Отличный обзор реального кейса атаки с использованием ransomware сделали DFIR: 3 часа 44 минуты понадобилось операторам Quantum с момента первоначального доступа и до тотального шифрования по всему домену.
Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).
ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.
Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.
Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.
Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.
Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.
Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.
Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку.
Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.
Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.
Обязательно рекомендуем ознакомиться с полной версией обзора, который наглядно отражает как все происходит в моменте.
Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).
ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.
Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.
Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.
Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.
Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.
Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.
Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку.
Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.
Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.
Обязательно рекомендуем ознакомиться с полной версией обзора, который наглядно отражает как все происходит в моменте.
The DFIR Report
Quantum Ransomware
In one of the fastest ransomware cases we have observed, in under four hours the threat actors went from initial access, to domain wide ransomware. The initial access vector for this case was an Ic…
͏Популярные решения для управления проектами Jira и Jira Service Management оказались под угрозой, да еще под какой.
На днях Atlassian опубликовала бюллетень по безопасности, чтобы предупредить о том, что их продукты подвержены критической уязвимости обхода аутентификации в Seraph - среде безопасности веб-приложений J2EE, которая используется для обработки запросов.
Уязвимость отслеживается как CVE-2022-0540 и имеет рейтинг серьезности 9,9. Бага позволяет удаленному злоумышленнику обойти аутентификацию, отправив специально созданный HTTP-запрос уязвимым конечным точкам.
Недостаток находится в ядре Jira и затрагивает продукты: Jira Core Server, Software Data Center, Software Server, Service Management Server и Management Data Center.
В Atlassian предупреждают, что злоумышленники могут скомпрометировать решения только в том случае, если они используются с определенной конфигурацией в Seraph, которая подробно описана у поставщика
Серьезность использования CVE-2022-0540 добавляет и тот факт, что Jira может взаимодействовать и со сторонними приложениями и соответственно, используют ли они дополнительные проверки разрешений помимо тех, что указаны в конфигурации Seraph.
Под прямой угрозой два связанных приложения: Insight — Asset Management и Mobile Plugin для Jira. Полный список затронутых приложений можно найти в рекомендациях у Atlassian.
А вот сторонние приложения, например те, которые не представлены в Atlassian Marketplace или разработаны самими клиентами, также подвержены риску, если они используют уязвимую конфигурацию. Так что целесообразно провести ревизию, на предмет использования самописных или сторонних решений.
Пользователям настоятельно рекомендуется обновиться до последних версий, а если в настоящее время это невозможно, то Atlassian рекомендует обновить уязвимые приложения до версии, в которой устранен риск, или отключить уязвимые приложения до тех пор, пока не станет возможным исправление.
Популярность этой уязвимости пока ниже среднего, так как отсутствует публичный эксплойт. Но для желающих сварганить такой эксплойт можно всего до 5000 зеленых.
На днях Atlassian опубликовала бюллетень по безопасности, чтобы предупредить о том, что их продукты подвержены критической уязвимости обхода аутентификации в Seraph - среде безопасности веб-приложений J2EE, которая используется для обработки запросов.
Уязвимость отслеживается как CVE-2022-0540 и имеет рейтинг серьезности 9,9. Бага позволяет удаленному злоумышленнику обойти аутентификацию, отправив специально созданный HTTP-запрос уязвимым конечным точкам.
Недостаток находится в ядре Jira и затрагивает продукты: Jira Core Server, Software Data Center, Software Server, Service Management Server и Management Data Center.
В Atlassian предупреждают, что злоумышленники могут скомпрометировать решения только в том случае, если они используются с определенной конфигурацией в Seraph, которая подробно описана у поставщика
Серьезность использования CVE-2022-0540 добавляет и тот факт, что Jira может взаимодействовать и со сторонними приложениями и соответственно, используют ли они дополнительные проверки разрешений помимо тех, что указаны в конфигурации Seraph.
Под прямой угрозой два связанных приложения: Insight — Asset Management и Mobile Plugin для Jira. Полный список затронутых приложений можно найти в рекомендациях у Atlassian.
А вот сторонние приложения, например те, которые не представлены в Atlassian Marketplace или разработаны самими клиентами, также подвержены риску, если они используют уязвимую конфигурацию. Так что целесообразно провести ревизию, на предмет использования самописных или сторонних решений.
Пользователям настоятельно рекомендуется обновиться до последних версий, а если в настоящее время это невозможно, то Atlassian рекомендует обновить уязвимые приложения до версии, в которой устранен риск, или отключить уязвимые приложения до тех пор, пока не станет возможным исправление.
Популярность этой уязвимости пока ниже среднего, так как отсутствует публичный эксплойт. Но для желающих сварганить такой эксплойт можно всего до 5000 зеленых.
Обычно мы оперативно информируем о резонансных хакерских атаках или их последствиях, однако вопреки сложившейся практики хотелось бы отметить усилия инфосек-сообщества Республики Иран, которым после череды разрушительных нападений на топливный, транспортный и медиа сектор, удалось дать решительный отпор киберпреступникам.
Об этом сообщило Государственное телевидение Ирана. Киберстражи Исламской Революции AFTA и подведомственные IT-структуры предотвратили массовые кибератаки на национальную инфраструктуру более чем 100 учреждений и организаций.
В опубликованном отчете не называется конкретные цели хакеров, но сообщается, что инциденты происходили последние дни. По следам установлено, что неизвестные злоумышленники хакеры использовали IP-адреса, зарегистрированные в Нидерландах, Великобритании и США.
Хакеры пытались воспользоваться уязвимостями в системе безопасности ПО, которое используется различными организациями в Иране. Кроме того, злоумышленники пытались залить свой контент в скомпрометированные системы.
Безусловно, источники и конкретные обстоятельства недружественных действий властями Ирана может и не оглашаются, но точно прекрасно известны, равно как и понимание вектора ответных мер, которые, как мы видели на практике, принимаются достаточно быстро и эффективно.
Об этом сообщило Государственное телевидение Ирана. Киберстражи Исламской Революции AFTA и подведомственные IT-структуры предотвратили массовые кибератаки на национальную инфраструктуру более чем 100 учреждений и организаций.
В опубликованном отчете не называется конкретные цели хакеров, но сообщается, что инциденты происходили последние дни. По следам установлено, что неизвестные злоумышленники хакеры использовали IP-адреса, зарегистрированные в Нидерландах, Великобритании и США.
Хакеры пытались воспользоваться уязвимостями в системе безопасности ПО, которое используется различными организациями в Иране. Кроме того, злоумышленники пытались залить свой контент в скомпрометированные системы.
Безусловно, источники и конкретные обстоятельства недружественных действий властями Ирана может и не оглашаются, но точно прекрасно известны, равно как и понимание вектора ответных мер, которые, как мы видели на практике, принимаются достаточно быстро и эффективно.
interfax.az
В Иране сообщили о предотвращении крупной кибератаки против госструктур
͏Очередной пример, когда платформа нацеленная на предостережение от угроз безопасности может сама выступать угрозой.
Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.
Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.
Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.
Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.
Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.
Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.
Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.
Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.
Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.
Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.
Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.
Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.
Весь мир увлеченно следит за тем, как публично хоронят NSO Group с печально известным шпионским ПО Pegasus.
Но как мы предполагали, дело вовсе не в борьбе за демократию. Права человека - товар на рынке шпионских технологий, а Израиль вежливо попросили подвинуться.
Если применение Pegasus носило целевой характер и реализовывалось по линии спецслужб, то их американские коллеги Anomaly Six отслеживают до 3 миллиардов трубок по всему миру в моменте.
