ReversingLabs раскрыли профессионально скоординированную атаку на цепочку поставок ПО, получившую наименование IconBurst и нацеленную на NPM как минимум с декабря 2021 года.
IconBurst включает не менее двух десятков пакетов NPM, содержащих JavaScript с вредоносным кодом для сбора конфиденциальных данных из форм, встроенных в мобильные приложения и веб-сайты.
Большинство из вредоносных пакетов были опубликованы в течение последних нескольких месяцев и на сегодняшний день имели более 27 000 загрузок, а многие, по-прежнему доступны для загрузки из репозитория.
Среди наиболее «популярных» вредоносных модулей: icon-package (17,774), ionicio (3,724), ajax-libs (2,440), footericon (1,903), umbrellaks (686), ajax-library (530), pack-icons (468), icons-package (380), swiper-bundle (185) и icons-packages (170).
В результате анализа ReversingLabs удалось установить, что эксфильтрованные посредством одного из пакетов данные были перенаправлены на домен ionicio[.]com, который полностью дублирует легальный веб-сайт ionic[.]io.
В основе IconBurst использован метод опечатки, при котором злоумышленники продвигают пакеты через репозитории с именами, которые схожи с известными легитимными пакетами или имеют распространенные орфографические ошибки.
А в последние дни стоящий за этой кампанией актор изменил тактику и перешел к более агрессивной краже данных, буквально из каждого элемента формы на веб-странице.
Успех этой кампании, по мнению исследователей ReversingLabs, еще раз подчеркивает достаточно низкий уровень защиты цепочек поставок от уязвимого кода в ходе децентрализованных и модульных разработок.
IconBurst включает не менее двух десятков пакетов NPM, содержащих JavaScript с вредоносным кодом для сбора конфиденциальных данных из форм, встроенных в мобильные приложения и веб-сайты.
Большинство из вредоносных пакетов были опубликованы в течение последних нескольких месяцев и на сегодняшний день имели более 27 000 загрузок, а многие, по-прежнему доступны для загрузки из репозитория.
Среди наиболее «популярных» вредоносных модулей: icon-package (17,774), ionicio (3,724), ajax-libs (2,440), footericon (1,903), umbrellaks (686), ajax-library (530), pack-icons (468), icons-package (380), swiper-bundle (185) и icons-packages (170).
В результате анализа ReversingLabs удалось установить, что эксфильтрованные посредством одного из пакетов данные были перенаправлены на домен ionicio[.]com, который полностью дублирует легальный веб-сайт ionic[.]io.
В основе IconBurst использован метод опечатки, при котором злоумышленники продвигают пакеты через репозитории с именами, которые схожи с известными легитимными пакетами или имеют распространенные орфографические ошибки.
А в последние дни стоящий за этой кампанией актор изменил тактику и перешел к более агрессивной краже данных, буквально из каждого элемента формы на веб-странице.
Успех этой кампании, по мнению исследователей ReversingLabs, еще раз подчеркивает достаточно низкий уровень защиты цепочек поставок от уязвимого кода в ходе децентрализованных и модульных разработок.
ReversingLabs
RL Blog | ReversingLabs | ReversingLabs
RL Blog: AppSec & Supply Chain Security, Dev & DevSecOps, Threat Research, and Security Operations (SecOps)
͏— Партнёрский пост —
⚡️ В начале июля эксперты Лаборатории Касперского обнаружили, что более 5 тысяч сайтов организаций из разных отраслей заражены вредоносным скриптом, перенаправляющим посетителей на фишинговые страницы.
Подавляющее большинство из них — российские, однако встречаются сайты из Беларуси, Казахстана, Узбекистана и ряда других стран.
Согласно телеметрии, всего за четыре дня с загрузкой скрипта столкнулись более 35 тысяч пользователей.
Примечательно, что российские посетители с заражённых сайтов перебрасываются на мошеннические порталы, мимикрирующие под крупные онлайн-магазины, в то время как пользователи из других стран — на скам-ресурсы с якобы полагающимися призами.
Далее пользователь сталкивается с «классической» фишинговой схемой: мошенники склоняют пользователя рассчитываться банковской картой за товары, продающиеся с большой скидкой, крадя при этом все его платёжные и личные данные.
Как отметили исследователи, сами ресурсы свёрстаны достаточно качественно, единственное, что выдаёт подделку - адресная строка.
