Хакеры превратили аккаунты Twitter и YouTube ВС Соединенного Королевства в криптоскам.
В воскресенье наименование аккаунта британской армии в Twitter менялось несколько раз, после чего в ленте были опубликованы посты со ссылками на розыгрыш NFT-токенов.
Поменялся и аватар: сначала - на обезьяну с раскраской, затем - на анимационного робота.
Видеохостинг британской армии также переименовывался под бренд Ark Investment Management LLC. На новом канале хакеры стали крутить интервью с Илоном Маском и другие ролики про криптоинвестиции.
Минобороны Великобритании признало взлом своих учетных записей армии и в настоящий момент ведет расследование, отказываясь от комментариев. Позднее британская армия извинилась за «временный перебой в публикациях».
Представители засветившейся компании Ark Investment также не комментировали инцидент.
В принципе, аватар в Twitter можно было и оставить, как улику на месте происшествия - хотя бы на период расследования.
В воскресенье наименование аккаунта британской армии в Twitter менялось несколько раз, после чего в ленте были опубликованы посты со ссылками на розыгрыш NFT-токенов.
Поменялся и аватар: сначала - на обезьяну с раскраской, затем - на анимационного робота.
Видеохостинг британской армии также переименовывался под бренд Ark Investment Management LLC. На новом канале хакеры стали крутить интервью с Илоном Маском и другие ролики про криптоинвестиции.
Минобороны Великобритании признало взлом своих учетных записей армии и в настоящий момент ведет расследование, отказываясь от комментариев. Позднее британская армия извинилась за «временный перебой в публикациях».
Представители засветившейся компании Ark Investment также не комментировали инцидент.
В принципе, аватар в Twitter можно было и оставить, как улику на месте происшествия - хотя бы на период расследования.
Twitter
We are aware of a breach of the Army’s Twitter and YouTube accounts and an investigation is underway.
The Army takes information security extremely seriously and is resolving the issue. Until their investigation is complete it would be inappropriate to…
The Army takes information security extremely seriously and is resolving the issue. Until their investigation is complete it would be inappropriate to…
Команда безопасности Jenkins обнаружила 34 уязвимости, затрагивающих 29 плагинов для сервера автоматизации с открытым исходным кодом, большинство из которых еще не исправлены.
Jenkins — достаточно популярная платформа (с поддержкой более 1700 подключаемых модулей), используемая разработчиками по всему миру для создания, тестирования и развертывания ПО, имеет сотни тысяч активных установок и более чем 1 млн. пользователей.
Базовые оценки CVSS выявленных и при этом непропатченных 29 0-day варьируются от низкой до высокой степени серьезности, а, согласно данным Jenkins, уязвимые плагины имеют в общей сложности более 22 000 установок.
Проблемы включает ошибки XSS, Stored XSS, подделки межсайтовых запросов (CSRF), отсутствующие или неправильные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся в формате простого текста.
Большинство из наиболее серьезных 0-day требуют взаимодействия с пользователем для эксплуатации в атаках низкой сложности удаленными злоумышленниками с низкими привилегиями.
Согласно Shodan, в настоящее время в сети доступно более 144 000 серверов Jenkins, которые могут стать потенциальной мишенью для атак при условии наличия непропатченного плагина.
Руки разработчиков добрались лишь до 4 из них, включая GitLab, request-plugin, TestNG Results, XebiaLabs XL Release, оставляя, по-прежнему, длинный список уязвимых плагинов.
Безусловно, ни одна из уязвимостей не даст RCE-возможностей злоумышленникам, однако это не гарантирует вовсе их активного задействования в проведении разведки инфраструктуры целевых компаний через неисправленные серверы Jenkins.
Прецеденты, к слову, уже были, достаточно вспомнить прошлогодний z0Miner.
Jenkins — достаточно популярная платформа (с поддержкой более 1700 подключаемых модулей), используемая разработчиками по всему миру для создания, тестирования и развертывания ПО, имеет сотни тысяч активных установок и более чем 1 млн. пользователей.
Базовые оценки CVSS выявленных и при этом непропатченных 29 0-day варьируются от низкой до высокой степени серьезности, а, согласно данным Jenkins, уязвимые плагины имеют в общей сложности более 22 000 установок.
Проблемы включает ошибки XSS, Stored XSS, подделки межсайтовых запросов (CSRF), отсутствующие или неправильные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся в формате простого текста.
Большинство из наиболее серьезных 0-day требуют взаимодействия с пользователем для эксплуатации в атаках низкой сложности удаленными злоумышленниками с низкими привилегиями.
Согласно Shodan, в настоящее время в сети доступно более 144 000 серверов Jenkins, которые могут стать потенциальной мишенью для атак при условии наличия непропатченного плагина.
Руки разработчиков добрались лишь до 4 из них, включая GitLab, request-plugin, TestNG Results, XebiaLabs XL Release, оставляя, по-прежнему, длинный список уязвимых плагинов.
Безусловно, ни одна из уязвимостей не даст RCE-возможностей злоумышленникам, однако это не гарантирует вовсе их активного задействования в проведении разведки инфраструктуры целевых компаний через неисправленные серверы Jenkins.
Прецеденты, к слову, уже были, достаточно вспомнить прошлогодний z0Miner.
Jenkins Security Advisory 2022-06-30
Jenkins – an open source automation server which enables developers around the world to reliably build, test, and deploy their software
В России и мире постоянно происходят утечки персональных данных. Миллионы записей из различных баз данных всплывают на теневых форумах и площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Наступать на те же грабли в мире информационной безопасности - нормальная практика, а “латать дыры” порой, стоит более основательно.
Собственно о чем речь, а вот о чем: по результатам анализа Google Project Zero за первую половину 2022 года обнаружено в общей сложности 18 эксплуатируемых уязвимостей нулевого дня, половина из которых существует из-за того, что предыдущие ошибки не были должным образом исправлены.
