Всегда интересны атаки за которые во многих странах по сути и предъявить то нечего. Хакеры заработали, а проблемы потерпевших юридически не особо то урегулированы.
Речь идет о киберпреступниках, управляющих ботнетом Clipminer, которые на сегодняшний день сколотили состояние не менее 1,7 млн долларов на хищении криптовалютных активов добытых в результате майнинга.
А проблемы майнеров, которые не особо то афишируют свои доходы перед общественностью, на сегодняшний день мало кого интересуют, если только налоговые органы.
Согласно исследованию специалистов по безопасности из Symantec малварь обнаружена примерно в январе 2021 года и распространяется через взломанное или пиратское программное обеспечение с вредоносом на борту.
Причем Clipminer очень похож на троян для криптомайнинга KryptoCibule, что отчасти предполагает эволюцию последнего после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
Особенностью Clipminer является, то что он управляется через TOR и отслеживает все действия с клавиатурой и мышью на хосте, а также проверяет запущенные процессы для выявления любых инструментов анализа.
Когда на хосте нет активности, предполагается, что пользователь отсутствует и Clipminer запускает майнер XMRig Monero, настроенный на использование всех доступных потоков ЦП. Поскольку машина не контролируется, соответственно нет риска замедления производительности системы, которое могло бы привести к обнаружению.
Но самая фишка это то, что параллельно вредонос постоянно отслеживает буфер обмена на наличие скопированных криптовалютных адресов и на лету заменяет их другими, принадлежащими злоумышленнику.
Исследователи выявили в общей сложности 4375 уникальных криптокошельков во вредоносном ПО, 3677 из которых используются только для трех разных форматов биткойн-адресов.
В общей сложности кошельки злоумышленников пополнились как минимум на 34,3 биткойна и 129,9 эфира, а также некоторые другие средства были переведены через миксеры для сокрытия транзакции.
Так что только от захвата буфера обмена операторы Clipminer заработали под 1,7 миллиона долларов. Как не редко говорят в миру - тупо, но сытно.
Речь идет о киберпреступниках, управляющих ботнетом Clipminer, которые на сегодняшний день сколотили состояние не менее 1,7 млн долларов на хищении криптовалютных активов добытых в результате майнинга.
А проблемы майнеров, которые не особо то афишируют свои доходы перед общественностью, на сегодняшний день мало кого интересуют, если только налоговые органы.
Согласно исследованию специалистов по безопасности из Symantec малварь обнаружена примерно в январе 2021 года и распространяется через взломанное или пиратское программное обеспечение с вредоносом на борту.
Причем Clipminer очень похож на троян для криптомайнинга KryptoCibule, что отчасти предполагает эволюцию последнего после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
Особенностью Clipminer является, то что он управляется через TOR и отслеживает все действия с клавиатурой и мышью на хосте, а также проверяет запущенные процессы для выявления любых инструментов анализа.
Когда на хосте нет активности, предполагается, что пользователь отсутствует и Clipminer запускает майнер XMRig Monero, настроенный на использование всех доступных потоков ЦП. Поскольку машина не контролируется, соответственно нет риска замедления производительности системы, которое могло бы привести к обнаружению.
Но самая фишка это то, что параллельно вредонос постоянно отслеживает буфер обмена на наличие скопированных криптовалютных адресов и на лету заменяет их другими, принадлежащими злоумышленнику.
Исследователи выявили в общей сложности 4375 уникальных криптокошельков во вредоносном ПО, 3677 из которых используются только для трех разных форматов биткойн-адресов.
В общей сложности кошельки злоумышленников пополнились как минимум на 34,3 биткойна и 129,9 эфира, а также некоторые другие средства были переведены через миксеры для сокрытия транзакции.
Так что только от захвата буфера обмена операторы Clipminer заработали под 1,7 миллиона долларов. Как не редко говорят в миру - тупо, но сытно.
Security
Clipminer Botnet Makes Operators at Least $1.7 Million
Malware used for cryptocurrency mining and clipboard hijacking.
Начнем неделю с плохой и хорошей новости.
Плохая: выпущен PoC-эксплойт для ошибки RCE в Atlassian Confluence, демонстрирующий как создавать новые учетные записи администраторов, принудительно запрашивать DNS, собирать информацию и внедрять обратные оболочки.
CVE-2022-26134 представляет собой критическую уязвимость удаленного выполнения кода без проверки подлинности, которая используется посредством внедрения OGNL и затрагивает все серверы Atlassian Confluence и Data Center 2016 после версии 1.3.0.
Уязвимость была раскрыта на прошлой неделе в ходе расследования компьютерных инцидентов специалистами Volexity, которые в виду отсутствия патча сразу посоветовали пользователям отключить уязвимое оборудование от сети.
Успешная эксплуатация позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, создавать новые учетные записи администраторов, выполнять команды и, в конечном итоге, захватывать сервер.
Хорошая новость: Atlassian выпустила обновления в версиях ПО 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1, которые содержат исправление для активно эксплуатируемой проблемы. Кроме того, производитель предоставил меры по устранению проблем для Confluence с 7.0.0 до версии 7.18.0.
По данным GreyNoise, на момент выхода патча их специалисты выявили 23 уникальных IP-адреса, использующих уязвимости Atlassian, а к настоящему времени их число увеличилось до 211 уникальных адресов. Так что если вы до сих откладывали обновление своих экземпляров, то вполне можете рассчитывать на тесное знакомство с брокерами первоначального доступа или вымогателями.