- Заражение легитимных сайтов — не новая схема, злоумышленники используют её как для проведения массовых фишинговых атак на пользователей, так и для атак на конкретные цели (т.н. атака на водопой). Однако в этот раз примечателен масштаб проблемы и не совсем стандартная для таких киберкампаний цель злоумышленников — привести жертву на фишинговый ресурс. Опасность заключается ещё и в том, что в большинстве случаев процесс исполнения вредоносного кода невидим посетителю: кажется, что сайт работает нормально, а перенаправление на сторонний ресурс можно принять за рекламную акцию, что может повысить “конверсию” для злоумышленников, — отмечает Дарья Иванова, антивирусный эксперт Лаборатории Касперского.
Чтобы избежать заражения, Лаборатория Касперского рекомендует владельцам сайтов:
✅ использовать стойкие к взлому пароли;
✅ регулярно обновлять операционную систему и приложения, с помощью которых вы управляете сервером или контентом сайта;
✅ своевременно создавать резервные копии серверного контента;
✅ периодически сканировать файлы на сервере на предмет обнаружения вредоносного кода;
✅ обеспечить комплексную безопасность устройства, которое используется для управления сайтом.
Также есть советы для пользователей:
✅ не вводите данные на сомнительных сайтах; прежде чем ввести данные карты, проверьте название ресурса в адресной строке — нет ли в нём лишних/ неподходящих букв или слов;
✅ используйте надёжное защитное решение, которое предотвратит загрузку вредоносных скриптов или попытку перейти на фишинговый сайт, такое как Kaspersky Internet Security;
✅ для онлайн-оплаты лучше заведите отдельную карту, например виртуальную.
⚡️ В начале июля эксперты Лаборатории Касперского обнаружили, что более 5 тысяч сайтов организаций из разных отраслей заражены вредоносным скриптом, перенаправляющим посетителей на фишинговые страницы.
Подавляющее большинство из них — российские, однако встречаются сайты из Беларуси, Казахстана, Узбекистана и ряда других стран.
Согласно телеметрии, всего за четыре дня с загрузкой скрипта столкнулись более 35 тысяч пользователей.
Примечательно, что российские посетители с заражённых сайтов перебрасываются на мошеннические порталы, мимикрирующие под крупные онлайн-магазины, в то время как пользователи из других стран — на скам-ресурсы с якобы полагающимися призами.
Далее пользователь сталкивается с «классической» фишинговой схемой: мошенники склоняют пользователя рассчитываться банковской картой за товары, продающиеся с большой скидкой, крадя при этом все его платёжные и личные данные.
Как отметили исследователи, сами ресурсы свёрстаны достаточно качественно, единственное, что выдаёт подделку - адресная строка.
- Заражение легитимных сайтов — не новая схема, злоумышленники используют её как для проведения массовых фишинговых атак на пользователей, так и для атак на конкретные цели (т.н. атака на водопой). Однако в этот раз примечателен масштаб проблемы и не совсем стандартная для таких киберкампаний цель злоумышленников — привести жертву на фишинговый ресурс. Опасность заключается ещё и в том, что в большинстве случаев процесс исполнения вредоносного кода невидим посетителю: кажется, что сайт работает нормально, а перенаправление на сторонний ресурс можно принять за рекламную акцию, что может повысить “конверсию” для злоумышленников, — отмечает Дарья Иванова, антивирусный эксперт Лаборатории Касперского.
Чтобы избежать заражения, Лаборатория Касперского рекомендует владельцам сайтов:
✅ использовать стойкие к взлому пароли;
✅ регулярно обновлять операционную систему и приложения, с помощью которых вы управляете сервером или контентом сайта;
✅ своевременно создавать резервные копии серверного контента;
✅ периодически сканировать файлы на сервере на предмет обнаружения вредоносного кода;
✅ обеспечить комплексную безопасность устройства, которое используется для управления сайтом.
Также есть советы для пользователей:
✅ не вводите данные на сомнительных сайтах; прежде чем ввести данные карты, проверьте название ресурса в адресной строке — нет ли в нём лишних/ неподходящих букв или слов;
✅ используйте надёжное защитное решение, которое предотвратит загрузку вредоносных скриптов или попытку перейти на фишинговый сайт, такое как Kaspersky Internet Security;
✅ для онлайн-оплаты лучше заведите отдельную карту, например виртуальную.
͏28 июня DataBreaches стало известно о взломе группой неизвестных хакеров сети отелей Marriott.
Получившие условное наименование GNN акторы похакали Marriott около месяца назад и смогли украсть 20 ГБ данных, включая финансовую и другую конфиденциальную информацию.
