Пользователям Интернет-магазинов и сервисов по онлайн-бронированиям стоит проявить бдительность, ибо популярный плагин и приложение Easy Appointments, которое на борту не у одного десятка тысяч сайтов содержит очень опасную уязвимость Broken Access Control. Уязвимость отслеживается как CVE-2022-0482 и раскрывает PII (персональную идентифицируемую информацию).

Бага позволяет злоумышленникам, не прошедшим проверку подлинности, получать доступ к данным частных пользователей, хранящимся в целевой системе, из-за ошибки в проверке разрешений API.

Разоблачение PII всегда является очень востребованной ошибкой для преступников, так как полученные данные могут использоваться в целом арсенале противоправных деяний, таких как кража личных данных, захват учетных записей, фишинг, мошенничество и так далее.

Уязвимость была обнаружена специалистом Франческо Карлуччи и сообщена разработчикам 30 января 2022 г. Исправления от Easy Appointments появились 8 марта 2022 г. и команда разработчиков призывает обновить программное обеспечение до последней стабильной версии. Кроме того, файл исправления также доступен для загрузки на github и развертывает исправление для любой предыдущей версии.

Но есть одно НО! Программное обеспечение теперь защищено, НО проблема в том, что Easy Appointments до сих пор не имеет системы автоматического обновления или уведомлений (как самые популярные WordPress/Joomla/Drupal), поэтому реальность такова, что большая часть экземпляров в сети все еще уязвимы и данные все еще находятся под угрозой.

Время покажет - помог или оказал медвежью услугу товарищ Франческо Карлуччи когда написал шаблон Nuclei, чтобы помочь исследователям безопасности легко обнаружить эту уязвимость с помощью автоматического сканирования.

Ссылку на официальный ресурс приложения публиковать не будем, по понятным причинам.

Достаточно громкое заявление сделали вымогатели Everest, анонсировав на своем DLS в TOR эпохальную жертву четко и ясно United States of America GOV.

На счету группы были аналогичные заявления, правда, в прошлый раз жертвой назначали UK GOV.

Будем посмотреть, конечно.

Потихоньку начинает проясняться история с вчерашней массовой рассылкой на наш почтовый ящик писем от различных российских и белорусских ресурсов со сбросом админ пароля.

Судя по всему, кибердружины УГИЛ (пока не запрещено в Российской Федерации) взломали OctoberCMS и сделали что-то нехорошее с рядом работавших на ней сайтов. Похоже, что дефейс с размещением информации в поддержку украинского режима. И подставили наш ящик - типа мы взламывали.

Кстати, интересная статья по взлому CMS была в свое время от Соларов, там и OctoberCMS светится.

Что сказать. ДКИБ СБУ мы чмырили задолго до 24 февраля, видимо решили нам прислать ответку через своих подконтрольных Анонимусов.

Будем держать подписчиков в курсе развития событий.

Кстати, письма с ресетом пароля продолжают падать на наш ящик, киберскакуны продолжают резвиться...

F5 Networks вплотную взялись за предполагаемую 0-day в веб-сервере NGINX, разработчика которого в 2019 году приобрела за 670 миллионов долларов.
 
Переполох навели BlueHornet, которые в минувшую субботу сообщили об эксплойте для NGINX 1.18. При этом авторы отметили, что тесты PoC проводились на нескольких компаниях и корпорациях. В их числе оказался Королевский банк Канады, а также системы китайского отделения UBS Securities.
 
Из переписки хакеров стало понятно, что эксплойт включает два этапа, начинаясь с внедрения LDAP (облегченный протокол доступа к каталогам). Совместно с NGINX используется демон ldap-auth, который позволяет использовать LDAP. В основном он используется для получения доступа к частным экземплярам Github, Bitbucket, Jekins и Gitlab.
 
Разработчики после расследования отметили, что развертывание эталонной реализации LDAP подвержено уязвимостям в случаях, если для настройки демона Python используются параметры командной строки, когда присутствуют неиспользуемые необязательные параметры конфигурации или же если аутентификация LDAP зависит от членства в конкретной группе.
 
BlueHornet, в свою очередь, поделились проблемой с командой безопасности Nginx, рассчитывая на вознаграждение в рамках bugbounty, однако не получили ответа. После чего BlueHornet создали страницу GitHub, где подробно раскрыли проблему, пояснив, что эксплойт предоставила дочерняя группа BrazenEagle, которая разрабатывала его несколько недель, с тех пор, как вышел Spring4Shell.
 
