Apple анонсировали новый «режим блокировки» в новой iOS 16, iPadOS 16 и macOS Ventura - Lockdown, который, по мнению разработчиков из Купертино, позволит противодействовать шпионскому ПО.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Со слов производителя, Lockdown должен усилить защиту яблочных устройств и значительно сократить поверхность атаки, которая потенциально может использоваться шпионским софтом. Lockdown - действительно уникальная функция в своем роде и станет доступна пользователям в конце 2022 года.
Новый режим блокировки позволит:
⁃ блокировать большинства типов вложений сообщений, кроме изображений;
⁃ ограничить предварительный просмотр ссылок;
⁃ отключить некоторые сложные веб-технологии, такие как JIT-компиляция JavaScript;
⁃ отсечь подозрительные входящие приглашения и запросы на обслуживание, в том числе в FaceTime;
⁃ обезопасить проводные соединения с компьютером или аксессуаром в заблокированном iPhone;
⁃ предотвратить установку профилей конфигурации и регистрацию устройства в MDM.
Apple добавила Lockdown в новую категорию своей Security Bounty, обещая вознаграждение за обнаружение способов обхода режима блокировки.
Причем обещанная награда выше аналогичных выплат и может достигать в максимальном исчислении 2 млн. долларов. Правда, платить все равно будут - как обычно: то есть никак или «за спасибо».
Apple не остались в стороне от инициированного США глобального передела рынка коммерческого шпионажа, сумев на этом срубить бонусы.
Насаждая парадигму всеобщего порицания шпионажа и наблюдения, в своем релизе Apple отдельно проехались по NSO Group, вновь припомнив причастность к убийству Джамаля Хашогги (та самая расчлененка саудовском консульстве в Стамбуле).
Безусловно, как заверяет Apple, Lockdown будет защищать от шпионского и прочего вредоносного ПО. Правда с оговоркой: только от тех компаний, которые находятся вне американского пула. А большой брат получит большой картбланш в вопросе доверия пользователей к яблочным устройствам.
Впрочем, не зря же компания, по примеру Google TAG, запустила собственную программу финансирования исследования шпионских программ.
В скором времени будут «выпотрошены» все независимые разработчики спецсофта.
Apple Newsroom
Apple expands commitment to protect users from mercenary spyware
Apple today detailed two initiatives to help protect users who may be personally targeted by sophisticated digital threats.
Forwarded from Social Engineering
👺 Active Directory in Red Teaming.
➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
🖖🏻 Приветствую тебя user_name.
• Сегодня ты узнаешь много нового, касательно Active Directory. На одном из старейших хакерских форумов XSS.IS (ex DaMaGeLaB) была опубликована очень интересная серия статей, которая включает в себя описание различных инструментов, основ и нюансов при проведении тестирования на проникновение в #AD. Весь материал переведен на русский язык. Делюсь ссылками:➖ Active Directory in Red Teaming. Введение.
➖ Active Directory - Offensive PowerShell.
➖ Active Directory - Local Privilege Escalation.
➖ Active Directory - Lateral Movement.
➖ Active Directory - Domain Persistence.
➖ Active Directory - Domain Privilege Escalation.
➖ Active Directory - Forest Trust Abuse.
• Если у тебя не получается зарегистрироваться на форуме XSS, то запросите материал в нашем боте обратной связи: @Social_Engineering_bot
Твой S.E. #AD #Пентест
Мы буквально недавно писали про странное поведение Microsoft, как на смену Follina подкатила новая уязвимость ShadowCoerce, которую разработчик исправил в рамках июньского обновления без официального раскрытия и присвоения идентификатора CVE.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
За руку гиганта из Редмонда поймали исследователи ACROS Security и 0Patch, негодования которых относительно прозрачности исправлений и информативности соответствующих бюллетеней пополнили и без того длинный список претензий их коллег (1, 2, 3, 4).
