Серьезная уязвимость, затрагивающая eCos SDK, созданный тайваньской полупроводниковой компанией Realtek, может подвергнуть сетевые устройства многих поставщиков удаленным атакам.
CVE-2022-27255 высокой степени серьезности представляет собой переполнение буфера на основе стека, которое может позволить удаленному злоумышленнику вызвать сбой или выполнить произвольный код на устройствах, использующих SDK.
Атака может быть осуществлена через интерфейс WAN с использованием специально созданных SIP-пакетов.
Realtek eCos SDK используются производителями маршрутизаторов, точек доступа и ретрансляторов на базе SoC семейства RTL819x.
SDK реализует базовые функции маршрутизатора, включая интерфейс веб-администрирования и сетевой стек.
Realtek проинформировал клиентов об уязвимости eCos SDK в марте и объявил о доступности патча.
Обнаружившие уязвимости исследователи Faraday Security отметили, что уязвимость может быть использована удаленно - непосредственно из Интернета - для взлома затронутых маршрутизаторов, работающих с настройками по умолчанию.
Для успешной эксплуатации не требуется взаимодействие с пользователем.
Уязвимый код является частью сетевого стека - если устройство подключено к Интернету, злоумышленнику нужно только отправить пакет, чтобы взять под контроль устройство.
Ресерчеры выделили около 20 поставщиков, которые используют уязвимый SDK для своих продуктов, включая Tenda, Nexxt, Intelbras и D-Link.
Пока не понятно была ли уязвимость использована в дикой природе.
Но точно известно, что согласно
Shodan, более 60 000 уязвимых маршрутизаторов с открытой панелью администрирования находятся в сети.
А ведь известно, что субъекты угроз, как правило, нацелены на уязвимости Realtek SDK в своих атаках: в прошлом году исследователи заметили эксплуатацию дефекта всего через несколько дней после его раскрытия.
CVE-2022-27255 высокой степени серьезности представляет собой переполнение буфера на основе стека, которое может позволить удаленному злоумышленнику вызвать сбой или выполнить произвольный код на устройствах, использующих SDK.
Атака может быть осуществлена через интерфейс WAN с использованием специально созданных SIP-пакетов.
Realtek eCos SDK используются производителями маршрутизаторов, точек доступа и ретрансляторов на базе SoC семейства RTL819x.
SDK реализует базовые функции маршрутизатора, включая интерфейс веб-администрирования и сетевой стек.
Realtek проинформировал клиентов об уязвимости eCos SDK в марте и объявил о доступности патча.
Обнаружившие уязвимости исследователи Faraday Security отметили, что уязвимость может быть использована удаленно - непосредственно из Интернета - для взлома затронутых маршрутизаторов, работающих с настройками по умолчанию.
Для успешной эксплуатации не требуется взаимодействие с пользователем.
Уязвимый код является частью сетевого стека - если устройство подключено к Интернету, злоумышленнику нужно только отправить пакет, чтобы взять под контроль устройство.
Ресерчеры выделили около 20 поставщиков, которые используют уязвимый SDK для своих продуктов, включая Tenda, Nexxt, Intelbras и D-Link.
Пока не понятно была ли уязвимость использована в дикой природе.
Но точно известно, что согласно
Shodan, более 60 000 уязвимых маршрутизаторов с открытой панелью администрирования находятся в сети.
А ведь известно, что субъекты угроз, как правило, нацелены на уязвимости Realtek SDK в своих атаках: в прошлом году исследователи заметили эксплуатацию дефекта всего через несколько дней после его раскрытия.
Исследователи Eclypsium обнаружили уязвимости в трех подписанных сторонних загрузчиках Unified Extensible Firmware Interface (UEFI), которые позволяют обойти функцию безопасной загрузки.
Ошибки могут быть использованы путем установки системного раздела EFI и замены существующего загрузчика на уязвимый или изменения переменной UEFI для загрузки уязвимого погрузчика вместо существующего.
Загрузчики прошивки загружают среду UEFI и передают контроль приложениям UEFI, написанным поставщиком SoC, Microsoft и OEM", - отмечает Microsoft в своей документации.
Среда UEFI запускает диспетчер загрузки Windows, который определяет, следует ли загружаться в режим прошивки образа Full Flash Update (FFU) или сброса устройства, в ОС обновления или в основную ОС.
Среди подписанных и аутентифицированных Microsoft загрузчиков уязвимыми оказались:
загрузчик Eurosoft (CVE-2022-34301); загрузчик Horizon Data Systems Inc (CVE-2022-34302) и загрузчик Crypto Pro (CVE-20220-34303).
Таким образом, успешное использование недостатков, выявленных Eclypsium, может позволить противнику обойти защиту при запуске и выполнить произвольный неподписанный код во время процесса загрузки.
Это может позволить актеру получить укоренившийся доступ и установить устойчивость на хосте, минуя переустановку операционной системы и замену жесткого диска.
CVE-2022-34302, по наблюдениям Eclypsium, гораздо более скрытен, в то время как, уязвимость New Horizon Datasys не только тривиальна для использования в дикой природе, но и может способствовать отключению обработчиков безопасности.
Использование выявленных уязвимостей требует от злоумышленника прав администратора, однако получение локальной эскалации привилегий не считается непреодолимым из-за того, что Microsoft не рассматривает обход контроля учетных записей пользователей (UAC) как угрозу безопасности.
