В плагине конструктора сайтов Elementor для WordPress обнаружена критическая ошибка RCE.
Плагин для создания веб-сайтов Elementor насчитывает более чем пять миллионов активных установок. Выявленная уязвимость связана с аутентифицированной ошибкой удаленного выполнения кода, которая может быть использована для захвата уязвимых веб-сайтов.
Почти 37 % пользователей плагина используют уязвимую версию плагина 3.6.x., ведь обнаруженная на прошлой неделе бага появилась, начиная версии 3.6.0. Вкратце, проблема связана со случаем произвольной загрузки файлов на уязвимые веб-сайты, что может привести к выполнению кода.
Patchstack отмечает, что эта уязвимость может позволить любому аутентифицированному пользователю, независимо от его авторизации, изменить название сайта, логотип сайта, изменить тему на тему Elementor и более того загружать произвольные файлы на сайт.
Ошибка уже устранена в последней версии Elementor. Пользователям плагина рекомендуется обновиться, PoC уже доступен.
Плагин для создания веб-сайтов Elementor насчитывает более чем пять миллионов активных установок. Выявленная уязвимость связана с аутентифицированной ошибкой удаленного выполнения кода, которая может быть использована для захвата уязвимых веб-сайтов.
Почти 37 % пользователей плагина используют уязвимую версию плагина 3.6.x., ведь обнаруженная на прошлой неделе бага появилась, начиная версии 3.6.0. Вкратце, проблема связана со случаем произвольной загрузки файлов на уязвимые веб-сайты, что может привести к выполнению кода.
Patchstack отмечает, что эта уязвимость может позволить любому аутентифицированному пользователю, независимо от его авторизации, изменить название сайта, логотип сайта, изменить тему на тему Elementor и более того загружать произвольные файлы на сайт.
Ошибка уже устранена в последней версии Elementor. Пользователям плагина рекомендуется обновиться, PoC уже доступен.
Patchstack
Critical Vulnerability Fixed In Elementor Plugin Version 3.6.3 - Patchstack
Vulnerability in Elementor - A critical vulnerability was fixed in the WordPress plugin Elementor version 3.6.3.
И как обычно ни дня без ransomware
Новые жертвы появились на DLS вымогателей Conti (Ryuk), среди которых засветилось Министерство финансов Коста-Рики, а также крупный ритейлер одежды и аксессуаров из США. Правда через какое-то время их данные с сайта были удалены. Неужели договорились?
PYSA ransomware group удивила своими инструментами, среди которых достаточно интересна утилита полнотекстового поиска, которая позволяет группе идентифицировать определенные файлы из эксфильтрованных данных. Но интереснее другое - избранные поисковые слова в панели управления.
Исследователи отметили особенность в работе Hive, участники которой внимательно отслеживают признаки детектирования ransomware в AV и следят за YARA правилами. Одни из тестовых наборов образцов ПО был загружен самим автором на VT.
Пока немецкий производитель ветряных турбин Nordex SE пытается восстановить пошифрованные системы после атаки вымогателей Conti.
А вот их коллеги из ветротехнической компании Windtechnik AG из Бремена испытали перехватили эстафету, испытав на себе ransomware во всей красе. Организация со штатом около 2000 сотрудников специализируется на техническом обслуживании и эксплуатации ветряных турбин на суше и на море.
В результате атаки работа ветряных турбин не остановилась, чего не скажешь о штаб-квартире и серверном комплексе компании в Рендсбурге. Еще начав расследование, эксперты пришли к выводу о связи инцидента с событиями на Украине и обвинениям понятно в чей адрес.
Новые жертвы появились на DLS вымогателей Conti (Ryuk), среди которых засветилось Министерство финансов Коста-Рики, а также крупный ритейлер одежды и аксессуаров из США. Правда через какое-то время их данные с сайта были удалены. Неужели договорились?
PYSA ransomware group удивила своими инструментами, среди которых достаточно интересна утилита полнотекстового поиска, которая позволяет группе идентифицировать определенные файлы из эксфильтрованных данных. Но интереснее другое - избранные поисковые слова в панели управления.
Исследователи отметили особенность в работе Hive, участники которой внимательно отслеживают признаки детектирования ransomware в AV и следят за YARA правилами. Одни из тестовых наборов образцов ПО был загружен самим автором на VT.
Пока немецкий производитель ветряных турбин Nordex SE пытается восстановить пошифрованные системы после атаки вымогателей Conti.
А вот их коллеги из ветротехнической компании Windtechnik AG из Бремена испытали перехватили эстафету, испытав на себе ransomware во всей красе. Организация со штатом около 2000 сотрудников специализируется на техническом обслуживании и эксплуатации ветряных турбин на суше и на море.
В результате атаки работа ветряных турбин не остановилась, чего не скажешь о штаб-квартире и серверном комплексе компании в Рендсбурге. Еще начав расследование, эксперты пришли к выводу о связи инцидента с событиями на Украине и обвинениям понятно в чей адрес.
Twitter
DarkFeed
🌐 After the "IMPORTANT ANNOUNCEMENT" post, Conti (Ryuk) #Ransomware team uploaded and immediately deleted two interesting victims 🚨 One of them is the Ministry of Finance from Costa Rica 🇨🇷 the second is a big clothing and accessory retailer from the United…
͏Американская компания Juniper Networks объявила о выпуске исправлений для более чем 30 уязвимостей, включая критические недостатки в Contrail Networking и Junos OS.
В общей сложности были опубликованы два бюллетеня, описывающие 13 уязвимостей в безопасности решений для Contrail Networking, причем семь ошибок имеют оценку CVSS выше 9,0.
Первая из рекомендаций охватывает десять проблем, влияющих на версии Contrail Networking до 2011.L4, пять из которых оцениваются как критические и все они были обнаружены в прошлом году. Наиболее серьезными из них являются две баги связанные с переполнением буфера в Pillow (CVE-2021-25289 и CVE-2021-34552) и одна с переполнением динамической памяти в HTTP-сервере Apache (CVE-2021-26691). Все трое имеют оценку CVSS 9,8. Две других ошибки с оценкой CVSS 9,4 влияют на преобразователь nginx (CVE-2021-23017) и пакет xmlhttprequest-ssl (CVE-2021-31597).
Второй бюллетень описывает две критические проблемы в Contrail Networking до версии 21.3. К ним относятся ошибка удаленного выполнения кода в Git для Visual Studio (CVE-2019-1349) и отказ в обслуживании (DoS) в функции pcre_compile в pcre_compile.c в PCRE (CVE-2015-8391).
Также Juniper Networks объявила об исправлениях 14 уязвимостей в Junos OS и Junos OS Evolved, десять из которых снова с высоким рейтингом серьезность, так как в определенных условиях могут привести к выполнению кода или отказу в обслуживании.
В компании заявили, что ей неизвестно ни об одной из этих уязвимостей ОС Junos, которые используются в атаках, но тем не менее призвала клиентов как можно скорее обновиться до актуальной версии.
Пользователям и администраторам необходимо ознакомиться с рекомендациями и немедленно применить необходимые исправления, значит обоснованные опасения все же имеются. И несмотря на санкции заокеанских "товарищей" доступ к рекомендациям и обновлениям пока доступен.
В общей сложности были опубликованы два бюллетеня, описывающие 13 уязвимостей в безопасности решений для Contrail Networking, причем семь ошибок имеют оценку CVSS выше 9,0.
Первая из рекомендаций охватывает десять проблем, влияющих на версии Contrail Networking до 2011.L4, пять из которых оцениваются как критические и все они были обнаружены в прошлом году. Наиболее серьезными из них являются две баги связанные с переполнением буфера в Pillow (CVE-2021-25289 и CVE-2021-34552) и одна с переполнением динамической памяти в HTTP-сервере Apache (CVE-2021-26691). Все трое имеют оценку CVSS 9,8. Две других ошибки с оценкой CVSS 9,4 влияют на преобразователь nginx (CVE-2021-23017) и пакет xmlhttprequest-ssl (CVE-2021-31597).
Второй бюллетень описывает две критические проблемы в Contrail Networking до версии 21.3. К ним относятся ошибка удаленного выполнения кода в Git для Visual Studio (CVE-2019-1349) и отказ в обслуживании (DoS) в функции pcre_compile в pcre_compile.c в PCRE (CVE-2015-8391).
Также Juniper Networks объявила об исправлениях 14 уязвимостей в Junos OS и Junos OS Evolved, десять из которых снова с высоким рейтингом серьезность, так как в определенных условиях могут привести к выполнению кода или отказу в обслуживании.
В компании заявили, что ей неизвестно ни об одной из этих уязвимостей ОС Junos, которые используются в атаках, но тем не менее призвала клиентов как можно скорее обновиться до актуальной версии.
Пользователям и администраторам необходимо ознакомиться с рекомендациями и немедленно применить необходимые исправления, значит обоснованные опасения все же имеются. И несмотря на санкции заокеанских "товарищей" доступ к рекомендациям и обновлениям пока доступен.
Американские власти всерьез решили по-серьезному взяться за северокорейской APT Lazarus, обвинив во второй по величине краже криптовалюты Ronin Network на 600 миллионов долларов и наложив санкции на в отношении адреса Ethereum, куда переводились украденные 173 600 эфиров (ETH).
По данным Elliptic, общая стоимость украденных криптоактивов на момент кражи могла составлять 540 миллионов долларов.
Несмотря на то, что обвинения американских правоохранителей конечно коррелируют с известными случаями участия северокорейских хакерских групп в атаках на криптобанки и криптовалютные биржи, какой-либо атрибуции в официальном сообщении МинфинаСША помимо блокнутого реквизита ETH попросту нет.
Вслед за Минфином обвинения в атаках на южнокорейских компании химического и IT секторов выкатили Symantec, которые обнаружили продолжение кампании кибершпионажа, получившей название Operation Dream Job (впервые наблюдалась в августе 2020 года), включающей хитроумные приманки и и умную социальную инженерию. Symantec отслеживает эту часть активности Lazarus как Pompilus.
Целью кампании является кража объектов интеллектуальной собственности для использования в собственных разработках КНДР. И по мнению исследователей, работа АРТ в этом направлении проходит достаточно успешно.
