали Punycode для имитации домена trezor.com. При этом настоящий официальный сайт это вовсе trezor.io.
Вскоре разработчики Trezor сообщили, что данная фишинговая атака произошла из-за компрометации MailChimp.
MailChimp подтвердили, что хакеры с использованием социальной инженерии получили доступ к внутренней системе поддержке клиентов и инструментам управления учетными записями. Очевидно, злоумышленники воспользовались информацией, полученной в результате атаки для отправки поддельных электронных писем владельцам кошельков Trezor.
Суть письма состояла в том, что в Trezor произошел инцидент информационной безопасности, связанный с компрометацией 106 тыс. клиентов, и что кошелек, связанный с вашей электронной почтой, был тоже скомпрометирован, в связи с чем призываем загрузить последнюю версию Trezor Suite и следовать инструкциям по установке нового PIN-кода для своего кошелька.
Ну а дальше все по классике - многие владельцы кошельков ввели свои фразы для восстановления от 12 до 24 слов, а установленная малварь отправляла эту информацию злоумышленникам, которые благополучно сливали криптовалютные активы с кошельков жертв.
VMware опубликовали обновления безопасности для исправления критической уязвимости RCE в среде Java Spring Core, известной как CVE-2022-22965 или же Spring4Shell.
Бага с оценкой 9,8 затрагивает некоторые решения компании в области облачных вычислений и виртуализации, может быть использована без аутентификации вплоть до полного контроля над целевой системой.
При наличии актуального PoC проблема достаточно опасна, этому также способствует и широкое распространение Spring Framework. Применительно к VMware уязвимость затрагивает приложения Spring MVC и Spring WebFlux, работающие на JDK 9+. Эксплойт требует, чтобы приложение запускалось на Tomcat как развертывание WAR, хотя точные ограничения все еще изучаются.
К настоящему времени VMware проводится расследование на предмет поиска уязвимого кода. Список продуктов VMware, затронутых Spring4Shell, доступен в информационном бюллетене компании и обновляется по мере ревизии кода.
Однако известно, что следующие продукты компании уязвимы к Spring4Shell: служба приложений VMware Tanzu для виртуальных машин — версии с 2.10 по 2.13; VMware Tanzu Operations Manager — версии с 2.8 по 2.9; VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) — версии с 1.11 по 1.13.
Разработчики успели залатать дыры лишь в первых двух решениях, охватывающих несколько веток версий с точечными выпусками, но стабильное исправление для VMware Tanzu Kubernetes Grid Integrated Edition все еще находится в разработке.
Принимая во внимание, что Spring4Shell активно эксплуатируется в дикой природе, а средства виртуализации VMware все же продолжают использоваться в отечественной инфраструктуре, крайне важно прислушаться на данном этапе к рекомендациям и применить соответствующие обходные пути производителя, особенно по тем приложениям, для которых исправление недоступно.
Бага с оценкой 9,8 затрагивает некоторые решения компании в области облачных вычислений и виртуализации, может быть использована без аутентификации вплоть до полного контроля над целевой системой.
При наличии актуального PoC проблема достаточно опасна, этому также способствует и широкое распространение Spring Framework. Применительно к VMware уязвимость затрагивает приложения Spring MVC и Spring WebFlux, работающие на JDK 9+. Эксплойт требует, чтобы приложение запускалось на Tomcat как развертывание WAR, хотя точные ограничения все еще изучаются.
К настоящему времени VMware проводится расследование на предмет поиска уязвимого кода. Список продуктов VMware, затронутых Spring4Shell, доступен в информационном бюллетене компании и обновляется по мере ревизии кода.
Однако известно, что следующие продукты компании уязвимы к Spring4Shell: служба приложений VMware Tanzu для виртуальных машин — версии с 2.10 по 2.13; VMware Tanzu Operations Manager — версии с 2.8 по 2.9; VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) — версии с 1.11 по 1.13.
Разработчики успели залатать дыры лишь в первых двух решениях, охватывающих несколько веток версий с точечными выпусками, но стабильное исправление для VMware Tanzu Kubernetes Grid Integrated Edition все еще находится в разработке.
Принимая во внимание, что Spring4Shell активно эксплуатируется в дикой природе, а средства виртуализации VMware все же продолжают использоваться в отечественной инфраструктуре, крайне важно прислушаться на данном этапе к рекомендациям и применить соответствующие обходные пути производителя, особенно по тем приложениям, для которых исправление недоступно.