NGINX выяснили, что проблема влияет только эталонные реализации и не затрагивает NGINX Open Source или NGINX Plus. Компания уже предоставила меры по смягчению для всех уязвимых вариантов Nginx.

В арсенале у телефонных шарлатанов появилась новая малварь, а именно банковский троян под Android, который исследователи назвали Fakecalls.

Fakecalls имеет мощную функцию, которая позволяет принимать звонки на номер службы поддержки клиентов банка и связывать жертву напрямую с киберпреступниками, использующими вредоносное ПО.

Замаскированный под мобильное приложение популярного банка, Fakecalls отображает все знаки организации, которую он выдает, включая официальный логотип и номер службы поддержки. Когда жертва пытается позвонить в банк, вредоносное ПО разрывает соединение и показывает свой экран звонка, практически неотличимый от реального. В то время, пока жертва видит на экране реальный номер банка или службы поддержки, связь идет с мошенниками, которые вежливо и в меру настойчиво будут объяснять, как опустошить баланс вашего счета.

Вредоносное ПО появилось в прошлом году и было замечено в Южной Корее, против клиентов популярных банков, таких как KakaoBank или Kookmin Bank (KB), о чем рассказали соотечественники из Лаборатории Касперского.

Так как вредоносное ПО было активным не так давно и соответственно ему уделялось мало внимания, в том числе из-за его ограниченной географии, фактически же функция поддельных вызовов знаменует собой новый шаг в развитии угроз для мобильного банкинга.

Кроме того, малварь может воспроизводить предварительно записанные сообщения. Так, в ходе анализа специалисты установили, что разработчики вредоносного ПО записали несколько "дежурных" фраз, которые обычно используются банками, чтобы сообщить клиенту, что оператор ответит на его звонок, как только он станет доступен.

Полный фул комплект шпионского ПО при его установке на девайс жертвы, позволяет киберпреступникам транслировать в режиме реального времени аудио и видео с устройства, смотреть его местоположение, копировать файлы, контакты и историю текстовых сообщений.

Такая вот лютая зверюга, которая вероятно скоро расширит географию своего применения. Как рекомендуют в Лаборатории, качать и обновлять приложения необходимо из официальных магазинов и быть внимательным к потенциально опасным разрешениям, которые запрашивает приложение (доступ к звонкам, текстовым сообщениям, специальным возможностям и т.п.), особенно если приложению они не нужны.

Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
 
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
 
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
 
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
 
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
 
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
 
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.

- партнёрский пост -

Чтобы сделать Хакер максимально доступным, цена годового доступа снижена в ТРИ РАЗА, до 3000-х рублей. Будь в курсе важных уязвимостей – подпишись на главный ресурс по теме кибербезопасности - XAKEP.RU!
 
Всего в базе 66 000 технических материалов.
 
Подробнее о подписке на https://xakep.ru/about

͏Последнее время излюбленный хакерский англоязычный форум RaidForums работал в обратную сторону, точнее сказать не в интересах, а вопреки интересам его участников.

Теперь же после того, как спецслужбы отфиксировали на протяжении нескольких недель значимых фигур теневого рынка форум был официально закрыт правоохранительными органами США в ходе операции TOURNIQUET, проводимой при координации с Европолом спецслужбами Великобритании, Швеции, Португалии и Румынии на протяжении года.

По сводкам, администратор RaidForum и двое его подельников были арестованы, а управление инфраструктурой нелегальной площадки с доменами «raidforums.com», «Rf.ws» и «Raid.Lol» взято под контроль. Главарем и основателем крупнейшей подпольной империи на момент создания в 2015 году стал 14-летний подросток из Португалии по имени Диогу Сантос Коэлью, aka Omnipotent, сейчас ему 21 год.

Сайт заслужил серьезную репутацию среди подполья в последние пару лет, когда стал вовсю использовался бандами вымогателей для организации утечек данных. Среди известных клиентов площадки, к примеру, были Babuk и Lapsus$.

Задержания состоялись еще 31 января в Великобритании, инициирована процедура эксрадиции. В ходе осмотра, согласно заключению Минюста США, RaidForum силовиками было обнаружено более 10 миллиардов уникальных записей из сотен украденных баз данных.
 