Теперь о ShadowCoerce, она позволяет злоумышленникам нацеливаться на серверы Windows в ходе атак NTLM Relay, реализуя принудительную проверку подлинности уязвимых серверов и захват домена.
ShadowCoerce был впервые подробно описан исследователем Лайонелом Жилем в конце 2021 года в презентации, демонстрирующей атаку PetitPotam. Но эта уязвимость позволяет принудительно проводить аутентификацию только через MS-FSRVP в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера.
Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
Несмотря на то, что по ShadowCoerce не было сделано никаких публичных заявлений, представители Microsoft традиционно отъехали, прокомментировав всю ситуацию тем, что «PoC злоупотребления MS-FSRVP, также известный как ShadowCoerce, был смягчен с помощью патча для CVE-2022-30154, которая затронула тот же компонент».
И вновь переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.
Дежавю.
Telegram
SecAtor
Мы уже писали про странное поведение Microsoft в истории с уязвимостью Follina, которую компания сначала не хотела признавать, несмотря на активное использование в дикой природе, а потом еще и закрывала почти три недели уже после того, как технические подробности…
QNAP обнаружили новую ransomware, науцеленную на на устройства NAS.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
Операторы Checkmate таргетируют атаки на открытые в Интернете устройства QNAP с активированной SMB и учетными записями с ненадежными паролями, которые можно сбрутить по словарям.
Checkmate — это относительно недавно обнаруженный штамм ransomware, впервые использованный в реальных атаках, начиная с 28 мая.
Малварь добавляет расширение checkmate к зашифрованным файлам и оставляет соответствующую заметку о выкупе CHECKMATE_DECRYPTION_README. Судя по представленным жертвами заметкам о выкупе, злоумышленники требуют выкуп в размере 15 000 долларов в битках в обмен на дешифратор и ключ к нему.
QNAP настоятельно рекомендует клиентам для уменьшения поверхности атак использовать VPN для доступа к NAS в Интернет, обновить прошивку устройства до последней версии, а также регулярно создавать резервные копии своих файлов.
Новое предупреждение дополнило после ряда предыдущих, вызванных новой волной атак с середины июня со стороны вымогателей DeadBolt и ech0raix.
QNAP и в этот раз обещает все расследовать и со всеми разобраться, правда гора пока что гора нерешенных проблем лежит полностью на плечах клиентов.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Checkmate Ransomware via SMB Services Exposed to the Internet - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Израильские исследователи Checkmarx SCS раскрыли подготовку к крупномасштабной кампании криптомайнинга CuteBoi, таргетированной на репозитории JavaScript NPM.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Скоординированные в рамках CuteBoi атаки на цепочки поставок ПО затронули более 1283 пакетов NPM, которые публиковались благодаря автоматической генерации более чем 1000 различных учетных записей.
Как и в случае с RED-LILI в начале этого года, пакеты публикуются с помощью метода автоматизации, который позволял злоумышленнику обойти функцию двухфакторной аутентификации (2FA).
Если в случае с RED-LILI схема включала настройку собственного сервера и использование Selenium и Interactsh для программного создания учетной записи пользователя NPM и обхода 2FA, то CuteBoi полагается на одноразовую службу электронной почты под названием mail.tm.
В частности, он использует REST API, который позволяет задействовать одноразовые почтовые ящики и читать полученные на них электронные письма, обеспечивая потоковую регистрацию учетных записей пользователей для последующей публикации пакетов.
Все опубликованные актором пакеты содержали практически идентичный исходный код уже существующего eazyminer, JS-оболочки ПО для майнинга XMRig.
Правда заимствованный из eazyminer код не предназначен для запуска в качестве отдельного инструмента, поэтому установка мошеннических модулей не инициирует работу майнера.
По всей видимости, обнаруженный кластер пакетов представляет собой результат тестирования инструментария и может свидетельствовать о подготовке актором к более масштабным атакам, и вполне возможно, что с иной полезной нагрузкой - как, например, в случае с IconBurst.