GNN называют себя международной группой, практикующей успешные таргетированные атаки на протяжении пяти лет и имеющей высокую репутацию в даркнете.
Высокая конфиденциальность в переговорах позволяла им оставаться долгое время в тени. Они ориентированы исключительно на бизнес, избегая атак на объекты КИИ, а также негативных последствий, способных повлиять на операционные процессы.
GNN уведомили сотрудников Marriot по электронной почте о взломе в качестве RedHat, однако представители Marriott перестали после этого выходить на связь с хакерами. Позже сам Marriott подтвердил инцидент и признал похищение данных.
Других подробностей, включая возможную сумму выкупа, ни одна из сторон не сообщает.
Известно также, что ряд файлов в представленном образце действительно содержали внутреннюю служебную документацию. Помимо деловой информации, файлы содержали сведения в отношении летных экипажей BWIA, включая полные личные и платежные данные.
Проверка указанных данных подтвердила то, что они принадлежали BWI Airport Marriott в Мэриленде (BWIA) и находились на сервере BWIA Marriott.
GNN раскритиковали назёмы уровень ИБ в Marriott, указав при этом высокую критичность эксфильтрованной конфиденциальной информации гостей и персонала.
В Marriott, в свою очередь, ответили тем, что утечка произошла в результате компрометации хостов персонала посредством социнженерии.
Отельеры также заявили, что выявили и расследовали инцидент до того, как c ними связались, локализовав последствия в течение 6 часов.
В целом, признали нарушение незначительным.
Но.
В реальности, достаточно вспомнить еще в 2020 году мы писали о том, как британская Which? нашла на веб-сайтах сети Marriot 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Комментируя тогда отчет ресерчеров, отельеры сообщили, что у них нет оснований полагать, что их системы или клиентские сведения могут быть скомпрометированы, совсем позабыв, что в 2018 у них утекли данные 339 млн. гостей, а в мае 2020 года - еще 5,2 млн. клиентов.
Б - безопасность.
Получившие условное наименование GNN акторы похакали Marriott около месяца назад и смогли украсть 20 ГБ данных, включая финансовую и другую конфиденциальную информацию.
GNN называют себя международной группой, практикующей успешные таргетированные атаки на протяжении пяти лет и имеющей высокую репутацию в даркнете.
Высокая конфиденциальность в переговорах позволяла им оставаться долгое время в тени. Они ориентированы исключительно на бизнес, избегая атак на объекты КИИ, а также негативных последствий, способных повлиять на операционные процессы.
GNN уведомили сотрудников Marriot по электронной почте о взломе в качестве RedHat, однако представители Marriott перестали после этого выходить на связь с хакерами. Позже сам Marriott подтвердил инцидент и признал похищение данных.
Других подробностей, включая возможную сумму выкупа, ни одна из сторон не сообщает.
Известно также, что ряд файлов в представленном образце действительно содержали внутреннюю служебную документацию. Помимо деловой информации, файлы содержали сведения в отношении летных экипажей BWIA, включая полные личные и платежные данные.
Проверка указанных данных подтвердила то, что они принадлежали BWI Airport Marriott в Мэриленде (BWIA) и находились на сервере BWIA Marriott.
GNN раскритиковали назёмы уровень ИБ в Marriott, указав при этом высокую критичность эксфильтрованной конфиденциальной информации гостей и персонала.
В Marriott, в свою очередь, ответили тем, что утечка произошла в результате компрометации хостов персонала посредством социнженерии.
Отельеры также заявили, что выявили и расследовали инцидент до того, как c ними связались, локализовав последствия в течение 6 часов.
В целом, признали нарушение незначительным.
Но.
В реальности, достаточно вспомнить еще в 2020 году мы писали о том, как британская Which? нашла на веб-сайтах сети Marriot 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Комментируя тогда отчет ресерчеров, отельеры сообщили, что у них нет оснований полагать, что их системы или клиентские сведения могут быть скомпрометированы, совсем позабыв, что в 2018 у них утекли данные 339 млн. гостей, а в мае 2020 года - еще 5,2 млн. клиентов.
Б - безопасность.
Банды ransomware не стоят на месте и оптимизация деятельности связанная с обновлением своих экосистем и технологических инфраструктур уже устоявшаяся практика. В этот раз небезызвестные Hive Ransomware обновились до Rust и более сложного метода шифрования.
Hive предоставляется как Ransomware-as-a-Service (RaaS) и владельцы пересмотрели свое ПО, чтобы полностью перейти на Rust с более сложным методом шифрования.