По словам эксперта Мэдди Стоуна 9 из реальных 0-day, наблюдавшихся до сих пор в этом году, можно было бы предотвратить, если бы организации применяли более комплексные исправления, а 4 ошибки 2022 года являются вариантами нулевых дней 2021 года используемых в дикой природе.
Самая последняя из этих проблем — уязвимость Follina в платформе Windows, отслеживаемая как CVE-2022-30190, по сути вариант нулевого дня MSHTML, отслеживаемый как CVE-2021-40444.
CVE-2022-21882 — это еще одна уязвимость Windows, представляющая собой разновидность уязвимости, которая была неправильно устранена в прошлом году, а именно CVE-2021-1732 .
Ошибка iOS IOMobileFrameBuffer (CVE-2022-22587) и уязвимость, связанная с путаницей типов в движке Chrome V8 (CVE-2022-1096) — это две другие ошибки, которые являются вариантами эксплуатируемых уязвимостей безопасности, обнаруженных в прошлом году — CVE-2021-30983 и CVE-2021-30551 соответственно.
Другими 0-day 2022 года, которые являются вариантами неправильно устраненных дефектов безопасности, являются CVE-2022-1364 (Chrome), CVE-2022-22620 (WebKit), CVE-2021-39793 (Google Pixel), CVE-2022-26134 (Atlassian Confluence) и CVE-2022-26925 (уязвимость Windows известная как PetitPotam).
В общем исправили так, что злоумышленники смогли вернуться и активировать первоначальную уязвимость другим путем либо снова использовать те же ошибки.
Это всегда громко и больно, но отчасти хорошо когда эксплойты 0-day обнаруживаются в дикой природе, так как это неудача для злоумышленников, а для инфосек сообщества это подарок, который позволяет узнать как можно больше и принять соответствующие меры, чтобы гарантировать, что этот вектор нельзя будет использовать в будущем.
Чтобы должным образом устранять уязвимости нулевого дня, исследователи Google рекомендуют специалистам по безопасности, разработчикам платформ и другим независимым исследователям в области безопасности инвестировать в анализ основных причин и вариантов возникновения ошибок, анализ исправлений и анализ методов использования.
Собственно о чем речь, а вот о чем: по результатам анализа Google Project Zero за первую половину 2022 года обнаружено в общей сложности 18 эксплуатируемых уязвимостей нулевого дня, половина из которых существует из-за того, что предыдущие ошибки не были должным образом исправлены.
По словам эксперта Мэдди Стоуна 9 из реальных 0-day, наблюдавшихся до сих пор в этом году, можно было бы предотвратить, если бы организации применяли более комплексные исправления, а 4 ошибки 2022 года являются вариантами нулевых дней 2021 года используемых в дикой природе.
Самая последняя из этих проблем — уязвимость Follina в платформе Windows, отслеживаемая как CVE-2022-30190, по сути вариант нулевого дня MSHTML, отслеживаемый как CVE-2021-40444.
CVE-2022-21882 — это еще одна уязвимость Windows, представляющая собой разновидность уязвимости, которая была неправильно устранена в прошлом году, а именно CVE-2021-1732 .
Ошибка iOS IOMobileFrameBuffer (CVE-2022-22587) и уязвимость, связанная с путаницей типов в движке Chrome V8 (CVE-2022-1096) — это две другие ошибки, которые являются вариантами эксплуатируемых уязвимостей безопасности, обнаруженных в прошлом году — CVE-2021-30983 и CVE-2021-30551 соответственно.
Другими 0-day 2022 года, которые являются вариантами неправильно устраненных дефектов безопасности, являются CVE-2022-1364 (Chrome), CVE-2022-22620 (WebKit), CVE-2021-39793 (Google Pixel), CVE-2022-26134 (Atlassian Confluence) и CVE-2022-26925 (уязвимость Windows известная как PetitPotam).
В общем исправили так, что злоумышленники смогли вернуться и активировать первоначальную уязвимость другим путем либо снова использовать те же ошибки.
Это всегда громко и больно, но отчасти хорошо когда эксплойты 0-day обнаруживаются в дикой природе, так как это неудача для злоумышленников, а для инфосек сообщества это подарок, который позволяет узнать как можно больше и принять соответствующие меры, чтобы гарантировать, что этот вектор нельзя будет использовать в будущем.
Чтобы должным образом устранять уязвимости нулевого дня, исследователи Google рекомендуют специалистам по безопасности, разработчикам платформ и другим независимым исследователям в области безопасности инвестировать в анализ основных причин и вариантов возникновения ошибок, анализ исправлений и анализ методов использования.
Blogspot
2022 0-day In-the-Wild Exploitation…so far
Posted by Maddie Stone, Google Project Zero This blog post is an overview of a talk, “ 0-day In-the-Wild Exploitation in 2022…so far”,...
Google экстренно исправляет четвертый за текущий год 0-day в браузере Chrome.
Обновленная версия 103.0.5060.114 для пользователей Windows уже доступна в канале Stable Desktop и содержит исправление для CVE-2022-2294, которая активно используется в дикой природе.
Спешно закрытая ошибка представляет собой серьезную уязвимость переполнения буфера на основе кучи в компоненте WebRTC, о которой 01 июля сообщил Ян Войтесек из команды Avast Threat Intelligence. Последствия успешной эксплуатации варьироваться от RCE до обхода решений безопасности.
Кроме того, в дополнение к CVE-2022-2294 последнее обновление Chrome устраняет также две другие серьезные проблемы: CVE-2022-2295, путаницу типов в движке V8, и CVE-2022-2296, использование после освобождения в компоненте оболочки Chrome OS.
В ближайшие несколько дней исправление Chrome 103 (103.0.5060.71) для Android скоро будет доступно и на Google Play.
Доступ к сведениям об ошибке и подробностям зафиксированных атак органичен до тех, пор пока большинство пользователей не накатят исправления, с чем мы также не рекомендуем затягивать.