Microsoft работала с двумя последними поставщиками и выпустила обновление безопасности KB5012170 для устранения проблем в предоставленном загрузчике, а также заблокировала все сертификаты.
В тоже время Carnegie Mellon CERT предоставил список с 23 поставщиками загрузчиков UEFI, четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут).
Остальные 20 поставщиков также были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты или нет.
Список включает в себя такие наименования, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.
Исправление этих уязвимостей должно быть доставлено либо производителем оригинального оборудования (OEM), либо поставщиком ОС путем обновления списка отзыва UEFI - Secure Boot Forbidden Signature Database (DBX).
Ошибки могут быть использованы путем установки системного раздела EFI и замены существующего загрузчика на уязвимый или изменения переменной UEFI для загрузки уязвимого погрузчика вместо существующего.
Загрузчики прошивки загружают среду UEFI и передают контроль приложениям UEFI, написанным поставщиком SoC, Microsoft и OEM", - отмечает Microsoft в своей документации.
Среда UEFI запускает диспетчер загрузки Windows, который определяет, следует ли загружаться в режим прошивки образа Full Flash Update (FFU) или сброса устройства, в ОС обновления или в основную ОС.
Среди подписанных и аутентифицированных Microsoft загрузчиков уязвимыми оказались:
загрузчик Eurosoft (CVE-2022-34301); загрузчик Horizon Data Systems Inc (CVE-2022-34302) и загрузчик Crypto Pro (CVE-20220-34303).
Таким образом, успешное использование недостатков, выявленных Eclypsium, может позволить противнику обойти защиту при запуске и выполнить произвольный неподписанный код во время процесса загрузки.
Это может позволить актеру получить укоренившийся доступ и установить устойчивость на хосте, минуя переустановку операционной системы и замену жесткого диска.
CVE-2022-34302, по наблюдениям Eclypsium, гораздо более скрытен, в то время как, уязвимость New Horizon Datasys не только тривиальна для использования в дикой природе, но и может способствовать отключению обработчиков безопасности.
Использование выявленных уязвимостей требует от злоумышленника прав администратора, однако получение локальной эскалации привилегий не считается непреодолимым из-за того, что Microsoft не рассматривает обход контроля учетных записей пользователей (UAC) как угрозу безопасности.
Microsoft работала с двумя последними поставщиками и выпустила обновление безопасности KB5012170 для устранения проблем в предоставленном загрузчике, а также заблокировала все сертификаты.
В тоже время Carnegie Mellon CERT предоставил список с 23 поставщиками загрузчиков UEFI, четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут).
Остальные 20 поставщиков также были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты или нет.
Список включает в себя такие наименования, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.
Исправление этих уязвимостей должно быть доставлено либо производителем оригинального оборудования (OEM), либо поставщиком ОС путем обновления списка отзыва UEFI - Secure Boot Forbidden Signature Database (DBX).
Eclypsium | Supply Chain Security for the Modern Enterprise
One Bootloader to Load Them All - Eclypsium | Supply Chain Security for the Modern Enterprise
The Eclypsium Research team has identified three new bootloader vulnerabilities which affect the vast majority of devices released over the past 10 years. These vulnerabilities could be used to easily evade Secure Boot protections and compromise the integrity…
Почти год назад мы писали про то, что мы ещё не раз столкнёмся с ПО SOVA, разработчики которого делились амбициозными планами на его счете.
Так и получилось. Банковский троян SOVA для Android продолжает активно развиваться.
Проследить за эволюцией ПО смогли аналитики Cleafy, которые наблюдали за SOVA с момента объявления проекта в сентябре 2021 года и отметили, что в 2022 году его развитие резко ускорилось.
В марте SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру.
В июле 2022 года команда разработчиков ПО выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
Также была добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
Был проведен внушительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от обнаружения. Версия также была ориентирована на Binance и приложение платформы Trust Wallet с использованием специального модуля, созданного для кражи секретной фразы пользователя.
И совсем недавно Cleafy протестировала SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль ransomware.
Он использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android.
Пока что пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
Но даже в нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android следует озаботиться вопросами резервного копирования.
Так что, SOVA по праву становится все более опасной угрозой, являясь одним из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
Так и получилось. Банковский троян SOVA для Android продолжает активно развиваться.
Проследить за эволюцией ПО смогли аналитики Cleafy, которые наблюдали за SOVA с момента объявления проекта в сентябре 2021 года и отметили, что в 2022 году его развитие резко ускорилось.
В марте SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру.
В июле 2022 года команда разработчиков ПО выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
Также была добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
Был проведен внушительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от обнаружения. Версия также была ориентирована на Binance и приложение платформы Trust Wallet с использованием специального модуля, созданного для кражи секретной фразы пользователя.
И совсем недавно Cleafy протестировала SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль ransomware.
Он использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android.
Пока что пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
Но даже в нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android следует озаботиться вопросами резервного копирования.
Так что, SOVA по праву становится все более опасной угрозой, являясь одним из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
Telegram
SecAtor
Амбициозные планы выкатили разработчики вредоносного ПО SOVA под устройства Android.
Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и…
Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и…
͏Говорят, снаряд не падает в одну воронку дважды. И в AT&T также считают, правда до тех, пор пока их не разоблачают.
Вот и на этот раз оператор отрицает какую-либо связь с базой данных украденной информации, которая включала 23 миллиона уникальных SSN, заявляя, что это может быть связано со взломом кредитного агентства.