Серьезные обновления Hive показывают, что они одни из самых быстро развивающихся штаммов программ-вымогателей, иллюстрирующее постоянно меняющуюся экосистему как говорится в отчёте Microsoft Threat Intelligence Center (MSTIC).
Как известно Hive впервые был обнаружен в июне 2021 года и стал одной из самых активных групп RaaS, на которую приходится 17 атак только в мае 2022 года, наряду с фаворитами Black Basta и Conti.
Переход от GoLang к Rust делает Hive вторым штаммом вируса-вымогателя после BlackCat, реализованном на этом на языке программирования. Данный факт позволяет вредоносному ПО получить дополнительные преимущества, например безопасность памяти и более глубокий контроль над низкоуровневыми ресурсами, а также возможность использования широкого спектра криптографических библиотек.
Колоссальным плюсом для вымогателей является то, что это дает возможность сделать вредоносное ПО устойчивым к реверс-инжинирингу. Кроме того, малварь поставляется с функциями остановки служб и процессов решений по безопасности, которые потенциально могут обнаружить и остановить ее.
В новом варианте на основе Rust существенные изменения связанны именно в подходе шифрования файлов.
Вместо того, чтобы встраивать зашифрованный ключ в каждый файл, который он шифрует, как это было ранее, теперь он генерирует два набора ключей в памяти и использует их для шифрования файлов, шифрует их и записывает наборы в корень зашифрованного диска с расширением key.
Чтобы определить, какой из двух ключей используется для блокировки определенного файла, зашифрованный файл переименовывается, чтобы включить имя файла, содержащего ключ, за которым следует символ подчеркивания и строка в кодировке Base64 (например, «C:\myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8"), который указывает на два разных места в соответствующем ключевом файле.
Исследователи Microsoft поделились индикаторами компрометации (IoC) для нового варианта и рекомендовали организациям использовать их, чтобы выяснить, существуют ли они в их среде, и оценить потенциальное вторжение в защищаемый контур.
Hive предоставляется как Ransomware-as-a-Service (RaaS) и владельцы пересмотрели свое ПО, чтобы полностью перейти на Rust с более сложным методом шифрования.
Серьезные обновления Hive показывают, что они одни из самых быстро развивающихся штаммов программ-вымогателей, иллюстрирующее постоянно меняющуюся экосистему как говорится в отчёте Microsoft Threat Intelligence Center (MSTIC).
Как известно Hive впервые был обнаружен в июне 2021 года и стал одной из самых активных групп RaaS, на которую приходится 17 атак только в мае 2022 года, наряду с фаворитами Black Basta и Conti.
Переход от GoLang к Rust делает Hive вторым штаммом вируса-вымогателя после BlackCat, реализованном на этом на языке программирования. Данный факт позволяет вредоносному ПО получить дополнительные преимущества, например безопасность памяти и более глубокий контроль над низкоуровневыми ресурсами, а также возможность использования широкого спектра криптографических библиотек.
Колоссальным плюсом для вымогателей является то, что это дает возможность сделать вредоносное ПО устойчивым к реверс-инжинирингу. Кроме того, малварь поставляется с функциями остановки служб и процессов решений по безопасности, которые потенциально могут обнаружить и остановить ее.
В новом варианте на основе Rust существенные изменения связанны именно в подходе шифрования файлов.
Вместо того, чтобы встраивать зашифрованный ключ в каждый файл, который он шифрует, как это было ранее, теперь он генерирует два набора ключей в памяти и использует их для шифрования файлов, шифрует их и записывает наборы в корень зашифрованного диска с расширением key.
Чтобы определить, какой из двух ключей используется для блокировки определенного файла, зашифрованный файл переименовывается, чтобы включить имя файла, содержащего ключ, за которым следует символ подчеркивания и строка в кодировке Base64 (например, «C:\myphoto.jpg .l0Zn68cb _ -B82BhIaGhI8"), который указывает на два разных места в соответствующем ключевом файле.
Исследователи Microsoft поделились индикаторами компрометации (IoC) для нового варианта и рекомендовали организациям использовать их, чтобы выяснить, существуют ли они в их среде, и оценить потенциальное вторжение в защищаемый контур.
Microsoft News
Hive ransomware gets upgrades in Rust
With its latest variant carrying several major upgrades, Hive proves it’s one of the fastest evolving ransomware payload, exemplifying the continuously changing ransomware ecosystem.
Во вторник Национальный институт стандартов и технологий США (NIST) объявил о включении первых квантово-устойчивых инструментов шифровани в постквантовый криптографический стандарт.