Обновленная версия 103.0.5060.114 для пользователей Windows уже доступна в канале Stable Desktop и содержит исправление для CVE-2022-2294, которая активно используется в дикой природе.
Спешно закрытая ошибка представляет собой серьезную уязвимость переполнения буфера на основе кучи в компоненте WebRTC, о которой 01 июля сообщил Ян Войтесек из команды Avast Threat Intelligence. Последствия успешной эксплуатации варьироваться от RCE до обхода решений безопасности.
Кроме того, в дополнение к CVE-2022-2294 последнее обновление Chrome устраняет также две другие серьезные проблемы: CVE-2022-2295, путаницу типов в движке V8, и CVE-2022-2296, использование после освобождения в компоненте оболочки Chrome OS.
В ближайшие несколько дней исправление Chrome 103 (103.0.5060.71) для Android скоро будет доступно и на Google Play.
Доступ к сведениям об ошибке и подробностям зафиксированных атак органичен до тех, пор пока большинство пользователей не накатят исправления, с чем мы также не рекомендуем затягивать.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 103.0.5060.114 for Windows. which will roll out over the coming days/weeks. A full list of changes i...
Команда Django Software Foundation исправила серьезную уязвимость SQL-инъекции в новых выпусках Django 4.0.6 и Django 3.2.14.
Высокоуровневый веб-фреймворк с открытым исходным кодом на основе Python считается лучшим в своем роде. В настоящее время сообщество Django включает более 11 тыс. разработчиков из 166 стран мира.
По некоторым оценкам, десятки тысяч владельцев веб-сайтов выбирают2.14.
Высокв качестве своего фреймворка Model-Template-View. Django используется на сайтах Instagram, Disqus, Mozilla, The Washington Times, Pinterest, YouTube, Google и др.
Отслеживаемая как CVE-2022-34265 представляет собой уязвимость SQL Injection и существует в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. О проблеме сообщил исследователь Такуто Йошикай из Aeye Security Lab.
Ошибка позволяет злоумышленнику атаковать веб-приложения Django с помощью аргументов, переданных посредством функций Trunc (kind) и Extract (lookup_name).
Вместе с тем, приложение не является уязвимым, если оно выполняет какую-либо очистку ввода или экранирование перед передачей этих аргументов в Trunc и Extract.
Django Software Foundation рекомендует разработчикам как можно скорее переходить на исправленную версию Django 4.0.6 или 3.2.14, либо воспользоваться доступными исправления, которые можно применить к существующим уязвимым версиям: main branch, 4.1 release branch, 4.0 release branch или 3.2 release branch.
Высокоуровневый веб-фреймворк с открытым исходным кодом на основе Python считается лучшим в своем роде. В настоящее время сообщество Django включает более 11 тыс. разработчиков из 166 стран мира.
По некоторым оценкам, десятки тысяч владельцев веб-сайтов выбирают2.14.
Высокв качестве своего фреймворка Model-Template-View. Django используется на сайтах Instagram, Disqus, Mozilla, The Washington Times, Pinterest, YouTube, Google и др.
Отслеживаемая как CVE-2022-34265 представляет собой уязвимость SQL Injection и существует в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. О проблеме сообщил исследователь Такуто Йошикай из Aeye Security Lab.
Ошибка позволяет злоумышленнику атаковать веб-приложения Django с помощью аргументов, переданных посредством функций Trunc (kind) и Extract (lookup_name).
Вместе с тем, приложение не является уязвимым, если оно выполняет какую-либо очистку ввода или экранирование перед передачей этих аргументов в Trunc и Extract.
Django Software Foundation рекомендует разработчикам как можно скорее переходить на исправленную версию Django 4.0.6 или 3.2.14, либо воспользоваться доступными исправления, которые можно применить к существующим уязвимым версиям: main branch, 4.1 release branch, 4.0 release branch или 3.2 release branch.
GitHub
Fixed CVE-2022-34265 -- Protected Trunc(kind)/Extract(lookup_name) ag… · django/django@54eb8a3
…ainst SQL injection.
Thanks Takuto Yoshikai (Aeye Security Lab) for the report.
Thanks Takuto Yoshikai (Aeye Security Lab) for the report.
Операторы программы-вымогателя AstraLocker совершили акт доброй воли и выложили дешифратор. Представители банды публично сообщили, что сворачивают деятельность и планируют заниматься относительно безобидным использованием чужих устройств для добычи криптовалюты, ну или как говорят в народе - криптоджекингом.
Разработчик отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal, а BleepingComputer загрузил и подтвердил, после того как протестировали на одной из жертв зашифрованных в недавней кампании AstroLocker, что дешифраторы легитимны и работают.
Вряд ли злоумышленников замучила совесть и они решили обелиться перед общественностью. Вероятно настоящей причиной прекращения деятельности стало давление со стороны правоохранительных структур в ответ на их недавние нападения.
Как известно AstraLocker основан на исходном коде программы-вымогателя Babuk Locker (Babyk), которая просочилась в сеть в июне 2021 года и, по мнению экспертов из ReversingLabs за нынешней вредоносной программой стоят злоумышленники, которые имеют относительно низкий уровень навыков и беспорядочность действий относительно своих коллег по цеху - методичных и взвешенных операторов Babuk.
Кроме того, эксперты заметили, что адрес кошелька Monero, используемый группой для выкупа, связан с группой Chaos Ransomware.
Данные факты создают определенный риск для банд-вымогателей после утечек кода, так как количество мотивированных мамкиных хацкеров растет, которые активно используют утечку в своих собственных атаках. Дабы отсечь от котлеты школоту и не нервировать правоохранителей своей вездесущностью, операторы решили опубликовать дешифратор и публично сообщить, что отошли от дел.
Разработчик отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal, а BleepingComputer загрузил и подтвердил, после того как протестировали на одной из жертв зашифрованных в недавней кампании AstroLocker, что дешифраторы легитимны и работают.