4 августа специалисты Hold Security обнаружили сжатый архив объемом 1,6 ГБ на популярном файлообменнике в DarkWeb, который включал файл размером 3,6 гигабайта с именем dbfull. В нем содержалась украденная идентификационная информация, вероятно, принадлежащая клиентам AT&T.
Далее исследователи нашли достаточно много доказательств, связывающих утечку с AT&T, включая адреса электронной почты, оканчивающиеся на «att.net», «SBCGLobal.net» или «Bellsouth.net», а также ссылки на малоизвестный широкополосный сервис AT&T, а также совпадения по местоположениям, соответствующих адресам 21 филиала.
Представители AT&T полагают, что утечка может быть связана с предыдущим инцидентом с данными в другой компании. Отметив также, что пакет данных появлялся несколько раз за эти годы, а результаты расследования указывают на другой источник.
При этом AT&T не уточнила, что они имели в виду и какое кредитное агентство могло быть взломано.
Но, что точно известно: в прошлом году известная хакерская группа ShinyHunters продавала базу данных с конфиденциальной информацией на более чем 70 миллионов клиентов AT&T.
И тогда оператор также отрицал инцидент и его всякую связь со своими клиентами.
Однако база все же была продана с аукциона за 200 000 долларов или по цене немедленной продажи в 1 миллион долларов, а две недели назад хакеров даже за это арестовали.
Имена новых счастливчиков вскоре тоже станут известны, как и результата попадания нового снаряда по подбитой воронке.
Вот и на этот раз оператор отрицает какую-либо связь с базой данных украденной информации, которая включала 23 миллиона уникальных SSN, заявляя, что это может быть связано со взломом кредитного агентства.
4 августа специалисты Hold Security обнаружили сжатый архив объемом 1,6 ГБ на популярном файлообменнике в DarkWeb, который включал файл размером 3,6 гигабайта с именем dbfull. В нем содержалась украденная идентификационная информация, вероятно, принадлежащая клиентам AT&T.
Далее исследователи нашли достаточно много доказательств, связывающих утечку с AT&T, включая адреса электронной почты, оканчивающиеся на «att.net», «SBCGLobal.net» или «Bellsouth.net», а также ссылки на малоизвестный широкополосный сервис AT&T, а также совпадения по местоположениям, соответствующих адресам 21 филиала.
Представители AT&T полагают, что утечка может быть связана с предыдущим инцидентом с данными в другой компании. Отметив также, что пакет данных появлялся несколько раз за эти годы, а результаты расследования указывают на другой источник.
При этом AT&T не уточнила, что они имели в виду и какое кредитное агентство могло быть взломано.
Но, что точно известно: в прошлом году известная хакерская группа ShinyHunters продавала базу данных с конфиденциальной информацией на более чем 70 миллионов клиентов AT&T.
И тогда оператор также отрицал инцидент и его всякую связь со своими клиентами.
Однако база все же была продана с аукциона за 200 000 долларов или по цене немедленной продажи в 1 миллион долларов, а две недели назад хакеров даже за это арестовали.
Имена новых счастливчиков вскоре тоже станут известны, как и результата попадания нового снаряда по подбитой воронке.
Forwarded from SecurityLab.ru
Данные клиентов сайта ShitExpress были украдены с помощью SQL инъекции
— Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.
— Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .
— Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.
https://www.securitylab.ru/news/533249.php?r=1
— Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.
— Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .
— Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.
https://www.securitylab.ru/news/533249.php?r=1
SecurityLab.ru
Сервис ShitExpress был взломан клиентом
С помощью SQL-инъекции пользователь получил доступ к базе данных десятков тысяч шутников.
Теперь вместе с индексом пакетов для Python можно установить себе майнер в придачу.
Исследователи Sonatype обнаружили вредоносный пакет в официальном репозитории стороннего программного обеспечения для Python, который развертывает криптомайнеры в системах Linux.
Вредоносный модуль под названием secretslib был включен в индекс пакетов Python (PyPI) 6 августа 2022 и его успели загрузить 93 раза до его удаления.
После установки пакет тайно запускает криптомайнер Monero в оперативной памяти — достаточно популярный метод, в основном используемый бесфайловыми вредоносными программами и шифровальщиками.
Собственно, исследователи и отмечают в своем отчете, что малварь практически не оставляет следов и совершенно "невидима"" с точки зрения судебной экспертизы.
Причем злоумышленник, загрузивший пакет был настолько изощрен и чтобы придать вредоносному ПО достоверности выдал себя за личность легитимного инженера-программиста, трудоустроенного в Аргоннской национальной лаборатории, которая работает в интересах Министерства энергетики США.
Благо, что глобальный замысел не реализовался, но это уже далеко не первая попытка провести атаку на цепочки поставок путем подставки вредоносных пакетов.
Несколько дней назад мы писали, как исследователи Check Point обнаружили еще десять вредоносных пакетов в PyPI, которые позволяли злоумышленникам красть личные данные и аутентификационные сведения пользователей.
Исследователи Sonatype обнаружили вредоносный пакет в официальном репозитории стороннего программного обеспечения для Python, который развертывает криптомайнеры в системах Linux.
Вредоносный модуль под названием secretslib был включен в индекс пакетов Python (PyPI) 6 августа 2022 и его успели загрузить 93 раза до его удаления.
После установки пакет тайно запускает криптомайнер Monero в оперативной памяти — достаточно популярный метод, в основном используемый бесфайловыми вредоносными программами и шифровальщиками.