Dream Job реализует фишинговые предложения о работе с вредоносными ссылками или вложениями, которые в конечном итоге приводят к установке вредоносного ПО для шпионажа. Атрибуция новой волны включает хэши файлов, имена файлов и инструменты, которые наблюдались в предыдущих кампаниях Dream Job.
Типичная атака начиналась с получения вредоносного HTM-файла, который копировался в файл DLL с именем scskapplink.dll и внедрялся в INISAFE Web EX Client. В свою очередь, scskapplink.dll обычно представляет собой подписанный троянский инструмент. При этом злоумышленники были замечены с использованием следующих подписей: DOCTER USA, INC и "A" MEDICAL OFFICE, PLLC.
Позже scskapplink.dll выполнял дополнительную полезную нагрузку с С2, запуская цепочку загрузчиков шелл-кода, которые реализовывали произвольные команды злоумышленников, а также дополнительные вредоносные программы.
Перемещения по сети осуществлялись с помощью Windows (WMI), внедряясь в MagicLine посредством DreamSecurity. Также злоумышленники развертывали посткомпрометирующие инструменты: SiteShoter, IP Logger, WakeOnLAN, FastCopy.
Примечательно, что отчет ресерчеров Symantec вышел в тот же день, когда правительством США была назначена «Награда за правосудие» (RFJ) в размере 5 миллионов долларов за информацию в отношении попыток Северной Кореи обойти финансовые санкции, включая и оборот криптоактивов и кибердеятельность. По срокам, вероятно, кураторы из спецслужб сориентировали, а может и с отчетом подсобили.
По данным Elliptic, общая стоимость украденных криптоактивов на момент кражи могла составлять 540 миллионов долларов.
Несмотря на то, что обвинения американских правоохранителей конечно коррелируют с известными случаями участия северокорейских хакерских групп в атаках на криптобанки и криптовалютные биржи, какой-либо атрибуции в официальном сообщении МинфинаСША помимо блокнутого реквизита ETH попросту нет.
Вслед за Минфином обвинения в атаках на южнокорейских компании химического и IT секторов выкатили Symantec, которые обнаружили продолжение кампании кибершпионажа, получившей название Operation Dream Job (впервые наблюдалась в августе 2020 года), включающей хитроумные приманки и и умную социальную инженерию. Symantec отслеживает эту часть активности Lazarus как Pompilus.
Целью кампании является кража объектов интеллектуальной собственности для использования в собственных разработках КНДР. И по мнению исследователей, работа АРТ в этом направлении проходит достаточно успешно.
Dream Job реализует фишинговые предложения о работе с вредоносными ссылками или вложениями, которые в конечном итоге приводят к установке вредоносного ПО для шпионажа. Атрибуция новой волны включает хэши файлов, имена файлов и инструменты, которые наблюдались в предыдущих кампаниях Dream Job.
Типичная атака начиналась с получения вредоносного HTM-файла, который копировался в файл DLL с именем scskapplink.dll и внедрялся в INISAFE Web EX Client. В свою очередь, scskapplink.dll обычно представляет собой подписанный троянский инструмент. При этом злоумышленники были замечены с использованием следующих подписей: DOCTER USA, INC и "A" MEDICAL OFFICE, PLLC.
Позже scskapplink.dll выполнял дополнительную полезную нагрузку с С2, запуская цепочку загрузчиков шелл-кода, которые реализовывали произвольные команды злоумышленников, а также дополнительные вредоносные программы.
Перемещения по сети осуществлялись с помощью Windows (WMI), внедряясь в MagicLine посредством DreamSecurity. Также злоумышленники развертывали посткомпрометирующие инструменты: SiteShoter, IP Logger, WakeOnLAN, FastCopy.
Примечательно, что отчет ресерчеров Symantec вышел в тот же день, когда правительством США была назначена «Награда за правосудие» (RFJ) в размере 5 миллионов долларов за информацию в отношении попыток Северной Кореи обойти финансовые санкции, включая и оборот криптоактивов и кибердеятельность. По срокам, вероятно, кураторы из спецслужб сориентировали, а может и с отчетом подсобили.
Исследователи из турецкой Infinitum окончательно расчехлили хакеров Karakurt, которые тесно связаны с деятельностью синдиката Conti Ransomware.
Результаты работы исследователей подтвердили предположения Advanced Intelligence о том, что Karakurt является побочным бизнесом Conti с целью для монетизации неудачных атак с шифрованием.
Ранее Arctic Wolf также фиксировали повторную компрометацию жертвы Conti уже после выплаты выкупа, которую проводили Karakurt через заранее оставленный бэкдор Cobalt Strike.
Chainalysis также выявили несколько используемых Karakurt кошельков, с которых криптовалюта пересылалась на кошельки, контролируемые Conti, а в некоторых слуяаях и вовсе их жертвы рассчитывались сразу на адреса Conti.
Karakurt действуют как минимум с июня 2021 года, специализируясь на краже корпоративных данных и вымогая у ее владельцев выкуп под угрозой публикации сведений. С сентября по ноябрь 2021 года жертвами Каракурта стали более 40 организаций.
Атрибутировать группу удалось после перехвата VPS-сервера Conti. Для этого исследователям пришлось хакнуть учетную запись ProtonMail и Mega Upload одного из участников группы, на котором и обнаружились данные для доступа. Сервер располагался на Inferno Solutions и размещал более 20 ТБ файлов, пострадавших от Conti жертв, некоторые из которых еще не были опубликованы. Все манипуляции стали возможны благодаря утечке, устроенной недоброжелателями Conti еще 27 февраля 2022 года.
Исследователи заметили, что скомпрометированный хакер использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и скачивания украденных данных. Кроме того, он же обращался и к 209.222.98.19, на котором участники Karakurt размещали свой DLS.
Воспользовавшись непропатченной уязвимостью в FileZilla, Infinitum смогли получить учетные данные SSH для C2 Karakurt. Закрытый ключ SSH позволил им подключиться к веб-серверу банды в TOR.
Кроме того, исследователи вскрыли используемые в атаках инструменты, среди которых оказались: Ligolo-ng (инструмент для туннелирования), Metasploit (используется в качестве C2-сервера на этапе пост-эксплуатации для получения обратного шелла и для перебора SMB-ресурсов и RDP-соединений), Impacket (используется для атак NTLM-relay для бокового перемещения после получения начального доступа), Dated (сценарий автоматической установки и управления прокси-сервером Dated-Socks5 для обратного туннелирования).
Отчет Infinitum IT только подтверждает наши доводы о том, что вымогатели в условиях активного противодействия со стороны властей и спецслужб будут переходить к более агрессивным атакам, преследуя цель максимализации прибыли.
Результаты работы исследователей подтвердили предположения Advanced Intelligence о том, что Karakurt является побочным бизнесом Conti с целью для монетизации неудачных атак с шифрованием.
Ранее Arctic Wolf также фиксировали повторную компрометацию жертвы Conti уже после выплаты выкупа, которую проводили Karakurt через заранее оставленный бэкдор Cobalt Strike.
Chainalysis также выявили несколько используемых Karakurt кошельков, с которых криптовалюта пересылалась на кошельки, контролируемые Conti, а в некоторых слуяаях и вовсе их жертвы рассчитывались сразу на адреса Conti.
Karakurt действуют как минимум с июня 2021 года, специализируясь на краже корпоративных данных и вымогая у ее владельцев выкуп под угрозой публикации сведений. С сентября по ноябрь 2021 года жертвами Каракурта стали более 40 организаций.
Атрибутировать группу удалось после перехвата VPS-сервера Conti. Для этого исследователям пришлось хакнуть учетную запись ProtonMail и Mega Upload одного из участников группы, на котором и обнаружились данные для доступа. Сервер располагался на Inferno Solutions и размещал более 20 ТБ файлов, пострадавших от Conti жертв, некоторые из которых еще не были опубликованы. Все манипуляции стали возможны благодаря утечке, устроенной недоброжелателями Conti еще 27 февраля 2022 года.
Исследователи заметили, что скомпрометированный хакер использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и скачивания украденных данных. Кроме того, он же обращался и к 209.222.98.19, на котором участники Karakurt размещали свой DLS.
Воспользовавшись непропатченной уязвимостью в FileZilla, Infinitum смогли получить учетные данные SSH для C2 Karakurt. Закрытый ключ SSH позволил им подключиться к веб-серверу банды в TOR.
Кроме того, исследователи вскрыли используемые в атаках инструменты, среди которых оказались: Ligolo-ng (инструмент для туннелирования), Metasploit (используется в качестве C2-сервера на этапе пост-эксплуатации для получения обратного шелла и для перебора SMB-ресурсов и RDP-соединений), Impacket (используется для атак NTLM-relay для бокового перемещения после получения начального доступа), Dated (сценарий автоматической установки и управления прокси-сервером Dated-Socks5 для обратного туннелирования).
Отчет Infinitum IT только подтверждает наши доводы о том, что вымогатели в условиях активного противодействия со стороны властей и спецслужб будут переходить к более агрессивным атакам, преследуя цель максимализации прибыли.
InfinitumIT
Conti Ransomware Group Behind the Karakurt Hacking Team - InfinitumIT
Rapor Conti Ransomware Group Behind the Karakurt Hacking Team Ücretsiz İndir Conti Ransomware Group Behind the Karakurt Hacking Team Rapor Kayıt Formu Bilgilendirme, tanıtım ve reklam amaçlı ileti ve SMS gönderilmesi için, Kullanım şartlarını ve Hizmet Sözleşmesini…
Минутка политинформации.
На фоне происходящих событий скандалы со слежкой за пользователями через взломанные устройства со стороны властей "демократических" стран и подчиненных им спецслужб как-то отошли на второй план. И действительно - когда кибератаки официально поддерживаются рядом ранее уважаемых инфосек экспертов, а деньги блокируются банками только на основании наличия у клиента российского паспорта, про приватность как-то не особо вспоминается.
Но у значительной части западного плебса еще остается хрупкая надежда, что подобные кунштюки можно проделывать только в отношении "людей второго сорта" - русских, иранцев, сирийцев и прочего народонаселения, живущего преимущественно южнее Танжера и восточнее Алеппо (бгггг, наивные).