Вряд ли злоумышленников замучила совесть и они решили обелиться перед общественностью. Вероятно настоящей причиной прекращения деятельности стало давление со стороны правоохранительных структур в ответ на их недавние нападения.
Как известно AstraLocker основан на исходном коде программы-вымогателя Babuk Locker (Babyk), которая просочилась в сеть в июне 2021 года и, по мнению экспертов из ReversingLabs за нынешней вредоносной программой стоят злоумышленники, которые имеют относительно низкий уровень навыков и беспорядочность действий относительно своих коллег по цеху - методичных и взвешенных операторов Babuk.
Кроме того, эксперты заметили, что адрес кошелька Monero, используемый группой для выкупа, связан с группой Chaos Ransomware.
Данные факты создают определенный риск для банд-вымогателей после утечек кода, так как количество мотивированных мамкиных хацкеров растет, которые активно используют утечку в своих собственных атаках. Дабы отсечь от котлеты школоту и не нервировать правоохранителей своей вездесущностью, операторы решили опубликовать дешифратор и публично сообщить, что отошли от дел.
Forwarded from SecurityLab.ru
Хакеры устроили пожар на заводах Ирана а боты-скальперы поработили граждан Израиля.
— 20% биткоин-узлов используют старые и уязвимые технологии, следящие за детьми популярные Android-приложения могут шпионить и за взрослыми, а в Израиле операторы ботов захватывают и продают места на прием в госслужбы.
— OpenAI продемонстрировала нейросеть, которая умеет играть в Minecraft, Apple остановила распространение ПО Hermit, которое использовалось для слежки, а на хакерских форумах обнаружили новую версию вредоносного ПО Raccoon Stealer. Личные данные в дарквебе стоят не так уж дорого, а Cisco и IBM отказались продлевать российским компаниям лицензии на свою технику.
—80% IT-руководителей опасаются за свои возможности реагировать на атаки на встроенное ПО, в России определили требования к руководителям ИБ-подразделений организаций, а ФСТЭК раскрыла планы перехода ОС на отечественную ветку ядра Linux.
— В шестьдесят шестом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю
https://www.youtube.com/watch?v=H-4Ogo8nIro
— 20% биткоин-узлов используют старые и уязвимые технологии, следящие за детьми популярные Android-приложения могут шпионить и за взрослыми, а в Израиле операторы ботов захватывают и продают места на прием в госслужбы.
— OpenAI продемонстрировала нейросеть, которая умеет играть в Minecraft, Apple остановила распространение ПО Hermit, которое использовалось для слежки, а на хакерских форумах обнаружили новую версию вредоносного ПО Raccoon Stealer. Личные данные в дарквебе стоят не так уж дорого, а Cisco и IBM отказались продлевать российским компаниям лицензии на свою технику.
—80% IT-руководителей опасаются за свои возможности реагировать на атаки на встроенное ПО, в России определили требования к руководителям ИБ-подразделений организаций, а ФСТЭК раскрыла планы перехода ОС на отечественную ветку ядра Linux.
— В шестьдесят шестом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю
https://www.youtube.com/watch?v=H-4Ogo8nIro
YouTube
Кибератака на заводы Ирана, боты-скальперы поработили граждан Израиля. Security-новости #66 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:23 Компания MetaMask выплатила исследователям $120 тыс.
1:04 Ваша криптовалюта не такая уж и децентрализованная?…
0:00 Security-новости
0:23 Компания MetaMask выплатила исследователям $120 тыс.
1:04 Ваша криптовалюта не такая уж и децентрализованная?…
ReversingLabs раскрыли профессионально скоординированную атаку на цепочку поставок ПО, получившую наименование IconBurst и нацеленную на NPM как минимум с декабря 2021 года.
IconBurst включает не менее двух десятков пакетов NPM, содержащих JavaScript с вредоносным кодом для сбора конфиденциальных данных из форм, встроенных в мобильные приложения и веб-сайты.
Большинство из вредоносных пакетов были опубликованы в течение последних нескольких месяцев и на сегодняшний день имели более 27 000 загрузок, а многие, по-прежнему доступны для загрузки из репозитория.
Среди наиболее «популярных» вредоносных модулей: icon-package (17,774), ionicio (3,724), ajax-libs (2,440), footericon (1,903), umbrellaks (686), ajax-library (530), pack-icons (468), icons-package (380), swiper-bundle (185) и icons-packages (170).
В результате анализа ReversingLabs удалось установить, что эксфильтрованные посредством одного из пакетов данные были перенаправлены на домен ionicio[.]com, который полностью дублирует легальный веб-сайт ionic[.]io.
В основе IconBurst использован метод опечатки, при котором злоумышленники продвигают пакеты через репозитории с именами, которые схожи с известными легитимными пакетами или имеют распространенные орфографические ошибки.
А в последние дни стоящий за этой кампанией актор изменил тактику и перешел к более агрессивной краже данных, буквально из каждого элемента формы на веб-странице.
Успех этой кампании, по мнению исследователей ReversingLabs, еще раз подчеркивает достаточно низкий уровень защиты цепочек поставок от уязвимого кода в ходе децентрализованных и модульных разработок.
IconBurst включает не менее двух десятков пакетов NPM, содержащих JavaScript с вредоносным кодом для сбора конфиденциальных данных из форм, встроенных в мобильные приложения и веб-сайты.
Большинство из вредоносных пакетов были опубликованы в течение последних нескольких месяцев и на сегодняшний день имели более 27 000 загрузок, а многие, по-прежнему доступны для загрузки из репозитория.
Среди наиболее «популярных» вредоносных модулей: icon-package (17,774), ionicio (3,724), ajax-libs (2,440), footericon (1,903), umbrellaks (686), ajax-library (530), pack-icons (468), icons-package (380), swiper-bundle (185) и icons-packages (170).