Собственно, исследователи и отмечают в своем отчете, что малварь практически не оставляет следов и совершенно "невидима"" с точки зрения судебной экспертизы.
Причем злоумышленник, загрузивший пакет был настолько изощрен и чтобы придать вредоносному ПО достоверности выдал себя за личность легитимного инженера-программиста, трудоустроенного в Аргоннской национальной лаборатории, которая работает в интересах Министерства энергетики США.
Благо, что глобальный замысел не реализовался, но это уже далеко не первая попытка провести атаку на цепочки поставок путем подставки вредоносных пакетов.
Несколько дней назад мы писали, как исследователи Check Point обнаружили еще десять вредоносных пакетов в PyPI, которые позволяли злоумышленникам красть личные данные и аутентификационные сведения пользователей.
Sonatype
PyPI package 'secretslib' drops fileless Linux malware to mine monero
Sonatype identified a 'secretslib' PyPI package that covertly installs cryptominers on Linux systems.
Инфраструктура судебной система Аргентины была полностью отключена после инцидента с ransomware, а работники вынуждены были вернуться к бумажному делопроизводству.
Атака произошла в субботу 13 августа. Пострадавшая сторона начала расследование и привлекла к нему специалистов из Microsoft, Cisco и Trend Micro.
Clarín сообщает, что, по словам источников, атака затронула ИТ-системы судебной власти и ее базы данных, что сделало ее самой разрушительной атакой на госучреждения в истории страны.
Как выяснили журналисты, атака связана с программой-вымогателем Play, которая появилась впервые на радаре исследователей инфосек в июне 2022 года.
Как и во всех аналогичных инцидентах, злоумышленники компрометируют сеть и шифруют устройства. При шифровании файлов программа-вымогатель добавляет расширение .PLAY.
Однако, в отличие от большинства операций ransomware, заметки о выкупе Play необычайно просты. Вместо создания примечаний о выкупе в каждой папке, заметка PlayMe.txt создается только в корне жесткого диска (C:\) и содержит лишь слово «PLAY» с контактным адресом электронной почты.
Пока что не понятен механизм взлома Play сети судебного органа. Не зафиксировано публично утечки данных или каких-либо признаков эксфильтрации данных во время атаки.
Как известно, список адресов электронной почты сотрудников уже фигурировал на просторах даркнета после взлома Globant хакерами Lapsus$ в марте этого года. Возможно именно он использоваться злоумышленниками для реализации фишинговой атаки и кражи учетных данных.
К сожалению, это не первый случай, когда правительственное учреждение в Аргентине подвергается атаке ransomware. В сентябре 2020 года банда вымогателей Netwalker уже атаковала Dirección Nacional de Migraciones и выкатила выкуп в размере 4 млн. долларов.
Будем следить за развитием ситуации.
Атака произошла в субботу 13 августа. Пострадавшая сторона начала расследование и привлекла к нему специалистов из Microsoft, Cisco и Trend Micro.
Clarín сообщает, что, по словам источников, атака затронула ИТ-системы судебной власти и ее базы данных, что сделало ее самой разрушительной атакой на госучреждения в истории страны.
Как выяснили журналисты, атака связана с программой-вымогателем Play, которая появилась впервые на радаре исследователей инфосек в июне 2022 года.
Как и во всех аналогичных инцидентах, злоумышленники компрометируют сеть и шифруют устройства. При шифровании файлов программа-вымогатель добавляет расширение .PLAY.
Однако, в отличие от большинства операций ransomware, заметки о выкупе Play необычайно просты. Вместо создания примечаний о выкупе в каждой папке, заметка PlayMe.txt создается только в корне жесткого диска (C:\) и содержит лишь слово «PLAY» с контактным адресом электронной почты.
Пока что не понятен механизм взлома Play сети судебного органа. Не зафиксировано публично утечки данных или каких-либо признаков эксфильтрации данных во время атаки.
Как известно, список адресов электронной почты сотрудников уже фигурировал на просторах даркнета после взлома Globant хакерами Lapsus$ в марте этого года. Возможно именно он использоваться злоумышленниками для реализации фишинговой атаки и кражи учетных данных.
К сожалению, это не первый случай, когда правительственное учреждение в Аргентине подвергается атаке ransomware. В сентябре 2020 года банда вымогателей Netwalker уже атаковала Dirección Nacional de Migraciones и выкатила выкуп в размере 4 млн. долларов.
Будем следить за развитием ситуации.
Clarín
Denuncian que hackearon el Poder Judicial de Córdoba: afecta la página web, los sistemas y la base de datos
Según reportaron medios locales, podría tratarse de uno de los peores ataques informáticos a instituciones públicas. Los especialistas trabajan para recomponer el sistema y se inició una investigación policial.
Нам пташки начирикали, что Лаборатория Касперского продолжает свою экспансию на российский IT-рынок. В этот раз ЛК покупает контрольный пакет компании ForPeople, разрабатывающей ПО для автоматизации HR-процессов.
Последняя успешно замещает в России программное обеспечение Success Factors от богопротивной SAP.
И это есть позитивные новости. Потому что мы-то знаем как оверпрайснутые продукты SAP внедрялись в российскую корпоративную действительность - откаты и большая четверка, специалисты по натягиванию совы на глобус. А российское ПО оказывалось выкинутым на обочину IT-истории.
Если учитывать уже совершенные покупки МойОфис, Brain4Net, Мотив НТ, Polys, можно сказать, что Касперские, похоже, перепрофилируются из чисто инфосек компании в большого профильного венчурного инвестора.