Плохая: выпущен PoC-эксплойт для ошибки RCE в Atlassian Confluence, демонстрирующий как создавать новые учетные записи администраторов, принудительно запрашивать DNS, собирать информацию и внедрять обратные оболочки.
CVE-2022-26134 представляет собой критическую уязвимость удаленного выполнения кода без проверки подлинности, которая используется посредством внедрения OGNL и затрагивает все серверы Atlassian Confluence и Data Center 2016 после версии 1.3.0.
Уязвимость была раскрыта на прошлой неделе в ходе расследования компьютерных инцидентов специалистами Volexity, которые в виду отсутствия патча сразу посоветовали пользователям отключить уязвимое оборудование от сети.
Успешная эксплуатация позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, создавать новые учетные записи администраторов, выполнять команды и, в конечном итоге, захватывать сервер.
Хорошая новость: Atlassian выпустила обновления в версиях ПО 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1, которые содержат исправление для активно эксплуатируемой проблемы. Кроме того, производитель предоставил меры по устранению проблем для Confluence с 7.0.0 до версии 7.18.0.
По данным GreyNoise, на момент выхода патча их специалисты выявили 23 уникальных IP-адреса, использующих уязвимости Atlassian, а к настоящему времени их число увеличилось до 211 уникальных адресов. Так что если вы до сих откладывали обновление своих экземпляров, то вполне можете рассчитывать на тесное знакомство с брокерами первоначального доступа или вымогателями.
Twitter
Andrew Morris @ RSA
Widespread Atlassian Confluence CVE-2022-26134 exploitation, specifically that is *confirmed functional*, has just started. 23 unique IPs so far. -Tags available to all @GreyNoiseIO users now - Create an account to deploy a dynamic block list to block it…
GitLab выпустила обновление нескольких версий Community и Enterprise Edition для устранения восьми уязвимостей, одна из которых критическая и позволяет захватить учетную запись владельца репозитория разработчика, и фактически доступ к проектам и исходникам.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
GitLab
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Learn more about GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Гонения на Израиль в киберпространстве не сбавляет своих оборотов. В этот раз в Microsoft заявили, что обнаружили вредоносную инфраструктуру в облаке OneDrive в Ливане, нацеленную на израильские организации.
По мнению технологического гиганта за инфраструктурой стоит, неизвестная ранее кибергруппировка Polonium, которая за последние три месяца совершила атаки на более чем 20 организаций в Израиле, а также на одну межправительственную организацию, действующую в Ливане.
Кроме того, на основе виктимологии и дублировании инструментов и методов специалисты считают, что Polonium прямо или опосредованно сотрудничает с Министерством разведки и безопасности Ирана (MOIS). Такое сотрудничество неудивительно, учитывая, что правительство Ирана в течение нескольких лет использовало третьи стороны для проведения своих киберопераций.
Учитывая сугубо шпионский и враждебный характер деятельности проправительственной кибергруппировки, целевые сектора атак очевидны и включают критически важное производство, оборонную промышленность, продовольствие и сельское хозяйство, финансовые системы, государственные учреждения, здравоохранение, ИТ, транспортные системы и многое другое.
Не так давно Polonium скомпрометировал поставщика облачных услуг и использовал его для атаки на цепочку поставок авиационной компании. Кроме того, по словам Microsoft, многие из целевых производственных компаний сотрудничают с оборонной промышленностью Израиля.
По наблюдениям специалистов, Polonium преимущественно создает и использует OneDrive и Dropbox для управления C2 в своих атаках, а также для развертывания пользовательских имплантатов. Из последнего был обнаружен CreepyDrive, который обеспечивает базовую функциональность, позволяющую злоумышленнику выгружать украденные данные и загружать файлы для установки.
Причем CreepyDrive не имеет идентификатора и, вероятно, злоумышленником используются разные учетные записи OneDrive в качестве C2 для каждой жертвы.
Паралельно с CreepyDrive хакеры используют собственный бэкдор на PowerShell CreepySnail, после развертывания в целевой сети которого малварь пытается пройти аутентификацию с использованием украденных учетных данных и подключиться к C2 для дальнейших действий.
В Microsoft заявили, что пока доподлинно непонятен первоначальный вектор заражения, используемый Polonium. Однако большинство выявленных жертв использовали устройства Fortinet, что предполагает использование злоумышленниками уязвимости CVE-2018-13379 для компрометации.
Судя по совпадению жертв у Microsoft нет никаких сомнений о сотрудничестве Polonium с MOIS, которое могло предоставить хакерам доступ к скомпрометированным сетям. Так, что в ближайшем будущем ожидаем более предметную развязку этого киберпротивостояния.
По мнению технологического гиганта за инфраструктурой стоит, неизвестная ранее кибергруппировка Polonium, которая за последние три месяца совершила атаки на более чем 20 организаций в Израиле, а также на одну межправительственную организацию, действующую в Ливане.
Кроме того, на основе виктимологии и дублировании инструментов и методов специалисты считают, что Polonium прямо или опосредованно сотрудничает с Министерством разведки и безопасности Ирана (MOIS). Такое сотрудничество неудивительно, учитывая, что правительство Ирана в течение нескольких лет использовало третьи стороны для проведения своих киберопераций.
Учитывая сугубо шпионский и враждебный характер деятельности проправительственной кибергруппировки, целевые сектора атак очевидны и включают критически важное производство, оборонную промышленность, продовольствие и сельское хозяйство, финансовые системы, государственные учреждения, здравоохранение, ИТ, транспортные системы и многое другое.