Checkmarx
“CuteBoi” Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users
Checkmarx SCS team detected over 1200 npm packages released to the registry by over a thousand different user accounts. This was done using automation which includes the ability to pass NPM 2FA challenge. This cluster of packages seems to be a part of an…
В новом коде вымогателя LockBit обнаружены уязвимости.
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Требуем от авторов ransomware присвоить им CVE и выплатить исследователям bug bounty!
Forwarded from Russian OSINT
🏗🏭Хакеры "Gonjeshke Darande" совершили кибератаку на Иранскую сталелитейную промышленность (ICS)
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
🦜GonjeshkDarand aka "Хищный воробей" совершившие кибератаки в прошлом месяце на 🇮🇷ICS Ирана снова опубликовали свежие скриншоты атаки на сталелитейную промышленность. По мнению атакующих взломанные компании могут быть тесно связаны с КСИР* и Басидж*.
📲 В открытый доступ хакеры решили слить 19,76 ГБ сверхсекретных данных:
"Сегодня мы впервые раскрываем совершенно секретные документы и десятки тысяч электронных писем от этих компаний об их клиентах и торговой практике в качестве доказательства принадлежности этих компаний к КСИР" - сообщают "Хищные воробьи" у себя на канале.
🇮🇱Принадлежность группировки "GonjeshkDarand" некоторые западные комментаторы в Twitter связывают с Израилем, но опять же - если бы да кабы, highly likely.
📡 На канале хакеров в конце июне фигурировали скриншоты с атаками на ICS и даже публиковались видео с камер завода.
КСИР* - Корпус стражей исламской революции, элитное иранское военно-политическое формирование, созданное в 1979 году из военизированных отрядов исламских революционных комитетов, сторонников лидера иранских шиитов великого аятоллы Хомейни
Басидж*, также Нируе Мукавемате Басидж, Сазман-е Басидж-е Мустазафин — иранское полувоенное ополчение, одна из пяти так называемых «сил» в составе Корпуса Стражей Исламской революции
Наступать на одни и те же грабли - это еще пол беды, но переходить при этом на детские - это прям печаль.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
Так, если вкратце, можно объяснить решение Microsoft отменить блокировку макросов в Office по умолчанию, не предупреждая своих клиентов.
Компания в четверг проинформировала клиентов о том, что планирует отменить введённый запрет на автоматический запуск макросов VBA в документах Access, Excel, PowerPoint, Visio и Word, загруженных из Интернет.
В системах с активированной функцией aut0blocking для макросов пользователи перед загрузкой видят предупреждение системы безопасности с указанием небезопасного вложения. При этом блокировка по умолчанию в Office была введена самой же Microsoft в феврале 2022 года.
Решение было продиктовано негативной практикой использования макросов VBA для распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) в ходе фишинговых атак с вредоносными вложениями документов Office.
К настоящему времени Microsoft вернула запуск макросов по умолчанию, откатив изменение в Current Channel for Office.
Microsoft заявила, что откатила блокировку макросов основываясь на отзывах недовольных пользователей (прим.редакции - из АНБ).
В общем, это просто каких-то космических масштабов зашквар, конечно.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.
Ресерчеры NCC Group смогли взломать популярный протокол для радиоуправляемых самолетов (RC) всего за несколько итераций.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
ExpressLRS — это высокопроизводительный канал радиоуправления с открытым исходным кодом, обеспечивает радиоуправление с малой задержкой на максимальной дальности. Работает на самых разных аппаратных средствах с частотами 900 МГц и 2,4 ГГц.
ExpressLRS очень популярен в дронах FPV и других самолетах с дистанционным управлением, доступен на GitHub.
Согласно отчету ресерчеров, уязвимость в системе радиоуправления дронами кроется в высокооптимизированной структуре беспроводных пакетов и вызвана ненадежностью механизма, связывающего передатчик и приемник.