Google выпустила апрельские обновления для Android, которые включают исправления для 44 уязвимостей, ряд из которых относятся к критическим.
Первая часть обновлений 2022-04-01 security patch level закрывает 14 уязвимостей, наиболее важной из которых является ошибка в Framework, которую можно использовать для повышения привилегий без какого-либо взаимодействия с пользователем. Более того, никаких дополнительных прав на выполнение также не требуется.
Всего во Framework было устранено семь уязвимостей, все из которых относились к высокой степени серьезности и приводили к несанкционированному получению прав.
Другой пакет 2022-04-01 security patch level также включает исправления для двух уязвимостей в среде Media и трех в ОС. Системные обновления Google Play устраняют две уязвимости в MediaProvider и Media Codecs.
Обновления также содержат исправления не менее чем для 30 уязвимостей в системе, в частности, компонентах ядра, MediaTek, Qualcomm и Qualcomm Closed, девять из которых оцениваются как критические, а оставшиеся 21 — как высокоопасные.
Кроме того, Google также анонсировала исправления для пяти уязвимостей для устройств Pixel, которые затрагивают компоненты ядра, Pixel и Qualcomm.
Первая часть обновлений 2022-04-01 security patch level закрывает 14 уязвимостей, наиболее важной из которых является ошибка в Framework, которую можно использовать для повышения привилегий без какого-либо взаимодействия с пользователем. Более того, никаких дополнительных прав на выполнение также не требуется.
Всего во Framework было устранено семь уязвимостей, все из которых относились к высокой степени серьезности и приводили к несанкционированному получению прав.
Другой пакет 2022-04-01 security patch level также включает исправления для двух уязвимостей в среде Media и трех в ОС. Системные обновления Google Play устраняют две уязвимости в MediaProvider и Media Codecs.
Обновления также содержат исправления не менее чем для 30 уязвимостей в системе, в частности, компонентах ядра, MediaTek, Qualcomm и Qualcomm Closed, девять из которых оцениваются как критические, а оставшиеся 21 — как высокоопасные.
Кроме того, Google также анонсировала исправления для пяти уязвимостей для устройств Pixel, которые затрагивают компоненты ядра, Pixel и Qualcomm.
Японский производитель решений для промышленной автоматизации и управления Yokogawa исправил уязвимости в своих продуктах, которые могут быть использованы для нарушения производственных процессов.
Исследователям из Dragos в общей сложности удалось обнаружить десять уязвимостей, в том числе высокой степени серьезности, в распределенной системе управления (DCS) CENTUM VP и OPC-сервере Exaopc для систем CENTUM, о которых Yokogawa поделилась в январе и феврале этого года.
Уязвимости связаны с жестко запрограммированными учетными данными, обходом пути, внедрением команд, перехватом DLL, несоответствующими правами доступа и неконтролируемым потреблением ресурсов и могут быть использованы для доступа к данным, перезаписи или удаления файлов, выполнения произвольных команд, вызова сбоев серверов и повышения привилегий.
Эксплуатация некоторых уязвимостей требует локального доступа к целевой системе, в то время как другие могут быть использованы путем отправки специально созданных пакетов в Consolidated Alarm Management Software (CAMS) для станции интерфейса пользователя (HIS или HMI).
Dragos не фиксировали эксплуатации в дикой природе. Однако в ходе реальной атаки потенциальный злоумышленник может использовать уязвимости, чтобы получить контроль над HIS или в зависимости от конфигурации оказывать влияние на управление физическими процессами.
Yokogawa выпустила исправления и разработала меры по смягчению последствий для уязвимых решений. При этом следует учитывать, что в виду прекращения поддержки CENTUM CS 3000 клиентам следует обновиться до CENTUM VP.
Как отметили Dragos, безопасность ICS/OT вызывает все больше опасений у исследователей, отметивших рост числа нацеленных на этот сегмент групп при том, что в 2021 году идентификатор CVE был присвоен 1703 уязвимостям ICS/OT, что более чем в два раза больше, чем в предыдущем году.
И, по мнению исследователей, негативная тенденция будет только усугубляться.