По результатам операции Европола удалось выявить более 500 000 пользователей RaidForums. Среди них определены администраторы, роли других участников и в целом преступная структура организаторов форума, а также каналы отмывания денег, кражи, загрузки и реализации украденной информации. Кроме того, изучены привилегированные категории участников различных уровней, в том числе и гаранты.

Следует отметить, что циркулировавшие не так давно слухи о взломе RaidForums подтвердились, но масштаб реальных событий оказался для хакеров куда печальнее. Стоило догадаться, ведь не зря сайт отображал форму авторизации на каждой странице. Дело в том, что еще 27 февраля 2022 г. RaidForums неожиданно переехал на новые DNS-серверы: jocelyn.ns.cloudflare.com и plato.ns.cloudflare.com, которые уже фигурировали в прошлых операциях спецслужб, включая weleakinfo.com и doublevpn.com.

В ближайшее время операция спецслужб продолжится более широким фронтом, только ее целями станут завсегдатаи форума, а изъятые трофейные многомиллиардные утечки, прежде всего приватные, включая российский сегмент, можно считать уже стали подсобным материалом для американских спецслужб.

Вчера мы писали о громком заявлении Everest, которые намерены слить данные американского правительства, что выглядело достаточно фантастично на первый взгляд, а скептики могли возразить сославшись на глобальный план Администрации Байдена по защите инфраструктуры и предпринимаемые в рамках него масштабные меры по ИБ.

На деле же, как выяснили ресерчеры Sophos, все не так оптимистично, и более того слова Everest начинают даже играть новыми красками.

В результате расследования одного из киберинцидентов исследователи пришли к неутешительному выводу: перед тем, как региональное правительственное агентство США было пошифровано LockBit, злоумышленники из разных групп находились внутри сети жертвы как минимум пять месяцев до разворачивания полезной нагрузки в виде ransomware.

Хакеры из двух разных групп на протяжении этого срока планомерно занимались операциями разведки и удаленного доступа, при этом умело подчищая следы своей активности в журналах событий.

По данным Sophos, злоумышленник получил доступ к сети через открытые порты удаленного рабочего стола (RDP) в неправильно настроенном брандмауэре, а затем использовал Chrome для загрузки необходимых инструментов, в числе которых утилиты для брутфорса, сканирования, коммерческая VPN и бесплатные инструменты, позволяющие управлять файлами и выполнять команды, такие как PsExec, FileZilla, Process Explorer и GMER.

Кроме того, хакеры использовали удаленный рабочий стол и программное обеспечение для удаленного управления, такое как ScreenConnect, а позже AnyDesk.

В какой-то момент им удалось получить учетные данные администратора локального сервера, у которого также были права администратора домена. После чего доступ был реализован группе более высокого уровня, которыми оказались LockBit. При этом первую группу аналитики охарактеризовали «новичками-любителями».

Новый этап начался с установки Mimikatz и LaZagne для извлечения наборов учетных данных со скомпрометированного сервера. Далее вымогатели работали более наступательно, выполняя очистку журналов и перезагрузку систем с помощью удаленных команд, чем себя и раскрыли перед админами, которые пытались им противодействовать.

На последнем этапе противостояния, а именно в первый день шестого месяца пребывания в сети злоумышленник запустил Advanced IP Scanner и реализовал горизонтальное перемещение на другие конфиденциальные сервера, выкрав с них информацию и одновременно начав шифрование.

Выводы делайте сами.

​📲В последнее время многие из нас сталкиваются с большим количеством спама, вредоносными ссылками и зараженными документами, которые злоумышленники все чаще рассылают не только компаниям, но и обычным пользователям через мессенджеры. Ситуация напряженная, нужно быть внимательнее!

Не все обладают техническими навыками запустить песочницу или установить виртуальную машину для безопасной проверки ссылок/документов. Допустим вам прислали подозрительную веб-ссылку через WhatsApp, Telegram, почту - как быстро без лишних сложностей ознакомиться с содержанием ссылки без риска заразить свой компьютер?

👍Для новичков самым лучшим решением будет использование "виртуальной песочницы" прямо в браузере под названием 👨‍💻Browserling. Сервис бесплатный, но с ограничением работы в браузере до 3 минут. Этого вполне хватает проверить ссылку и открыть pdf документ.

🏄🏻‍♂️Из конфигураций по скорости работы мне лично понравился Chrome
https://www.browserling.com/browse/win/7/chrome/92/

Все что не нравится, является подозрительным, ведет на неизвестные ресурсы - проверяем через этот сервис

Если вдруг столкнулись с лимитом использования "You've reached your daily free plan limit", то лечится это легко сменой IP через VPN.