Некоторая информация через передаваемые беспроводные пакеты может быть перехвачена третьей стороной для захвата всего соединения между оператором и дроном, что может привести к полному контролю над целевым кораблем. У самолета, уже находящегося в воздухе, скорее всего, возникнут проблемы с управлением, что приведет к аварии.
В протоколе ExpressLRS используется фраза привязки, своего рода идентификатор, который гарантирует, что правильный передатчик разговаривает с правильным приемником. Она предназначена не для безопасности, а, прежде всего, для предотвращения конфликтов радиолокации.
Фраза зашифрована с использованием алгоритма хеширования MD5, который, к слову, уже почти 10 лет как не поддерживается.
Как раз бреши в системе безопасности компонента и позволяют извлечь часть уникального идентификатора UID фразы привязки, который используется приемником и передатчиком.
Дело в том, что пакеты синхронизации, передаваемые между передатчиком и приемником через равные промежутки времени, пропускают большую часть UID, или 75% байтов, необходимых для захвата полной ссылки.
Как объясняют исследователи, оставшийся бит UID (25 %) может быть скомпилирован путем перебора или же наблюдения за пакетами в эфире, но последний вариант может занять больше времени.
После установления UID хакер может с легкостью подключиться к приемнику дрона, получив контроль над управлением. Метод реализуется на базе стандартного ПО с использованием оборудования, совместимого с ExpressLRS.
Все подробности - в отчете.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Остерегайтесь, ибо вас может заразить OrBit и речь не об освежающей жвачке, а о недавно обнаруженной вредоносной программе для Linux используемой для скрытой кражи информации с бэкдором и заражением всех запущенных процессов на машине.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Вредоносное ПО назвали OrBit исследователи из Intezer Labs, которые первыми его обнаружили и пояснили, что малварь компрометирует общие библиотеки для перехвата вызовов функций путем изменения переменной среды LD_PRELOAD на скомпрометированных устройствах.
OrBit может существовать как временный, так и как постоянный имплант, основной задачей которого является кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.
Малварь крайне хитрая и может перехватывать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, скрывать сетевую активность и сохранять устойчивость, заражая новые процессы.
Например, после внедрения в запущенный процесс OrBit может манипулировать его выводом, чтобы скрыть любые следы своего существования, отфильтровывая то, что регистрируется.
Как сказала исследователь из Intezer Labs Николь Фишбейн: «После того, как вредоносная программа будет установлена, она заразит все запущенные процессы, включая новые процессы, запущенные на машине».
Вектор атаки начинается с ELF-файла - дроппера, который извлекает полезную нагрузку libdl.so и добавляет ее в общие библиотеки, загружаемые динамическим компоновщиком.
Дроппер и компоненты полезной нагрузки OrBit ранее были полностью незаметны для антивирусных средств и когда вредоносное ПО было впервые обнаружено, ряд поставщиков антивирусных решений обновили свои продукты, чтобы предупредить клиентов об угрозе.
Intezer
OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow
OrBit is a new Linux malware that hijacks the execution flow, evading and gaining persistence to get remote access and steal information.
Cisco устранила критическую уязвимость в Cisco Expressway и TelePresence Video Communication Server (VCS).
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
CVE-2022-20812 имеет оценку CVSS 9,0 и затрагивает устройства Expressway Control (Expressway-C) и Expressway Edge (Expressway-E).
Уязвимость в API-интерфейсе кластерной базы данных Cisco Expressway Series и Cisco TelePresence VCS может позволить удаленному злоумышленнику, прошедшему проверку подлинности, проводить атаки с обходом абсолютного пути на уязвимом устройстве и перезаписывать файлы в базовой ОС как пользователь root.
Основной причиной уязвимости является недостаточная проверка введенных пользователем аргументов команды. Злоумышленники могут инициировать уязвимость, аутентифицируясь в системе как пользователь с правами администратора для чтения и записи.