#ICS #АСУТП
Исследователям из Dragos в общей сложности удалось обнаружить десять уязвимостей, в том числе высокой степени серьезности, в распределенной системе управления (DCS) CENTUM VP и OPC-сервере Exaopc для систем CENTUM, о которых Yokogawa поделилась в январе и феврале этого года.
Уязвимости связаны с жестко запрограммированными учетными данными, обходом пути, внедрением команд, перехватом DLL, несоответствующими правами доступа и неконтролируемым потреблением ресурсов и могут быть использованы для доступа к данным, перезаписи или удаления файлов, выполнения произвольных команд, вызова сбоев серверов и повышения привилегий.
Эксплуатация некоторых уязвимостей требует локального доступа к целевой системе, в то время как другие могут быть использованы путем отправки специально созданных пакетов в Consolidated Alarm Management Software (CAMS) для станции интерфейса пользователя (HIS или HMI).
Dragos не фиксировали эксплуатации в дикой природе. Однако в ходе реальной атаки потенциальный злоумышленник может использовать уязвимости, чтобы получить контроль над HIS или в зависимости от конфигурации оказывать влияние на управление физическими процессами.
Yokogawa выпустила исправления и разработала меры по смягчению последствий для уязвимых решений. При этом следует учитывать, что в виду прекращения поддержки CENTUM CS 3000 клиентам следует обновиться до CENTUM VP.
Как отметили Dragos, безопасность ICS/OT вызывает все больше опасений у исследователей, отметивших рост числа нацеленных на этот сегмент групп при том, что в 2021 году идентификатор CVE был присвоен 1703 уязвимостям ICS/OT, что более чем в два раза больше, чем в предыдущем году.
И, по мнению исследователей, негативная тенденция будет только усугубляться.
#ICS #АСУТП
Исследователи из Symantec Threat Hunter Team отследили длительную вредоносную кампанию китайской АРТ Cicada (aka menuPass, Stone Panda, Potassium, APT10, Red Apollo), в рамках которой хакеры использовали VLC Media Player для запуска пользовательского загрузчика вредоносной ПО.
АРТ активна с более 15 лет и ориентировалась на японские компании в сфере здравоохранения, обороны, аэрокосмической промышленности, финансов, морского дела, биотехнологии, энергетики и государственный сектор. Однако на этот раз кампания Cicada была нацелена на различные организации образовательной и религиозной направленности, а также компании телекоммуникационного, юридического и фармацевтического секторов в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Новая кампания Cicada попала в поле зрения исследователей с середины 2021 года и оставалась активной вплоть до февраля 2022 года. Первоначальный доступ к некоторым из взломанных систем осуществлялся через непропалченный сервер Microsoft Exchange, который открывал возможность поэксплуатировать известную язвимость.
А вот после получения доступа к целевой машине хакеры с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик. При этом злоумышленник использует легальную версию VLC с вредоносным файлом DLL, который подгружается через функцию экспорта медиаплеера.
Помимо пользовательского загрузчика, который Symantec смогли атрибутировать по прошлым кампаниям APT10, хакеры также разворачивали сервер WinVNC для получения удаленного контроля над системами жертв, а также использовали в скомпрометированных сетях свой традиционный арсенал в виде бэкдора Sodamaster.
Как известно, малварь работает в безфайловом режиме, детектируя в реестре признаки песочницы и избегая обнаружения. Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
Вместе с тем, исследователи выделили в этой кампании и ряд других утилит, включая: WMIExec (инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах), NBTScan (инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети), средства архивации RAR.
Среднее время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало до девяти месяцев. В заключение Symantec пришли к выводу о том, что наиболее вероятной целью этой кампании является шпионаж, а кампания, предположительно, продолжается по сей день.
АРТ активна с более 15 лет и ориентировалась на японские компании в сфере здравоохранения, обороны, аэрокосмической промышленности, финансов, морского дела, биотехнологии, энергетики и государственный сектор. Однако на этот раз кампания Cicada была нацелена на различные организации образовательной и религиозной направленности, а также компании телекоммуникационного, юридического и фармацевтического секторов в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Новая кампания Cicada попала в поле зрения исследователей с середины 2021 года и оставалась активной вплоть до февраля 2022 года. Первоначальный доступ к некоторым из взломанных систем осуществлялся через непропалченный сервер Microsoft Exchange, который открывал возможность поэксплуатировать известную язвимость.