NIST отобрал алгоритм CRYSTALS-Kyber для общего шифрования, используемого для доступа к защищенным веб-сайтам, а также три алгоритма: CRYSTALS - Dilithium, FALCON и SPHINCS+ для цифровых подписей.
Еще четыре алгоритма находятся на стадии рассмотрения для включения их в новый криптографический стандарт, для завершения разработки которого потребуется не более 2 лет.
Ускоренная реализация амбициозных планов происходит по указу Администрации президента, о чем гласит соответствующий меморандум, принятый Джо Байденом в мае этого года.
В документе штаты традиционно декларируют общественные интересы и прочие блага в области квантовой информатики и безопасности цифровой информации, а по факту алгоритмы пилятся под пристальным взором национальных спецслужб, включая CISA и АНБ.
Впрочем, как и другие перспективные разработки, а позже, как мы не раз это видели, всплывают нелепые бэкдоры и тихо прикрываются баги.
NIST отобрал алгоритм CRYSTALS-Kyber для общего шифрования, используемого для доступа к защищенным веб-сайтам, а также три алгоритма: CRYSTALS - Dilithium, FALCON и SPHINCS+ для цифровых подписей.
Еще четыре алгоритма находятся на стадии рассмотрения для включения их в новый криптографический стандарт, для завершения разработки которого потребуется не более 2 лет.
Ускоренная реализация амбициозных планов происходит по указу Администрации президента, о чем гласит соответствующий меморандум, принятый Джо Байденом в мае этого года.
В документе штаты традиционно декларируют общественные интересы и прочие блага в области квантовой информатики и безопасности цифровой информации, а по факту алгоритмы пилятся под пристальным взором национальных спецслужб, включая CISA и АНБ.
Впрочем, как и другие перспективные разработки, а позже, как мы не раз это видели, всплывают нелепые бэкдоры и тихо прикрываются баги.
NIST
NIST Announces First Four Quantum-Resistant Cryptographic Algorithms
Federal agency reveals the first group of winners from its six-year competition
Крупная американская IT-компания SHI International в канун дня независимости стала жертвой скоординированной и профессиональной атаки с использованием вредоносного ПО.
Разработчик из Нью-Джерси является одним из крупнейших поставщиков IT-решений в Северной Америке, имея выручку в 12,3 млрд долларов по результатам 2021 года и штат из 5000 сотрудников в операционных центрах в США, Великобритании и Нидерландах.
По официальным данным, ИБ и ИТ SHI удалось достаточно оперативно выявить и локализовать инцидент, минимизировав ущерб для систем и операционной деятельности.
Вместе с тем, SHI все же была вынуждена отключить часть инфраструктуры, включая общедоступные веб-сайты и электронную почту компании. Вероятно, для проведения работ по восстановлению пострадавших сегментов корпоративной сети.
SHI совместно с ФБР и CISA инициировано расследование инцидента. По предварительным данным, доказательств того, что какие-либо данные клиентов были похищены во время атаки, не получено.
Судя по всему, инцидент был связан с атакой ransomware.
Но ситуация может оказаться куда более серьезнее и сложнее, например, как в случае с Kaseya. Ведь до настоящего времени SHI International нет четкого понимания в отношении безопасности сторонних систем в ее цепочке поставок.
Так что, уверены, продолжение не заставит себя долго ждать. Во всяком случае - хотя бы по линии вымогателей.
Разработчик из Нью-Джерси является одним из крупнейших поставщиков IT-решений в Северной Америке, имея выручку в 12,3 млрд долларов по результатам 2021 года и штат из 5000 сотрудников в операционных центрах в США, Великобритании и Нидерландах.
По официальным данным, ИБ и ИТ SHI удалось достаточно оперативно выявить и локализовать инцидент, минимизировав ущерб для систем и операционной деятельности.
Вместе с тем, SHI все же была вынуждена отключить часть инфраструктуры, включая общедоступные веб-сайты и электронную почту компании. Вероятно, для проведения работ по восстановлению пострадавших сегментов корпоративной сети.
SHI совместно с ФБР и CISA инициировано расследование инцидента. По предварительным данным, доказательств того, что какие-либо данные клиентов были похищены во время атаки, не получено.
Судя по всему, инцидент был связан с атакой ransomware.
Но ситуация может оказаться куда более серьезнее и сложнее, например, как в случае с Kaseya. Ведь до настоящего времени SHI International нет четкого понимания в отношении безопасности сторонних систем в ее цепочке поставок.