Кроме того, устранена проблема уязвимость в проверке сертификатов Expressway Series и TelePresence VCS, отслеживаемая как CVE-2022-20813 с оценкой CVSS 9.0, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к конфиденциальным данным.
Недостаток связан с неправильной проверкой сертификата.
Злоумышленник может активировать уязвимость, используя MiTM для перехвата трафика между устройствами, а затем используя созданный сертификат для имитации конечной точки. Злоумышленник может просматривать перехваченный трафик в открытом виде или манипулировать им.
Обе проблемы закрыты в обновленном выпуске 14.0.7, при этом обходные пути для уязвимостей отсутствуют.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and in the web-based management interface of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow a remote attacker to overwrite arbitrary files or conduct null byte poisoning attacks…
Emsisoft выпустила бесплатную утилиту для восстановления файлов, зашифрованных с помощью ransomware AstraLocker и Yashma.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
Бесплатный инструмент доступен для загрузки с серверова Emsisoft вместо со всеми необходимыми инструкциями (PDF).
Ресерчеры рекомендует, прежде всего, изолировать и удалить вредоносное ПО из системы для исключения повторной блокировки и шифрования файловой системы.
Кроме того, жертвам , чьи системы были скомпрометированы через удаленный рабочий стол Windows, следует изменить пароли для всех учетных записей пользователей и деактивировать добавленные операторами ransomware аккаунты.
Расшифровщик AstraLocker реализует дешифрацию Babuk с расширением .Astra или .babyk, и включает в общей сложности 8 ключей. Расшифровщик Yashma предназначен для шифратора на основе Chaos с использованием .AstraLocker или случайного расширения .[a-z0-9]{4}, включает в общей сложности 3 ключа.
Утилита была разработана вскоре после того, как владелец AstraLocker сообщил о переориентации с ransomware на криптоджейкинг, поделившись ZIP-архивом с дешифраторами AstraLocker и Yashma, который был отправлен на VirusTotal.
Незадолго до этого по результатам анализа кода, проведенного ReversingLabs, стало известно, что AstraLocker основан на утечке исходного кода Babuk. Кроме того, один из адресов кошелька Monero, перечисленных в примечании о выкупе, связан с операторами ransomware Chaos. В совокупности, за всеми стояли одни и те же операторы.
В общем, от «продолжения банкета» хакеры решили отказаться.
Новые дескрипторы пополнили существующий список аналогичного ПО для следующих штаммов: Ragnarok, Avaddon, SynAck, AES-NI, Shade, FilesLocker, TeslaCrypt, Crysis, Ziggy и FonixLocker.
͏Fortinet выпустила исправления безопасности для устранения множества серьезных уязвимостей в нескольких продуктах поставщика, включая FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder и FortiVoiceEnterprise.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Наиболее критичными оказались 4 ошибки, среди которых:
CVE-2022-26117: незащищенная корневая учетная запись MySQL. Пустой пароль в файла конфигурации [CWE-258] в FortiNAC может позволить злоумышленнику, прошедшему проверку подлинности, получить доступ к базам данных MySQL через интерфейс командной строки.
CVE-2021-43072: переполнение буфера на основе стека с помощью созданной команды выполнения CLI (копирование буфера без проверки размера входных данных) [CWE-120] в FortiAnalyzer, FortiManager, FortiOS и FortiProxy. Может позволить злоумышленнику может выполнить произвольный код или команду с помощью созданных CLI-операций: выполнить образ восстановления и выполнить удаленный сертификат с протоколом TFTP.
CVE-2022-30302: уязвимость обхода пути. Несколько ошибок обхода относительного пути [CWE-23] в интерфейсе управления FortiDeceptor могут позволить удаленному и прошедшему проверку подлинности злоумышленнику извлекать и удалять произвольные файлы из базовой файловой системы с помощью веб-запросов.