За несколько месяцев до начала спецоперации РФ на Украине компания объединилась с Zignal Labs, которые специализируются на наблюдении в соцсетях. Консолидированный ресурс позволил им одним щелчком отследить передвижения российских войск в ходе развертывания вдоль границы с Украиной. Выделить места обучения, дислокации, проживания военнослужащих, а также окружение, связи и маршруты передвижений. В ходе другого кейса аналогичным образом проводился контроль за атомной подводной лодкой КНР.
A6 продемонстрировали результаты мониторинга в районе расположения ЧВК «Вагнер» в РФ, на основе которого были выявлены командировки бойцов Ливию, Конго и другие точки. При этом Zignal давали и содержательную оценку активности пользователей в той или иной местности на основе публикаций в соцсетях, легко опровергая, к примеру, легенду об учениях.
Виртуозы шпионажа также показали, насколько уязвимы их собственные спецслужбы. Отмониторив штаб-квартиру АНБ в Форт-Мид, штат Мэриленд, и штаб-квартиру ЦРУ в Лэнгли, штат Вирджиния, операторы Anomaly Six смогли срисовать 183 устройства, посетившие обе локации, а также раскрыть их перемещения за рубежом по линии разведки. По возвращении в США одного из объектов контроля проследили прямо до дома.
Anomaly Six поставила на поток сбор данных о местоположении пользователей мобильных приложений, запущенный конвейер позволил им отслеживать сотни миллионов людей по всему миру онлайн. Для этих целей используют SDK, о широких возможностях которых мы не так давно писали. В свою очередь, Zignal Labs, имея эксклюзивную технологию парсинга, взяли фактически под контроль публичные коммуникации в Twitter.
A6 реализуют от 30 до 60 пингов местоположения на устройство в день, покрывая 230 миллионов устройств в день и добавляя в систему почти 2,5 триллиона локаций ежегодно. В отличие от конкурентов, собирающих местоположения через Bluetooth и Wi-Fi-соединения телефона, компания использует сеть GPS. Каждой локации соответствует пользовательский профиль из базы, включающей более чем 2 миллиардов записей личных данных, которыми пользователи делятся при регистрации в приложениях.
Интерфейс ПО визуализирует локаций пользователей в стиле Google Maps, осуществляя поиск как по заданному местоположению (району, городу или даже стране), так и в отношении конкретного абонента.
Очевидно, что декларируемые маркетинговые цели стартапа отставных военных никак не соотносятся c реальным функционалом. Поэтому не зря Командование специальных операций США перечислило A6 590 000 долларов в сентябре 2020 года, получив годовой доступ к коммерческому каналу телеметрии фирмы, а Zignal получили примерно 4 миллиона долларов за субподряд в интересах армии США.
При этом Anomaly Six на американском рынке далеко не единственные. И все они востребованы РУМО США, которое получает коммерчески доступные базы данных с местоположениями смартфонов без ордеров или прочих формальностей в режиме реального времени.
Как после этого жить? Обычным гражданам рекомендуем программно ограничить работу функций геолокации и применять их при необходимости. А спецслужбам, военным и чиновникам придется качественно перестороить работу с учетом новых элементов оперативной обстановки. Еще большими молодцами мы станем, если сами освоим технологию.
Но как мы предполагали, дело вовсе не в борьбе за демократию. Права человека - товар на рынке шпионских технологий, а Израиль вежливо попросили подвинуться.
Если применение Pegasus носило целевой характер и реализовывалось по линии спецслужб, то их американские коллеги Anomaly Six отслеживают до 3 миллиардов трубок по всему миру в моменте.
За несколько месяцев до начала спецоперации РФ на Украине компания объединилась с Zignal Labs, которые специализируются на наблюдении в соцсетях. Консолидированный ресурс позволил им одним щелчком отследить передвижения российских войск в ходе развертывания вдоль границы с Украиной. Выделить места обучения, дислокации, проживания военнослужащих, а также окружение, связи и маршруты передвижений. В ходе другого кейса аналогичным образом проводился контроль за атомной подводной лодкой КНР.
A6 продемонстрировали результаты мониторинга в районе расположения ЧВК «Вагнер» в РФ, на основе которого были выявлены командировки бойцов Ливию, Конго и другие точки. При этом Zignal давали и содержательную оценку активности пользователей в той или иной местности на основе публикаций в соцсетях, легко опровергая, к примеру, легенду об учениях.
Виртуозы шпионажа также показали, насколько уязвимы их собственные спецслужбы. Отмониторив штаб-квартиру АНБ в Форт-Мид, штат Мэриленд, и штаб-квартиру ЦРУ в Лэнгли, штат Вирджиния, операторы Anomaly Six смогли срисовать 183 устройства, посетившие обе локации, а также раскрыть их перемещения за рубежом по линии разведки. По возвращении в США одного из объектов контроля проследили прямо до дома.
Anomaly Six поставила на поток сбор данных о местоположении пользователей мобильных приложений, запущенный конвейер позволил им отслеживать сотни миллионов людей по всему миру онлайн. Для этих целей используют SDK, о широких возможностях которых мы не так давно писали. В свою очередь, Zignal Labs, имея эксклюзивную технологию парсинга, взяли фактически под контроль публичные коммуникации в Twitter.
A6 реализуют от 30 до 60 пингов местоположения на устройство в день, покрывая 230 миллионов устройств в день и добавляя в систему почти 2,5 триллиона локаций ежегодно. В отличие от конкурентов, собирающих местоположения через Bluetooth и Wi-Fi-соединения телефона, компания использует сеть GPS. Каждой локации соответствует пользовательский профиль из базы, включающей более чем 2 миллиардов записей личных данных, которыми пользователи делятся при регистрации в приложениях.
Интерфейс ПО визуализирует локаций пользователей в стиле Google Maps, осуществляя поиск как по заданному местоположению (району, городу или даже стране), так и в отношении конкретного абонента.
Очевидно, что декларируемые маркетинговые цели стартапа отставных военных никак не соотносятся c реальным функционалом. Поэтому не зря Командование специальных операций США перечислило A6 590 000 долларов в сентябре 2020 года, получив годовой доступ к коммерческому каналу телеметрии фирмы, а Zignal получили примерно 4 миллиона долларов за субподряд в интересах армии США.
При этом Anomaly Six на американском рынке далеко не единственные. И все они востребованы РУМО США, которое получает коммерчески доступные базы данных с местоположениями смартфонов без ордеров или прочих формальностей в режиме реального времени.
Как после этого жить? Обычным гражданам рекомендуем программно ограничить работу функций геолокации и применять их при необходимости. А спецслужбам, военным и чиновникам придется качественно перестороить работу с учетом новых элементов оперативной обстановки. Еще большими молодцами мы станем, если сами освоим технологию.
The Intercept
American Phone-Tracking Firm Demo'd Surveillance Powers by Spying on CIA and NSA
Anomaly Six claims to monitor the movements of billions of phones around the world and unmask spies with the press of a button.
Forwarded from Russian OSINT
📲 Google запускает функцию толерантной замены слов под названием "inclusive warnings"
Google внедряет в свои сервисы новую технологию распознавания и коррекции текста, которая заставит пользователя избегать использования определенных слов, призывая обойтись более толерантными формулировками без привязки к половой принадлежности, об этом пишет The Telegraph.
Технология под названием "inclusive warnings" будет использоваться как минимум в Google Docs, предлагая пользователю замену таких слов как "policeman" (полицейский) или "landlord" (владелец земли/объекта недвижимости) на что-то более нейтральное, так как эти слова намекают на гендерную принадлежность к мужчине или женщине. По мнению Google, лучшей заменой он видит слова "police officer" и "property owner".