Потенциальный рынок, к слову, не ограничивается только лишь Россией. Думается со временем российское ПО будет активно продвигаться и в странах СНГ, БРИКС, ШОС и прочих.
Мы такие движения, безусловно, приветствуем. Потому что, как вы помните, наш план прост - Евгений Валентинович последовательно скупит всю российскую IT-отрасль. А потом SecAtor купит Евгения Валентиновича.
В связи с этим продадим рекламу. Недорого.
Последняя успешно замещает в России программное обеспечение Success Factors от богопротивной SAP.
И это есть позитивные новости. Потому что мы-то знаем как оверпрайснутые продукты SAP внедрялись в российскую корпоративную действительность - откаты и большая четверка, специалисты по натягиванию совы на глобус. А российское ПО оказывалось выкинутым на обочину IT-истории.
Если учитывать уже совершенные покупки МойОфис, Brain4Net, Мотив НТ, Polys, можно сказать, что Касперские, похоже, перепрофилируются из чисто инфосек компании в большого профильного венчурного инвестора.
Потенциальный рынок, к слову, не ограничивается только лишь Россией. Думается со временем российское ПО будет активно продвигаться и в странах СНГ, БРИКС, ШОС и прочих.
Мы такие движения, безусловно, приветствуем. Потому что, как вы помните, наш план прост - Евгений Валентинович последовательно скупит всю российскую IT-отрасль. А потом SecAtor купит Евгения Валентиновича.
В связи с этим продадим рекламу. Недорого.
Telegram
SecAtor
В ответ на планируемую покупку Twitter Илоном Маском империя нанесла ответный удар.
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота…
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота…
Не для кого не секрет, что ПЛК достаточно заманчивая цель для злоумышленников, особенно когда речь идет о нанесении ущерба или нарушении работы предприятия, а также внесения изменений в процессы, которые они контролируют.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.
Claroty
Evil PLC Attack: Hacking PLCs to Attack Engineering Workstations
The Evil PLC Attack uses weaponized PLCs to compromise engineering workstations and move laterally on the OT network to infect other PLCs and systems.
И вновь Microsoft кидает пользователей можно сказать - на вилы.
После обновления Windows KB5012170 Secure Boot DBX, о котором мы писали буквально вчера, пользователи могут столкнуться с ошибкой 0x800f0922 в поддерживаемых в настоящее время ОС для потребителей и версии Server корпоративного класса.
KB5012170 обязано своему выходу на свет уязвимостям, обнаруженным Eclypsium в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом (CVE-2022-34302, CVE-2022-34303 и CVE-2022-34301).
Ошибка 0x800f0922 связана исключительно с обновлением безопасности для безопасной загрузки DBX (базы данных запрещенных подписей), репозитория, в котором хранятся отозванные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).
Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться, а также говорит, что в системах с одним из трех отозванных загрузчиков обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.
При этом исследователи из Eclypsium, в свою очередь, сообщают, решить проблему можно, обновив версию UEFI до последней версии от поставщика, предупреждая, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.
Перед обновлением списка отзыва DBX ресерчеры рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить. Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.
В общем, как обычно, вместо патча пользователей ждут приключения и танцы с бубнами. Во всяком случае это будет пушим вариантом, нежели ждать новый патч для устранения проблем с предыдущим.
После обновления Windows KB5012170 Secure Boot DBX, о котором мы писали буквально вчера, пользователи могут столкнуться с ошибкой 0x800f0922 в поддерживаемых в настоящее время ОС для потребителей и версии Server корпоративного класса.
KB5012170 обязано своему выходу на свет уязвимостям, обнаруженным Eclypsium в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом (CVE-2022-34302, CVE-2022-34303 и CVE-2022-34301).
Ошибка 0x800f0922 связана исключительно с обновлением безопасности для безопасной загрузки DBX (базы данных запрещенных подписей), репозитория, в котором хранятся отозванные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).
Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться, а также говорит, что в системах с одним из трех отозванных загрузчиков обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.
При этом исследователи из Eclypsium, в свою очередь, сообщают, решить проблему можно, обновив версию UEFI до последней версии от поставщика, предупреждая, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.
Перед обновлением списка отзыва DBX ресерчеры рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить. Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.
В общем, как обычно, вместо патча пользователей ждут приключения и танцы с бубнами. Во всяком случае это будет пушим вариантом, нежели ждать новый патч для устранения проблем с предыдущим.
cve.mitre.org
CVE -
CVE-2022-34302
CVE-2022-34302
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Хакеры попытались взяли на понт британского поставщика воды, заявив о взломе его систем.
South Staffordshire Water поставляет 330 млн. литров питьевой воды 1,6 млн. потребителям в сутки. На днях компания опубликовала заявление с подтверждением сбоя, затронувшего ИТ-инфраструктуру после кибератаки.
Системы безопасности и распределения воды продолжают работать, несмотря на вывод из строя ИТ-систем. Клиенты о дочерние компании Cambridge Water и South Staffs Water не испытывают перебоев в поставках воды. Все сервисные команды также работают в штатном режиме.
Между тем, банда вымогателей Clop на своем сайте DLS назначила жертвой атаки Thames Water, утверждая о получении доступа к системам SCADA, которыми хакеры могли манипулировать, меняя качество воды и вызывая перебои водоснабжения для 15 миллионам потребителей.
Thames Water является крупнейшим в Великобритании оператором водных ресурсов, обслуживающим Большой Лондон и районы, прилегающие к реке Темзе.