В результате анализа ReversingLabs удалось установить, что эксфильтрованные посредством одного из пакетов данные были перенаправлены на домен ionicio[.]com, который полностью дублирует легальный веб-сайт ionic[.]io.
В основе IconBurst использован метод опечатки, при котором злоумышленники продвигают пакеты через репозитории с именами, которые схожи с известными легитимными пакетами или имеют распространенные орфографические ошибки.
А в последние дни стоящий за этой кампанией актор изменил тактику и перешел к более агрессивной краже данных, буквально из каждого элемента формы на веб-странице.
Успех этой кампании, по мнению исследователей ReversingLabs, еще раз подчеркивает достаточно низкий уровень защиты цепочек поставок от уязвимого кода в ходе децентрализованных и модульных разработок.
ReversingLabs
RL Blog | ReversingLabs | ReversingLabs
RL Blog: AppSec & Supply Chain Security, Dev & DevSecOps, Threat Research, and Security Operations (SecOps)
͏— Партнёрский пост —
⚡️ В начале июля эксперты Лаборатории Касперского обнаружили, что более 5 тысяч сайтов организаций из разных отраслей заражены вредоносным скриптом, перенаправляющим посетителей на фишинговые страницы.
Подавляющее большинство из них — российские, однако встречаются сайты из Беларуси, Казахстана, Узбекистана и ряда других стран.
Согласно телеметрии, всего за четыре дня с загрузкой скрипта столкнулись более 35 тысяч пользователей.
Примечательно, что российские посетители с заражённых сайтов перебрасываются на мошеннические порталы, мимикрирующие под крупные онлайн-магазины, в то время как пользователи из других стран — на скам-ресурсы с якобы полагающимися призами.
Далее пользователь сталкивается с «классической» фишинговой схемой: мошенники склоняют пользователя рассчитываться банковской картой за товары, продающиеся с большой скидкой, крадя при этом все его платёжные и личные данные.
Как отметили исследователи, сами ресурсы свёрстаны достаточно качественно, единственное, что выдаёт подделку - адресная строка.
- Заражение легитимных сайтов — не новая схема, злоумышленники используют её как для проведения массовых фишинговых атак на пользователей, так и для атак на конкретные цели (т.н. атака на водопой). Однако в этот раз примечателен масштаб проблемы и не совсем стандартная для таких киберкампаний цель злоумышленников — привести жертву на фишинговый ресурс. Опасность заключается ещё и в том, что в большинстве случаев процесс исполнения вредоносного кода невидим посетителю: кажется, что сайт работает нормально, а перенаправление на сторонний ресурс можно принять за рекламную акцию, что может повысить “конверсию” для злоумышленников, — отмечает Дарья Иванова, антивирусный эксперт Лаборатории Касперского.
Чтобы избежать заражения, Лаборатория Касперского рекомендует владельцам сайтов:
✅ использовать стойкие к взлому пароли;
✅ регулярно обновлять операционную систему и приложения, с помощью которых вы управляете сервером или контентом сайта;
✅ своевременно создавать резервные копии серверного контента;
✅ периодически сканировать файлы на сервере на предмет обнаружения вредоносного кода;
✅ обеспечить комплексную безопасность устройства, которое используется для управления сайтом.
Также есть советы для пользователей:
✅ не вводите данные на сомнительных сайтах; прежде чем ввести данные карты, проверьте название ресурса в адресной строке — нет ли в нём лишних/ неподходящих букв или слов;
✅ используйте надёжное защитное решение, которое предотвратит загрузку вредоносных скриптов или попытку перейти на фишинговый сайт, такое как Kaspersky Internet Security;
✅ для онлайн-оплаты лучше заведите отдельную карту, например виртуальную.
⚡️ В начале июля эксперты Лаборатории Касперского обнаружили, что более 5 тысяч сайтов организаций из разных отраслей заражены вредоносным скриптом, перенаправляющим посетителей на фишинговые страницы.
Подавляющее большинство из них — российские, однако встречаются сайты из Беларуси, Казахстана, Узбекистана и ряда других стран.
Согласно телеметрии, всего за четыре дня с загрузкой скрипта столкнулись более 35 тысяч пользователей.
Примечательно, что российские посетители с заражённых сайтов перебрасываются на мошеннические порталы, мимикрирующие под крупные онлайн-магазины, в то время как пользователи из других стран — на скам-ресурсы с якобы полагающимися призами.
Далее пользователь сталкивается с «классической» фишинговой схемой: мошенники склоняют пользователя рассчитываться банковской картой за товары, продающиеся с большой скидкой, крадя при этом все его платёжные и личные данные.
Как отметили исследователи, сами ресурсы свёрстаны достаточно качественно, единственное, что выдаёт подделку - адресная строка.
- Заражение легитимных сайтов — не новая схема, злоумышленники используют её как для проведения массовых фишинговых атак на пользователей, так и для атак на конкретные цели (т.н. атака на водопой). Однако в этот раз примечателен масштаб проблемы и не совсем стандартная для таких киберкампаний цель злоумышленников — привести жертву на фишинговый ресурс. Опасность заключается ещё и в том, что в большинстве случаев процесс исполнения вредоносного кода невидим посетителю: кажется, что сайт работает нормально, а перенаправление на сторонний ресурс можно принять за рекламную акцию, что может повысить “конверсию” для злоумышленников, — отмечает Дарья Иванова, антивирусный эксперт Лаборатории Касперского.
Чтобы избежать заражения, Лаборатория Касперского рекомендует владельцам сайтов:
✅ использовать стойкие к взлому пароли;
✅ регулярно обновлять операционную систему и приложения, с помощью которых вы управляете сервером или контентом сайта;
✅ своевременно создавать резервные копии серверного контента;
✅ периодически сканировать файлы на сервере на предмет обнаружения вредоносного кода;
✅ обеспечить комплексную безопасность устройства, которое используется для управления сайтом.