Поэтому очередная история про то, что власти ядрового европейского государства позволяют себе повальный взлом внутренних оппозиционеров, пока что имеет шанс попасть на первые страницы профильных изданий. Но, по секрету, это тоже не надолго. Ибо уверенное движение политбюро ЕС к введению эмбарго на российские энергоносители кагбе намекает, что возможность зарядить свои смартфоны будет вскоре не только лишь у всех.
Citizen Lab, пристально следящая за израильской NSO Group с ее кибершпионскими вредоносами, поставляемыми во многие страны мира, выпустила очередное разоблачение, в котором засветились власти Испании. Выяснилось, что в период с 2017 по 2020 годы испанцы с помощью Pegasus следили за каталонскими членами Европарламента, действующими и бывшими президентами Каталонии, а также кучей других товарищей и членами их семей, так или иначе связанных с каталонской общественно-политической жизнью.
Напомним, что Каталония - это автономия в составе Испании, жители которой периодически пытаются провести референдум о выходе из состава Королевства.
В числе прочих интересностей исследователи Citizen Lab обнаружили 0-click эксплойт ранее не выявленной уязвимости в iOS, который они назвали HOMAGE. Судя по всему, дырка была актуальна вплоть до iOS 13.2.
Вообще, мнится нам, количество выявляемых критических уязвимостей в iOS как-то не совсем соответствует "максимальной безопасности пользователей, основанной на уникальных возможностях устройств Apple". Так что скорее всего купертиновцы конвеерно вшивают 0-day дырки в новые версии iOS по заказу больших дядей из АНБ, а хитрые сыны израилевы каким-то образом раскрывают часть из них (а может американцы специально им сливают), чтобы в дальнейшем использовать в своем кибершпионском ПО. Ибо гешефт ☝️
На фоне происходящих событий скандалы со слежкой за пользователями через взломанные устройства со стороны властей "демократических" стран и подчиненных им спецслужб как-то отошли на второй план. И действительно - когда кибератаки официально поддерживаются рядом ранее уважаемых инфосек экспертов, а деньги блокируются банками только на основании наличия у клиента российского паспорта, про приватность как-то не особо вспоминается.
Но у значительной части западного плебса еще остается хрупкая надежда, что подобные кунштюки можно проделывать только в отношении "людей второго сорта" - русских, иранцев, сирийцев и прочего народонаселения, живущего преимущественно южнее Танжера и восточнее Алеппо (бгггг, наивные).
Поэтому очередная история про то, что власти ядрового европейского государства позволяют себе повальный взлом внутренних оппозиционеров, пока что имеет шанс попасть на первые страницы профильных изданий. Но, по секрету, это тоже не надолго. Ибо уверенное движение политбюро ЕС к введению эмбарго на российские энергоносители кагбе намекает, что возможность зарядить свои смартфоны будет вскоре не только лишь у всех.
Citizen Lab, пристально следящая за израильской NSO Group с ее кибершпионскими вредоносами, поставляемыми во многие страны мира, выпустила очередное разоблачение, в котором засветились власти Испании. Выяснилось, что в период с 2017 по 2020 годы испанцы с помощью Pegasus следили за каталонскими членами Европарламента, действующими и бывшими президентами Каталонии, а также кучей других товарищей и членами их семей, так или иначе связанных с каталонской общественно-политической жизнью.
Напомним, что Каталония - это автономия в составе Испании, жители которой периодически пытаются провести референдум о выходе из состава Королевства.
В числе прочих интересностей исследователи Citizen Lab обнаружили 0-click эксплойт ранее не выявленной уязвимости в iOS, который они назвали HOMAGE. Судя по всему, дырка была актуальна вплоть до iOS 13.2.
Вообще, мнится нам, количество выявляемых критических уязвимостей в iOS как-то не совсем соответствует "максимальной безопасности пользователей, основанной на уникальных возможностях устройств Apple". Так что скорее всего купертиновцы конвеерно вшивают 0-day дырки в новые версии iOS по заказу больших дядей из АНБ, а хитрые сыны израилевы каким-то образом раскрывают часть из них (а может американцы специально им сливают), чтобы в дальнейшем использовать в своем кибершпионском ПО. Ибо гешефт ☝️
The Citizen Lab
CatalanGate
The Citizen Lab, in collaboration with Catalan civil society groups, has identified at least 65 individuals targeted or infected with mercenary spyware, including members of the European Parliament, Catalan Presidents, legislators, jurists, and members of…
Исследователи Лаборатории Касперского выпустили дешифратор для жертв ransomware Yanluowang.
Обнаруженная в ходе изучения алгоритма шифрования Yanluowang уязвимость позволила восстанавливать зашифрованные файлы пострадавших пользователей с помощью атаки по известному открытому тексту.
Yanluowang впервые проявили себя в октябре 2021 года. Ransomware использовалось в управляемых целенаправленных атаках на предприятия. Месяц спустя один из операторов атаковал американские организации в финансовом секторе, используя при этом вредоносное ПО BazarLoader для разведки.
Основываясь на TTP, использованных в этих атаках, этот оператор Yanluowang был связан с Thieflock и группой Fivehands (отслеживается Mandiant как UNC2447).
После развертывания в скомпрометированных сетях Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя одноимённое расширение и оставляя заметки о выкупе README.txt. Для давления на жертв используются распределенные атаки типа «отказ в обслуживании» (DDoS), угрожая повторной атакой с удалением данных.
Штамм вымогателя шифрует файлы размером более 3 ГБ и меньше 3 ГБ, используя разные методы: большие файлы частично шифруются полосами по 5 МБ через каждые 200 МБ, а меньшие полностью шифруются от начала до конца.
Для расшифровки потребуется хотя бы один из исходных файлов:
- для небольших файлов (менее или равных 3 Гб) - пара файлов размером от 1024 байт и более;
- для расшифровки больших файлов (более 3 ГБ) - пара файлов (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
Инструмент расшифровки реализован Лабораторей Касперского в формате утилиты RannohDecryptor, доступной для загрузки с сервера компании.
Обнаруженная в ходе изучения алгоритма шифрования Yanluowang уязвимость позволила восстанавливать зашифрованные файлы пострадавших пользователей с помощью атаки по известному открытому тексту.
Yanluowang впервые проявили себя в октябре 2021 года. Ransomware использовалось в управляемых целенаправленных атаках на предприятия. Месяц спустя один из операторов атаковал американские организации в финансовом секторе, используя при этом вредоносное ПО BazarLoader для разведки.
Основываясь на TTP, использованных в этих атаках, этот оператор Yanluowang был связан с Thieflock и группой Fivehands (отслеживается Mandiant как UNC2447).
После развертывания в скомпрометированных сетях Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя одноимённое расширение и оставляя заметки о выкупе README.txt. Для давления на жертв используются распределенные атаки типа «отказ в обслуживании» (DDoS), угрожая повторной атакой с удалением данных.
Штамм вымогателя шифрует файлы размером более 3 ГБ и меньше 3 ГБ, используя разные методы: большие файлы частично шифруются полосами по 5 МБ через каждые 200 МБ, а меньшие полностью шифруются от начала до конца.
Для расшифровки потребуется хотя бы один из исходных файлов:
- для небольших файлов (менее или равных 3 Гб) - пара файлов размером от 1024 байт и более;
- для расшифровки больших файлов (более 3 ГБ) - пара файлов (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
Инструмент расшифровки реализован Лабораторей Касперского в формате утилиты RannohDecryptor, доступной для загрузки с сервера компании.
Securelist
How to recover files encrypted by Yanluowang
Kaspersky experts have found a vulnerability in the Yanluowang encryption algorithm and created a free decryptor to help victims of this ransomware with recovering their files.
Группа исследователей из Университета Висконсин-Мэдисон и Чикагского университета Лойолы прошерстили популярные приложения для видеоконференций VCA, в том числе используемые в корпоративных средах, обнаружив возможности доступа к микрофону, даже если звук пользователя отключен.
Исследователи вскрыли и тот факт, что некоторые приложения помимо постоянного отслеживания микрофона, считывают и данные телеметрии для точного определения различных типов фоновых действий, выполняемых пользователями. Кроме того, механизм контроля конфиденциальности для отключения микрофона зависит от приложения и не имеет связанного с ним аппаратного индикатора, в отличие от камеры.
Исследователи изучили, каким образом BlueJeans, Cisco Webex, Discord, Google Meet, GoToMeeting, Jitsi Meet, Microsoft Teams/Skype, Slack, WhereBy и Zoom (Enterprise) взаимодействуют с микрофоном, и обнаружили, что все они могут активно запрашивать микрофон, даже если звук пользователя отключен. Более того, на основе отправленных VCA пакетов телеметрии исследователи по разработанному классификатору фоновой активности смогли точно определить шесть типов общих фоновых действий, при этом микрофон был отключен.
Выявлено особенность, связанная с тем, что собственные реализации приложений для основных ОС ведут себя иначе, нежели чем их веб-аналоги, которые запрашивают доступ к микрофону через веб-браузер. При этом большинство нативных VCA для Windows и macOS могут проверять, говорит ли пользователь, даже когда звук отключен, но не производят непрерывную выборку звука. Однако когда дело доходит до веб-приложений, используется функция программного отключения звука браузера, которая указывает драйверу микрофона полностью отключить данные микрофона.
Если до конца понять каким образом Microsoft Teams и Skype используют микрофон при отключении звука не удалось в силу прямого обращения к ОС вместо API Windows, то в случае с Cisco Webex все плохо: система запрашивает микрофон независимо от состояния кнопки отключения звука, аудиобуфер Webex почти всегда содержит необработанный звук с микрофона.
При этом Webex — единственный проект, который непрерывно записывает данные с микрофона, когда звук пользователя отключен, отправляя аудиоданные телеметрии на свои серверы один раз в минуту. Cisco оправдывается тем, что собранные данные ограничиваются настройками звука.
Всегда помните, что большой брат не только следит за вами, а прежде всего подслушивает.
Исследователи вскрыли и тот факт, что некоторые приложения помимо постоянного отслеживания микрофона, считывают и данные телеметрии для точного определения различных типов фоновых действий, выполняемых пользователями. Кроме того, механизм контроля конфиденциальности для отключения микрофона зависит от приложения и не имеет связанного с ним аппаратного индикатора, в отличие от камеры.