Не так давно Polonium скомпрометировал поставщика облачных услуг и использовал его для атаки на цепочку поставок авиационной компании. Кроме того, по словам Microsoft, многие из целевых производственных компаний сотрудничают с оборонной промышленностью Израиля.
По наблюдениям специалистов, Polonium преимущественно создает и использует OneDrive и Dropbox для управления C2 в своих атаках, а также для развертывания пользовательских имплантатов. Из последнего был обнаружен CreepyDrive, который обеспечивает базовую функциональность, позволяющую злоумышленнику выгружать украденные данные и загружать файлы для установки.
Причем CreepyDrive не имеет идентификатора и, вероятно, злоумышленником используются разные учетные записи OneDrive в качестве C2 для каждой жертвы.
Паралельно с CreepyDrive хакеры используют собственный бэкдор на PowerShell CreepySnail, после развертывания в целевой сети которого малварь пытается пройти аутентификацию с использованием украденных учетных данных и подключиться к C2 для дальнейших действий.
В Microsoft заявили, что пока доподлинно непонятен первоначальный вектор заражения, используемый Polonium. Однако большинство выявленных жертв использовали устройства Fortinet, что предполагает использование злоумышленниками уязвимости CVE-2018-13379 для компрометации.
Судя по совпадению жертв у Microsoft нет никаких сомнений о сотрудничестве Polonium с MOIS, которое могло предоставить хакерам доступ к скомпрометированным сетям. Так, что в ближайшем будущем ожидаем более предметную развязку этого киберпротивостояния.
Microsoft News
Exposing POLONIUM activity and infrastructure targeting Israeli organizations
Microsoft successfully detected and disabled attack activity abusing OneDrive by a previously undocumented Lebanon-based activity group Microsoft Threat Intelligence Center (MSTIC) tracks as POLONIUM.
͏FollinaGate набирает обороты. Как мы и предполагали, ошибкой Microsoft уже воспользовались АРТ для нападения на правительственные учреждения в Европе и США.
Как известно 0-day Follina, реализует схему URI протокола ms-msdt для удаленного управления целевыми устройствами. Разработчик с самого начала пытался замять проблему, однако после общественного резонанса Microsoft пришлось подсуетиться, правда пока только на бумаге, как говориться.
Экстренно ситуацию исправлять пришлось частным специалистам: 0patch выпустила неофициальное исправление для блокировки продолжающихся атак на системы Windows, нацеленных на баги Microsoft Windows Support Diagnostic Tool (MSDT).
О новой компании с использованием уязвимости RCE CVE-2022-30190 (c оценкой по CVSS: 7,8) сообщили ресерчеры Proofpoint, которые обнаружили в ходе мониторинга и заблокировали более 1000 фишинговых сообщений с вложением вредоносного RTF-документа с тематикой повышения зарплаты. При этом экплойт подгружался в качестве полезной нагрузки с 45.76.53[.]253.
Полезная нагрузка реализована в форме сценария PowerShell с кодировкой Base64 и выполняет функцию загрузчка второго сценария PowerShell с удаленного сервера seller-notification[.]live.
Скрипт при этом проверяет наличие виртуализации, крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку машины, а затем архивирует для эксфильтрации по адресу 45.77.156[.]179.
После внимательного изучения поведения широких разведывательных возможностей полезной нагрузки PowerShell второго уровня и анализа специфики таргетинга, Proofpoint пришли к ожидаемому выводу о причастности к кампании прогосударственной АРТ.
Не называя имен, но жирно намекая на понятных исполнителей, статьи о которых спешно печатают западные издания. Хотя нам не до конца понятно, при такой атрибуции.
Как известно 0-day Follina, реализует схему URI протокола ms-msdt для удаленного управления целевыми устройствами. Разработчик с самого начала пытался замять проблему, однако после общественного резонанса Microsoft пришлось подсуетиться, правда пока только на бумаге, как говориться.
Экстренно ситуацию исправлять пришлось частным специалистам: 0patch выпустила неофициальное исправление для блокировки продолжающихся атак на системы Windows, нацеленных на баги Microsoft Windows Support Diagnostic Tool (MSDT).
О новой компании с использованием уязвимости RCE CVE-2022-30190 (c оценкой по CVSS: 7,8) сообщили ресерчеры Proofpoint, которые обнаружили в ходе мониторинга и заблокировали более 1000 фишинговых сообщений с вложением вредоносного RTF-документа с тематикой повышения зарплаты. При этом экплойт подгружался в качестве полезной нагрузки с 45.76.53[.]253.
Полезная нагрузка реализована в форме сценария PowerShell с кодировкой Base64 и выполняет функцию загрузчка второго сценария PowerShell с удаленного сервера seller-notification[.]live.
Скрипт при этом проверяет наличие виртуализации, крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку машины, а затем архивирует для эксфильтрации по адресу 45.77.156[.]179.
После внимательного изучения поведения широких разведывательных возможностей полезной нагрузки PowerShell второго уровня и анализа специфики таргетинга, Proofpoint пришли к ожидаемому выводу о причастности к кампании прогосударственной АРТ.
Не называя имен, но жирно намекая на понятных исполнителей, статьи о которых спешно печатают западные издания. Хотя нам не до конца понятно, при такой атрибуции.