Хакеры проинформировали Thames Water о пробелах в ИБ и не стали шифровать ее системы, ограничившись ознакомлением с 5ТБ из скомпрометированных систем.
После захода переговоров о выкупе в тупик, злоумышленники опубликовали первую выборку украденных данных, которая включает в себя паспорта, водительские удостоверения, скриншоты из систем очистки воды SCADA и другие сведения.
Thames Water официально опровергла все доводы вымогателей, обвинив Clop в кибермистификации. Ведь среди представленных доказательств взлома Clop представили электронную таблицу с именами пользователей и паролями, которые относятся к South Staff Water и South Staffordshire.
Весьма вероятно, что Clop либо неверно идентифицировали свою жертву, либо решили взять на понт рыбу покрупнее. В условиях возникшего дефицита воды в Лондоне, трюк мог бы и сработать.
Во всяком случае, Thames Water стоит насторожиться, ведь публикация может быть лишь прелюдией к будущему киберинциденту.
South Staffordshire Water поставляет 330 млн. литров питьевой воды 1,6 млн. потребителям в сутки. На днях компания опубликовала заявление с подтверждением сбоя, затронувшего ИТ-инфраструктуру после кибератаки.
Системы безопасности и распределения воды продолжают работать, несмотря на вывод из строя ИТ-систем. Клиенты о дочерние компании Cambridge Water и South Staffs Water не испытывают перебоев в поставках воды. Все сервисные команды также работают в штатном режиме.
Между тем, банда вымогателей Clop на своем сайте DLS назначила жертвой атаки Thames Water, утверждая о получении доступа к системам SCADA, которыми хакеры могли манипулировать, меняя качество воды и вызывая перебои водоснабжения для 15 миллионам потребителей.
Thames Water является крупнейшим в Великобритании оператором водных ресурсов, обслуживающим Большой Лондон и районы, прилегающие к реке Темзе.
Хакеры проинформировали Thames Water о пробелах в ИБ и не стали шифровать ее системы, ограничившись ознакомлением с 5ТБ из скомпрометированных систем.
После захода переговоров о выкупе в тупик, злоумышленники опубликовали первую выборку украденных данных, которая включает в себя паспорта, водительские удостоверения, скриншоты из систем очистки воды SCADA и другие сведения.
Thames Water официально опровергла все доводы вымогателей, обвинив Clop в кибермистификации. Ведь среди представленных доказательств взлома Clop представили электронную таблицу с именами пользователей и паролями, которые относятся к South Staff Water и South Staffordshire.
Весьма вероятно, что Clop либо неверно идентифицировали свою жертву, либо решили взять на понт рыбу покрупнее. В условиях возникшего дефицита воды в Лондоне, трюк мог бы и сработать.
Во всяком случае, Thames Water стоит насторожиться, ведь публикация может быть лишь прелюдией к будущему киберинциденту.
Thames Water
Network latest | Thames Water
View the latest network updates in the Thames Water region, including where there’s currently no water, a burst pipe or low pressure.
Уязвимость внедрения, связанная с тем, как macOS обрабатывает обновления ПО в системе, может позволить хакерам обойти все уровни безопасности и получить доступ ко всем файлам на устройствах Mac.
Багу обнаружил и расчехлил в блоге Sector7 исследователь Mac Патрик Уордл, который в ходе конференции Black Hat в Лас-Вегасе также наглядно продемонстрировал, как злоумышленники могут использовать уязвимость, чтобы завладеть устройством.
После развертывания первоначальной атаки Alkemade смогла выйти из песочницы macOS, а затем обойти защиту целостности системы (SIP), что эффективно позволило реализовать далее RCE.
Исследователь отметил, что впервые обнаружил уязвимость в декабре 2020 года, после чего сообщил о проблеме в Apple в рамках программы BugBounty. Компания устранила большинство из проблем в апреле 2021 года, а один был исправлен в октябре 2021 года.
В бюллетенях обновлений не приводится технических деталей исправленных уязвимостей. Однако Уордл полагает, что в текущей архитектуре безопасности macOS внедрение процессов — мощная техника.
Общую уязвимость внедрения процесса можно использовать для выхода из песочницы, повышения привилегий до root и для обхода ограничений файловой системы SIP. Так, небезопасная десериализация при загрузке сохраненного состояния приложения могла быть использована для внедрения в любой процесс Cocoa. Эта проблема была устранена Apple в обновлении macOS Monterey.
Примечательно, что раскрытие уязвимости и ее исправлений произошло через несколько недель после того, как исследователи ESET обнаружили в macOS бэкдор CloudMensis, который использовался в целевых атаках для кражи конфиденциальной информации у жертв.
Багу обнаружил и расчехлил в блоге Sector7 исследователь Mac Патрик Уордл, который в ходе конференции Black Hat в Лас-Вегасе также наглядно продемонстрировал, как злоумышленники могут использовать уязвимость, чтобы завладеть устройством.
После развертывания первоначальной атаки Alkemade смогла выйти из песочницы macOS, а затем обойти защиту целостности системы (SIP), что эффективно позволило реализовать далее RCE.
Исследователь отметил, что впервые обнаружил уязвимость в декабре 2020 года, после чего сообщил о проблеме в Apple в рамках программы BugBounty. Компания устранила большинство из проблем в апреле 2021 года, а один был исправлен в октябре 2021 года.