Исследователи изучили, каким образом BlueJeans, Cisco Webex, Discord, Google Meet, GoToMeeting, Jitsi Meet, Microsoft Teams/Skype, Slack, WhereBy и Zoom (Enterprise) взаимодействуют с микрофоном, и обнаружили, что все они могут активно запрашивать микрофон, даже если звук пользователя отключен. Более того, на основе отправленных VCA пакетов телеметрии исследователи по разработанному классификатору фоновой активности смогли точно определить шесть типов общих фоновых действий, при этом микрофон был отключен.
Выявлено особенность, связанная с тем, что собственные реализации приложений для основных ОС ведут себя иначе, нежели чем их веб-аналоги, которые запрашивают доступ к микрофону через веб-браузер. При этом большинство нативных VCA для Windows и macOS могут проверять, говорит ли пользователь, даже когда звук отключен, но не производят непрерывную выборку звука. Однако когда дело доходит до веб-приложений, используется функция программного отключения звука браузера, которая указывает драйверу микрофона полностью отключить данные микрофона.
Если до конца понять каким образом Microsoft Teams и Skype используют микрофон при отключении звука не удалось в силу прямого обращения к ОС вместо API Windows, то в случае с Cisco Webex все плохо: система запрашивает микрофон независимо от состояния кнопки отключения звука, аудиобуфер Webex почти всегда содержит необработанный звук с микрофона.
При этом Webex — единственный проект, который непрерывно записывает данные с микрофона, когда звук пользователя отключен, отправляя аудиоданные телеметрии на свои серверы один раз в минуту. Cisco оправдывается тем, что собранные данные ограничиваются настройками звука.
Всегда помните, что большой брат не только следит за вами, а прежде всего подслушивает.
- партнёрский пост -
PT Industrial Cybersecurity Suite 🏭 Онлайн-запуск
| 20 апреля в 14:00
20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite — первую комплексную платформу для защиты промышленности от киберугроз.
В программе трансляции:
▪️ Промышленная кибербезопасность: почему пора меняться
▪️ Технологическая сеть глазами атакующего: исследуем сценарии
▪️PT ICS: от фрагментарной безопасности к целостному подходу в ИБ АСУ ТП
▪️ Настало время настоящих промышленных SIEM- и VM-систем
Зарегистрироваться
PT Industrial Cybersecurity Suite 🏭 Онлайн-запуск
| 20 апреля в 14:00
20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite — первую комплексную платформу для защиты промышленности от киберугроз.
В программе трансляции:
▪️ Промышленная кибербезопасность: почему пора меняться
▪️ Технологическая сеть глазами атакующего: исследуем сценарии
▪️PT ICS: от фрагментарной безопасности к целостному подходу в ИБ АСУ ТП
▪️ Настало время настоящих промышленных SIEM- и VM-систем
Зарегистрироваться
Наряду с обновлениями программных продуктов не перестают исправлять свое ПО и представители теневого киберзакулисья. На днях исследователи из Palo Alto Networks раскрыли новую версию вредоносного ПО SolarMarker, в котором реализованы новые функции, позволяющие избежать обнаружения.
SolarMarker, также известный как Jupyter, Polazert и Yellow Cockatoo — это безфайловый RAT на .NET , который реализует возможности бэкдора и позволяет красть учетные данные из веб-браузеров. Он сохраняет устойчивость путем, добавления себя в папку «Автозагрузки» и изменения ярлыка на рабочем столе жертвы. RAT также используется для доставки других вредоносных полезных нагрузок на зараженные устройства.
Средством доставки для SolarMarker в основном являлись манипуляций с поисковой оптимизацией (SEO), дабы заставить пользователей загружать вредоносные документы самим.
Последняя версия малвари также работает с файлами пакетов установщика Windows (файлы MSI) и исполняемыми файлами EXE. Начальным этапом установки вредоносного ПО является EXE-файл размером более 250 МБ, такой большой размер файла как раз обусловлен тем, чтобы избежать песочницы или антивирусного анализа.
Этот файл удаляет и запускает установщик законной программы, чтобы не вызывать подозрений, в то же время он запускает загрузчик PowerShell в новом потоке для загрузки и выполнения полезной нагрузки бэкдора SolarMarker. Такой вот хитрый зверь. Кроме того, бэкдор мальварь взаимодействует с сервером C2 по зашифрованному каналу, так как использует HTTP-запросы POST и шифрует данные, используя шифрование RSA с симметричным шифрованием Advanced Encryption Standard (AES).
Базовая модель SolarMarker использует специальный модуль кражи информации для сбора данных автозаполнения, файлов cookie, паролей и информации о кредитных картах из веб-браузеров.
В отличие от предыдущих вариантов, последние файлы дроппера всегда подписаны сертификатом, выданным законной компанией. В новой версии используется измененный сценарий загрузчика PowerShell, и в отличие от предыдущих версий при первом запуске бэкдор будет загружаться в процесс дроппера, а не в процесс PowerShell.
Как говорят эксперты, разработчики вредоносного ПО прилагают значительные усилия для уклонения от защиты, такими методами, как подписанные и большие файлы, имитация легитимных установок программного обеспечения и нетривиальные сценарии PowerShell, что наглядно демонстрирует развитие SolarMarker.
SolarMarker, также известный как Jupyter, Polazert и Yellow Cockatoo — это безфайловый RAT на .NET , который реализует возможности бэкдора и позволяет красть учетные данные из веб-браузеров. Он сохраняет устойчивость путем, добавления себя в папку «Автозагрузки» и изменения ярлыка на рабочем столе жертвы. RAT также используется для доставки других вредоносных полезных нагрузок на зараженные устройства.
Средством доставки для SolarMarker в основном являлись манипуляций с поисковой оптимизацией (SEO), дабы заставить пользователей загружать вредоносные документы самим.
Последняя версия малвари также работает с файлами пакетов установщика Windows (файлы MSI) и исполняемыми файлами EXE. Начальным этапом установки вредоносного ПО является EXE-файл размером более 250 МБ, такой большой размер файла как раз обусловлен тем, чтобы избежать песочницы или антивирусного анализа.
Этот файл удаляет и запускает установщик законной программы, чтобы не вызывать подозрений, в то же время он запускает загрузчик PowerShell в новом потоке для загрузки и выполнения полезной нагрузки бэкдора SolarMarker. Такой вот хитрый зверь. Кроме того, бэкдор мальварь взаимодействует с сервером C2 по зашифрованному каналу, так как использует HTTP-запросы POST и шифрует данные, используя шифрование RSA с симметричным шифрованием Advanced Encryption Standard (AES).
Базовая модель SolarMarker использует специальный модуль кражи информации для сбора данных автозаполнения, файлов cookie, паролей и информации о кредитных картах из веб-браузеров.
В отличие от предыдущих вариантов, последние файлы дроппера всегда подписаны сертификатом, выданным законной компанией. В новой версии используется измененный сценарий загрузчика PowerShell, и в отличие от предыдущих версий при первом запуске бэкдор будет загружаться в процесс дроппера, а не в процесс PowerShell.
Как говорят эксперты, разработчики вредоносного ПО прилагают значительные усилия для уклонения от защиты, такими методами, как подписанные и большие файлы, имитация легитимных установок программного обеспечения и нетривиальные сценарии PowerShell, что наглядно демонстрирует развитие SolarMarker.
Unit 42
New SolarMarker (Jupyter) Campaign Demonstrates the Malware’s Changing Attack Patterns
A new version of SolarMarker malware appears to upgrade evasion abilities and demonstrates that the infostealer and backdoor continues to evolve.
Lenovo выпустил исправления безопасности для устранения трех уязвимостей, влияющих на прошивку Unified Extensible Firmware Interface (UEFI) в более чем 110 моделях популярных ноутбуков, , включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05.
Уязвимости были обнаружены аналитиками ESET, которые, в свою очередь, уведомили Lenovo об этом в октябре 2021 года.
Две ошибки безопасности CVE-2021-3972 и CVE-2021-3971 обусловлены тем, что рабочие драйвера с SecureBackDoor и SecureBackDoorPeim были ошибочно включены в образ BIOS, которые позволяют злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.
Использование недостатков драйвера может позволить злоумышленникам с повышенными привилегиями либо изменить настройки безопасной загрузки (CVE-2021-3972), либо изменить область защиты прошивки (CVE-2021-3971). Последнюю можно также применять для деактивации механизмов защиты от записи для флэшпамяти SPI, на котором обычно и размещается прошивка UEFI, что дает злоумышленнику возможность развернуть вредоносный код непосредственно в хранилище прошивки
По мнению исследователей ESET, отключение безопасной загрузки оказывает значительное влияние на работу всей системы, позволяя выполнять вредоносные драйверы и приложения во время загрузки. Кроме того, сброс прошивки к заводским настройкам может позволить злоумышленнику развернуть уязвимые приложения UEFI для использования в будущих атаках.
Третья проблема CVE-2021-3970 возникает из-за ошибки в обработчике SMI программного обеспечения. SW SMI реализует прерывание процессора, которое необходимо запустить для входа в высокопривилегированный режим выполнения процессоров x86, называемый режимом управления системой (SMM).
Выявленная уязвимость может быть использована из привилегированного процесса в режиме ядра путем запуска программного прерывания SMI и передачи физического адреса специально созданного буфера в качестве параметра уязвимому обработчику SMI программного обеспечения.
К настоящему времени Lenovo уже выпустил патчи для нескольких моделей ноутбуков и планирует к 10 мая завершить работы по развертыванию обновлений прошивки для остальных продуктов. При этом достигшие конца срока службы (EOL) модели ноутбуков останутся непропатченными.
Учитывая реальные угрозы UEFI, обнаруженные в последние годы (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), настоятельно рекомендуем владельцам ноутбуков Lenovo обновить прошивку.
Уязвимости были обнаружены аналитиками ESET, которые, в свою очередь, уведомили Lenovo об этом в октябре 2021 года.
Две ошибки безопасности CVE-2021-3972 и CVE-2021-3971 обусловлены тем, что рабочие драйвера с SecureBackDoor и SecureBackDoorPeim были ошибочно включены в образ BIOS, которые позволяют злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.