Апрельский PartchTuesday от Microsoft исправляет 128 уязвимостей, включая две 0-day в широкой линейке продуктов. Пропатчены Microsoft Windows и его компоненты, Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store.

Среди закрытых уязвимостей 10 оцениваются как критические, 115 - как важные, а 3 - как средние, при этом 47 связаны с повышением привилегий, 47 - удаленным выполнением кода, 13 - раскрытием информации, 9 - отказом в обслуживании, 3 - спуфингом. Обновления являются дополнением к 26 ранее исправленным ошибкам в браузере Edge на основе Chromium с начала месяца.

Одна из ошибок CVE-2022-24521 (с оценкой CVSS 7,8) представляет собой проблему повышения привилегий и безопасности памяти в системном драйвере Windows Common Log File, которая активно эксплуатируется в дикой природе, о чем соответствующий доклад подготовили представители АНБ США, наблюдавшие за кампаниями ряда АРТ. Это 15-я подтвержденная атака с использованием 0-day, зарегистрированная до сих пор в 2022 году.

Другая CVE-2022-26904 (с оценкой CVSS 7) является уязвимостью службы профилей пользователей Windows, связанной с повышением привилегий, которая на момент выпуска была общеизвестна.

Одной из наиболее серьезных проблем, решаемых с выпуском обновлений, стала уязвимость удаленного выполнения кода RPC Runtime Library с высокими привилегиями в уязвимой системе, отслеживается как CVE-2022-26809 и имеет оценку CVSS 9.8. По оценке ZeroDayInitiative, несмотря на то, что используемый при этом статический порт (TCP-порт 135) обычно блокируется по периметру сети, тем не менее, этот баг может быть использован злоумышленником для бокового перемещения. 

В числе не менее значимых исправленных ошибок - еще две уязвимости удаленного выполнения кода сетевой файловой системы Windows, отслеживаемые как CVE-2022-24491 и CVE-2022-24497.

Полный список CVE, выпущенных Microsoft на апрель 2022 года, находится здесь.

HP сообщает (1 , 2) о критических уязвимостях в клиенте Teradici PCoIP для Windows, Linux и macOS, которые потенциально затрагивают 15 конечных точек, включая правительственные учреждения, военные объекты, IT-сектор, медиакорпорации, СМИ и пр.

Teradici PCoIP - это проприетарный протокол удаленного рабочего стола, лицензированный многими поставщиками продуктов виртуализации, который HP приобрела в 2021 году и с тех пор использовали в собственных продуктах.

Критические недостатки HP Teradici PCoIP обусловлены влиянием недавно обнаруженной ошибки синтаксического анализа сертификата OpenSSL, вызывающей бесконечный цикл состояния отказа в обслуживании и множественные уязвимости целочисленного переполнения в Expat.

В общей сложности выявлено 10 уязвимостей, 3 из которых имеют критический уровень серьезности (с оценкой CVSS v3: 9,8), восемь относятся к категории высокого уровня серьезности и одна относится к категории средних.

Наиболее значительная исправленная производителем ошибка CVE-2022-0778 вызывает отказ в обслуживании в OpenSSL и вызывается синтаксическим анализом вредоносного сертификата. Недостаток может привести к циклу, из-за которого ПО перестанет попросту отвечать на запросы, и такая атака будет иметь разрушительные последствия, поскольку пользователи больше не смогут получать удаленный доступ к устройствам.

Другим критическим набором исправленных уязвимостей являются CVE-2022-22822, CVE-2022-22823 и CVE-2022-22824, касаемые libexpat и приводящие к неконтролируемому потреблению ресурсов, повышению привилегий и удаленному коду.

Остальные пять уязвимостей с высокой степенью серьезности также являются уязвимостями целочисленного переполнения и отслеживаются как CVE-2021-45960, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827 и CVE-2021-46143.

В числе уязвимых продуктов клиент PCoIP, клиентский SDK, графический агент и стандартный агент для Windows, Linux и macOS.

Для избежания проблем пользователям настоятельно рекомендуется обновиться до версии 22.01.3 или более поздней, в которой используются OpenSSL 1.1.1n и libexpat 2.4.7, соответствующие исправления Teradici выпущены 4 и 5 апреля.