Даже такие технические термины как материнская плата "motherboard" стали жертвами исправления технологии перевода и коррекции слов. Алгоритм считает недопустимым использование в словах "mother", так как это указывает на женский пол, а это уже заявка на нетолерантность к меньшинствам с английской буквой Х в паспорте.
"When Googling John F. Kennedy’s inauguration speech, Google suggests that it should be corrected to ‘for all humankind’ instead of ‘for all mankind"
Некоторые публичные критики уже высказывают своё недовольство в социальных сетях нововведениями компании Google. Директор правозащитной группы Big Brother Watch Силки Карло назвала inclusive warnings “глубоко навязчивой” технологией. Эксперты опасаются того, что навязывание как писать и какие слова использовать может привести к утрате важных смыслов для отдельных пользователей.
“Этот речевой контроль глубоко неуклюж, он жуткий и неправильный, усиливает предвзятость. Подобные агрессивные технологии подрывают частную жизнь, свободу выражения мнений и все большую свободу мысли” - делится размышлениями директор Big Brother Watch
👆Кроме того что Google читает и распознает каждое слово на своих сервисах, теперь вдобавок он ещё подскажет "как и что" писать собеседнику вместо вас.
“With Google’s new assistive writing tool, the company is not only reading every word you type but telling you what to type,” she noted.
Google внедряет в свои сервисы новую технологию распознавания и коррекции текста, которая заставит пользователя избегать использования определенных слов, призывая обойтись более толерантными формулировками без привязки к половой принадлежности, об этом пишет The Telegraph.
Технология под названием "inclusive warnings" будет использоваться как минимум в Google Docs, предлагая пользователю замену таких слов как "policeman" (полицейский) или "landlord" (владелец земли/объекта недвижимости) на что-то более нейтральное, так как эти слова намекают на гендерную принадлежность к мужчине или женщине. По мнению Google, лучшей заменой он видит слова "police officer" и "property owner".
Даже такие технические термины как материнская плата "motherboard" стали жертвами исправления технологии перевода и коррекции слов. Алгоритм считает недопустимым использование в словах "mother", так как это указывает на женский пол, а это уже заявка на нетолерантность к меньшинствам с английской буквой Х в паспорте.
"When Googling John F. Kennedy’s inauguration speech, Google suggests that it should be corrected to ‘for all humankind’ instead of ‘for all mankind"
Некоторые публичные критики уже высказывают своё недовольство в социальных сетях нововведениями компании Google. Директор правозащитной группы Big Brother Watch Силки Карло назвала inclusive warnings “глубоко навязчивой” технологией. Эксперты опасаются того, что навязывание как писать и какие слова использовать может привести к утрате важных смыслов для отдельных пользователей.
“Этот речевой контроль глубоко неуклюж, он жуткий и неправильный, усиливает предвзятость. Подобные агрессивные технологии подрывают частную жизнь, свободу выражения мнений и все большую свободу мысли” - делится размышлениями директор Big Brother Watch
👆Кроме того что Google читает и распознает каждое слово на своих сервисах, теперь вдобавок он ещё подскажет "как и что" писать собеседнику вместо вас.
“With Google’s new assistive writing tool, the company is not only reading every word you type but telling you what to type,” she noted.
А мы предупреждали, что VMware RCE может и будет эксплуатироваться.
Так и случилось, согласно данным Morphisec Labs, проиранская АРТ Rocket Kitten нацелился на непропатченные системы, используя недавно исправленную еще 6 апреля уязвимость VMware, чтобы получить первоначальный доступ для разворачивания бэкдора Core Impact в уязвимых системах.
Как мы сообщали, CVE-2022-22954 (с оценкой CVSS: 9,8) представляет собой критическую ошибку, связанную с уязвимостью удаленного выполнения кода (RCE) и затрагивающую VMware Workspace ONE Access и Identity Manager.
Используя уязвимость RCE, злоумышленник реализует наивысший привилегированный доступ к любым компонентам виртуализированного хоста и гостевой среды.
Зафиксированные цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для инсталляции полезной нагрузки следующего этапа - PowerTrash Loader, которая, в свою очередь, внедряет инструмент Core Impact в память для последующих действий.
И по факту хакеры получают широкие возможности управления идентификационными данными VMWare в сочетании с беспрепятственным удаленным доступом, что является отличным плацдармом для дальнейших разрушительных действий на объектах в различных отраслях.
Собственно, теперь вы понимаете, что мы имели в виду, когда упоминали сегодня об ответных мерах со стороны Ирана, которые могут последовать после отраженной массированной кибератаки.
Так и случилось, согласно данным Morphisec Labs, проиранская АРТ Rocket Kitten нацелился на непропатченные системы, используя недавно исправленную еще 6 апреля уязвимость VMware, чтобы получить первоначальный доступ для разворачивания бэкдора Core Impact в уязвимых системах.
Как мы сообщали, CVE-2022-22954 (с оценкой CVSS: 9,8) представляет собой критическую ошибку, связанную с уязвимостью удаленного выполнения кода (RCE) и затрагивающую VMware Workspace ONE Access и Identity Manager.
Используя уязвимость RCE, злоумышленник реализует наивысший привилегированный доступ к любым компонентам виртуализированного хоста и гостевой среды.
Зафиксированные цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для инсталляции полезной нагрузки следующего этапа - PowerTrash Loader, которая, в свою очередь, внедряет инструмент Core Impact в память для последующих действий.
И по факту хакеры получают широкие возможности управления идентификационными данными VMWare в сочетании с беспрепятственным удаленным доступом, что является отличным плацдармом для дальнейших разрушительных действий на объектах в различных отраслях.
Собственно, теперь вы понимаете, что мы имели в виду, когда упоминали сегодня об ответных мерах со стороны Ирана, которые могут последовать после отраженной массированной кибератаки.
Morphisec
VMWare Identity Manager Attack: New Backdoor Discovered
Morphisec Labs has discovered a new VMWare identity manager attack that delivers a sophisticated backdoor previously used by advanced cybercriminals.
͏Известный мотив рекламной кампании Coca-Cola теперь напевают вымогатели Stormous, которые ожидают выкупа от крупнейшего в мире производителя безалкогольных напитков.
Хакеры сообщили об успешной атаке на часть серверов американского производителя и анонсировали 161 ГБ украденных данных. Среди упомянутых файлов присутствуют документы, текстовые файлы с админскими аутентификационными данными (электронная почта и паролями), ZIP-архивы учетных записей и платежей, а такж другая конфиденциальная информация.
Coca-Cola подтвердила кибератаку на свою сеть, и в настоящее время она проводит собственное расследование, каких-либо негативных последствий в виде ransomware пока не обнаружено. Привлечены правоохранители.
Неожиданно удивила сумма выкупа, которая составила 1,65 биткойна или примерно 64 000 долларов США. Причем, впервые хакеры опубликовали перечень похищенных сведений.
Атака состоялась после того, как подписчика канала вымогателей проголосовали за очередную жертву, выбрав большинством голосов Coca-Cola (72% проголосовавших). Хакеры обещали DDoS, кражу исходного кода и клиентских сведений. Со слов хакеров, для взлома им потребовалось всего лишь несколько дней.
Если ранее исследователи высказывали сомнения относительно результатов недавних кампаний Stormous, то сейчас инцидент с Coca-Cola должен расставить все точки.
Хакеры сообщили об успешной атаке на часть серверов американского производителя и анонсировали 161 ГБ украденных данных. Среди упомянутых файлов присутствуют документы, текстовые файлы с админскими аутентификационными данными (электронная почта и паролями), ZIP-архивы учетных записей и платежей, а такж другая конфиденциальная информация.