Интересное замечание - Twitter-обзорщики российско-украинского киберпротивостояния обращают внимание на то, что Telegram-канал DumpForums, на котором якобы вещает хакер, ломающий российские государственные ресурсы, был создан 2 января этого года и до вчерашнего дня на нем не было ни одного сообщения.
Напоминаем, что вчера DumpForums отдефейсил(и) сайт Минстроя РФ и якобы зарансомил(и) министерство на 0,5 BTC за то, чтобы не вбрасывать украденные данные.
Полуфабрикаты полезли. Никто ни к чему не готовился, что вы, оно само (сарказм).
Напоминаем, что вчера DumpForums отдефейсил(и) сайт Минстроя РФ и якобы зарансомил(и) министерство на 0,5 BTC за то, чтобы не вбрасывать украденные данные.
Полуфабрикаты полезли. Никто ни к чему не готовился, что вы, оно само (сарказм).
Как бы вульгарно не звучало, но загрузчик операционной системы U-Boot, а если быть более корректным Das U-Boot, ориентированный на встроенные устройства архитектур MIPS, PowerPC, ARM и другие под ОС Linux подвержен двум критическим уязвимостям.
О проблемах сообщили исследователи кибербезопасности из NCC Group, которые обнаружили ошибки в алгоритме дефрагментации IP-адресов, реализованном в U-Boot.
Как говорят специалисты уязвимости могут быть использованы для осуществления произвольной записи за пределами допустимого диапазона (CVE-2022-30790 CVSS: 9,6), что может позволить злоумышленнику получить root права, а также для переполнения буфера (CVE-2022-30552 оценка CVSS: 7,1), приводящего к отказу в обслуживании (DoS).
Масштаб угроз достаточно приличный, так как U-Boot используется в таких системах как ChromeOS, а также в устройствах для чтения электронных книг, например в Amazon Kindle и Kobo eReader. Да, баги могут позволить злоумышленнику получить root-права на устройствах и привести к отказу в обслуживании, создав искаженный пакет. Однако ситуацию смягчает тот факт, что обе уязвимости можно использовать только из локальной сети.
Исправления находятся в разработке, но исследователи решили раскрыть подробности об ошибках до выпуска исправлений, так как процесс раскрытия уязвимостей в U-Boot осуществляется публично через их список рассылки. Ожидается, что недочеты U-boot будут исправлены в грядущем патче, после чего пользователям рекомендуется обновиться до последней версии.
Так что скрестим пальцы в ожидании обновлений и будем надеяться, что до этой поры представители теневого закулисья по быстрому не придумают как использовать эти уязвимости в своих целях.
О проблемах сообщили исследователи кибербезопасности из NCC Group, которые обнаружили ошибки в алгоритме дефрагментации IP-адресов, реализованном в U-Boot.
Как говорят специалисты уязвимости могут быть использованы для осуществления произвольной записи за пределами допустимого диапазона (CVE-2022-30790 CVSS: 9,6), что может позволить злоумышленнику получить root права, а также для переполнения буфера (CVE-2022-30552 оценка CVSS: 7,1), приводящего к отказу в обслуживании (DoS).
Масштаб угроз достаточно приличный, так как U-Boot используется в таких системах как ChromeOS, а также в устройствах для чтения электронных книг, например в Amazon Kindle и Kobo eReader. Да, баги могут позволить злоумышленнику получить root-права на устройствах и привести к отказу в обслуживании, создав искаженный пакет. Однако ситуацию смягчает тот факт, что обе уязвимости можно использовать только из локальной сети.
Исправления находятся в разработке, но исследователи решили раскрыть подробности об ошибках до выпуска исправлений, так как процесс раскрытия уязвимостей в U-Boot осуществляется публично через их список рассылки. Ожидается, что недочеты U-boot будут исправлены в грядущем патче, после чего пользователям рекомендуется обновиться до последней версии.
Так что скрестим пальцы в ожидании обновлений и будем надеяться, что до этой поры представители теневого закулисья по быстрому не придумают как использовать эти уязвимости в своих целях.
По поводу взлома Mandiant: не все так однозначно.
Mandiant инициировали собственное расследование возможного инцидента после публикации сведений о компании вымогателями LockBit на сайте DLS в качестве жертвы. Хакеры заявляют о том, что в их распоряжении оказался 356 841 файл, однако список файлов на странице отсутствовал.
В качестве утечки на странице представлен файл с именем mandiantyellowpress.com.7z, который, по-видимому, связан с доменом mandiantyellowpress[.]com (зарегистрированным сегодня). Посещение этой страницы перенаправляет на сайт ninjaflex[.]com.
Если верить заявлениям LockBit, то Mandiant они взломали посредством цепочки поставок, добравшись изначально до Foxconn через Zerologon, а затем через VPN в «самое яблочко».
Ресерчеры заверяют об отсутствии признаков того, что данные компании были украдены. Более того, заявления о взломе появились после того, как Mandiant раскрыли в отчете на прошлой неделе, что группа Evil Corp переключилась на развертывание ransomware LockBit в сетях жертв для ухода из-под санкционного давления со стороны США.
Будем следить, чем закончится батл гигантов.
Mandiant инициировали собственное расследование возможного инцидента после публикации сведений о компании вымогателями LockBit на сайте DLS в качестве жертвы. Хакеры заявляют о том, что в их распоряжении оказался 356 841 файл, однако список файлов на странице отсутствовал.