Siemens и Schneider Electric устранили более двух десятков уязвимостей в рамках апрельских обновлений, включая уязвимости, имеющие «критическую» оценку серьезности.

Schneider Electric в рамках двух бюллетеней исправил критическую уязвимость удаленного выполнения кода в продукте IGSS (Interactive Graphical SCADA System). Ошибка связана с переполнением буфера стека, которое можно использовать, отправляя специально созданные сообщения в целевую систему. Кроме того, закрыта серьезная уязвимость отказа в обслуживании (DoS), затрагивающая контроллеры Schneider Modicon M340, а также коммуникационные модули для этих устройств. Эксплуатация включает в себя отправку специально созданных запросов на целевой контроллер.
 
Siemens выпустила в общей сложности 11 новых бюллетеней, в том числе два с описанием критических уязвимостей. Один из них охватывает три ошибки, влияющих на продукт SIMATIC Energy Manager, в том числе проблему, связанную с десериализацией, которую может использовать злоумышленник, не прошедший проверку подлинности, для выполнения кода с повышенными привилегиями.

Иисправлено восемь критических и серьезных ошибок, затрагивающих коммутаторы SCALANCE X. Уязвимости, многие из которых можно эксплуатировать удаленно и без аутентификации, могут вызвать сбой устройств, использоваться для получения конфиденциальной информации или выполнения произвольного кода.

Siemens также устранила серьезные уязвимости в Simcenter Femap, SIMATIC PCS neo, SIMATIC S7-400 и SCALANCE W1700. Многие из этих баг в безопасности могут быть использованы для DoS-атак, что для промышленных систем может привести к дорогостоящим или разрушительным сбоям. Кроме того, справлены проблемы средней серьезности в продуктах SIMATIC, Mendix и SICAM.

А вот немецкий производитель ПО SAP выпустил более 30 новых и обновленных заметок по безопасности, включая заметки, касающиеся уязвимости Spring4Shell в HANA Extended Application Service и Customer Checkout.

Еще четыре обновленные заметки SAP касаются браузера на основе Chromium в Business Client, NetWeaver, Content Server и Web Dispatcher.

Устранена также уязвимость внедрения кода в производственную интеграцию и аналитику (CVE-2021-21480). Ошибка связана с функцией, которая позволяет пользователям использовать среду самообслуживания (SSCE) для сохранения настроенных информационных панелей в виде JSP на сервере.

SAP также выпустила семь примечаний в отношении потенциальной ошибки утечки информации в платформе Business Intelligence, проблемы раскрытия информации в обновлении Business Intelligence, уязвимости отказа в обслуживании (DoS) в Netweaver и уязвимости повышения привилегий в серверном компоненте Apache Tomcat SAP Commerce.

Пользователи VMware должны вздрогнуть, ибо хакеры во всю орудуют и используют критическую уязвимость CVE-2022-22954.

После того, как энтузиасты опубликовали экспериментальный эксплойт был зафиксирован всплеск активных атак, заражающих серверы VMware майнерами.

Уязвимость критическая (рейтинг 9.8 по CVSS) и представляет собой удаленное выполнение кода, влияющее на два широко используемых программных продукта VMware Workspace ONE Access и VMware Identity Manager.

6 апреля 2022 г. поставщик программного обеспечения выпустил рекомендации по безопасности для этой уязвимости, предупреждая о возможности того, что злоумышленник с доступом к сети может инициировать внедрение шаблона на стороне сервера, что приведет к RCE. Кроме того, VMware выпустила обновления безопасности для затронутых продуктов и инструкции по обходным путям, дабы помочь устранить риск эксплуатации, если вдруг администраторы не могут обновить ПО.

Разработчик предупреждает, что эта критическая уязвимость должна быть немедленно исправлена или уменьшена в соответствии с инструкциями в VMSA-2021-0011, так как последствия этой ошибки максимально серьезны.

Как мы уже говорили многочисленные исследователи в области безопасности создали работающие эксплойты для CVE-2022-22954, причем по крайней мере один эксплойт с доказательством концепции был опубликован в Twitter.

Сами исследователи осознают, что выпуск общедоступных эксплойтов повышает риск того, что злоумышленники будут использовать их в атаках, но они также предназначены и для защиты систем.

Медвежья ли услуга для обычных админов судите сами, но эксперты прогнозируют, что банды вымогателей вскоре начнут использовать этот эксплойт для бокового распространения в сетях.