CVE-2021-41031: повышение привилегий с помощью атаки с обходом каталога. Уязвимость обхода относительного пути [CWE-23] в FortiClient для Windows может позволить локальному непривилегированному злоумышленнику повысить свои привилегии до SYSTEM через именованный канал, отвечающий за службу FortiESNAC.
Список жертв Lockbit пополнился еще на одну строчку. На прошлой неделе под раздачу ransomware попал французский оператор виртуальной мобильной связи La Poste Mobile.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
Атака программы-вымогателя парализовала административные и управленческие услуги компании.
Как заявили представители оператора злоумышленники могли получить доступ к данным ее клиентов, в связи с чем рекомендуют быть им более бдительными.
В компании оценивают риски и остерегаются, что инцидент может привести к краже личных данных или фишинговым атакам в случае компрометации клиентских данных.
Со слов оператора, ими приняты все необходимые защитные меры и отключены соответствующие компьютерные системы.
Собственно, поэтому в настоящее время эти действия привели к тому, что временно закрыт веб-сайт и клиентская зона компании. Сервера, необходимые для работы мобильной связи, хорошо защищены и работают в штатном режиме.
Lockbit добавили La Poste Mobile на свой сайт утечки в ночь с четверга на пятницу.
Как мы помним, банда выпустила и активно обкатывает на новых жертвах свой новый ransomware LockBit 3.0 с собственным "Bug Bounty", оплатой в Zcash и новой тактикой вымогательства.
La Tribune
Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?
Depuis le début de la semaine, le site de La Poste Mobile ne fonctionne plus en raison d'une cyberattaque rançongiciel. Celle-ci est revendiquée par LockBit 3.0, le numéro 1 du milieu cybercriminel, qui espère extorquer de l'argent à sa victime. Heureusement…
Forwarded from Russian OSINT
🚔 Motherboard опубликовали часть кода "анонимного и защищенного" мессенджера Anom от ФБР
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
В течение многих лет ФБР тайно следили за преступными синдикатами по всему миру через якобы защищенный мессенджер "Anom", в результате чего правоохранительным органам удалось произвести более 1000 арестов наркоторговцев, изъять большое количество огнестрельного оружия, наличных, наркотиков и роскошных автомобилей.
👮Все это стало возможным благодаря созданию ФБР собственной платформы для зашифрованных коммуникаций под названием "Anom" [подобную Encrochat и Phantom Secure] специально для отслеживания преступников.
📲Как сообщает Motherboard, им удалось получить базовый код приложения Anom и теперь они делятся им, для того чтобы дать общественности понять - как правоохранительные органы решают проблему "Going Dark".
📟 В основе Anom коммуникации лежит популярный XMPP (Jabber) протокол для обмена сообщениями, которым часто пользуются в криминальных кругах для обеспечения конфиденциальности своих переписок.
🙂Каждый пользователь Anom в своем контакт-лист имел возможность связи с официальной поддержкой Anom (support), но вот что не прописывалось в пользовательском соглашении, так это скрытый 🤖"призрачный" бот-контакт от ФБР, работающий в фоновом режиме и собирающий копии всех сообщений пользователя. Он был невидимым для преступников.
🌎 Многие из перехваченных сообщений Anom содержали точное местоположение устройства по GPS на момент отправки сообщения.
"Основная часть кода для обработки сообщений, по-видимому, была скопирована из приложения для обмена сообщениями с открытым исходным кодом." - комментируют Motherboard
🙅♂️Motherboard отказались публиковать полный код Anom, так как он содержит информацию о том, кто работал над проектом и разрабатывал приложение для спецслужб.
🤔"Большинство людей, работавших над созданием приложения Anom не знали, что это тайный инструмент ФБР для слежки за организованной преступностью, и раскрытие кода может может подвергнуть разработчиков серьезному риску"
👆Купер Квинтин, старший технолог активистской организации Electronic Frontier Foundation (EFF) счел сумасшедшей идеей то, что ФБР использовало обычных разработчиков для этой правоохранительной операции.
https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m
Критически важные проекты в PyPI будут обязаны подключить 2FA, без которой сопровождающие ПО для Python не смогут публиковать, обновлять или изменять их.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Соответствующее требование Python Software Foundation уже начали внедрять.