Coca-Cola подтвердила кибератаку на свою сеть, и в настоящее время она проводит собственное расследование, каких-либо негативных последствий в виде ransomware пока не обнаружено. Привлечены правоохранители.
Неожиданно удивила сумма выкупа, которая составила 1,65 биткойна или примерно 64 000 долларов США. Причем, впервые хакеры опубликовали перечень похищенных сведений.
Атака состоялась после того, как подписчика канала вымогателей проголосовали за очередную жертву, выбрав большинством голосов Coca-Cola (72% проголосовавших). Хакеры обещали DDoS, кражу исходного кода и клиентских сведений. Со слов хакеров, для взлома им потребовалось всего лишь несколько дней.
Если ранее исследователи высказывали сомнения относительно результатов недавних кампаний Stormous, то сейчас инцидент с Coca-Cola должен расставить все точки.
Госдепартамент США в рамках программы Награда за правосудие предложили до 10 млн. американских расовых долларов за информацию о шести гражданах России, которых американцы называют членами APT Sandworm и сотрудниками ГРУ.
Безотносительно нашего мнения по поводу объективности выдвинутых ранее в отношении указанных лиц обвинений хочется задать один вопрос.
А как отнесется Госдеп к тому, что за членов APT Equation предложат пару миллионов кубометров газа с поставкой в октябре 2022 года?
Безотносительно нашего мнения по поводу объективности выдвинутых ранее в отношении указанных лиц обвинений хочется задать один вопрос.
А как отнесется Госдеп к тому, что за членов APT Equation предложат пару миллионов кубометров газа с поставкой в октябре 2022 года?
В коем веке Microsoft нашла критические уязвимости не только у себя, а еще и в операционной системе Linux.
Вчера специалисты из Редмонда раскрыли две уязвимости, которые могут позволить локальным злоумышленникам повышать привилегии в системах Linux для развертывания вредоносных программ, начиная от бэкдоров и заканчивая программами-вымогателями.
Эти уязвимости, получившие общее название Nimbuspwn, могут быть объединены в цепочку для получения привилегий суперпользователя в системах Linux, позволяя злоумышленникам развертывать полезную нагрузку и выполнять другие вредоносные действия посредством выполнения произвольного кода. Кроме того, уязвимости - отслеживаемые как CVE-2022-29799 и CVE-2022-29800 - также могут быть использованы в качестве вектора для корневого доступа при развертывании более сложных угроз, таких как ransomware.
Недостатки кроются в компоненте networkd-dispatcher - демоне, который отправляет изменения статуса соединения на машинах Linux. В частности, они связаны с комбинацией недостатков обхода каталога (CVE-2022-29799) и так называемой Time-of-check-time-of-use (TOCTOU) (CVE-2022-29800) - уязвимости состояния гонки, это когда приложению, настроенному для управления функциями в фиксированной последовательности, требуется выполнить две или более операций одновременно.
Таким образом первую уязвимость хакеры могут использовать, чтобы выйти из базового каталога «/etc/networkd-dispatcher», а вторую для замены сценариев, которые networkd-dispatcher считает принадлежащими root, на вредоносные сценарии по выбору злоумышленника. Чтобы убедиться, что Linux выполняет предоставленный злоумышленником вредоносный сценарий, а не легитимный, он запускает несколько сценариев, пока один из них не сработает.
В итоге, хакер с минимальным доступом к уязвимому рабочему столу может объединить эксплойты для этих уязвимостей, которые дают ему полный root.
В данной связи, пользователям networkd-dispatcher настоятельно рекомендуется обновиться до последней версии, чтобы уменьшить потенциальную угрозу, возникающую в результате использования уязвимостей.
Вчера специалисты из Редмонда раскрыли две уязвимости, которые могут позволить локальным злоумышленникам повышать привилегии в системах Linux для развертывания вредоносных программ, начиная от бэкдоров и заканчивая программами-вымогателями.
Эти уязвимости, получившие общее название Nimbuspwn, могут быть объединены в цепочку для получения привилегий суперпользователя в системах Linux, позволяя злоумышленникам развертывать полезную нагрузку и выполнять другие вредоносные действия посредством выполнения произвольного кода. Кроме того, уязвимости - отслеживаемые как CVE-2022-29799 и CVE-2022-29800 - также могут быть использованы в качестве вектора для корневого доступа при развертывании более сложных угроз, таких как ransomware.
Недостатки кроются в компоненте networkd-dispatcher - демоне, который отправляет изменения статуса соединения на машинах Linux. В частности, они связаны с комбинацией недостатков обхода каталога (CVE-2022-29799) и так называемой Time-of-check-time-of-use (TOCTOU) (CVE-2022-29800) - уязвимости состояния гонки, это когда приложению, настроенному для управления функциями в фиксированной последовательности, требуется выполнить две или более операций одновременно.
Таким образом первую уязвимость хакеры могут использовать, чтобы выйти из базового каталога «/etc/networkd-dispatcher», а вторую для замены сценариев, которые networkd-dispatcher считает принадлежащими root, на вредоносные сценарии по выбору злоумышленника. Чтобы убедиться, что Linux выполняет предоставленный злоумышленником вредоносный сценарий, а не легитимный, он запускает несколько сценариев, пока один из них не сработает.
В итоге, хакер с минимальным доступом к уязвимому рабочему столу может объединить эксплойты для этих уязвимостей, которые дают ему полный root.
В данной связи, пользователям networkd-dispatcher настоятельно рекомендуется обновиться до последней версии, чтобы уменьшить потенциальную угрозу, возникающую в результате использования уязвимостей.
Microsoft News
Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn
Microsoft has discovered several vulnerabilities, collectively referred to as Nimbuspwn, that could be chained together, allowing an attacker to elevate privileges to root on many Linux desktop endpoints. Leveraging Nimbuspwn as a vector for root access could…
Количество киберугроз на российские компании продолжает расти.
Что будет в 2022?
«По статистике 86% всех атак были направлены на организации, и если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Хакеры моментально собираются в команды из порой даже незнакомых людей, чтобы совершить быструю и массовую DDoS-атаку.
Проблема в том, что сценарии адаптированы под конкретную жертву, что повышает шансы на успешную кибератаку. Бизнесу приходится адаптироваться к этим условиям на ходу», - рассказал Директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Важно понимать, что жертвой атаки может стать любая компания, но последствия атаки зависят от заранее принятых мер по кибербезопасности.
На канале IT’s positive investing представлена актуальная и важная информация о кибербезопасности и грамотных инвестициях в перспективный сектор, который продолжает активно развиваться.
Подписывайтесь, чтобы узнавать все новости первыми!
Что будет в 2022?
«По статистике 86% всех атак были направлены на организации, и если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Хакеры моментально собираются в команды из порой даже незнакомых людей, чтобы совершить быструю и массовую DDoS-атаку.
Проблема в том, что сценарии адаптированы под конкретную жертву, что повышает шансы на успешную кибератаку. Бизнесу приходится адаптироваться к этим условиям на ходу», - рассказал Директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Важно понимать, что жертвой атаки может стать любая компания, но последствия атаки зависят от заранее принятых мер по кибербезопасности.
На канале IT’s positive investing представлена актуальная и важная информация о кибербезопасности и грамотных инвестициях в перспективный сектор, который продолжает активно развиваться.
Подписывайтесь, чтобы узнавать все новости первыми!