Собственно, если вы еще не применили обновления безопасности или меры по смягчению последствий, то крайне важно сделать это как можно скорее.

Также пользователям продуктов VMware стоит отдельно обратить внимание на то, что в бюллетене по безопасности помимо вышеупомянутого RCE перечислены несколько других серьезных недостатков, которые затрагивают дополнительные продукты кроме Workspace One Access и Identity Manager.

Хакеры вербуют сотрудников банков с помощью заманчивых предложений

Фишеры рассылают сотрудникам электронные письма и сообщения якобы с предложением работы от банка-конкурента. Однако на самом деле предложение является фиктивным, а сообщение содержит вредоносный «сюрприз», сообщает исследовательская команда HP Wolf Security.

Для рассылки фишинговых писем злоумышленники используют электронные адреса, очень похожие на настоящие, но с отличием в один-два символа (так называемый тайпсквоттинг – атака, при которой мошенники используют имена доменов, похожие на настоящие, но с «опечаткой», в надежде, что жертва не заметит разницы).

Если жертва попадается на удочку, ей приходит второе письмо с HTML-вложением. После открытия файла его содержимое декодируется и отображается в виде окна web-загрузчика. Жертве предлагается загрузить файл, который уже хранится на компьютере. Злоумышленники используют данную технику, известную как HTML smuggling, для эффективного обхода механизмов безопасности, блокирующих трафик вредоносных сайтов.

Файл содержит VBS-скрипт, который после двойного нажатия на него мышью инициирует создание ключа реестра для обеспечения постоянства на системе, выполнение скриптов PowerShell и развертывание GuLoader.

GuLoader – загрузчик для доставки на атакуемую систему вредоносного ПО RemcosRAT. Вредонос представляет собой коммерческий троян для удаленного доступа (RAT), предлагаемый на киберпреступных форумах по подписке за невысокую плату.

Предназначенный для атак на Windows-ПК троян оснащен функцией кейлоггера, а также способен делать снимки экрана, следить за жертвой через камеру и микрофон компьютера, похищать данные ОС и персональные файлы, фиксировать активность жертвы в браузере и загружать дополнительное вредоносное ПО.

Атакуя сотрудников банков, злоумышленники, вероятнее всего, пытались получить доступ ко внутренним системам банков либо через корпоративные машины, либо через личные устройства персонала, работающего удаленно.

͏Apache допилили исправления для критической уязвимости RCE в своем популярном проекте Struts, которая ранее считалась устраненной, но, как оказалось, не до конца.

Критическая уязвимость CVE-2021-31805 присутствует версиях Struts 2 от 2.0.0 до 2.5.29 включительно и является результатом неполного исправления, которое было применено для CVE-2020-17530, а также ошибки OGNL Injection с рейтингом 9,8.

Struts - представляет собой среду разработки приложений с открытым исходным кодом, используемую веб-разработчиками Java для создания приложений модель-представление-контроллер (MVC), в свою очередь, язык навигации по объектным графам (OGNL) представляет собой язык выражений (EL) с открытым исходным кодом для Java.

Еще в 2020 году исследователи Альваро Муньос из GitHub и Масато Анзай из Aeye Security Lab сообщали об уязвимости в Struts2 версий 2.0.0–2.5.25, реализуемой при определенных обстоятельствах, которую Apache устранили в Struts версии 2.5.26. Однако чуть позже исследователь Крис МакКаун обнаружил, что исправление оказалось неполным, о чем и уведомил разработчика.

Пользователям рекомендуется обновиться до Struts 2.5.30 или более поздней версии, избегая при этом использования принудительной оценки OGNL в атрибутах тега на основе ненадежного пользовательского ввода.

Кроме того, Apache рекомендует следовать руководству по безопасности. Ведь как помнится, CVE-2017-5638 в Struts 2 OGNL Injection ранее использовалась злоумышленниками, в том числе для доставки ransomware. Именно эта бага привела в 2017 году в серьезному инциденту с печальными последствиями в Equifax.

Новая атака вымогателей Quantum произошла после того, как хакеры признали публично, что ситуация на Украине повлияля на их работу, но они вновь возвращаются к ransomware.
 
За последние 12 часов группа добавила 5 жертв на свой DLS, одна  из них с выручкой в 2 миллиарда долларов - Jetstar. На кону оказалось 43 ГБ похищенных у компании данных, включая финансовую информацию, сведения о сотрудниках и клиентах.
 