А вот после получения доступа к целевой машине хакеры с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик. При этом злоумышленник использует легальную версию VLC с вредоносным файлом DLL, который подгружается через функцию экспорта медиаплеера.
Помимо пользовательского загрузчика, который Symantec смогли атрибутировать по прошлым кампаниям APT10, хакеры также разворачивали сервер WinVNC для получения удаленного контроля над системами жертв, а также использовали в скомпрометированных сетях свой традиционный арсенал в виде бэкдора Sodamaster.
Как известно, малварь работает в безфайловом режиме, детектируя в реестре признаки песочницы и избегая обнаружения. Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
Вместе с тем, исследователи выделили в этой кампании и ряд других утилит, включая: WMIExec (инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах), NBTScan (инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети), средства архивации RAR.
Среднее время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало до девяти месяцев. В заключение Symantec пришли к выводу о том, что наиболее вероятной целью этой кампании является шпионаж, а кампания, предположительно, продолжается по сей день.
Security
Cicada: Chinese APT Group Widens Targeting in Recent Espionage Activity
Government orgs and NGOs among victims in a wide-ranging and sustained campaign.
В середине марта мы писали про то, что иностранные Bugbounty-платформы отказываются работать с российскими компаниями (а мы в текущих условиях и не советуем) и сетовали, что аналогичных крупных российских площадок просто нет (да простят нас площадки некрупные).
Так вот, как подсказывают анонимные анонимы, упомянутая в посте Positive Technologies таки вышла из сумрака и подтвердила запуск своего Bugbounty-проекта в грядущем мае. Предполагаем, что презентуют на очередном PHD.
Нам даже скинули скриншоты, на которых предположительно изображена новая платформа.
Дело - хорошее, рынок - есть, Позитивы - вендор уважаемый. Будем посмотреть.
Так вот, как подсказывают анонимные анонимы, упомянутая в посте Positive Technologies таки вышла из сумрака и подтвердила запуск своего Bugbounty-проекта в грядущем мае. Предполагаем, что презентуют на очередном PHD.
Нам даже скинули скриншоты, на которых предположительно изображена новая платформа.
Дело - хорошее, рынок - есть, Позитивы - вендор уважаемый. Будем посмотреть.
Если мы обычно придерживались правила золотых 72 часов, то случае со Spring4Shell об этом определенно стоит забыть.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Check Point Blog
16% of organizations worldwide impacted by Spring4Shell Zero-day vulnerability exploitation attempts since outbreak - Check Point…
͏Не так давно от рук киберпреступников пострадала американская компания Parker Hannifin, специализирующаяся в области технологий движения и управления, производстве гидравлического оборудования, а также разработки высокоточных инженерных решений в аэрокосмической, мобильной и промышленной отраслях.
Компрометацию сети в компании обнаружили 14 марта и немедленно отключив некоторые системы начали проводить расследование. Сразу же были уведомлены правоохранительные органы, после чего для помощи привлекли экспертов по информационной безопасности. Расследование продолжается, но компания уже подтвердила, что был получен доступ к некоторым данным, включая личную информацию сотрудников.
К радости Parker Hannifin инцидент обошелся для них малыми жертвами, и исходя из предварительной оценки не оказал существенного финансового или операционного воздействия. В компания заверили, что проблема не окажет существенного влияния на ее бизнес и выстроенные ранее бизнес-процессы, а системы предприятия функционируют в полном объеме.
Хакерские группировки сродни террористическим организациям стали брать на себя ответственность за компьютерные инциденты. В случае с Parker Hannifin за атакой стоит банда-вымогателей Conti, которая опубликовала более 5 Гб архивных файлов, предположительно содержащих документы Parker. Если верить хакерской группировке, то это всего лишь небольшая часть от общего объема данных, которые они получили, так как на DLS-ресурсе Conti сказано, что в сеть выложено только 3% украденных данных.
Требований от хакеров заплатить барыш пока не поступало или об этом возможно умалчивают представители компании. Но как мы знаем Conti и без этого является одной из самых разыскиваемых групп, так как за последние годы за плечами киберпреступников стоят атаки на сотни организаций, а после того как в феврале группа публично выразила поддержку российскому правительству - Conti стала мишенью номер один.