Использование недостатков драйвера может позволить злоумышленникам с повышенными привилегиями либо изменить настройки безопасной загрузки (CVE-2021-3972), либо изменить область защиты прошивки (CVE-2021-3971). Последнюю можно также применять для деактивации механизмов защиты от записи для флэшпамяти SPI, на котором обычно и размещается прошивка UEFI, что дает злоумышленнику возможность развернуть вредоносный код непосредственно в хранилище прошивки
По мнению исследователей ESET, отключение безопасной загрузки оказывает значительное влияние на работу всей системы, позволяя выполнять вредоносные драйверы и приложения во время загрузки. Кроме того, сброс прошивки к заводским настройкам может позволить злоумышленнику развернуть уязвимые приложения UEFI для использования в будущих атаках.
Третья проблема CVE-2021-3970 возникает из-за ошибки в обработчике SMI программного обеспечения. SW SMI реализует прерывание процессора, которое необходимо запустить для входа в высокопривилегированный режим выполнения процессоров x86, называемый режимом управления системой (SMM).
Выявленная уязвимость может быть использована из привилегированного процесса в режиме ядра путем запуска программного прерывания SMI и передачи физического адреса специально созданного буфера в качестве параметра уязвимому обработчику SMI программного обеспечения.
К настоящему времени Lenovo уже выпустил патчи для нескольких моделей ноутбуков и планирует к 10 мая завершить работы по развертыванию обновлений прошивки для остальных продуктов. При этом достигшие конца срока службы (EOL) модели ноутбуков останутся непропатченными.
Учитывая реальные угрозы UEFI, обнаруженные в последние годы (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), настоятельно рекомендуем владельцам ноутбуков Lenovo обновить прошивку.
WeLiveSecurity
When “secure” isn’t secure at all: High‑impact UEFI vulnerabilities discovered in Lenovo consumer laptops
ESET research discovers vulnerabilities in Lenovo consumer laptop models that allow attackers with admin rights to expose users to firmware-level malware.
Выпустить патч вовсе не означает исправить проблему. Amazon Web Services не даст соврать.
Четыре месяца понадобилось разработчику, чтобы окончательно разобраться с Log4Shell, влияющей на облачные или локальные среды для приложений Java с уязвимой версией библиотеки.
Казалось бы, патче от декабря 2021 года AWS пофиксили проблемы безопасности, чтобы предотвратить возможность выхода из контейнера в среде и получения контроля над хостом, а в некоторых случаях и повышения привилегий и выполнения кода, как с правами root.
Но к досаде разработчика, Palo Alto Networks выявили проблемы безопасности в исправлениях AWS через шесть дней после их выпуска и проинформировали об этом Amazon 21 декабря 2021 года.
В настоящее время уязвимости оценены как риски высокой степени тяжести с оценкой 8,8 из 10 отслеживаются как:
- CVE-2021-3100: повышение привилегий из-за невозможности имитировать разрешения исправленной JVM, что позволяет запускать любой процесс с ненужными высокими привилегиями (базовая оценка CVSS: 8,8);
- CVE-2022-0070: неполное исправление для CVE-2021-3100;
- CVE-2021-3101: Hotdog не соблюдает ограничения устройств, фильтры системных вызовов и ограничения ресурсов на целевой JVM, что может привести к вредоносным модификациям, переопределению политик и исчерпанию ресурсов (базовая оценка CVSS: 8,8);
- CVE-2022-0071: неполное исправление для CVE-2021-3101.
Исследователи Unit 42 обнаружили, что решения Amazon для оперативного исправления Log4Shell оперативно выявляют и исправляют процессы Java, но не обеспечивают их работу с ограничениями, наложенными на контейнер. Потенциально злоумышленник может внедрить непривилегированный двоичный файл процесса с именем «java» и заставить службу исправления выполнить его с повышенными привилегиями.
Кроме того, вредоносный процесс может злоупотреблять своими повышенными привилегиями, чтобы выйти из контейнера и захватить базовый хост. Другая проблема, созданная патчем Amazon, заключалась еще и в том, что хост-процессы обрабатывались одинаково, и все они получали повышенные привилегии в процессе исправления Log4Shell.
Команда безопасности AWS признала уязвимости и попыталась исправить их с помощью нового обновления от 23 декабря 2021 года, но патч оказался малоэффективен. Окончательно решить проблему AWS смогли к 19 апреля, выпустив новые исправления.
А Unit 42, в свою очередь, представила демонстрационное видео эксплойта (PoC), реализующего сценарий выхода контейнера. Детали реализации конечно же скрыты в интересах безопасности.
Четыре месяца понадобилось разработчику, чтобы окончательно разобраться с Log4Shell, влияющей на облачные или локальные среды для приложений Java с уязвимой версией библиотеки.
Казалось бы, патче от декабря 2021 года AWS пофиксили проблемы безопасности, чтобы предотвратить возможность выхода из контейнера в среде и получения контроля над хостом, а в некоторых случаях и повышения привилегий и выполнения кода, как с правами root.
Но к досаде разработчика, Palo Alto Networks выявили проблемы безопасности в исправлениях AWS через шесть дней после их выпуска и проинформировали об этом Amazon 21 декабря 2021 года.
В настоящее время уязвимости оценены как риски высокой степени тяжести с оценкой 8,8 из 10 отслеживаются как:
- CVE-2021-3100: повышение привилегий из-за невозможности имитировать разрешения исправленной JVM, что позволяет запускать любой процесс с ненужными высокими привилегиями (базовая оценка CVSS: 8,8);
- CVE-2022-0070: неполное исправление для CVE-2021-3100;
- CVE-2021-3101: Hotdog не соблюдает ограничения устройств, фильтры системных вызовов и ограничения ресурсов на целевой JVM, что может привести к вредоносным модификациям, переопределению политик и исчерпанию ресурсов (базовая оценка CVSS: 8,8);
- CVE-2022-0071: неполное исправление для CVE-2021-3101.
Исследователи Unit 42 обнаружили, что решения Amazon для оперативного исправления Log4Shell оперативно выявляют и исправляют процессы Java, но не обеспечивают их работу с ограничениями, наложенными на контейнер. Потенциально злоумышленник может внедрить непривилегированный двоичный файл процесса с именем «java» и заставить службу исправления выполнить его с повышенными привилегиями.
Кроме того, вредоносный процесс может злоупотреблять своими повышенными привилегиями, чтобы выйти из контейнера и захватить базовый хост. Другая проблема, созданная патчем Amazon, заключалась еще и в том, что хост-процессы обрабатывались одинаково, и все они получали повышенные привилегии в процессе исправления Log4Shell.
Команда безопасности AWS признала уязвимости и попыталась исправить их с помощью нового обновления от 23 декабря 2021 года, но патч оказался малоэффективен. Окончательно решить проблему AWS смогли к 19 апреля, выпустив новые исправления.
А Unit 42, в свою очередь, представила демонстрационное видео эксплойта (PoC), реализующего сценарий выхода контейнера. Детали реализации конечно же скрыты в интересах безопасности.
Unit 42
AWS's Log4Shell Hot Patch Vulnerable to Container Escape and Privilege Escalation
We identified severe security issues within AWS Log4Shell hot patch solutions. We provide a root cause analysis and overview of fixes and mitigations.
Forwarded from SecurityLab.ru
В архиваторе 7-Zip обнаружена серьезная уязвимость
— Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора.
— Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
— Создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft.
https://www.securitylab.ru/news/531215.php
— Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора.
— Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
— Создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft.
https://www.securitylab.ru/news/531215.php
SecurityLab.ru
В архиваторе 7-Zip обнаружена серьезная уязвимость
Уязвимость позволяет злоумышленникам получить права администратора
Вчера мы уже писали о том, как микрофоны производят фоновую запись, даже при отключении звука. Сегодня расскажем о том, как блокировать такую прослушку.
Исследователи Колумбийского университета разработали новый метод противодействия автоматизированному сбору акустической информации через микрофоны смартфонов, голосовых помощников и подключенных устройств в целом.
Разработанный алгоритм прогнозирует речь пользователя и генерирует мешающий фоновый шум (шепот) в режиме реального времени, скрывая основной источник звука. При этом громкость шума относительно низкая, что не мешает пользователю и позволяет комфортно разговаривать.
В реальности с проблемой автоматизированного подслушивания сталкиваются все больше пользователей, все чаще обращая внимание на персонализированную рекламу исходя из упоминаемых в разговорах категориях. При этом существующие методы маскировки голоса не способны работать в реалтайме, поскольку это требует мгновенных вычислений, которые не поддерживаются современным железом.
Именно поэтому в своем исследовании ученые сосредоточились на прогностической модели «прогнозирующих атак», согласно которой генерация фонового шума происходит на основе анализа характеристики речи, позволяющих расшифровывать каждое произнесенное слово, предсказывать последующие слова или выражения, генерируя шепот в нужный момент.
Для обучения модели использовались графические процессоры NVIDIA RTX 2080Ti и 100-часовой набор речевых данных. По результатам работ обнаружили, что оптимальное время прогнозирования — 0,5 секунды наперед.
Кроме того, ученые представили несколько реалистичных тестов в помещении, а также результирующий текст, идентифицированный системами распознавания речи в каждом случае.
На данный момент система работает только с английской речью и имеет высокий показатель эффективности: на 80% речь становится неразборчивой для технологии автоматического распознавания речи, независимо от используемого программного обеспечения и положения микрофона.
Борьба за конфиденциальность переходит на новый уровень, производители в борьбе за умы и предпочтения пользователей будут вынуждены корректировать свои методы распознавания. Посмотрим, чем ответят.
Исследователи Колумбийского университета разработали новый метод противодействия автоматизированному сбору акустической информации через микрофоны смартфонов, голосовых помощников и подключенных устройств в целом.
Разработанный алгоритм прогнозирует речь пользователя и генерирует мешающий фоновый шум (шепот) в режиме реального времени, скрывая основной источник звука. При этом громкость шума относительно низкая, что не мешает пользователю и позволяет комфортно разговаривать.