Также есть советы для пользователей:
✅ не вводите данные на сомнительных сайтах; прежде чем ввести данные карты, проверьте название ресурса в адресной строке — нет ли в нём лишних/ неподходящих букв или слов;
✅ используйте надёжное защитное решение, которое предотвратит загрузку вредоносных скриптов или попытку перейти на фишинговый сайт, такое как Kaspersky Internet Security;
✅ для онлайн-оплаты лучше заведите отдельную карту, например виртуальную.
͏28 июня DataBreaches стало известно о взломе группой неизвестных хакеров сети отелей Marriott.
Получившие условное наименование GNN акторы похакали Marriott около месяца назад и смогли украсть 20 ГБ данных, включая финансовую и другую конфиденциальную информацию.
GNN называют себя международной группой, практикующей успешные таргетированные атаки на протяжении пяти лет и имеющей высокую репутацию в даркнете.
Высокая конфиденциальность в переговорах позволяла им оставаться долгое время в тени. Они ориентированы исключительно на бизнес, избегая атак на объекты КИИ, а также негативных последствий, способных повлиять на операционные процессы.
GNN уведомили сотрудников Marriot по электронной почте о взломе в качестве RedHat, однако представители Marriott перестали после этого выходить на связь с хакерами. Позже сам Marriott подтвердил инцидент и признал похищение данных.
Других подробностей, включая возможную сумму выкупа, ни одна из сторон не сообщает.
Известно также, что ряд файлов в представленном образце действительно содержали внутреннюю служебную документацию. Помимо деловой информации, файлы содержали сведения в отношении летных экипажей BWIA, включая полные личные и платежные данные.
Проверка указанных данных подтвердила то, что они принадлежали BWI Airport Marriott в Мэриленде (BWIA) и находились на сервере BWIA Marriott.
GNN раскритиковали назёмы уровень ИБ в Marriott, указав при этом высокую критичность эксфильтрованной конфиденциальной информации гостей и персонала.
В Marriott, в свою очередь, ответили тем, что утечка произошла в результате компрометации хостов персонала посредством социнженерии.
Отельеры также заявили, что выявили и расследовали инцидент до того, как c ними связались, локализовав последствия в течение 6 часов.
В целом, признали нарушение незначительным.
Но.
В реальности, достаточно вспомнить еще в 2020 году мы писали о том, как британская Which? нашла на веб-сайтах сети Marriot 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Комментируя тогда отчет ресерчеров, отельеры сообщили, что у них нет оснований полагать, что их системы или клиентские сведения могут быть скомпрометированы, совсем позабыв, что в 2018 у них утекли данные 339 млн. гостей, а в мае 2020 года - еще 5,2 млн. клиентов.
Б - безопасность.
Получившие условное наименование GNN акторы похакали Marriott около месяца назад и смогли украсть 20 ГБ данных, включая финансовую и другую конфиденциальную информацию.
GNN называют себя международной группой, практикующей успешные таргетированные атаки на протяжении пяти лет и имеющей высокую репутацию в даркнете.
Высокая конфиденциальность в переговорах позволяла им оставаться долгое время в тени. Они ориентированы исключительно на бизнес, избегая атак на объекты КИИ, а также негативных последствий, способных повлиять на операционные процессы.
GNN уведомили сотрудников Marriot по электронной почте о взломе в качестве RedHat, однако представители Marriott перестали после этого выходить на связь с хакерами. Позже сам Marriott подтвердил инцидент и признал похищение данных.
Других подробностей, включая возможную сумму выкупа, ни одна из сторон не сообщает.
Известно также, что ряд файлов в представленном образце действительно содержали внутреннюю служебную документацию. Помимо деловой информации, файлы содержали сведения в отношении летных экипажей BWIA, включая полные личные и платежные данные.
Проверка указанных данных подтвердила то, что они принадлежали BWI Airport Marriott в Мэриленде (BWIA) и находились на сервере BWIA Marriott.
GNN раскритиковали назёмы уровень ИБ в Marriott, указав при этом высокую критичность эксфильтрованной конфиденциальной информации гостей и персонала.
В Marriott, в свою очередь, ответили тем, что утечка произошла в результате компрометации хостов персонала посредством социнженерии.
Отельеры также заявили, что выявили и расследовали инцидент до того, как c ними связались, локализовав последствия в течение 6 часов.
В целом, признали нарушение незначительным.
Но.
В реальности, достаточно вспомнить еще в 2020 году мы писали о том, как британская Which? нашла на веб-сайтах сети Marriot 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Комментируя тогда отчет ресерчеров, отельеры сообщили, что у них нет оснований полагать, что их системы или клиентские сведения могут быть скомпрометированы, совсем позабыв, что в 2018 у них утекли данные 339 млн. гостей, а в мае 2020 года - еще 5,2 млн. клиентов.
Б - безопасность.
Банды ransomware не стоят на месте и оптимизация деятельности связанная с обновлением своих экосистем и технологических инфраструктур уже устоявшаяся практика. В этот раз небезызвестные Hive Ransomware обновились до Rust и более сложного метода шифрования.
Hive предоставляется как Ransomware-as-a-Service (RaaS) и владельцы пересмотрели свое ПО, чтобы полностью перейти на Rust с более сложным методом шифрования.
Серьезные обновления Hive показывают, что они одни из самых быстро развивающихся штаммов программ-вымогателей, иллюстрирующее постоянно меняющуюся экосистему как говорится в отчёте Microsoft Threat Intelligence Center (MSTIC).
Как известно Hive впервые был обнаружен в июне 2021 года и стал одной из самых активных групп RaaS, на которую приходится 17 атак только в мае 2022 года, наряду с фаворитами Black Basta и Conti.