В качестве утечки на странице представлен файл с именем mandiantyellowpress.com.7z, который, по-видимому, связан с доменом mandiantyellowpress[.]com (зарегистрированным сегодня). Посещение этой страницы перенаправляет на сайт ninjaflex[.]com.
Если верить заявлениям LockBit, то Mandiant они взломали посредством цепочки поставок, добравшись изначально до Foxconn через Zerologon, а затем через VPN в «самое яблочко».
Ресерчеры заверяют об отсутствии признаков того, что данные компании были украдены. Более того, заявления о взломе появились после того, как Mandiant раскрыли в отчете на прошлой неделе, что группа Evil Corp переключилась на развертывание ransomware LockBit в сетях жертв для ухода из-под санкционного давления со стороны США.
Будем следить, чем закончится батл гигантов.
Twitter
CyberKnow
#Mandiant releases a report that #Evilcorp is using #Lockbit #ransomware. Then lockbit posts mandiant as an alleged victim. 🤔🤔🤔 #cybersecurity #infosec #meme
Жители города Палермо опробовали на себе сценарии известного фильма «Крепкий орешек 4.0», вступив в схватку с хакерами, которым удалось успешно атаковать городскую IT-инфраструктуру.
В результате киберинцидента в пятницу прошлой недели итальянский многомиллионник отключил все системы и сети, сделав фактически все цифровые услуги для граждан и туристов недоступными.
На минуту, в Палермо проживает почти 1,3 миллиона человек, занимая пятую строчку по численности населения в Италии. Ежегодно его посещают еще 2,3 миллиона туристов и гостей.
В течение последних дней местные технари и айтишники пытаются восстановить работоспособность систем и сервисов, однако многие общедоступные веб-сайты и онлайн-порталы остаются оффлайн.
Скомпрометированные системы включают в себя управление общественным видеонаблюдением, оперативный центр муниципальной полиции и все службы муниципалитета. Сейчас жителям невозможно ни общаться, ни запрашивать какие-либо цифровые услуги, прибегая к помощи устаревшей факсимильной связи.
Самое печальное, что туристы не могут воспользоваться онлайн-бронированием билетов в музеи и театры (Театр Массимо) или подтвердить бронирование на спортивные объекты, отвалилась даже система пропуска в исторический центр города.
Советник по инновациям муниципалитета Палермо Паоло Петралия Камасса заявил, что все системы были отключены и изолированы от сети, а также предупредил, что отключение может продлиться определенное время.
В целом, все указывает на ransomware, так что будет весьма интересно узнать, кто же смог положить целый мегаполис. Правда, в таком случае, проблемы еще впереди: мегаполис ожидает мегаутечка в качестве аргумента в рамках двойного вымогательства, и мегаштраф после нее за нарушение GDPR.
В результате киберинцидента в пятницу прошлой недели итальянский многомиллионник отключил все системы и сети, сделав фактически все цифровые услуги для граждан и туристов недоступными.
На минуту, в Палермо проживает почти 1,3 миллиона человек, занимая пятую строчку по численности населения в Италии. Ежегодно его посещают еще 2,3 миллиона туристов и гостей.
В течение последних дней местные технари и айтишники пытаются восстановить работоспособность систем и сервисов, однако многие общедоступные веб-сайты и онлайн-порталы остаются оффлайн.
Скомпрометированные системы включают в себя управление общественным видеонаблюдением, оперативный центр муниципальной полиции и все службы муниципалитета. Сейчас жителям невозможно ни общаться, ни запрашивать какие-либо цифровые услуги, прибегая к помощи устаревшей факсимильной связи.
Самое печальное, что туристы не могут воспользоваться онлайн-бронированием билетов в музеи и театры (Театр Массимо) или подтвердить бронирование на спортивные объекты, отвалилась даже система пропуска в исторический центр города.
Советник по инновациям муниципалитета Палермо Паоло Петралия Камасса заявил, что все системы были отключены и изолированы от сети, а также предупредил, что отключение может продлиться определенное время.
В целом, все указывает на ransomware, так что будет весьма интересно узнать, кто же смог положить целый мегаполис. Правда, в таком случае, проблемы еще впереди: мегаполис ожидает мегаутечка в качестве аргумента в рамках двойного вымогательства, и мегаштраф после нее за нарушение GDPR.
Giornale di Sicilia
Attacco hacker al Comune di Palermo, rete ancora in tilt: si comunica coi fax
Continuano i problemi per l’attacco hacker che ha colpito il Comune di Palermo tre giorni fa. Fino a lunedì mattina, infatti, tutti i computer rimarranno spenti...
На фоне последних фейлов западных вендоров, связанных с FollinaGate и обрушением дырявых Confluence под натиском атак с использованием непропатченных 0-day, могла пройти незамеченной серьезная работа отечественных специалистов в сфере инфосек. Но мы это исправим.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
www.kaspersky.ru
«Лаборатория Касперского» обнаружила критические уязвимости в TrueConf Server
Эксперты «Лаборатории Касперского» выявили две критические уязвимости в продукте для видеоконференцсвязи TrueConf Server
͏Google выпустила обновления безопасности за июнь 2022 года для устройств Android с версиями ОС 10, 11 и 12, в которых устранена 41 уязвимость, пять из которых признаны критическими.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Горизонт проблем со шпионским ПО Pegasus разрастается все больше и больше и уже сам Испанский судья решил отправиться в Израиль, чтобы взять показания от главы технологической компании NSO - производителя скандального софта, используемого для прослушивания телефонов политиков Испании.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
euronews
Spanish court calls CEO of Israel's NSO to testify in spying case
MADRID -Spain’s High Court on Tuesday called the chief executive
Аналитики HP сообщают о новой фишинговой кампании, особенностью которой является ранее неизвестный загрузчик вредоносного ПО под названием SVCReady.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
HP Wolf Security
SVCReady: A New Loader Gets Ready | HP Wolf Security
Don’t let cyber threats get the best of you. Read our post, SVCReady: A New Loader Gets Ready, to learn more about cyber threats and cyber security.