В реальности с проблемой автоматизированного подслушивания сталкиваются все больше пользователей, все чаще обращая внимание на персонализированную рекламу исходя из упоминаемых в разговорах категориях. При этом существующие методы маскировки голоса не способны работать в реалтайме, поскольку это требует мгновенных вычислений, которые не поддерживаются современным железом.
Именно поэтому в своем исследовании ученые сосредоточились на прогностической модели «прогнозирующих атак», согласно которой генерация фонового шума происходит на основе анализа характеристики речи, позволяющих расшифровывать каждое произнесенное слово, предсказывать последующие слова или выражения, генерируя шепот в нужный момент.
Для обучения модели использовались графические процессоры NVIDIA RTX 2080Ti и 100-часовой набор речевых данных. По результатам работ обнаружили, что оптимальное время прогнозирования — 0,5 секунды наперед.
Кроме того, ученые представили несколько реалистичных тестов в помещении, а также результирующий текст, идентифицированный системами распознавания речи в каждом случае.
На данный момент система работает только с английской речью и имеет высокий показатель эффективности: на 80% речь становится неразборчивой для технологии автоматического распознавания речи, независимо от используемого программного обеспечения и положения микрофона.
Борьба за конфиденциальность переходит на новый уровень, производители в борьбе за умы и предпочтения пользователей будут вынуждены корректировать свои методы распознавания. Посмотрим, чем ответят.
Columbia Engineering
Concerned Your Smartphone Is Spying on You?
Columbia computer scientists have built an algorithm that blocks a rogue microphone from correctly hearing your words—in English so far—80% of the time
QNAP замучили до состояния дремучего леса. С такой регулярной антирекламой волей не волей начинаешь задумываться над альтернативными продуктами, коих на самом то деле не много.
В этот раз тайваньский поставщик потревожил своих клиентов призывом отключить переадресацию портов Universal Plug and Play (UPnP) на маршрутизаторах, чтобы защитить свои сетевые устройства хранения данных (NAS) от атак. UPnP — небезопасный протокол, так как он использует многоадресную рассылку UDP по сети и не поддерживает шифрование и аутентификацию.
Напомним, UPnP — это набор сетевых протоколов, который позволяет сетевым устройствам беспрепятственно обнаруживать присутствие друг друга в сети и устанавливать функциональные сетевые службы. А переадресация портов в QNAP UPnP позволяет сетевым устройствам более эффективно взаимодействовать друг с другом и автоматически создавать рабочие группы для обмена данными, среди других приложений. Несомненно, удобная штука, но порой не все что удобно - безопасно, так как злоумышленники могут использовать UPnP, чтобы заразить систему и захватить ее, из-за того, что UPnP может подвергать пользовательские устройства общедоступным сетям и соответственно вредоносным атакам.
Рекомендуется, чтобы ваш NAS оставался за вашим маршрутизатором и брандмауэром без общедоступного IP-адреса. Также следует отключить в конфигурации маршрутизатора ручную и автоматическую переадресацию портов UPnP для QNAP NAS.
Производитель также рекомендует включить функцию VPN-сервера на пользовательском маршрутизаторе для доступа к QNAP из Интернета. Пользователи также могут удаленно подключать свои устройства, включив VPN-сервер на QNAP NAS, установив приложение службы QVPN или развернув решение QuWAN, SD-WAN.
QNAP также предоставил пошаговые инструкции по отключению подключений SSH и Telnet, изменению номера системного порта и пароля устройства, а также включению защиты доступа к IP-адресу и учетной записи.
В общем принимаем к сведению и прислушиваемся к советам и рекомендациям вендора.
В этот раз тайваньский поставщик потревожил своих клиентов призывом отключить переадресацию портов Universal Plug and Play (UPnP) на маршрутизаторах, чтобы защитить свои сетевые устройства хранения данных (NAS) от атак. UPnP — небезопасный протокол, так как он использует многоадресную рассылку UDP по сети и не поддерживает шифрование и аутентификацию.
Напомним, UPnP — это набор сетевых протоколов, который позволяет сетевым устройствам беспрепятственно обнаруживать присутствие друг друга в сети и устанавливать функциональные сетевые службы. А переадресация портов в QNAP UPnP позволяет сетевым устройствам более эффективно взаимодействовать друг с другом и автоматически создавать рабочие группы для обмена данными, среди других приложений. Несомненно, удобная штука, но порой не все что удобно - безопасно, так как злоумышленники могут использовать UPnP, чтобы заразить систему и захватить ее, из-за того, что UPnP может подвергать пользовательские устройства общедоступным сетям и соответственно вредоносным атакам.
Рекомендуется, чтобы ваш NAS оставался за вашим маршрутизатором и брандмауэром без общедоступного IP-адреса. Также следует отключить в конфигурации маршрутизатора ручную и автоматическую переадресацию портов UPnP для QNAP NAS.
Производитель также рекомендует включить функцию VPN-сервера на пользовательском маршрутизаторе для доступа к QNAP из Интернета. Пользователи также могут удаленно подключать свои устройства, включив VPN-сервер на QNAP NAS, установив приложение службы QVPN или развернув решение QuWAN, SD-WAN.
QNAP также предоставил пошаговые инструкции по отключению подключений SSH и Telnet, изменению номера системного порта и пароля устройства, а также включению защиты доступа к IP-адресу и учетной записи.
В общем принимаем к сведению и прислушиваемся к советам и рекомендациям вендора.
QNAP Blog
What is UPnP Port Forwarding? | QNAP Blog
UPnP 為通用隨插即用(Universal Plug and Play)的網路協定,是只要一組設定就能快速將正在使用的連接埠轉發到網路上其他設備的配置方式。歡迎點閱 QNAP Blog,了解更多 UPnP 設定及遠端存取 NAS 的資安防護方案。
REvil возвращается (ли?)
Инфраструктура вымогателей в сети TOR реанимирована и редиректит на новую платформу, запущенную недавно.
Исследователи pancak3 и Soufiane Tahiri отмечают, что новый сайт утечки REvil продвигается на теневой площадке RuTOR, ориентированной на русскоязычные регионы. При этом DLS содержит большой список жертв прошлых атак REvil, а также две новых. Одна из них — Oil India. Установлено, что текущий сайт утечки начал работать с 5 по 10 апреля, но без контента, а заполняться - примерно через неделю.
Несмотря на то, что новый сайт размещен на другом домене, он все же ведет к исходному сайту REvil, который использовался в активный период работы вымогателей. Новая программ RaaS предлагает улучшенную версию программы-вымогателя REvil и схему распределения дивидендов в пропорции 80/20.
Внимательно наблюдающие за ситуацией вокруг REvil исследователи отметили ряд интересных событий, предшествовавших возрождению новой операции ransomware.
В январе 2022, буквально через пару недель после того, как 14 предполагаемых членов банды были арестованы в России, MalwareHunterTeam заметили активность другой банды вымогателей (Ransom Cartel), которая была связана с шифровальщиком REvil. Помимо нее шифровальщик REvil до вмешательства силовиков также использовали LV. Ресерчеры также обнаружили, что источник RSS-канала показывает строку Corp Leaks, которая использовалась ныне несуществующей бандой вымогателей Nefilim.
Блог и платежные сайты работают на разных серверах. Глядя на первый, исследователи увидели файл cookie с именем DEADBEEF, который использовался в качестве файлового маркера бандой вымогателей TeslaCrypt.
С ноября 2021 года сайты утечки и оплаты REvil контролировались ФБР США, однако как показывает текущая ситуация, кто-то, кроме правоохранительных органов, также до сих пор имеет доступ к закрытым ключам TOR для сайта Onion.
Все это приводит к предположениям о возможной новой операции спецслужб в отношении хакерского подполья, в основе которой вновь положена репутация ставшего брендом среди хакеров имени REvil или, по крайней мере, ее остатки.
Однако, как мы уже писали, обстоятельства задержания банды все же указывают на то, что они коснулись больше операторов, нежели основного состава группы. Будем посмотреть, как говорится.
Инфраструктура вымогателей в сети TOR реанимирована и редиректит на новую платформу, запущенную недавно.
Исследователи pancak3 и Soufiane Tahiri отмечают, что новый сайт утечки REvil продвигается на теневой площадке RuTOR, ориентированной на русскоязычные регионы. При этом DLS содержит большой список жертв прошлых атак REvil, а также две новых. Одна из них — Oil India. Установлено, что текущий сайт утечки начал работать с 5 по 10 апреля, но без контента, а заполняться - примерно через неделю.
Несмотря на то, что новый сайт размещен на другом домене, он все же ведет к исходному сайту REvil, который использовался в активный период работы вымогателей. Новая программ RaaS предлагает улучшенную версию программы-вымогателя REvil и схему распределения дивидендов в пропорции 80/20.
Внимательно наблюдающие за ситуацией вокруг REvil исследователи отметили ряд интересных событий, предшествовавших возрождению новой операции ransomware.
В январе 2022, буквально через пару недель после того, как 14 предполагаемых членов банды были арестованы в России, MalwareHunterTeam заметили активность другой банды вымогателей (Ransom Cartel), которая была связана с шифровальщиком REvil. Помимо нее шифровальщик REvil до вмешательства силовиков также использовали LV. Ресерчеры также обнаружили, что источник RSS-канала показывает строку Corp Leaks, которая использовалась ныне несуществующей бандой вымогателей Nefilim.
Блог и платежные сайты работают на разных серверах. Глядя на первый, исследователи увидели файл cookie с именем DEADBEEF, который использовался в качестве файлового маркера бандой вымогателей TeslaCrypt.
С ноября 2021 года сайты утечки и оплаты REvil контролировались ФБР США, однако как показывает текущая ситуация, кто-то, кроме правоохранительных органов, также до сих пор имеет доступ к закрытым ключам TOR для сайта Onion.
Все это приводит к предположениям о возможной новой операции спецслужб в отношении хакерского подполья, в основе которой вновь положена репутация ставшего брендом среди хакеров имени REvil или, по крайней мере, ее остатки.
Однако, как мы уже писали, обстоятельства задержания банды все же указывают на то, что они коснулись больше операторов, нежели основного состава группы. Будем посмотреть, как говорится.