Компрометацию сети в компании обнаружили 14 марта и немедленно отключив некоторые системы начали проводить расследование. Сразу же были уведомлены правоохранительные органы, после чего для помощи привлекли экспертов по информационной безопасности. Расследование продолжается, но компания уже подтвердила, что был получен доступ к некоторым данным, включая личную информацию сотрудников.
К радости Parker Hannifin инцидент обошелся для них малыми жертвами, и исходя из предварительной оценки не оказал существенного финансового или операционного воздействия. В компания заверили, что проблема не окажет существенного влияния на ее бизнес и выстроенные ранее бизнес-процессы, а системы предприятия функционируют в полном объеме.
Хакерские группировки сродни террористическим организациям стали брать на себя ответственность за компьютерные инциденты. В случае с Parker Hannifin за атакой стоит банда-вымогателей Conti, которая опубликовала более 5 Гб архивных файлов, предположительно содержащих документы Parker. Если верить хакерской группировке, то это всего лишь небольшая часть от общего объема данных, которые они получили, так как на DLS-ресурсе Conti сказано, что в сеть выложено только 3% украденных данных.
Требований от хакеров заплатить барыш пока не поступало или об этом возможно умалчивают представители компании. Но как мы знаем Conti и без этого является одной из самых разыскиваемых групп, так как за последние годы за плечами киберпреступников стоят атаки на сотни организаций, а после того как в феврале группа публично выразила поддержку российскому правительству - Conti стала мишенью номер один.
Forwarded from Russian OSINT
🇺🇸Сетевая безопасность Украины теперь под надёжной защитой АНБ и Кибернетического командования США
👮Глава Кибернетического командования США генерал Пол Накасоне и по совместительству директор Агентства национальной безопасности (NSA) заявил, что его организация 🥷“активизировала” свои усилия по укреплению сетей и киберзащиты Украины от российских цифровых атак с тех пор, как Москва начала спецоперацию по демилитаризации и денацификации в феврале 2022 года.
“Мы оказывали удаленную аналитическую поддержку Украине и проводили мероприятия по сетевой защите, ориентированные на критически важные сети Украины - непосредственно в поддержку партнеров по миссии”, - комментирует ситуацию директор Агентства национальной безопасности
👆Интересно, а завуалированная формулировка "активизация укрепления сетей партнёра" cлучайно не относится к тому, что спецслужбы США предложили президенту Джо Байдену использовать кибероружие против России «в невиданных ранее масштабах» о которой писали NBC?
Разведывательные ведомства и военные предлагали такие варианты как нарушение интернет-соединения по всей России, отключение электроэнергии и вмешательство в работу железнодорожных стрелочных переводов😕
Дальше интереснее, бюджетный запрос президента Джо Байдена на 2023 финансовый год направлен на то, чтобы предоставить 🇺🇸Кибернетическому командованию США новое крупное вливание долларов, поскольку оно борется с такими недемократическими государствами-противниками как 🇷🇺Россия,🇨🇳 Китай, 🇮🇷Иран и 🇰🇵Северная Корея. Кибернетическое командование требует выделить бюджет в размере $717 миллионов долларов на противостояние, что на $50 миллионов больше, чем в прошлом году, сообщает представитель Пентагона.
"President Joe Biden’s fiscal 2023 budget request seeks to give Cyber Command a major dollar infusion as it contends with adversaries like Russia, China, Iran and North Korea and juggles a portfolio of missions that has grown to include election security and ransomware" - сообщает RF.
🇺🇸🇨🇳 Четырехзвездочный генерал также назвал Китай “вызовом, не похожим ни на один другой". Для противодействия Азиатскому красному дракону командование США решило создать специальное подразделение “China Outcomes Group” — объединенную оперативную группу Кибернетического командования и АНБ — для “надлежащего фокусирования, обеспечения ресурсами, планирования операций” с целью противодействия растущему глобальному влиянию Пекина.
📲 @russian_osint
👮Глава Кибернетического командования США генерал Пол Накасоне и по совместительству директор Агентства национальной безопасности (NSA) заявил, что его организация 🥷“активизировала” свои усилия по укреплению сетей и киберзащиты Украины от российских цифровых атак с тех пор, как Москва начала спецоперацию по демилитаризации и денацификации в феврале 2022 года.