Переход от GoLang к Rust делает Hive вторым штаммом вируса-вымогателя после BlackCat, реализованном на этом на языке программирования. Данный факт позволяет вредоносному ПО получить дополнительные преимущества, например безопасность памяти и более глубокий контроль над низкоуровневыми ресурсами, а также возможность использования широкого спектра криптографических библиотек.
Колоссальным плюсом для вымогателей является то, что это дает возможность сделать вредоносное ПО устойчивым к реверс-инжинирингу. Кроме того, малварь поставляется с функциями остановки служб и процессов решений по безопасности, которые потенциально могут обнаружить и остановить ее.
В новом варианте на основе Rust существенные изменения связанны именно в подходе шифрования файлов.
Вместо того, чтобы встраивать зашифрованный ключ в каждый файл, который он шифрует, как это было ранее, теперь он генерирует два набора ключей в памяти и использует их для шифрования файлов, шифрует их и записывает наборы в корень зашифрованного диска с расширением key.
Чтобы определить, какой из двух ключей используется для блокировки определенного файла, зашифрованный файл переименовывается, чтобы включить имя файла, содержащего ключ, за которым следует символ подчеркивания и строка в кодировке Base64 (например, «C:\myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8"), который указывает на два разных места в соответствующем ключевом файле.
Исследователи Microsoft поделились индикаторами компрометации (IoC) для нового варианта и рекомендовали организациям использовать их, чтобы выяснить, существуют ли они в их среде, и оценить потенциальное вторжение в защищаемый контур.
Hive предоставляется как Ransomware-as-a-Service (RaaS) и владельцы пересмотрели свое ПО, чтобы полностью перейти на Rust с более сложным методом шифрования.
Серьезные обновления Hive показывают, что они одни из самых быстро развивающихся штаммов программ-вымогателей, иллюстрирующее постоянно меняющуюся экосистему как говорится в отчёте Microsoft Threat Intelligence Center (MSTIC).
Как известно Hive впервые был обнаружен в июне 2021 года и стал одной из самых активных групп RaaS, на которую приходится 17 атак только в мае 2022 года, наряду с фаворитами Black Basta и Conti.
Переход от GoLang к Rust делает Hive вторым штаммом вируса-вымогателя после BlackCat, реализованном на этом на языке программирования. Данный факт позволяет вредоносному ПО получить дополнительные преимущества, например безопасность памяти и более глубокий контроль над низкоуровневыми ресурсами, а также возможность использования широкого спектра криптографических библиотек.
Колоссальным плюсом для вымогателей является то, что это дает возможность сделать вредоносное ПО устойчивым к реверс-инжинирингу. Кроме того, малварь поставляется с функциями остановки служб и процессов решений по безопасности, которые потенциально могут обнаружить и остановить ее.
В новом варианте на основе Rust существенные изменения связанны именно в подходе шифрования файлов.
Вместо того, чтобы встраивать зашифрованный ключ в каждый файл, который он шифрует, как это было ранее, теперь он генерирует два набора ключей в памяти и использует их для шифрования файлов, шифрует их и записывает наборы в корень зашифрованного диска с расширением key.
Чтобы определить, какой из двух ключей используется для блокировки определенного файла, зашифрованный файл переименовывается, чтобы включить имя файла, содержащего ключ, за которым следует символ подчеркивания и строка в кодировке Base64 (например, «C:\myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8"), который указывает на два разных места в соответствующем ключевом файле.
Исследователи Microsoft поделились индикаторами компрометации (IoC) для нового варианта и рекомендовали организациям использовать их, чтобы выяснить, существуют ли они в их среде, и оценить потенциальное вторжение в защищаемый контур.
Microsoft News
Hive ransomware gets upgrades in Rust
With its latest variant carrying several major upgrades, Hive proves it’s one of the fastest evolving ransomware payload, exemplifying the continuously changing ransomware ecosystem.
Во вторник Национальный институт стандартов и технологий США (NIST) объявил о включении первых квантово-устойчивых инструментов шифровани в постквантовый криптографический стандарт.
NIST отобрал алгоритм CRYSTALS-Kyber для общего шифрования, используемого для доступа к защищенным веб-сайтам, а также три алгоритма: CRYSTALS - Dilithium, FALCON и SPHINCS+ для цифровых подписей.
Еще четыре алгоритма находятся на стадии рассмотрения для включения их в новый криптографический стандарт, для завершения разработки которого потребуется не более 2 лет.
Ускоренная реализация амбициозных планов происходит по указу Администрации президента, о чем гласит соответствующий меморандум, принятый Джо Байденом в мае этого года.
В документе штаты традиционно декларируют общественные интересы и прочие блага в области квантовой информатики и безопасности цифровой информации, а по факту алгоритмы пилятся под пристальным взором национальных спецслужб, включая CISA и АНБ.
Впрочем, как и другие перспективные разработки, а позже, как мы не раз это видели, всплывают нелепые бэкдоры и тихо прикрываются баги.
NIST отобрал алгоритм CRYSTALS-Kyber для общего шифрования, используемого для доступа к защищенным веб-сайтам, а также три алгоритма: CRYSTALS - Dilithium, FALCON и SPHINCS+ для цифровых подписей.
Еще четыре алгоритма находятся на стадии рассмотрения для включения их в новый криптографический стандарт, для завершения разработки которого потребуется не более 2 лет.
Ускоренная реализация амбициозных планов происходит по указу Администрации президента, о чем гласит соответствующий меморандум, принятый Джо Байденом в мае этого года.
В документе штаты традиционно декларируют общественные интересы и прочие блага в области квантовой информатики и безопасности цифровой информации, а по факту алгоритмы пилятся под пристальным взором национальных спецслужб, включая CISA и АНБ.
Впрочем, как и другие перспективные разработки, а позже, как мы не раз это видели, всплывают нелепые бэкдоры и тихо прикрываются баги.
NIST
NIST Announces First Four Quantum-Resistant Cryptographic Algorithms
Federal agency reveals the first group of winners from its six-year competition
Крупная американская IT-компания SHI International в канун дня независимости стала жертвой скоординированной и профессиональной атаки с использованием вредоносного ПО.