PyPI содержит более 350 000 проектов, из которых более 3500 проектов отмечены как критические.
По словам сопровождающих репозитория, любой проект, на который приходится 1% лучших загрузок за предыдущие 6 месяцев, считается критическим, при этом показатель пересчитывается ежедневно.
При этом после включения в категорию, отметка сохранится на неопределенный срок, даже если число загрузок станет менее 1%.
Кроме того, разработчикам критически важных проектов на PyPi необходимо будет обзавестись аппаратными ключамт безопасности Google Open Source.
На такой шаг Python Software Foundation были вынуждены пойти после череды инцидентов, связанных с компрометацией цепочек поставок экосистемы Python в последние месяцы. Напоминать не будем, вы и сами все видели.
Twitter
We’ve begun rolling out a 2FA requirement: soon, maintainers of critical projects must have 2FA enabled to publish, update, or modify them.
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
To ensure that these maintainers can use strong 2FA methods, we're also distributing 4000 hardware security keys!…
͏И, как обычно, ни дня без ransomware.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Достаточно грамотно оттачивают свою новую стратегию двойного вымогательства BlackCat, более жестко оказывая давление на своих жертв.
Для этого злоумышленники освоили и доводят до совершенства функцию поиска на сайте DLS, значительно упрощая обнаружение жертвами конкретных украденных данных, о чем они публично заявили на прошлой неделе, добавив поплыви и без того мощный арсенал: шифрование, кражу данных и отказ в обслуживании (DoS).
Хакеры проиндексировали все репозитории и добавили целый раздел Colections, позволяя находить утекшую информацию по имени файла или по содержимому, доступному в документах и изображениях.
Похоже, что часть украденных файлов все еще находится в индексации, но большая часть уже доступна для быстрой навигации. Выявлено более 2270 проиндексированных документов, содержащих учетные данные для доступа и информацию о паролях в виде открытого текста, и более 100 000 конфиденциальных документов, включая сообщения электронной почты и вложения.
BlackCat утверждают, что делают это для того, чтобы другим киберпреступникам было проще подобрать пароли или конфиденциальную информацию о компаниях, а также дает все основания для подачи жертвами коллективных исков.
Ранее в июне этого года BlackCat запускали доступный для поиска сайт с данными, предположительно, украденными в результате атаки на отель и спа в Орегоне, который позволял клиентам компании и сотрудникам проверять, не была ли их личная информация украдена.
Кстати, на днях группа опубликовала новых жертв — COUNT+CARE Gmbh (IT-компания из Германии), вслед за Dusit D2 Kenz Hotel в Дубае, Sinclair Wilson (компания по бухгалтерскому учету и управлению активами из Австралии) и американская Adler Display.
Безусловно, новые приемы порождают и новые расценки выкупа. Resecurity (США), имеющая в основном клиентов из числа списка Fortune 500, обнаружила значительное повышение суммы выкупа со стороны Blackcat.
Судя по недавним скомпрометированным жертвам в скандинавском регионе (которые еще не были раскрыты), сумма, подлежащая выплате, превысила 2 млн. долларов, а средняя такса за урегулирование инцидента составила 2,5 млн.
Ресерчеры прогнозируют, что к 2031 году общая активность ransomware достигнет планки в 265 млрд. долларов, а общий ущерб для предприятий во всем мире может составить 10,5 трлн.
Вслед за BlackCat аналогичную функцию разработали LockBit 3.0, предложив переработанную версию сайта утечки, которая позволяет искать компании-жертвы из списка. Правда, пока что поиск у них не такой продвинутый как ALPHV, но все же.
Сразу же за ними подтянулись и вымогатели Karakurt, которые также представили свой поисковый сайт, работающий раз через раз в текущем исполнении.