“Мы оказывали удаленную аналитическую поддержку Украине и проводили мероприятия по сетевой защите, ориентированные на критически важные сети Украины - непосредственно в поддержку партнеров по миссии”, - комментирует ситуацию директор Агентства национальной безопасности
👆Интересно, а завуалированная формулировка "активизация укрепления сетей партнёра" cлучайно не относится к тому, что спецслужбы США предложили президенту Джо Байдену использовать кибероружие против России «в невиданных ранее масштабах» о которой писали NBC?
Разведывательные ведомства и военные предлагали такие варианты как нарушение интернет-соединения по всей России, отключение электроэнергии и вмешательство в работу железнодорожных стрелочных переводов😕
Дальше интереснее, бюджетный запрос президента Джо Байдена на 2023 финансовый год направлен на то, чтобы предоставить 🇺🇸Кибернетическому командованию США новое крупное вливание долларов, поскольку оно борется с такими недемократическими государствами-противниками как 🇷🇺Россия,🇨🇳 Китай, 🇮🇷Иран и 🇰🇵Северная Корея. Кибернетическое командование требует выделить бюджет в размере $717 миллионов долларов на противостояние, что на $50 миллионов больше, чем в прошлом году, сообщает представитель Пентагона.
"President Joe Biden’s fiscal 2023 budget request seeks to give Cyber Command a major dollar infusion as it contends with adversaries like Russia, China, Iran and North Korea and juggles a portfolio of missions that has grown to include election security and ransomware" - сообщает RF.
🇺🇸🇨🇳 Четырехзвездочный генерал также назвал Китай “вызовом, не похожим ни на один другой". Для противодействия Азиатскому красному дракону командование США решило создать специальное подразделение “China Outcomes Group” — объединенную оперативную группу Кибернетического командования и АНБ — для “надлежащего фокусирования, обеспечения ресурсами, планирования операций” с целью противодействия растущему глобальному влиянию Пекина.
📲 @russian_osint
͏У Palo Alto Networks вечно что-то ломается: то служба техподдержки отваливается, то брандмауэры и VPN вызывают состояние отказа в обслуживании из-за ошибки OpenSSL.
В среду американская инфосек компания предупредила клиентов, что PAN-OS 8.1 и более поздние версии (включает как аппаратные, так и виртуальные брандмауэры, а также устройства Panorama и Prisma), все версии приложения GlobalProtect и агента Cortex XDR содержат уязвимую версию библиотеки OpenSSL с серьезной ошибкой бесконечного цикла, обнаруженную три недели назад. Уязвимость не влияет на Prisma Cloud и Cortex XSOAR.
Злоумышленники могут использовать уязвимость CVE-2022-0778 для активации состояния отказа в обслуживании и удаленно вывести из строя устройства, на которых запущено непропатченное ПО. При этом успешная эксплуатация уязвимости в Cortex XDR и GlobalProtect может быть реализована в ходе MITM.
Несмотря на то, что команда OpenSSL выпустила исправление еще две недели назад, клиентам Palo Alto Network все же придется подождать до 18 апреля: именно на эту дату запланирован выпуск обновления безопасности. Пока же для премиальных подписок доступны идентификаторы угроз 92409 и 92411, позволяющие блокировать известные атаки, связанные с этой уязвимостью и снижать риск использования известных эксплойтов.
Разработчик заявляет, что несмотря на доступность PoC доказательств использования проблемы ни в одном из своих продуктов не зафиксировано, а в результате успешной эксплуатации влияние ошибки ограничено вызовом отказа в обслуживании.
Тем не менее Palo Alto признают все же, что злоумышленники могут использовать уязвимость OpenSSL в атаках низкой сложности без взаимодействия с пользователем без каких-либо заморочек.
В среду американская инфосек компания предупредила клиентов, что PAN-OS 8.1 и более поздние версии (включает как аппаратные, так и виртуальные брандмауэры, а также устройства Panorama и Prisma), все версии приложения GlobalProtect и агента Cortex XDR содержат уязвимую версию библиотеки OpenSSL с серьезной ошибкой бесконечного цикла, обнаруженную три недели назад. Уязвимость не влияет на Prisma Cloud и Cortex XSOAR.