В бюллетенях обновлений не приводится технических деталей исправленных уязвимостей. Однако Уордл полагает, что в текущей архитектуре безопасности macOS внедрение процессов — мощная техника.
Общую уязвимость внедрения процесса можно использовать для выхода из песочницы, повышения привилегий до root и для обхода ограничений файловой системы SIP. Так, небезопасная десериализация при загрузке сохраненного состояния приложения могла быть использована для внедрения в любой процесс Cocoa. Эта проблема была устранена Apple в обновлении macOS Monterey.
Примечательно, что раскрытие уязвимости и ее исправлений произошло через несколько недель после того, как исследователи ESET обнаружили в macOS бэкдор CloudMensis, который использовался в целевых атаках для кражи конфиденциальной информации у жертв.
Sector 7
Process injection: breaking all macOS security layers with a single vulnerability
If you have created a new macOS app with Xcode 13.2, you may noticed this new method in the template:
- (BOOL)applicationSupportsSecureRestorableState:(NSApplication *)app { return YES; } This was added to the Xcode template to address a process injection…
- (BOOL)applicationSupportsSecureRestorableState:(NSApplication *)app { return YES; } This was added to the Xcode template to address a process injection…
Опубликован PoC для критической уязвимости, о которой мы писали на прошлой неделе, затрагивающей сетевые устройства с системой Realtek RTL819x на кристалле (SoC), количество которых, по оценкам, исчисляется миллионами.
CVE-2022-27255 — это переполнение буфера на основе стека, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.
CVE-2022-27255 (с оценкой серьезности 9,8 из 10) может использоваться для взлома уязвимых устройств от различных производителей оригинального оборудования (OEM): от маршрутизаторов и точек доступа до повторителей сигналов.
Realtek изучила проблему еще в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а ее эксплуатация возможна через интерфейс WAN.
Ошибка представляет собой уязвимость с нулевым кликом: ее эксплуатация не требует взаимодействия с пользователем.
Злоумышленнику, использующему уязвимость, для успешной атаки потребуется лишь знать внешний IP-адрес уязвимого устройства.
Исследователи Faraday Security из Аргентины (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага) обнаружили уязвимость в SDK Realtek для операционной системы eCos с открытым исходным кодом и раскрыли технические подробности на прошлой неделе на DEFCON.
Они же разработали и представили PoC для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus, а также поделились демонстрационным видео.
Ресерчеры предупреждают, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, что уязвимость все еще затрагивает миллионы устройств, на которые исправление будет доставлено еще не скоро.
Неясно, сколько конкретно сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, установить обновление прошивки от производителя, выпущенное после марта, если оно доступно.
Помимо этого, организациям рекомендуется блокировать нежелательные запросы UDP.
Материалы презентации с DEFCON вместе с эксплойтами и скриптом обнаружения CVE-2022-27255 доступны в репозитории GitHub.
CVE-2022-27255 — это переполнение буфера на основе стека, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.
CVE-2022-27255 (с оценкой серьезности 9,8 из 10) может использоваться для взлома уязвимых устройств от различных производителей оригинального оборудования (OEM): от маршрутизаторов и точек доступа до повторителей сигналов.
Realtek изучила проблему еще в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а ее эксплуатация возможна через интерфейс WAN.
Ошибка представляет собой уязвимость с нулевым кликом: ее эксплуатация не требует взаимодействия с пользователем.
Злоумышленнику, использующему уязвимость, для успешной атаки потребуется лишь знать внешний IP-адрес уязвимого устройства.
Исследователи Faraday Security из Аргентины (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага) обнаружили уязвимость в SDK Realtek для операционной системы eCos с открытым исходным кодом и раскрыли технические подробности на прошлой неделе на DEFCON.
Они же разработали и представили PoC для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus, а также поделились демонстрационным видео.
Ресерчеры предупреждают, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, что уязвимость все еще затрагивает миллионы устройств, на которые исправление будет доставлено еще не скоро.
Неясно, сколько конкретно сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, установить обновление прошивки от производителя, выпущенное после марта, если оно доступно.
Помимо этого, организациям рекомендуется блокировать нежелательные запросы UDP.
Материалы презентации с DEFCON вместе с эксплойтами и скриптом обнаружения CVE-2022-27255 доступны в репозитории GitHub.
Еще два пакета Python пополнили библиотеку вредоносного ПО в репозитории Python Package Index (PyPI).
Сразу после того, как исследователи из Check Point раскрыли 10 таких пакетов, ресерчеры Лаборатории Касперского поспешили дополнить результаты еще двумя, которые маскировались под один из самых популярных пакетов с открытым исходным кодом в PyPI.
Атакующий использовал описание легитимного пакета requests, чтобы обманом заставить жертву установить вредоносный пакет.
Кроме того, описание содержало фальшивую статистику, предполагающую, что пакет был установлен 230 миллионов раз в месяц и получил более 48 000 «звезд» на GitHub.
В описании проекта также упоминаются веб-страницы оригинального requests, а также электронная почта автора, однако все упоминания имени легитимного пакета заменены именем вредоносного.
Код вредоносных пакетов также был очень cхож c оригинальным кодом requests, за исключением одного файла с именем exception.py.
Модифицированная версия скрипта, появившаяся от 30 июля, отвечала за доставку вредоносной полезной нагрузки.
Сценарий записывает еще один однострочный скрипт Python во временный файл, а затем запускает этот файл с помощью функции system.start(), после чего загружает скрипт следующего этапа.