Трудно сказать, насколько эффективен новый метод вымогательства, однако точно, можно считать новым трендом, делая ransomware, как минимум, более технологичным киберпреступлением.
Облачные сервисы все чаще и чаще становятся лакомым кусочком для злоумышленников, которые "оптимизируют" работу виртуальных сред для добычи цифрового золота.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Исследователи из Trend Micro провели анализ атак на облачные платформы GitHub Actions и Azure VM а также расчехлили стоящих за ними акторов.
GitHub Actions — это платформа для автоматизации конвейера сборки, тестирования и развертывания ПО, которую разработчики используют ее для создания рабочих процессов, ну а злоумышленники своими внедренными скриптами GHA YAML для добычи криптовалюты.
В Azure обычно размещаются исполняемые файлы на виртуальных машинах Standard_DS2_v2 с Linux и Windows.
Основная цель злоумышленников - майнинг криптовалюты, что, по мнению экспертов, оказывает негативное влияние на целевые организации с точки зрения потребления ресурсов и затрат.
Дабы продемонстрировать последствия атак, исследователи Trend Micro развернули майнер XMRig на одной из своих систем и наблюдали увеличение коэффициента использования ЦП в среднем с 13% до 100%.
Стоимость электроэнергии для целевой организации подскочила с 20 до 130 долларов США в месяц, что почти +600% лишь для одного облачного хоста.
При этом производительность зараженной инфраструктуры существенно замедляется и может привести к сбоям в работе онлайн-сервисов, что также скажется на общей производительности и репутации организации.
Магии во внедрении майнеров в облачные среды никакой нет и как правило это делается с помощью традиционных методов, например, путем использования уязвимостей безопасности целевых систем, слабых учетных данных или неправильно настроенной облачной реализации.
Некоторые группировки, например Outlaw используют брутфорс и SSH-эксплойт (Shellshock Flaw и уязвимость Drupalgeddon2) для получения удаленного доступа к целевым системам, включая серверные и IoT-устройства.
Другая группа TeamTNT пытается скомпрометировать хосты, используя уязвимое ПО, крадет учетные данные для других сервисов для перемещения уже на другие хосты. В общем кто, на что горазд.
В ходе анализа Trend Micro обнаружила на одном только GitHub более 1000 репозиториев и 550 скриптов, которые используются для майнинга. Что сказать: стабильно и сытно.
Рекомендации и индикаторы компрометации для известных кампаний по добыче крипты специалисты опубликовали в своем отчете.
Trend Micro
Unpacking Cloud-Based Cryptocurrency Miners That Abuse GitHub Actions and Azure Virtual Machines
We investigate cloud-based cryptocurrency miners that leverage GitHub Actions and Azure virtual machines, including the cloud infrastructure and vulnerabilities that malicious actors exploit for easy monetary gain.
Немного подумав, Microsoft решили откатить свое решение, которое откатывало предыдущее.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
Речь идет о автоматической блокировке макросов VBA в загруженных документах Office, которую разработчики реализовали в рамках развертывания в период с апреля по июнь.
Но к всеобщему удивлению, блокировка была на прошлой отменена, о чем Microsoft никак не уведомил пользователей Windows и Microsoft Office, которые вновь оказались уязвимыми для атак посредством документов со встроенными вредоносными макросами.
Традиционно после «пинка», Microsoft выкатили свои compliance, заявив: «Это временное изменение, и мы полностью привержены внесению изменений по умолчанию для всех пользователей. Мы предоставим дополнительную информацию о сроках в ближайшие недели».
Правда доходчиво, не объяснив, что же конкретно они готовы предложить.
Не будем повторяться - но мы уже в 100500 раз пытались понять причины и мотивы таких неоднозначных решений.
TECHCOMMUNITY.MICROSOFT.COM
Helping users stay safe: Blocking internet macros by default in Office
To protect our customers, users will no longer be able to enable macros obtained from the internet.