Jetstar Airways является дочерней компанией крупнейшего авиаперевозчика Qantas и третьей по величине авиакомпанией Австралии. Компания обслуживает широкую сеть внутренних австралийских авиалиний, а также обеспечивает сервис на некоторых международных линиях. Основной базой авиакомпании является аэропорт города Мельбурн.
 
А их коллеги из Everest, обещавшие слить USA GOV, тем временем прихлопнули зарубежного поставщика из Канады, попутно выкрав 96 ГБ, в том числе более 10 000 личных данных на граждан Канады.

​😵‍💫 Тайпсквоттинг. Социальная инженерия.

Тайпсквоттинг — регистрация доменных имен, близких по написанию к доменным именам различных интернет-ресурсов, но содержащих ошибки в последовательности написания символов, входящих в доменное имя.

🖖🏻 Приветствую тебя user_name.

• В далеком 2015 году, в Великобритании был осужден Нил Мур — мошенник, который занимался обманом сотрудников различных организаций, посредством социальной инженерии. Если совсем коротко, то Нил звонил в различные компании, вёл разговор от лица банка и убеждал наивных сотрудников перевести деньги на его счёт. Таким образом он смог заработать более 1.8 миллиона фунтов стерлингов.

• После того как Нила поймали и заключили под стражу, ему удалось обвести вокруг пальца и персонал тюрьмы, причем очень неожиданным способом: при помощи мобильного телефона, тайно пронесенного в камеру другими заключенными, он зарегистрировал домен hmcts-gsi-gov.org.uk — тайпсквоттинг от hmcts.gsi.gov.uk (в прошлом, этот домен использовался правоохранительными органами Великобритании). Домен был зарегистрирован на имя следователя, рассматривавшего его дело, а в качестве адреса владельца домена был указан Королевский судный двор.

• Затем Нил Мур с этого домена отправил на адрес тюрьмы поддельное письмо с указанием отпустить его на свободу. Персонал тюрьмы ничего не заподозрил и отпустил мошенника. Обман оставался незамеченным целых три дня, прежде чем мошенник снова оказался в руках полиции.

• По итогу, Тайпсквоттинг — это очень крутая штука, которая эксплуатирует опечатки в написании доменных имен и является одним из основных методов фишинга по сей день. Ошибки в написании доменного имени могут быть как механические (например, рядом стоящие клавиши на клавиатуре), так и орфографические.

• Помощником в применении этого метода, выступает крутая тулза — Urlcrazy. С ее помощью ты не только сгенерируешь множество фейковых доменных имен по предоставленному оригинальному домену, но и проверишь часть из них на занятость. Битфлип, тайпсквоттинг, ошибки произношения, записи по телефону, опечатки — все это генератор urlcrazy учитывает и выдает тебе целый список доменов, которые можно использовать в фишинге. Каждая мутация снабжена отдельным пояснением, а также информацией о занятости доменного имени: https://github.com/urbanadventurer/urlcrazy

‼️ Прокачать навыки Социальной Инженерии и получить ценную информацию, ты всегда можешь по хештегу #СИ, #Профайлинг #Пентест и #Фишинг. Твой S.E.

Вслед за стабильным Google выпустила экстренное обновление Chrome 100.0.4896.127 для Windows, Mac и Linux, чтобы исправить серьезную 0-day, активно используемую злоумышленниками в атаках. Это уже третья 0-day в Chrome с начала года (14 февраля - CVE-2022-0609, 25 марта - CVE-2022-1096)

Компания заявляет, что ей известно об эксплойте для CVE-2022-1364 в дикой природе. Более того, компания фиксировала и атаки с использованиям новой CVE, однако технические детали не приводит.
 
Уязвимость была обнаружена Клементом Лесинем из группы анализа угроз Google, который  сообщил о команде Google Chrome. Ошибка представляет собой серьезную уязвимость, связанную с путаницей типов в движке JavaScript Chrome V8.

Такие недостатки обычно приводят к сбоям браузера после успешного использования путем чтения или записи памяти за пределы буфера, злоумышленники также могут использовать их для выполнения произвольного кода.

Несмотря на то, что обновление Chrome будет выпущено в ближайшие несколько недель, пользователи могут получить его уже сейчас, подгрузив патч через настройки. Учитывая активную эксплуатацию, настоятельно рекомендуем сделать это как можно скорее.