Разработчик из Нью-Джерси является одним из крупнейших поставщиков IT-решений в Северной Америке, имея выручку в 12,3 млрд долларов по результатам 2021 года и штат из 5000 сотрудников в операционных центрах в США, Великобритании и Нидерландах.
По официальным данным, ИБ и ИТ SHI удалось достаточно оперативно выявить и локализовать инцидент, минимизировав ущерб для систем и операционной деятельности.
Вместе с тем, SHI все же была вынуждена отключить часть инфраструктуры, включая общедоступные веб-сайты и электронную почту компании. Вероятно, для проведения работ по восстановлению пострадавших сегментов корпоративной сети.
SHI совместно с ФБР и CISA инициировано расследование инцидента. По предварительным данным, доказательств того, что какие-либо данные клиентов были похищены во время атаки, не получено.
Судя по всему, инцидент был связан с атакой ransomware.
Но ситуация может оказаться куда более серьезнее и сложнее, например, как в случае с Kaseya. Ведь до настоящего времени SHI International нет четкого понимания в отношении безопасности сторонних систем в ее цепочке поставок.
Так что, уверены, продолжение не заставит себя долго ждать. Во всяком случае - хотя бы по линии вымогателей.
Разработчик из Нью-Джерси является одним из крупнейших поставщиков IT-решений в Северной Америке, имея выручку в 12,3 млрд долларов по результатам 2021 года и штат из 5000 сотрудников в операционных центрах в США, Великобритании и Нидерландах.
По официальным данным, ИБ и ИТ SHI удалось достаточно оперативно выявить и локализовать инцидент, минимизировав ущерб для систем и операционной деятельности.
Вместе с тем, SHI все же была вынуждена отключить часть инфраструктуры, включая общедоступные веб-сайты и электронную почту компании. Вероятно, для проведения работ по восстановлению пострадавших сегментов корпоративной сети.
SHI совместно с ФБР и CISA инициировано расследование инцидента. По предварительным данным, доказательств того, что какие-либо данные клиентов были похищены во время атаки, не получено.
Судя по всему, инцидент был связан с атакой ransomware.
Но ситуация может оказаться куда более серьезнее и сложнее, например, как в случае с Kaseya. Ведь до настоящего времени SHI International нет четкого понимания в отношении безопасности сторонних систем в ее цепочке поставок.
Так что, уверены, продолжение не заставит себя долго ждать. Во всяком случае - хотя бы по линии вымогателей.
Accelerator
SHI | Global Security, Productivity, Cloud and Infrastructure IT solutions provider
Making life simpler for business, IT and procurement leaders with cybersecurity, data center, cloud and networking solutions from leading and disruptive technology vendors.
Обнаруженная сразу после июньского релиза OpenSSL 3.0.4 RCE-уязвимость исправлена с выпуском новой версии 3.0.5.
CVE-2022-2274 связана с недостатками в реализации RSA для процессоров X86_64, поддерживающих инструкции AVX512IFMA, вызывая повреждения памяти во время вычислений.
Удаленный злоумышленник может использовать повреждение памяти для выполнения кода на уязвимой машине.
Так что, если вы не успели обновиться в июне, то теперь это определено стоит сделать.
CVE-2022-2274 связана с недостатками в реализации RSA для процессоров X86_64, поддерживающих инструкции AVX512IFMA, вызывая повреждения памяти во время вычислений.
Удаленный злоумышленник может использовать повреждение памяти для выполнения кода на уязвимой машине.
Так что, если вы не успели обновиться в июне, то теперь это определено стоит сделать.
Telegram
SecAtor
Если вы не успели обновить OpenSSL, то пока торопиться не стоит ибо в новой версии 3.0.4 выпущенной 21 июня 2022 года обнаружена ошибка удаленного повреждения памяти и затрагивает системы x64 с набором инструкций AVX-512.
Уязвимость обнаружил эксперт по…
Уязвимость обнаружил эксперт по…
Apple анонсировали новый «режим блокировки» в новой iOS 16, iPadOS 16 и macOS Ventura - Lockdown, который, по мнению разработчиков из Купертино, позволит противодействовать шпионскому ПО.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Apple Newsroom
Apple expands commitment to protect users from mercenary spyware
Apple today detailed two initiatives to help protect users who may be personally targeted by sophisticated digital threats.
Forwarded from Social Engineering
👺 Active Directory in Red Teaming.
➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
🖖🏻 Приветствую тебя user_name.
• Сегодня ты узнаешь много нового, касательно Active Directory. На одном из старейших хакерских форумов XSS.IS (ex DaMaGeLaB) была опубликована очень интересная серия статей, которая включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в #AD. Весь материал переведен на русский язык. Делюсь ссылками:➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
Мы буквально недавно писали про странное поведение Microsoft, как на смену Follina подкатила новая уязвимость ShadowCoerce, которую разработчик исправил в рамках июньского обновления без официального раскрытия и присвоения идентификатора CVE.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
Telegram
SecAtor
Мы уже писали про странное поведение Microsoft в истории с уязвимостью Follina, которую компания сначала не хотела признавать, несмотря на активное использование в дикой природе, а потом еще и закрывала почти три недели уже после того, как технические подробности…
QNAP обнаружили новую ransomware, науцеленную на на устройства NAS.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Checkmate Ransomware via SMB Services Exposed to the Internet - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Израильские исследователи Checkmarx SCS раскрыли подготовку к крупномасштабной кампании криптомайнинга CuteBoi, таргетированной на репозитории JavaScript NPM.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Checkmarx
“CuteBoi” Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users
Checkmarx SCS team detected over 1200 npm packages released to the registry by over a thousand different user accounts. This was done using automation which includes the ability to pass NPM 2FA challenge. This cluster of packages seems to be a part of an…