Forwarded from Social Engineering
👾 Awesome CVE PoC.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE
🖖🏻 Приветствую тебя user_name.• Каждый день появляются новые уязвимости, которые затрагивают различный софт, сервисы и ОС. Думаю ты помнишь, крайнюю новость о Confluence Server и Data Center и их критической уязвимости (CVE-2022-26134), о которой писали 99% всех новостных ресурсов, освещающих тему #ИБ.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE
Американские спецслужбы триадой заявили о варварских проникновениях китайских АРТ в национальный телеком. Опубликованный бюллетень по кибербезопасности под авторством АНБ, CISA и ФБР больше напоминает надуманный предлог для очередных неправомерных санкций.
По данным авторов, прокитайские АРТ нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТ выделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUS и конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploit и RouterScan с открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТ создать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь).
По данным авторов, прокитайские АРТ нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТ выделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUS и конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploit и RouterScan с открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТ создать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь).
Исследователи Modzero обнаружили серьезные уязвимости в устройствах для видеоконференций Meeting Owl Pro и Whiteboard Owl, выпускаемые Owl Labs.
Owl Labs Meeting Owl Pro оснащен камерой с объективом 360°, обеспечивающей панорамный вид конференц-зала, поддерживает различные решения для видеоконференций, включая Zoom, Skype и Google Meet.
Речь идет о 5 уязвимостях CVE-2022-31459, CVE-2022-31460, CVE-2022-31461 (с оценкой CVSS 7,4), CVE-2022-31463 (с оценкой CVSS 8,2) и CVE-2022-31462 (с оценкой CVSS 9,3). Все они могут быть использованы для поиска устройств по всему миру, доступа к конфиденциальным данным и получения доступа к сетям их владельцев.
Ошибки связаны с жестко закодированными учетными данными. Meeting Owl Pro создает собственную точку доступа Wi-Fi с жестко запрограммированным кодом доступа hoothoot, обеспечивая связь между устройством Meeting Owl Pro, его приложением, серверной частью, а также веб-приложением, используемым для управления устройствами Meeting Owl.
Одна из ошибок CVE-2022-31460 позволяет злоумышленнику в радиусе действия Bluetooth превратить устройство Meeting Owl в мошенническую точку доступа к сети владельца.
Проблема обусловлена тем, что в режиме точки доступа устройство остается подключенным к сети Wi-Fi и направляет весь трафик в сеть вместо того, чтобы разрешать подключения только к самой Owl. Уязвимость может быть использована без аутентификации.
Пока что производитель Owl Labs выпустил обновленную версию прошивки для Meeting Owl Pro и Whiteboard Owl для отключения сетевого трафика в режиме модема точки доступа Wi-Fi, тем самым предотвращая использование этих устройств в качестве точек беспроводного доступа.
Другие недостатки компания планирует устранить в будущих обновлениях. Вместе с тем, по заверению Owl Labs, после обновления все устройства должны быть защищены от возможных попыток эксплуатации из-за вышеуказанных CVE. Проблемы с PIN-кодом Owl несут низкие риски, позволяя кому-либо получить доступ только к настройкам по умолчанию и не могут быть использованы за пределами радиуса Bluetooth.
Но как бы то ни было, непропатченные проблемы потенциально раскрывают позволяют злоумышленнику выполнять действия, поддерживаемые сопутствующим приложением и получить доступ без аутентификации к функциям, поддерживаемым Bluetooth.
Самая серьезная из проблем, CVE-2022-31462, связана с наличием жестко запрограммированного кода доступа к бэкдору, который может быть рассчитан на основе информации, видимой в диапазоне Bluetooth с низким энергопотреблением. Этот пароль реализуется SHA-1, представляющий серийный номер ПО, который транслируется как имя Owl через Bluetooth.
В любом случае владельцам устройств Owl настоятельно рекомендуется обновить прошивку до версии 5.4.1.4 и ожидать дальнейших инструкций производителя.
Owl Labs Meeting Owl Pro оснащен камерой с объективом 360°, обеспечивающей панорамный вид конференц-зала, поддерживает различные решения для видеоконференций, включая Zoom, Skype и Google Meet.
Речь идет о 5 уязвимостях CVE-2022-31459, CVE-2022-31460, CVE-2022-31461 (с оценкой CVSS 7,4), CVE-2022-31463 (с оценкой CVSS 8,2) и CVE-2022-31462 (с оценкой CVSS 9,3). Все они могут быть использованы для поиска устройств по всему миру, доступа к конфиденциальным данным и получения доступа к сетям их владельцев.
Ошибки связаны с жестко закодированными учетными данными. Meeting Owl Pro создает собственную точку доступа Wi-Fi с жестко запрограммированным кодом доступа hoothoot, обеспечивая связь между устройством Meeting Owl Pro, его приложением, серверной частью, а также веб-приложением, используемым для управления устройствами Meeting Owl.