Telegram
IT's positive investing
Привет! Это Positive Technologies. В декабре 2021 мы вышли на Мосбиржу, тикер POSI. Рассказываем об инвестициях в кибербезопасность
Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b49b5b7aeb106ceff601f®istryType=bloggersPermission
#VNP18
Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b49b5b7aeb106ceff601f®istryType=bloggersPermission
#VNP18
Решения для разработки корпоративного программного обеспечения WSO2 подвержены критической уязвимости, которая использовалась в дикой природе.
WSO2 является крупнейшим в мире поставщиком интеграционных решений с открытым исходным кодом, которые могут быть эффективно использованы организациями с цифровым ведением бизнеса. Компания обладает гибридной платформой и предлагает комплексное решение, включающее более чем 20 продуктов.
Разработки компании используются многими крупными компаниями по всему миру, в том числе организациями из списка Fortune 500, в том числе eBay, Cisco, Boeing и др. С использованием технологий интеграции WSO2 выполняется более пяти триллионов транзакций ежегодно, реализуются критически-важные задачи.
Обнаруженная уязвимость отслеживается как CVE-2022-29464 и затрагивает продукты WSO2 API Manager, Identity Server, Enterprise Integrator и Open Banking. Ошибка была обнаружена Orange Tsai из DEVCORE. Исследователь описал ее как проблему с загрузкой произвольного файла, которая может привести к удаленному выполнению кода.
Из-за неправильной проверки пользовательского ввода злоумышленник может загрузить произвольный файл в контролируемое пользователем место на сервере. Используя уязвимость загрузки произвольных файлов, можно получить удаленное выполнение кода на сервере.
Технические подробности уязвимости раскрыты, доступен и PoC. Исследователи Rapid7 обнаружили попытки эксплуатации баги в дикой природе. Эксплуатация довольно проста, в связи с чем злоумышленники, по всей видимости, придерживаются первоначального эксплойта и сбрасывают веб-оболочки и майнеры на эксплуатируемые цели. Bad Packets также подтверждают наблюдения своих коллег.
В рекомендациях по CVE-2022-29464 поставщик отметил, что временные меры по снижению риска были уже доступны в январе 2022 года, а исправления вышли в феврале. Пользователям платформы WSO2 рекомендуется как можно скорее устранить уязвимость в соответствии с инструкциями, представленными в бюллетене WSO2.
WSO2 является крупнейшим в мире поставщиком интеграционных решений с открытым исходным кодом, которые могут быть эффективно использованы организациями с цифровым ведением бизнеса. Компания обладает гибридной платформой и предлагает комплексное решение, включающее более чем 20 продуктов.
Разработки компании используются многими крупными компаниями по всему миру, в том числе организациями из списка Fortune 500, в том числе eBay, Cisco, Boeing и др. С использованием технологий интеграции WSO2 выполняется более пяти триллионов транзакций ежегодно, реализуются критически-важные задачи.
Обнаруженная уязвимость отслеживается как CVE-2022-29464 и затрагивает продукты WSO2 API Manager, Identity Server, Enterprise Integrator и Open Banking. Ошибка была обнаружена Orange Tsai из DEVCORE. Исследователь описал ее как проблему с загрузкой произвольного файла, которая может привести к удаленному выполнению кода.
Из-за неправильной проверки пользовательского ввода злоумышленник может загрузить произвольный файл в контролируемое пользователем место на сервере. Используя уязвимость загрузки произвольных файлов, можно получить удаленное выполнение кода на сервере.
Технические подробности уязвимости раскрыты, доступен и PoC. Исследователи Rapid7 обнаружили попытки эксплуатации баги в дикой природе. Эксплуатация довольно проста, в связи с чем злоумышленники, по всей видимости, придерживаются первоначального эксплойта и сбрасывают веб-оболочки и майнеры на эксплуатируемые цели. Bad Packets также подтверждают наблюдения своих коллег.
В рекомендациях по CVE-2022-29464 поставщик отметил, что временные меры по снижению риска были уже доступны в январе 2022 года, а исправления вышли в феврале. Пользователям платформы WSO2 рекомендуется как можно скорее устранить уязвимость в соответствии с инструкциями, представленными в бюллетене WSO2.
Rapid7
Opportunistic Exploitation of WSO2 CVE-2022-29464 | Rapid7 Blog
Логическая ошибка в диспетчере пакетов по умолчанию для среды выполнения JavaScript Node.js открывала возможности для злоумышленников, позволявших выдавать мошеннические библиотеки за доверенные, вводя в заблуждение ничего не подозревающих разработчиков.
Основная фитча заключалась в том, что до недавнего времени NPM позволял добавлять любого в качестве сопровождающего пакета без уведомления этих пользователей или получения их согласия. Фактически злоумышленник мог создавать пакеты с вредоносными ПО и назначать авторитетных специалистов на их сопровождение без их ведома. При этом в качестве своего рода «гарантов» для фейковых пакетов выбирались владельцы уже известных и популярных среди разработчиков библиотек NPM.
Обнаружившие багу исследователи из компании Aqua назвали такую угрозу цепочке поставок «подсадкой пакетов».
В добавок к имеющейся, ресерчеры Aqua обнаружила еще две уязвимости в платформе NPM, связанные с двухфакторной аутентификацией (2FA), которыми можно было злоупотреблять для облегчения атак с захватом учетных записей и публикации вредоносных пакетов.
Сведения об ошибках были раскрыты 10 февраля, а 26 апреля NPM устранил причины возникавших проблем. Конечно же, разработчики несут ответственность за то, какие пакеты с открытым исходным кодом они используют при создании приложений.
Вместе с тем, после недавних инцидентов злонамеренной модификации кода со стороны владельцев пакетов, по нашему мнению, ответственность распределяется по всей цепочке зависимостей: доверяя, не забывай проверять.
Основная фитча заключалась в том, что до недавнего времени NPM позволял добавлять любого в качестве сопровождающего пакета без уведомления этих пользователей или получения их согласия. Фактически злоумышленник мог создавать пакеты с вредоносными ПО и назначать авторитетных специалистов на их сопровождение без их ведома. При этом в качестве своего рода «гарантов» для фейковых пакетов выбирались владельцы уже известных и популярных среди разработчиков библиотек NPM.
Обнаружившие багу исследователи из компании Aqua назвали такую угрозу цепочке поставок «подсадкой пакетов».
В добавок к имеющейся, ресерчеры Aqua обнаружила еще две уязвимости в платформе NPM, связанные с двухфакторной аутентификацией (2FA), которыми можно было злоупотреблять для облегчения атак с захватом учетных записей и публикации вредоносных пакетов.
Сведения об ошибках были раскрыты 10 февраля, а 26 апреля NPM устранил причины возникавших проблем. Конечно же, разработчики несут ответственность за то, какие пакеты с открытым исходным кодом они используют при создании приложений.
Вместе с тем, после недавних инцидентов злонамеренной модификации кода со стороны владельцев пакетов, по нашему мнению, ответственность распределяется по всей цепочке зависимостей: доверяя, не забывай проверять.
Aqua
Package Planting: Are You [Unknowingly] Maintaining Poisoned Packages?
Team Nautilus found a flaw in npm that allows attackers to perform package planting and masquerade a malicious package as legitimate to trick developers
Forwarded from SecurityLab.ru
Киев признал свою причастность к хакерским атакам против российских компаний
—Украинский вице-премьер-министр Михаил Федоров похвастал, что создал "первую в мире киберармию".
— Киев организовал свыше 660 кибератак против госучреждений и предприятий России и Белоруссии.