The Times of India
IB, Central cyber security agencies to probe ransomware attack on Oil India - Times of India
India Business News: The Intelligence Bureau and two national cyber security agencies – CERT-In and NCIIPC – have joined the probe into the ransomware attack on state-run
Cisco выпустила обновления для устранения серьезной уязвимости CVE-2022-20773 в механизме аутентификации SSH на основе ключей Cisco Umbrella VA, которая позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно красть учетные данные администратора.
Облачная служба безопасности Cisco Umbrella используется в более чем 24 000 организациях в качестве защиты на уровне DNS от фишинга, вредоносных программ и ransomware.
Ошибка была обнаружена Фрейзером Хессом из Pinnacol Assurance. Уязвимость связана с наличием статического ключа хоста SSH. Злоумышленник может воспользоваться этой уязвимостью, выполнив атаку MiTM на SSH-подключение к виртуальной машине Umbrella. Успешный эксплойт может позволить злоумышленнику получить учетные данные администратора, изменить конфигурацию или перезагрузить виртуальную машину.
Для Cisco это не первая ошибка, связанная с SSH-ключами по умолчанию в механизме SSH-аутентификации, ранее компания уже исправляла CVE-2021-40119 в Cisco Policy Suite, через месяц спустя - CVE-2021-34795, связанную с жестко закодированными учетными данными в службе Telnet коммутаторов Cisco Catalyst серии PON ONT.
Новая уязвимость затрагивает виртуальные устройства Cisco Umbrella для Hyper-V и VMWare ESXi, работающие под управлением версий программного обеспечения до 3.3.2. При этом служба SSH не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее влияние уязвимости.
PSIRT не обнаружили эксплуатации в дикой природе или общедоступного PoC.
Для уязвимости безопасности нет доступных обходных путей или смягчений. Поэтому Cisco рекомендует клиентам перейти на фиксированную версию программного обеспечения, что пока еще актуально для российского сегмента.
Облачная служба безопасности Cisco Umbrella используется в более чем 24 000 организациях в качестве защиты на уровне DNS от фишинга, вредоносных программ и ransomware.
Ошибка была обнаружена Фрейзером Хессом из Pinnacol Assurance. Уязвимость связана с наличием статического ключа хоста SSH. Злоумышленник может воспользоваться этой уязвимостью, выполнив атаку MiTM на SSH-подключение к виртуальной машине Umbrella. Успешный эксплойт может позволить злоумышленнику получить учетные данные администратора, изменить конфигурацию или перезагрузить виртуальную машину.
Для Cisco это не первая ошибка, связанная с SSH-ключами по умолчанию в механизме SSH-аутентификации, ранее компания уже исправляла CVE-2021-40119 в Cisco Policy Suite, через месяц спустя - CVE-2021-34795, связанную с жестко закодированными учетными данными в службе Telnet коммутаторов Cisco Catalyst серии PON ONT.
Новая уязвимость затрагивает виртуальные устройства Cisco Umbrella для Hyper-V и VMWare ESXi, работающие под управлением версий программного обеспечения до 3.3.2. При этом служба SSH не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее влияние уязвимости.
PSIRT не обнаружили эксплуатации в дикой природе или общедоступного PoC.
Для уязвимости безопасности нет доступных обходных путей или смягчений. Поэтому Cisco рекомендует клиентам перейти на фиксированную версию программного обеспечения, что пока еще актуально для российского сегмента.
Cisco
Cisco Security Advisory: Cisco Umbrella Virtual Appliance Static SSH Host Key Vulnerability
A vulnerability in the key-based SSH authentication mechanism of Cisco Umbrella Virtual Appliance (VA) could allow an unauthenticated, remote attacker to impersonate a VA.
This vulnerability is due to the presence of a static SSH host key. An attacker could…
This vulnerability is due to the presence of a static SSH host key. An attacker could…
Хороший урок специалисты Лаборатории Касперского, на наш взгляд, преподали коллегам из Claroty (Team82), которые в конце марта выкатили результаты своего исследования уязвимостей в продуктах Rockwell Automation, о чем мы ранее также сообщали.
Речь шла о двух ошибках CVE-2022-1159 (уязвимость в программном обеспечении Studio 5000 Logix Designer, которая позволяет подменять код во время компиляции проекта для ПЛК) и CVE-2022-1161 (уязвимость в самих контроллерах серии ControlLogix, которая позволяет подменять скомпилированный код на ПЛК без подмены исходного кода), получивших высокую оценку по метрике CVSS 3.1 – 7.7 (High) и 10.0 (Critical).
Однако при детальном разборе ситуация выглядит иначе.
По версии вендора, CVE-2022-1159 эксплуатируется в ходе локального доступа с повышенными привилегиями к компьютеру с Studio 5000 Logix Designer, путем взаимодействия с пользователем и вызывает нарушение конфиденциальности, целостности и доступности ПЛК. Как объяснили представители Лаборатории согласно спецификации CVSS v3.1 при наличии административного доступа к инженерному компьютеру злоумышленник и так может вызвать эти нарушения ПЛК, а, значит и оценка CVE соответствует значению 0.0 (None).
Вторая уязвимость, которую исследователи приравнивают к «уязвимостям уровня Stuxnet», затрагивает ПЛК серии ControlLogix. По версии вендора атакующий может удалённо, без аутентификации, полностью нарушить работу уязвимого ПЛК. Но при разборе вектора выясняется, что для успешной эксплуатации уязвимости требуются права на скачивание приложения на ПЛК, что уже само по себе дает злоумышленнику возможности нанести очень серьёзный вред без эксплуатации каких-либо уязвимостей.
Кроме того, уязвимость позволяет подменить скомпилированный код приложения без изменения исходного, то есть страдает целостность информации для инженерного ПО. Нарушить конфиденциальность или доступность самого инженерного ПО она не позволяет.
По мнению Лаборатории Касперского, справедливая оценка критичности данной уязвимости должна быть снижена с 10.0 (Critical) до 6.8 (Medium) по CVSS.
И если говорить по-серьезному о реально опасных багах, то Kaspersky ICS CERT еще в сентябре 2017 года уведомляла производителя об уязвимости механизма авторизации в нескольких линейках контроллеров Rockwell Automation, включая контроллеры противоаварийной защиты (ПАЗ). Ошибка позволяет удалённому неаутентифицированному пользователю производить любые операции с контроллерами и ПАЗ.
И лишь спустя 4 года уязвимость стала публично известна и получила идентификатор CVE-2021-22681. Эксплуатация, в отличие от предыдущих, не требует никаких привилегий и ведёт к полной компрометации устройства. Имеет честную оценку серьёзности 9.8 (Critical).
Но, что самое забавное - даже спустя 4,5 года Rockwell Automation так и не придумала способа ее исправить, предлагая лишь компенсационные меры. И это при том, что в сети обнаруживаются соответственно 515 и 6793 доступных устройства с открытым портом 44818/TCP (через который эксплуатируется CVE-2021-22681).
На наш взгляд отличный урок, показывающий важность адекватной оценки и практической значимости информации об уязвимостях в OT-продуктах и технологиях.
Речь шла о двух ошибках CVE-2022-1159 (уязвимость в программном обеспечении Studio 5000 Logix Designer, которая позволяет подменять код во время компиляции проекта для ПЛК) и CVE-2022-1161 (уязвимость в самих контроллерах серии ControlLogix, которая позволяет подменять скомпилированный код на ПЛК без подмены исходного кода), получивших высокую оценку по метрике CVSS 3.1 – 7.7 (High) и 10.0 (Critical).
Однако при детальном разборе ситуация выглядит иначе.
По версии вендора, CVE-2022-1159 эксплуатируется в ходе локального доступа с повышенными привилегиями к компьютеру с Studio 5000 Logix Designer, путем взаимодействия с пользователем и вызывает нарушение конфиденциальности, целостности и доступности ПЛК. Как объяснили представители Лаборатории согласно спецификации CVSS v3.1 при наличии административного доступа к инженерному компьютеру злоумышленник и так может вызвать эти нарушения ПЛК, а, значит и оценка CVE соответствует значению 0.0 (None).
Вторая уязвимость, которую исследователи приравнивают к «уязвимостям уровня Stuxnet», затрагивает ПЛК серии ControlLogix. По версии вендора атакующий может удалённо, без аутентификации, полностью нарушить работу уязвимого ПЛК. Но при разборе вектора выясняется, что для успешной эксплуатации уязвимости требуются права на скачивание приложения на ПЛК, что уже само по себе дает злоумышленнику возможности нанести очень серьёзный вред без эксплуатации каких-либо уязвимостей.
Кроме того, уязвимость позволяет подменить скомпилированный код приложения без изменения исходного, то есть страдает целостность информации для инженерного ПО. Нарушить конфиденциальность или доступность самого инженерного ПО она не позволяет.
По мнению Лаборатории Касперского, справедливая оценка критичности данной уязвимости должна быть снижена с 10.0 (Critical) до 6.8 (Medium) по CVSS.
И если говорить по-серьезному о реально опасных багах, то Kaspersky ICS CERT еще в сентябре 2017 года уведомляла производителя об уязвимости механизма авторизации в нескольких линейках контроллеров Rockwell Automation, включая контроллеры противоаварийной защиты (ПАЗ). Ошибка позволяет удалённому неаутентифицированному пользователю производить любые операции с контроллерами и ПАЗ.
И лишь спустя 4 года уязвимость стала публично известна и получила идентификатор CVE-2021-22681. Эксплуатация, в отличие от предыдущих, не требует никаких привилегий и ведёт к полной компрометации устройства. Имеет честную оценку серьёзности 9.8 (Critical).
Но, что самое забавное - даже спустя 4,5 года Rockwell Automation так и не придумала способа ее исправить, предлагая лишь компенсационные меры. И это при том, что в сети обнаруживаются соответственно 515 и 6793 доступных устройства с открытым портом 44818/TCP (через который эксплуатируется CVE-2021-22681).
На наш взгляд отличный урок, показывающий важность адекватной оценки и практической значимости информации об уязвимостях в OT-продуктах и технологиях.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
Уязвимость АСУ ТП. Как оценить критичность? | Kaspersky ICS CERT
В последний день марта команда Claroty (Team82) опубликовала статью о двух найденным ими уязвимостях в продуктах Rockwell Automation. Мы считаем, что серьезность этих уязвимостей сильно завышена. В то же время самая опасная уязвимость в тех же продуктах уже…
Forwarded from Social Engineering
👨🏻💻 S.E.Заметка. Готовая инфраструктура для пентеста.