Одна из ошибок CVE-2022-31460 позволяет злоумышленнику в радиусе действия Bluetooth превратить устройство Meeting Owl в мошенническую точку доступа к сети владельца.
Проблема обусловлена тем, что в режиме точки доступа устройство остается подключенным к сети Wi-Fi и направляет весь трафик в сеть вместо того, чтобы разрешать подключения только к самой Owl. Уязвимость может быть использована без аутентификации.
Пока что производитель Owl Labs выпустил обновленную версию прошивки для Meeting Owl Pro и Whiteboard Owl для отключения сетевого трафика в режиме модема точки доступа Wi-Fi, тем самым предотвращая использование этих устройств в качестве точек беспроводного доступа.
Другие недостатки компания планирует устранить в будущих обновлениях. Вместе с тем, по заверению Owl Labs, после обновления все устройства должны быть защищены от возможных попыток эксплуатации из-за вышеуказанных CVE. Проблемы с PIN-кодом Owl несут низкие риски, позволяя кому-либо получить доступ только к настройкам по умолчанию и не могут быть использованы за пределами радиуса Bluetooth.
Но как бы то ни было, непропатченные проблемы потенциально раскрывают позволяют злоумышленнику выполнять действия, поддерживаемые сопутствующим приложением и получить доступ без аутентификации к функциям, поддерживаемым Bluetooth.
Самая серьезная из проблем, CVE-2022-31462, связана с наличием жестко запрограммированного кода доступа к бэкдору, который может быть рассчитан на основе информации, видимой в диапазоне Bluetooth с низким энергопотреблением. Этот пароль реализуется SHA-1, представляющий серийный номер ПО, который транслируется как имя Owl через Bluetooth.
В любом случае владельцам устройств Owl настоятельно рекомендуется обновить прошивку до версии 5.4.1.4 и ожидать дальнейших инструкций производителя.
Cuba снова в деле, вернувшись с обновленным ransomware.
Активность группировки достигла пика в 2021 году, когда они взаимодействовали с Hancitor для обеспечения первоначального доступа. К концу года Cuba взломали 49 критически важных инфраструктурных организаций на территории США.
К началу года показатели работы вымогателей начали серьезно снижаться, однако хакеры вернули былой темп, засветив новый софт в недавних атаках.
Изменения в тактике вымогателей Cuba отметили ресерчеры Mandiant. В свою очередь, Trend Micro также сообщили о возобновлении роста числа инцидентов, начиная с марта 2022 года (3 жертвы в апреле попали на DLS, в мае - 1).
Кроме того, в конце апреля Trend Micro отследили образец новой версии шифровальщика, который содержал дополнения, делающие вредоносное ПО более опасным для целевых объектов.
Общий функционал ransomware не претерпел серьёзных изменений, основные обновления были направлены на оптимизацию выполнения ПО, минимизацию непреднамеренный сценариев системы и организацию новой схемы технической поддержки для жертв.
Вредоносное ПО теперь завершает больше процессов перед шифрованием, в числе которых также Outlook, MS Exchange и MySQL.
Расширен список исключений для большего количества каталогов и типов файлов, которые следует пропускать при шифровании, повышая тем самым работоспособность системы после атаки.
Cuba обновила свои заметки о выкупе, добавив quTox для поддержки жертв.
Так что помимо рома и сигар некоторые, особо везучие представители крупного бизнеса Северной Америке смогут оценить также новый вариант ransomware Cuba, не имеющего к настоящему времени доступного дешифровщика.
Активность группировки достигла пика в 2021 году, когда они взаимодействовали с Hancitor для обеспечения первоначального доступа. К концу года Cuba взломали 49 критически важных инфраструктурных организаций на территории США.
К началу года показатели работы вымогателей начали серьезно снижаться, однако хакеры вернули былой темп, засветив новый софт в недавних атаках.
Изменения в тактике вымогателей Cuba отметили ресерчеры Mandiant. В свою очередь, Trend Micro также сообщили о возобновлении роста числа инцидентов, начиная с марта 2022 года (3 жертвы в апреле попали на DLS, в мае - 1).
Кроме того, в конце апреля Trend Micro отследили образец новой версии шифровальщика, который содержал дополнения, делающие вредоносное ПО более опасным для целевых объектов.
Общий функционал ransomware не претерпел серьёзных изменений, основные обновления были направлены на оптимизацию выполнения ПО, минимизацию непреднамеренный сценариев системы и организацию новой схемы технической поддержки для жертв.
Вредоносное ПО теперь завершает больше процессов перед шифрованием, в числе которых также Outlook, MS Exchange и MySQL.
Расширен список исключений для большего количества каталогов и типов файлов, которые следует пропускать при шифровании, повышая тем самым работоспособность системы после атаки.
Cuba обновила свои заметки о выкупе, добавив quTox для поддержки жертв.
Так что помимо рома и сигар некоторые, особо везучие представители крупного бизнеса Северной Америке смогут оценить также новый вариант ransomware Cuba, не имеющего к настоящему времени доступного дешифровщика.
Trend Micro
Cuba Ransomware Group’s New Variant Found Using Optimized Infection Techniques
Trend Micro Research observed the resurgence of the Cuba ransomware group that launched a new malware variant using different infection techniques compared to past iterations. We discuss our initial findings in this report.
Из года в год статистика потерпевших от ransomware не утешительная и не отличается позитивной динамикой, о чем в очередной раз сообщают специалисты из Cybereason.
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена.
Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики:
⁃ 80% компаний, заплативших выкуп, пострадали во второй раз.
⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз.
⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году.
⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены.
Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware.
Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится.
Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок).
Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал.
При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки.
Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%.
Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой.
Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования.
В общем, думайте сами, решайте сами…
Cybereason
Cybereason Blog | Cybersecurity News and Analysis | Research
Research | Get the latest research, expert insights, and security industry news.
͏Как мы и предупреждали, эксплойты для критической RCE-уязвимости Atlassian Confluence активно интегрируются в атакующий арсенал киберпреступников.
Исследователи Lacework Labs обнаружили несколько ботнетов, задействовавших эксплойты, нацеленные на CVE-2021-26134, для заражения серверов Linux, на которых установлены непропатченные Atlassian Confluence Server и Data Center.
Успешная эксплуатация этой ошибки позволяет злоумышленникам, не прошедшим проверку подлинности, создавать новые админские учетные записи, выполнять команды и, в конечном итоге, удаленно захватывать весь сервер.
На карандаш ресерчерам Lacework Labs попали три ботнета: Kinsing, Hezb и Dark.IoT, реализующие бэкдоры и криптомайнеры на скомпрометированных серверах Linux.
Kinsing и ранее нацеливался на Confluence, используя другую критическую уязвимость Atlassian Confluence RCE для установки вредоносного ПО для криптомайнинга.
Ботнет Hezb был замечен в развертывании Cobalt Strike и майнеров XMRig на серверах с WSO2 без исправлений.
Dark.IoT известен тем, что сбрасывает в качестве полезной нагрузки coinminer при нацеливании на виртуальные машины Microsoft Azure с помощью эксплойтов OMIGOD, а также сотни тысяч устройств Realtek SDK.
Учитывая, что эксплойты, связанные с Confluence, всегда популярны среди хакеров, активность эксплуатации будет только возрастать, что подтверждается уже не только телеметрией GreyNoise, но и выводами Lacework Labs.
Конечно, это не так масштабно, как log4j, но в тысячу сто десятый раз предупреждаем клиентов Atlassian и рекомендуем скорее переходить на фиксированную версию Confluence.
А в случае отсутствия такой возможности - использовать временный обходной путь с апгрейдом файлов JAR на сервере Confluence (в соответствии с тем, как описано здесь).
Исследователи Lacework Labs обнаружили несколько ботнетов, задействовавших эксплойты, нацеленные на CVE-2021-26134, для заражения серверов Linux, на которых установлены непропатченные Atlassian Confluence Server и Data Center.
Успешная эксплуатация этой ошибки позволяет злоумышленникам, не прошедшим проверку подлинности, создавать новые админские учетные записи, выполнять команды и, в конечном итоге, удаленно захватывать весь сервер.
На карандаш ресерчерам Lacework Labs попали три ботнета: Kinsing, Hezb и Dark.IoT, реализующие бэкдоры и криптомайнеры на скомпрометированных серверах Linux.
Kinsing и ранее нацеливался на Confluence, используя другую критическую уязвимость Atlassian Confluence RCE для установки вредоносного ПО для криптомайнинга.
Ботнет Hezb был замечен в развертывании Cobalt Strike и майнеров XMRig на серверах с WSO2 без исправлений.
Dark.IoT известен тем, что сбрасывает в качестве полезной нагрузки coinminer при нацеливании на виртуальные машины Microsoft Azure с помощью эксплойтов OMIGOD, а также сотни тысяч устройств Realtek SDK.
Учитывая, что эксплойты, связанные с Confluence, всегда популярны среди хакеров, активность эксплуатации будет только возрастать, что подтверждается уже не только телеметрией GreyNoise, но и выводами Lacework Labs.
Конечно, это не так масштабно, как log4j, но в тысячу сто десятый раз предупреждаем клиентов Atlassian и рекомендуем скорее переходить на фиксированную версию Confluence.
А в случае отсутствия такой возможности - использовать временный обходной путь с апгрейдом файлов JAR на сервере Confluence (в соответствии с тем, как описано здесь).
Forwarded from SecurityLab.ru
Россия не оставит без ответа киберагрессию других государств
— Все шаги РФ будут иметь точечный, выверенный характер, сказал директор департамента международной информационной безопасности МИД РФ Андрей Крутских.
— По его словам, главным образом речь идет о DDoS-атаках с привлечением "кибердобровольцев", когда злоумышленники применяют вредоносное программное обеспечение на базе серверов компаний-поставщиков Hetzner (ФРГ) и DigitalOcean (США)
— Всего же, по его данным, в противоправных операциях против России задействованы 22 хакерские группировки. Среди наиболее активных Крутских назвал следующие: IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша).
Подробнее: https://www.securitylab.ru/news/532219.php
— Все шаги РФ будут иметь точечный, выверенный характер, сказал директор департамента международной информационной безопасности МИД РФ Андрей Крутских.
— По его словам, главным образом речь идет о DDoS-атаках с привлечением "кибердобровольцев", когда злоумышленники применяют вредоносное программное обеспечение на базе серверов компаний-поставщиков Hetzner (ФРГ) и DigitalOcean (США)
— Всего же, по его данным, в противоправных операциях против России задействованы 22 хакерские группировки. Среди наиболее активных Крутских назвал следующие: IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша).
Подробнее: https://www.securitylab.ru/news/532219.php
SecurityLab.ru
Россия не оставит без ответа киберагрессию других государств
Все шаги РФ будут иметь точечный, выверенный характер