— На данный момент киберармия насчитывает 300 тысяч специалистов, которые через Telegram получают ежедневные задания.
https://www.securitylab.ru/news/531354.php
—Украинский вице-премьер-министр Михаил Федоров похвастал, что создал "первую в мире киберармию".
— Киев организовал свыше 660 кибератак против госучреждений и предприятий России и Белоруссии.
— На данный момент киберармия насчитывает 300 тысяч специалистов, которые через Telegram получают ежедневные задания.
https://www.securitylab.ru/news/531354.php
SecurityLab.ru
Киев признал свою причастность к хакерским атакам против российских компаний
Украина создала "первую в мире киберармию"
Google выпустила Chrome 101 с 30 исправлениями безопасности, в том числе для 25 уязвимостей, обнаруженных внешними исследователями безопасности.
Наиболее серьезная проблема, исправленная в новой версии - ошибка CVE-2022-1477, связанная с использованием после освобождения в 3D-графике и вычислении открытого стандарта Vulkan. О ней сообщил SeongHwan Park (SeHwa), который получил за нее вознаграждение в размере 10 000 долларов США.
В Chrome 101 также устранены 6 других серьезных недостатков, четыре из которых представляют собой уязвимости использования после освобождения, которые влияют на модуль 3D-рендеринга SwiftShader, серверную часть Angle WebGL, API устройства и компонент совместного использования.
Google заявляет, что выплатила по 7000 долларов в качестве вознаграждения за каждую уязвимость в SwiftShader и Angle, а также 6000 и 5000 долларов за проблемы, влияющие на Device API и Sharing соответственно.
Две другие серьезные ошибки, исправленные в последнем выпуске Chrome, — это баги неправильной реализации в WebGL и уязвимость переполнения буфера кучи в WebGPU. Об этих проблемах сообщили Кристоф Диль из Microsoft и Марк Бранд из Google Project Zero.
Компания за 15 из оставшихся проблем, найденных внешними исследователями, выплатила $82 000 в качестве вознаграждения, но окончательная сумма может быть больше, так как вознаграждение за одну уязвимость еще не определено.
Google не сообщает о каких-либо уязвимостях, которые использовались в дикой природе. Последняя версия Chrome теперь доступна для пользователей Windows, macOS и Linux как Chrome 101.0.4951.41.
Наиболее серьезная проблема, исправленная в новой версии - ошибка CVE-2022-1477, связанная с использованием после освобождения в 3D-графике и вычислении открытого стандарта Vulkan. О ней сообщил SeongHwan Park (SeHwa), который получил за нее вознаграждение в размере 10 000 долларов США.
В Chrome 101 также устранены 6 других серьезных недостатков, четыре из которых представляют собой уязвимости использования после освобождения, которые влияют на модуль 3D-рендеринга SwiftShader, серверную часть Angle WebGL, API устройства и компонент совместного использования.
Google заявляет, что выплатила по 7000 долларов в качестве вознаграждения за каждую уязвимость в SwiftShader и Angle, а также 6000 и 5000 долларов за проблемы, влияющие на Device API и Sharing соответственно.
Две другие серьезные ошибки, исправленные в последнем выпуске Chrome, — это баги неправильной реализации в WebGL и уязвимость переполнения буфера кучи в WebGPU. Об этих проблемах сообщили Кристоф Диль из Microsoft и Марк Бранд из Google Project Zero.
Компания за 15 из оставшихся проблем, найденных внешними исследователями, выплатила $82 000 в качестве вознаграждения, но окончательная сумма может быть больше, так как вознаграждение за одну уязвимость еще не определено.
Google не сообщает о каких-либо уязвимостях, которые использовались в дикой природе. Последняя версия Chrome теперь доступна для пользователей Windows, macOS и Linux как Chrome 101.0.4951.41.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 101 to the stable channel for Windows, Mac and Linux. This will roll out ov...
Conti тем временем пошифровали новую жертву из Перу.
На этот раз с ransomware познакомились сотрудники перуанской спецслужбы.
Национальное разведывательное управление располагается теперь на почетном месте DLS банды, ожидающий от секретной службы выкуп, пусть даже символического.
На этот раз с ransomware познакомились сотрудники перуанской спецслужбы.
Национальное разведывательное управление располагается теперь на почетном месте DLS банды, ожидающий от секретной службы выкуп, пусть даже символического.
Twitter
Gitworm
#Peru s Secret Service has been #pwned by #Conti #Ransomware.
Forwarded from Social Engineering
👨🏻💻 Картинки с секретом. Прячем информацию.
• Например, недавно была обнаружена фишинговая кампания, которая была нацелена на зарубежные организации в сфере недвижимости и гос. учреждения. Хакеры использовали сложную цепочку заражений, состоящую из документов Microsoft Word, менеджера пакетов Chocolatey и стеганографии.
• По классике, атака начиналась с рассылки фишинговых писем, которое содержало документ word с вредоносным макросом. Если жертва открывала этот документ, вредоносный макрос извлекал на ПК изображение, которое скрывает под собой PowerShell-скрипт. Скрипт грузит диспетчер пакетов Windows Chocolatey, который затем будет использован для установки Python и установщика пакетов PIP. Далее в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора, представляющего собой написанную на Python малварь. Когда скрипт полностью отработает, хакеры получают возможность удаленного управления зараженным устройством: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain
• Предлагаю попробовать изучить стеганографию в деле и перейти к практике использования определенных инструментов:
• Настоящие стеганографические утилиты не меняют размер файла. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt или тот же RAR.
• Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи. Твой S.E. #Стеганография
🖖🏻 Приветствую тебя user_name.
• Стеганография — впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе.• Например, недавно была обнаружена фишинговая кампания, которая была нацелена на зарубежные организации в сфере недвижимости и гос. учреждения. Хакеры использовали сложную цепочку заражений, состоящую из документов Microsoft Word, менеджера пакетов Chocolatey и стеганографии.
• По классике, атака начиналась с рассылки фишинговых писем, которое содержало документ word с вредоносным макросом. Если жертва открывала этот документ, вредоносный макрос извлекал на ПК изображение, которое скрывает под собой PowerShell-скрипт. Скрипт грузит диспетчер пакетов Windows Chocolatey, который затем будет использован для установки Python и установщика пакетов PIP. Далее в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора, представляющего собой написанную на Python малварь. Когда скрипт полностью отработает, хакеры получают возможность удаленного управления зараженным устройством: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain
• Предлагаю попробовать изучить стеганографию в деле и перейти к практике использования определенных инструментов:
• OpenStego — инструмент имеет поддержку шифрования AES, поддерживает различные плагины и совместим с такими ОС как Windows и Linux. Ознакомиться можно тут: https://github.com/syvaidya/openstego• SilentEye — софт обладает множеством плагинов и использует современные алгоритмы стеганографии и маскировки. Полное описание: https://achorein.github.io/silenteye/• imagejs — инструмент можно использовать только в ОС LInux. Однако софт позволяет создать картинки, которые одновременно представляют собой JavaScript - скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена. Вот тут на помощь приходит возможность загрузить туда аватарку, которая одновременно содержит JavaScript payload для дальнейшей атаки. Программа поддерживает внедрение в форматы BMP, GIF, WEBP, PNG и PDF. Подробнее: https://github.com/jklmnn/imagejs• Steghide — консольная утилита, которая скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. Инструмент умеет не просто упаковывать данные в картинку или трек, а еще и шифровать секретную нагрузку. Ознакомиться: https://github.com/StefanoDeVuono/steghide• CloakifyFactory — умеет маскировать что угодно не просто в картинках, а еще и в видео, музыке и даже программах. Особенность инструмента в том, что перед маскировкой нагрузки она кодируется в Base64.• Настоящие стеганографические утилиты не меняют размер файла. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt или тот же RAR.
• Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи. Твой S.E. #Стеганография
Ransomware-мошенники, если так можно назвать, шантажируют жертв, которые даже после выкупа не получают возможности восстановить пошифрованные данные.
Вымогатели Onyx в ходе атаки перезаписывают файлы объемом более 200 Мб случайными данными, вместо шифрования, по факту безвозвратно их уничтожают.
Вскрыть коварную тактику новой группы смогли исследователи MalwareHunterTeam. После изучения исходного кода ими установлено, что деструктивный характер шифрования Onyx является скорее преднамеренным, нежели ошибкой.
Кроме того, заметка о выкупе Onyx в основном является копипастом заметки Conti, впрочем как и сайт утечки, на котором новая группа уже разместила 6 жертв.
Как и большинство современных ransomware, хакеры Onyx крадут данные из сети перед шифрованием устройств. Затем эти данные используются в схемах двойного вымогательства, где они угрожают публично раскрыть данные, если выкуп не будет уплачен.
Но даже если жертва платит выкуп, дешифратор не способен восстанавливать зашифрованные файлы более 200 Мб, что у ресерчеров вызывает определенное беспокойство. Хотя беспокоиться должны сами злоумышленники, ведь дурная репутация оставить их без денег.
Исследователи, в свою очередь, не рекомендуют жертвам платить выкуп. Однако не стоить забывать об эксфильтрации данных, прежде всего объёмных, которые, возможно, могут быть использованы для большего давления, выступая в качестве товара, который жертвы могут вернуть за вознаграждение.
Пока же о такой схеме исследователи не сообщают: Onyx находится на стадии становления.
Вымогатели Onyx в ходе атаки перезаписывают файлы объемом более 200 Мб случайными данными, вместо шифрования, по факту безвозвратно их уничтожают.
Вскрыть коварную тактику новой группы смогли исследователи MalwareHunterTeam. После изучения исходного кода ими установлено, что деструктивный характер шифрования Onyx является скорее преднамеренным, нежели ошибкой.
Кроме того, заметка о выкупе Onyx в основном является копипастом заметки Conti, впрочем как и сайт утечки, на котором новая группа уже разместила 6 жертв.
Как и большинство современных ransomware, хакеры Onyx крадут данные из сети перед шифрованием устройств. Затем эти данные используются в схемах двойного вымогательства, где они угрожают публично раскрыть данные, если выкуп не будет уплачен.
Но даже если жертва платит выкуп, дешифратор не способен восстанавливать зашифрованные файлы более 200 Мб, что у ресерчеров вызывает определенное беспокойство. Хотя беспокоиться должны сами злоумышленники, ведь дурная репутация оставить их без денег.
Исследователи, в свою очередь, не рекомендуют жертвам платить выкуп. Однако не стоить забывать об эксфильтрации данных, прежде всего объёмных, которые, возможно, могут быть использованы для большего давления, выступая в качестве товара, который жертвы могут вернуть за вознаграждение.
Пока же о такой схеме исследователи не сообщают: Onyx находится на стадии становления.
Twitter
MalwareHunterTeam
There's one more ransomware gang: ONYX. Not have samples yet, only seen a note, which is mostly a copy-paste of Conti's note... 🤔
Популярный на хакерских площадках RIG Exploit Kit получил обновление и направлен на заражение компьютеров трояном RedLine Stealer.
Свою вредоносную деятельность эксплоит-пак начал еще в конце 2013 года и эксплуатировал уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight. А вот малварь RedLine Stealer была обнаружена в марте 2020 года. Зверюга крайне эффективная и способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и реквизиты криптовалютных кошельков.
При запуске троян выполняет разведку целевой системы включая имя пользователя, аппаратное обеспечение, установленные браузеры, антивирусное программное обеспечение, а затем передает данные на C&C.
Новая кампания с арсеналом эксплойтов, использует относительно свежую уязвимость Internet Explorer, исправленную Microsoft еще в прошлом году. Большинство случаев заражения приходится на Бразилию и Германию, за которыми следуют США, Египет, Канада, Китай и Польша.
Основной метод заражения, используемый злоумышленниками осуществляется через скомпрометированные веб-сайты, при посещении которых пользователи перенаправляются с помощью JS-скрипта, внедренного на скомпрометированную страницу с эксплойт-паком, чтобы в конечном итоге отправить полезную нагрузку RedLine Stealer для проведения последующих атак.
Уязвимость, о которой идет речь — это CVE-2021-26411 (оценка CVSS: 8,8) приводит к повреждению памяти в Internet Explorer. Для справки эта же бага использовалась в атаках северокорейскими APT.
Кроме того, образец RedLine Stealer, предоставленный в обновленном RIG Exploit Kit, упакован в несколько уровней шифрования, чтобы избежать обнаружения и распаковка вредоносного ПО проходит целых шесть этапов.
Отчет об угрозах предоставил румынский разработчик антивирусов, файрволов и корпоративных средств защиты Bitdefender, но даже эти демоны ограничили доступ к своему ресурсы.
Свою вредоносную деятельность эксплоит-пак начал еще в конце 2013 года и эксплуатировал уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight. А вот малварь RedLine Stealer была обнаружена в марте 2020 года. Зверюга крайне эффективная и способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и реквизиты криптовалютных кошельков.
При запуске троян выполняет разведку целевой системы включая имя пользователя, аппаратное обеспечение, установленные браузеры, антивирусное программное обеспечение, а затем передает данные на C&C.
Новая кампания с арсеналом эксплойтов, использует относительно свежую уязвимость Internet Explorer, исправленную Microsoft еще в прошлом году. Большинство случаев заражения приходится на Бразилию и Германию, за которыми следуют США, Египет, Канада, Китай и Польша.
Основной метод заражения, используемый злоумышленниками осуществляется через скомпрометированные веб-сайты, при посещении которых пользователи перенаправляются с помощью JS-скрипта, внедренного на скомпрометированную страницу с эксплойт-паком, чтобы в конечном итоге отправить полезную нагрузку RedLine Stealer для проведения последующих атак.
Уязвимость, о которой идет речь — это CVE-2021-26411 (оценка CVSS: 8,8) приводит к повреждению памяти в Internet Explorer. Для справки эта же бага использовалась в атаках северокорейскими APT.
Кроме того, образец RedLine Stealer, предоставленный в обновленном RIG Exploit Kit, упакован в несколько уровней шифрования, чтобы избежать обнаружения и распаковка вредоносного ПО проходит целых шесть этапов.
Отчет об угрозах предоставил румынский разработчик антивирусов, файрволов и корпоративных средств защиты Bitdefender, но даже эти демоны ограничили доступ к своему ресурсы.
Bitdefender Labs
RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign
At the start of the year, Bitdefender noticed a RIG Exploit Kit campaign using CVE-2021-26411 exploits found in Internet Explorer to deliver RedLine Stealer, a low-cost password stealer sold on underground forums.
Специалисты в области облачной безопасности Wiz, раскрывшие схему глобального шпионажа на основе уязвимостей DNSaaS, на этот раз порадовали новыми результатами исследований, обнаружив критические уязвимости в облачных сервисах Microsoft.
Выявленные баги в совокупности отслеживаются как ExtraReplica (ошибки затрагивают облачные сервисы, идентификаторы CVE не назначались) — название связано с тем, что уязвимости затрагивали функцию репликации базы данных. Они затрагивают базу данных Azure для гибкого сервера PostgreSQL — полностью управляемую базу данных как услугу PostgreSQL.
Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов.
Ресерчеры уведомили об уязвимостях Microsoft 11 января 2022 года, в течение 48 часов разработчики исправили проблемы, выплатив 40 000 долларов США специалистам, обнаружившим багу, в качестве вознаграждения.
По результатам собственного расследования, Microsoft не смогли обнаружить злонамеренной эксплуатации уязвимостей в дикой природе, впрочем как понять сколько баз данных было подвержено уязвимостям. По мнению Wiz, клиенты Azure для гибкого сервера PostgreSQL в любом регионе, настроенном на доступ к общедоступной сети, независимо от правил брандмауэра, были уязвимы. При этом ошибка не распространялось на экземпляры с одним сервером или гибкие серверы с явной конфигурацией сети виртуальной сети.
Исследователи выявили две уязвимости: недостаток повышения привилегий и обход аутентификации между учетными записями с использованием поддельного сертификата.
В ходе атаки ExtraReplica злоумышленнику для начала необходимо идентифицировать целевой экземпляр PostgreSQL Flexible Server и получить его общее имя и уникальный идентификатор из служб прозрачности сертификатов. Затем добыть специально созданный сертификат с поддельным общим именем, совпадающим с именем цели.
На следующем этапе злоумышленник должен определить целевой регион Azure, сопоставив IP-адрес домена базы данных с общедоступными диапазонами IP-адресов Azure, и создать базу данных в этом регионе.
Только после этого хакер мог использовать первую уязвимость в своем собственном экземпляре, чтобы повысить привилегии и добиться выполнения произвольного кода, получая возможность сканировать подсеть в поисках целевого экземпляра и эксплуатации уязвимости обхода аутентификации для обеспечения доступа к чтению в целевой базе данных с конфиденциальными данными.
Наглядно атака ExtraReplica представлена в демонстрационном видео.
Выявленные баги в совокупности отслеживаются как ExtraReplica (ошибки затрагивают облачные сервисы, идентификаторы CVE не назначались) — название связано с тем, что уязвимости затрагивали функцию репликации базы данных. Они затрагивают базу данных Azure для гибкого сервера PostgreSQL — полностью управляемую базу данных как услугу PostgreSQL.
Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов.
Ресерчеры уведомили об уязвимостях Microsoft 11 января 2022 года, в течение 48 часов разработчики исправили проблемы, выплатив 40 000 долларов США специалистам, обнаружившим багу, в качестве вознаграждения.
По результатам собственного расследования, Microsoft не смогли обнаружить злонамеренной эксплуатации уязвимостей в дикой природе, впрочем как понять сколько баз данных было подвержено уязвимостям. По мнению Wiz, клиенты Azure для гибкого сервера PostgreSQL в любом регионе, настроенном на доступ к общедоступной сети, независимо от правил брандмауэра, были уязвимы. При этом ошибка не распространялось на экземпляры с одним сервером или гибкие серверы с явной конфигурацией сети виртуальной сети.
Исследователи выявили две уязвимости: недостаток повышения привилегий и обход аутентификации между учетными записями с использованием поддельного сертификата.
В ходе атаки ExtraReplica злоумышленнику для начала необходимо идентифицировать целевой экземпляр PostgreSQL Flexible Server и получить его общее имя и уникальный идентификатор из служб прозрачности сертификатов. Затем добыть специально созданный сертификат с поддельным общим именем, совпадающим с именем цели.
На следующем этапе злоумышленник должен определить целевой регион Azure, сопоставив IP-адрес домена базы данных с общедоступными диапазонами IP-адресов Azure, и создать базу данных в этом регионе.
Только после этого хакер мог использовать первую уязвимость в своем собственном экземпляре, чтобы повысить привилегии и добиться выполнения произвольного кода, получая возможность сканировать подсеть в поисках целевого экземпляра и эксплуатации уязвимости обхода аутентификации для обеспечения доступа к чтению в целевой базе данных с конфиденциальными данными.
Наглядно атака ExtraReplica представлена в демонстрационном видео.
wiz.io
Wiz Research discovers "ExtraReplica"— a cross-account database vulnerability in Azure PostgreSQL | Wiz Blog
Wiz Research discovers a chain of critical vulnerabilities in the widely used Azure Database for PostgreSQL Flexible Server.
Synology предупредила клиентов об уязвимости ее сетевых хранилищ NAS перед атаками с использованием критических уязвимостей Netatalk.
Netatalk — это реализация с открытым исходным кодом AFP (сокращение от Apple Filing Protocol), которая позволяет системам с *NIX/*BSD выступать в качестве файловых серверов AppleShare (AFP) для клиентов macOS (т. е. получать доступ к файлам, хранящимся на устройствах Synology NAS).
К настоящему моменту Synology работают над тремя критическими ошибками (CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194), которые также позволяют злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на устройствах.
Ошибки позволяют удаленным злоумышленникам получать конфиденциальную информацию и, потенциально, выполнять произвольный код в Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).
Впервые уязвимостью в системе безопасности CVE-2022-23121 с оценкой серьезности 9,8 воспользовались EDG группы NCC для удаленного выполнения кода без аутентификации на сетевом хранилище Western Digital PR4100 с прошивкой My Cloud OS в рамках Pwn2Own 2021. Спустя три месяца команда разработчиков Netatalk исправила ошибки безопасности, выпустив 22 марта версию 3.1.1.
Однако производители еще не успели выпустить исправления для своих продуктов.
Synology обещают выпустить исправления в срок, не превышающий 90 дней, а для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уязвимости Netatalk уже исправлены.
Куда хуже дела обстоят у QNAP, уязвимости Netatalk затрагивают несколько версий операционной системы QTS и QuTS, а также QuTScloud, оптимизированную для облачных вычислений операционную систему NAS компании.
Специалисты при этом также работают не только над исправлениями Netatalk, но и над Dirty Pipe и уязвимостями OpenSSL.
В виду неизбежности производитель призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности.
П - поддержка.
Netatalk — это реализация с открытым исходным кодом AFP (сокращение от Apple Filing Protocol), которая позволяет системам с *NIX/*BSD выступать в качестве файловых серверов AppleShare (AFP) для клиентов macOS (т. е. получать доступ к файлам, хранящимся на устройствах Synology NAS).
К настоящему моменту Synology работают над тремя критическими ошибками (CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194), которые также позволяют злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на устройствах.
Ошибки позволяют удаленным злоумышленникам получать конфиденциальную информацию и, потенциально, выполнять произвольный код в Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).
Впервые уязвимостью в системе безопасности CVE-2022-23121 с оценкой серьезности 9,8 воспользовались EDG группы NCC для удаленного выполнения кода без аутентификации на сетевом хранилище Western Digital PR4100 с прошивкой My Cloud OS в рамках Pwn2Own 2021. Спустя три месяца команда разработчиков Netatalk исправила ошибки безопасности, выпустив 22 марта версию 3.1.1.
Однако производители еще не успели выпустить исправления для своих продуктов.
Synology обещают выпустить исправления в срок, не превышающий 90 дней, а для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уязвимости Netatalk уже исправлены.
Куда хуже дела обстоят у QNAP, уязвимости Netatalk затрагивают несколько версий операционной системы QTS и QuTS, а также QuTScloud, оптимизированную для облачных вычислений операционную систему NAS компании.
Специалисты при этом также работают не только над исправлениями Netatalk, но и над Dirty Pipe и уязвимостями OpenSSL.
В виду неизбежности производитель призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности.
П - поддержка.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.