• После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт.
🧷 https://github.com/R3dy/capsulecorp-pentest
• В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое.
Твой S.E. #Пентест
🖖🏻 Приветствую тебя user_name.• По ссылке ниже, ты найдешь 1 атакующую ВМ на #Linux и 4 уязвимых ВМ на Win Server 2019 с уязвимыми службами, развернутой Active Directory (#AD), уязвимыми MSSQL, Apache Tomcat, Jenkins и т.д.
• После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт.
🧷 https://github.com/R3dy/capsulecorp-pentest
• В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое.
Твой S.E. #Пентест
Специалисты по информационной безопасности обнаружили новый вариант вредоносного ПО ботнета BotenaGo, который считается одним из самых скрытных и до недавнего времени не был обнаружен ни одним антивирусом.
Впервые о ботнете BotenaGo поведали миру исследователи из AT&T в ноябре 2021 года, вредоносный код которого использовал 33 эксплойта для атаки на миллионы маршрутизаторов и устройств IoT. А вот исходный код BotenaGo уже был доступен в сети с октября 2021 года, что позволило многим злоумышленникам создавать свои собственные версии, добавляя новые эксплойты для заражения наибольшего числа устройств. BotenaGo был написан на Golang (Go) и на момент публикации отчета имел низкий уровень обнаружения - всего 6/62.
Но исследователи из Nozomi Networks Labs недавно обнаружили новый вариант BotenaGo, специально предназначенный для цифровых видеорегистраторов Lilin. Собственно эксперты, после того как проанализировали образец так и назвали его «сканером Lillin», очевидно из-за имени, которое разработчики использовали для него в исходном коде: /root/lillin.go.
Как говорится в анализе, опубликованном Nozomi Networks на момент проведения исследования, вредоносный образец не был обнаружен ни одним модулем обнаружения вредоносных программ в VirusTotal. Хотя образец довольно большой (2,8 МБ), но из-за того, что он написан на Go, часть фактического вредоносного кода довольно мала и сосредоточена на одной задаче. По словам экспертов, авторы удалили почти все 30 эксплойтов, включенных в исходный код BotenaGo, и повторно использовали некоторые части для эксплуатации уязвимости RCE, затрагивающей устройства Lilin DVR.
Исследователи считают, что сканер Lillin можно использовать в ручном режиме вместе с другим инструментом, который создает списки устройств Lilin, поскольку он не проверяет заданные IP-адреса. Тем не менее, он перебирает получаемые IP-адреса — так же, как это делал оригинальный BotenaGo — для запуска процедуры заражения.
Сканер Lillin содержит в общей сложности 11 пар «пользователь-пароль», которые закодированы в Base64 для использования в базовой аутентификации, необходимой для эксплуатации уязвимости, позволяющей удаленное выполнение кода (RCE). Если вредоносное ПО сочтет попытку аутентификации успешной, оно перейдет к использованию уязвимости конфигурации протокола сетевого времени (NTP), которая была обнаружена в цифровых видеорегистраторах Lilin в 2020 году.
После успешной компрометации цели вредоносное ПО загружает полезные нагрузки, предназначенные для нескольких архитектур (ARM, x86, MIPS, Motorola 68000, PowerPC, SPARC и SuperH), и пытается выполнить их на камере.
По данным Nozomi Networks, все эти образцы полезной нагрузки принадлежат семейству Mirai и все они были отправлены в VirusTotal в начале марта 2022 года. Кроме того, эксперты заметили, что ботнет Mirai, использованный в атаках, исключает диапазоны IP-адресов, принадлежащих внутренним сетям Министерства обороны США, Почтовой службы США, General Electric, Hewlett-Packard и другие. Интересно…
Впервые о ботнете BotenaGo поведали миру исследователи из AT&T в ноябре 2021 года, вредоносный код которого использовал 33 эксплойта для атаки на миллионы маршрутизаторов и устройств IoT. А вот исходный код BotenaGo уже был доступен в сети с октября 2021 года, что позволило многим злоумышленникам создавать свои собственные версии, добавляя новые эксплойты для заражения наибольшего числа устройств. BotenaGo был написан на Golang (Go) и на момент публикации отчета имел низкий уровень обнаружения - всего 6/62.
Но исследователи из Nozomi Networks Labs недавно обнаружили новый вариант BotenaGo, специально предназначенный для цифровых видеорегистраторов Lilin. Собственно эксперты, после того как проанализировали образец так и назвали его «сканером Lillin», очевидно из-за имени, которое разработчики использовали для него в исходном коде: /root/lillin.go.
Как говорится в анализе, опубликованном Nozomi Networks на момент проведения исследования, вредоносный образец не был обнаружен ни одним модулем обнаружения вредоносных программ в VirusTotal. Хотя образец довольно большой (2,8 МБ), но из-за того, что он написан на Go, часть фактического вредоносного кода довольно мала и сосредоточена на одной задаче. По словам экспертов, авторы удалили почти все 30 эксплойтов, включенных в исходный код BotenaGo, и повторно использовали некоторые части для эксплуатации уязвимости RCE, затрагивающей устройства Lilin DVR.
Исследователи считают, что сканер Lillin можно использовать в ручном режиме вместе с другим инструментом, который создает списки устройств Lilin, поскольку он не проверяет заданные IP-адреса. Тем не менее, он перебирает получаемые IP-адреса — так же, как это делал оригинальный BotenaGo — для запуска процедуры заражения.
Сканер Lillin содержит в общей сложности 11 пар «пользователь-пароль», которые закодированы в Base64 для использования в базовой аутентификации, необходимой для эксплуатации уязвимости, позволяющей удаленное выполнение кода (RCE). Если вредоносное ПО сочтет попытку аутентификации успешной, оно перейдет к использованию уязвимости конфигурации протокола сетевого времени (NTP), которая была обнаружена в цифровых видеорегистраторах Lilin в 2020 году.
После успешной компрометации цели вредоносное ПО загружает полезные нагрузки, предназначенные для нескольких архитектур (ARM, x86, MIPS, Motorola 68000, PowerPC, SPARC и SuperH), и пытается выполнить их на камере.
По данным Nozomi Networks, все эти образцы полезной нагрузки принадлежат семейству Mirai и все они были отправлены в VirusTotal в начале марта 2022 года. Кроме того, эксперты заметили, что ботнет Mirai, использованный в атаках, исключает диапазоны IP-адресов, принадлежащих внутренним сетям Министерства обороны США, Почтовой службы США, General Electric, Hewlett-Packard и другие. Интересно…
Nozominetworks
New BotenaGo Variant Discovered by Nozomi Networks Labs
Lillin scanner is a new variant of the BotenaGo malware that specifically targets Lilin security camera DVR devices, discovered by Nozomi Networks Labs.
Критическая уязвимость RCE в декодере устройств Android, работающих на чипсетах Qualcomm и MediaTek, может открывать доступ к медиафайлам пользователей и делает 2/3 девайсов уязвимыми для взлома.
Исследователи Check Point Research обнаружили критическое удаленное выполнение кода, которое влияет на реализацию Apple Lossless Audio Codec (ALAC) в устройствах Android, работающих на чипсетах Qualcomm и MediaTek. Производители чипсетов использовали уязвимую версию кода ALAC в своих аудиодекодерах.
ALAC — это формат кодирования звука, разработанный Apple для сжатия данных цифровой музыки без потерь, был разработан в 2004 году. В 2011 году исходный код был раскрыт Apple, с тех пор его использовали многие сторонние поставщики.
MediaTek отметила ошибки в ALAC как CVE-2021-0674 (средняя серьезность с оценкой 5,5) и CVE-2021-0675 (высокая серьезность с оценкой 7,8), а Qualcomm - как CVE-2021-30351 (критическая степень тяжести с 9,8 балла).
Уязвимости подвержены более половины всех смартфонов по всему миру. Удаленный злоумышленник может активировать уязвимость, обманом заставив целевое устройство открыть искаженный аудиофайл для выполнения произвольного кода. Исследователи называют эту атаку ALHACK.
Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанной машины. Кроме того, непривилегированное Android-приложение может использовать эти уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей.
Во взаимодействии с Check Point производители MediaTek и Qualcomm исправили ошибку в декабре 2021 года. Исследователи не раскрывают подробностей об уязвимости во избежании ее эксплуатации в дикой природе, свои выводы они готовы представить на CanSecWest в мае 2022 года.
Исследователи Check Point Research обнаружили критическое удаленное выполнение кода, которое влияет на реализацию Apple Lossless Audio Codec (ALAC) в устройствах Android, работающих на чипсетах Qualcomm и MediaTek. Производители чипсетов использовали уязвимую версию кода ALAC в своих аудиодекодерах.
ALAC — это формат кодирования звука, разработанный Apple для сжатия данных цифровой музыки без потерь, был разработан в 2004 году. В 2011 году исходный код был раскрыт Apple, с тех пор его использовали многие сторонние поставщики.
MediaTek отметила ошибки в ALAC как CVE-2021-0674 (средняя серьезность с оценкой 5,5) и CVE-2021-0675 (высокая серьезность с оценкой 7,8), а Qualcomm - как CVE-2021-30351 (критическая степень тяжести с 9,8 балла).
Уязвимости подвержены более половины всех смартфонов по всему миру. Удаленный злоумышленник может активировать уязвимость, обманом заставив целевое устройство открыть искаженный аудиофайл для выполнения произвольного кода. Исследователи называют эту атаку ALHACK.
Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанной машины. Кроме того, непривилегированное Android-приложение может использовать эти уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей.
Во взаимодействии с Check Point производители MediaTek и Qualcomm исправили ошибку в декабре 2021 года. Исследователи не раскрывают подробностей об уязвимости во избежании ее эксплуатации в дикой природе, свои выводы они готовы представить на CanSecWest в мае 2022 года.
Check Point Blog
Vulnerabilities In The ALAC Format - Check Point Blog
Check Point Research discovered vulnerabilities in the ALAC format that could have led an attacker to remotely get access to its media and audio conversations