Злоумышленники могут использовать уязвимость CVE-2022-0778 для активации состояния отказа в обслуживании и удаленно вывести из строя устройства, на которых запущено непропатченное ПО. При этом успешная эксплуатация уязвимости в Cortex XDR и GlobalProtect может быть реализована в ходе MITM.
Несмотря на то, что команда OpenSSL выпустила исправление еще две недели назад, клиентам Palo Alto Network все же придется подождать до 18 апреля: именно на эту дату запланирован выпуск обновления безопасности. Пока же для премиальных подписок доступны идентификаторы угроз 92409 и 92411, позволяющие блокировать известные атаки, связанные с этой уязвимостью и снижать риск использования известных эксплойтов.
Разработчик заявляет, что несмотря на доступность PoC доказательств использования проблемы ни в одном из своих продуктов не зафиксировано, а в результате успешной эксплуатации влияние ошибки ограничено вызовом отказа в обслуживании.
Тем не менее Palo Alto признают все же, что злоумышленники могут использовать уязвимость OpenSSL в атаках низкой сложности без взаимодействия с пользователем без каких-либо заморочек.
Big Sur и Catalina похоже, что все.
31 марта Apple выпустила экстренные исправления для двух уязвимостей памяти CVE-2022-22675 и CVE-2022-22674, которые активно использовались злоумышленниками в дикой природе.
При этом исправления были доступны для iOS, iPadOS и macOS Monterey. А клиенты Apple на Big Sur или Catalina (или пользователи более ранних версий ОС) так и не дождались обновлений. И не дождутся.
Фактически Apple решила забить на 35–40% всех поддерживаемых компьютеров Mac и бросить их на растерзание хакерам, и это при том, что проигнорированные 0-day активно используются в реальных атаках, а обе эти версии macOS якобы все еще получают исправления для «значительных уязвимостей».
На помощь пользователям флагманской платформы macOS пришли исследователи Intego с заявлением о халатности разработчика. Ресерчеры выяснили, что Big Sur и Catalina подвержены по крайней мере одной из двух проблем, а также еще длинному списку других уязвимостей, которые до сих пор остаются непропатченными.
Конечно же, Apple отмалчивается, а исследователи больше склоняются к тому, что Apple намеренно оставила macOS Big Sur восприимчивой к довольно активно эксплуатируемой уязвимости, равно как и не приводит в бюллетенях подробностей или индикаторов компрометации к активно используемым ошибкам. Только в этом году было зарегистрировано не менее 13 атак с использованием 0-day.
И тут вспоминается известное в народе литературное произведение про куратора из спецслужб.
31 марта Apple выпустила экстренные исправления для двух уязвимостей памяти CVE-2022-22675 и CVE-2022-22674, которые активно использовались злоумышленниками в дикой природе.
При этом исправления были доступны для iOS, iPadOS и macOS Monterey. А клиенты Apple на Big Sur или Catalina (или пользователи более ранних версий ОС) так и не дождались обновлений. И не дождутся.
Фактически Apple решила забить на 35–40% всех поддерживаемых компьютеров Mac и бросить их на растерзание хакерам, и это при том, что проигнорированные 0-day активно используются в реальных атаках, а обе эти версии macOS якобы все еще получают исправления для «значительных уязвимостей».
На помощь пользователям флагманской платформы macOS пришли исследователи Intego с заявлением о халатности разработчика. Ресерчеры выяснили, что Big Sur и Catalina подвержены по крайней мере одной из двух проблем, а также еще длинному списку других уязвимостей, которые до сих пор остаются непропатченными.
Конечно же, Apple отмалчивается, а исследователи больше склоняются к тому, что Apple намеренно оставила macOS Big Sur восприимчивой к довольно активно эксплуатируемой уязвимости, равно как и не приводит в бюллетенях подробностей или индикаторов компрометации к активно используемым ошибкам. Только в этом году было зарегистрировано не менее 13 атак с использованием 0-day.
И тут вспоминается известное в народе литературное произведение про куратора из спецслужб.
The Mac Security Blog
Apple Neglects to Patch Two Zero-Day, Wild Vulnerabilities for macOS Big Sur, Catalina - The Mac Security Blog
Apple has chosen to leave Big Sur and Catalina (around 35 to 40 percent of all Macs) in danger of actively exploited vulnerabilities that have only been patched for macOS Monterey.