Так что, уверены, продолжение не заставит себя долго ждать. Во всяком случае - хотя бы по линии вымогателей.
Accelerator
SHI | Global Security, Productivity, Cloud and Infrastructure IT solutions provider
Making life simpler for business, IT and procurement leaders with cybersecurity, data center, cloud and networking solutions from leading and disruptive technology vendors.
Обнаруженная сразу после июньского релиза OpenSSL 3.0.4 RCE-уязвимость исправлена с выпуском новой версии 3.0.5.
CVE-2022-2274 связана с недостатками в реализации RSA для процессоров X86_64, поддерживающих инструкции AVX512IFMA, вызывая повреждения памяти во время вычислений.
Удаленный злоумышленник может использовать повреждение памяти для выполнения кода на уязвимой машине.
Так что, если вы не успели обновиться в июне, то теперь это определено стоит сделать.
CVE-2022-2274 связана с недостатками в реализации RSA для процессоров X86_64, поддерживающих инструкции AVX512IFMA, вызывая повреждения памяти во время вычислений.
Удаленный злоумышленник может использовать повреждение памяти для выполнения кода на уязвимой машине.
Так что, если вы не успели обновиться в июне, то теперь это определено стоит сделать.
Telegram
SecAtor
Если вы не успели обновить OpenSSL, то пока торопиться не стоит ибо в новой версии 3.0.4 выпущенной 21 июня 2022 года обнаружена ошибка удаленного повреждения памяти и затрагивает системы x64 с набором инструкций AVX-512.
Уязвимость обнаружил эксперт по…
Уязвимость обнаружил эксперт по…
Apple анонсировали новый «режим блокировки» в новой iOS 16, iPadOS 16 и macOS Ventura - Lockdown, который, по мнению разработчиков из Купертино, позволит противодействовать шпионскому ПО.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Apple Newsroom
Apple expands commitment to protect users from mercenary spyware
Apple today detailed two initiatives to help protect users who may be personally targeted by sophisticated digital threats.
Forwarded from Social Engineering
👺 Active Directory in Red Teaming.
➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
🖖🏻 Приветствую тебя user_name.
• Сегодня ты узнаешь много нового, касательно Active Directory. На одном из старейших хакерских форумов XSS.IS (ex DaMaGeLaB) была опубликована очень интересная серия статей, которая включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в #AD. Весь материал переведен на русский язык. Делюсь ссылками:➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
Мы буквально недавно писали про странное поведение Microsoft, как на смену Follina подкатила новая уязвимость ShadowCoerce, которую разработчик исправил в рамках июньского обновления без официального раскрытия и присвоения идентификатора CVE.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
Telegram
SecAtor
Мы уже писали про странное поведение Microsoft в истории с уязвимостью Follina, которую компания сначала не хотела признавать, несмотря на активное использование в дикой природе, а потом еще и закрывала почти три недели уже после того, как технические подробности…
QNAP обнаружили новую ransomware, науцеленную на на устройства NAS.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Checkmate Ransomware via SMB Services Exposed to the Internet - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Израильские исследователи Checkmarx SCS раскрыли подготовку к крупномасштабной кампании криптомайнинга CuteBoi, таргетированной на репозитории JavaScript NPM.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Checkmarx
“CuteBoi” Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users
Checkmarx SCS team detected over 1200 npm packages released to the registry by over a thousand different user accounts. This was done using automation which includes the ability to pass NPM 2FA challenge. This cluster of packages seems to be a part of an…
В новом коде вымогателя LockBit обнаружены уязвимости.
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Forwarded from Russian OSINT
🏗🏭Хакеры "Gonjeshke Darande" совершили кибератаку на Иранскую сталелитейную промышленность (ICS)
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
Наступать на одни и те же грабли - это еще пол беды, но переходить при этом на детские - это прям печаль.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
Ресерчеры NCC Group смогли взломать популярный протокол для радиоуправляемых самолетов (RC) всего за несколько итераций.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Остерегайтесь, ибо вас может заразить OrBit и речь не об освежающей жвачке, а о недавно обнаруженной вредоносной программе для Linux используемой для скрытой кражи информации с бэкдором и заражением всех запущенных процессов на машине.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Intezer
OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow
OrBit is a new Linux malware that hijacks the execution flow, evading and gaining persistence to get remote access and steal information.
Cisco устранила критическую уязвимость в Cisco Expressway и TelePresence Video Communication Server (VCS).
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow a remote attacker to overwrite arbitrary files or conduct null byte poisoning attacks…