Далее посредством загрузчика, замаскированного с помощью Hyperion, развертывается полезная нагрузка последнего этапа со сценарием, позволяющим добиться сохранения на зараженной машине.
Реализуемая в виде W4SP Stealer, полезная нагрузка последнего этапа представляет собой троян, написанный на Python и запутанный тем же обфускатором, что и загрузчик.
Вредоносное ПО позволяет красть IP-адреса и работать с криптографией для расшифровки файлов cookie и паролей браузеров.
После первоначального заражения троянец начинает собирать токены Discord, сохраненные файлы cookie и пароли от браузеров в отдельных потоках.
Внедренный скрипт отслеживает действия жертвы, такие как изменение адреса электронной почты, пароля или платежной информации. Обновленная информация также отправляется на Discord.
Ресерчеры уведомили команду безопасности PyPI о двух вредоносных пакетах, а также маякнули в Snyk.
Сразу после того, как исследователи из Check Point раскрыли 10 таких пакетов, ресерчеры Лаборатории Касперского поспешили дополнить результаты еще двумя, которые маскировались под один из самых популярных пакетов с открытым исходным кодом в PyPI.
Атакующий использовал описание легитимного пакета requests, чтобы обманом заставить жертву установить вредоносный пакет.
Кроме того, описание содержало фальшивую статистику, предполагающую, что пакет был установлен 230 миллионов раз в месяц и получил более 48 000 «звезд» на GitHub.
В описании проекта также упоминаются веб-страницы оригинального requests, а также электронная почта автора, однако все упоминания имени легитимного пакета заменены именем вредоносного.
Код вредоносных пакетов также был очень cхож c оригинальным кодом requests, за исключением одного файла с именем exception.py.
Модифицированная версия скрипта, появившаяся от 30 июля, отвечала за доставку вредоносной полезной нагрузки.
Сценарий записывает еще один однострочный скрипт Python во временный файл, а затем запускает этот файл с помощью функции system.start(), после чего загружает скрипт следующего этапа.
Далее посредством загрузчика, замаскированного с помощью Hyperion, развертывается полезная нагрузка последнего этапа со сценарием, позволяющим добиться сохранения на зараженной машине.
Реализуемая в виде W4SP Stealer, полезная нагрузка последнего этапа представляет собой троян, написанный на Python и запутанный тем же обфускатором, что и загрузчик.
Вредоносное ПО позволяет красть IP-адреса и работать с криптографией для расшифровки файлов cookie и паролей браузеров.
После первоначального заражения троянец начинает собирать токены Discord, сохраненные файлы cookie и пароли от браузеров в отдельных потоках.
Внедренный скрипт отслеживает действия жертвы, такие как изменение адреса электронной почты, пароля или платежной информации. Обновленная информация также отправляется на Discord.
Ресерчеры уведомили команду безопасности PyPI о двух вредоносных пакетах, а также маякнули в Snyk.
Securelist
Two more malicious Python packages in the PyPI
We used our internal automated system for monitoring open-source repositories and discovered two other malicious Python packages in the PyPI.
Стартовавшее прошлой зимой отраслевое издание The Record, принадлежащее неплохой, в принципе, американской инфосек компании Recorded Future, с первых дней своего существования взяло достаточно высокую планку и, по нашему скромному мнению, на недолгий период стало возможно новостным ресурсом №1 в области информационной безопасности.
Удачно нахантили одного из лучших в мире инфосек журналистов Каталина Чимпану, подтянули в качестве интервьюера бывшего российского кардера Дмитрия Смилянца (ныне работающего на американские спецслужбы, что не сделало статьи за его авторством менее интересными), грамотно выбирали материалы, не гонясь за количеством, а стремясь к интересному контенту. А потом покатились по наклонной.
Расовый румын Чимпану ушел на вольные хлеба, потерялся Смилянец, а в новостную ленту все больше стала вмешиваться повесточка, которая приобрела решающий вес со времени начала спецоперации на Украине. Получился эдакий инфосек агитлисток.
А сегодня в качестве главного новостного материала на TheRecord вышла статья "Санкции разрушают российскую экономику", в которой экономисты из Йельского университета на голубом глазу утверждают, что полторы тысячи ушедших из России международных компаний формировали 40% российского ВВП и минимум 12% рабочих мест.
Мы даже не про то, что принадлежащее солидной инфосек компании издание постит новости санкционных войн, а про то, какого качества дичь оно размещает.
Помните об этом, когда увидите бездумно распространяемые крупными новостными ресурсами, в том числе российскими, отчеты за авторством западных инфосек фирм, согласно которым тысячи русских хакеров грабят, убивают и сношают гусей. И без малейших признаков TTPs.
Удачно нахантили одного из лучших в мире инфосек журналистов Каталина Чимпану, подтянули в качестве интервьюера бывшего российского кардера Дмитрия Смилянца (ныне работающего на американские спецслужбы, что не сделало статьи за его авторством менее интересными), грамотно выбирали материалы, не гонясь за количеством, а стремясь к интересному контенту. А потом покатились по наклонной.
Расовый румын Чимпану ушел на вольные хлеба, потерялся Смилянец, а в новостную ленту все больше стала вмешиваться повесточка, которая приобрела решающий вес со времени начала спецоперации на Украине. Получился эдакий инфосек агитлисток.
А сегодня в качестве главного новостного материала на TheRecord вышла статья "Санкции разрушают российскую экономику", в которой экономисты из Йельского университета на голубом глазу утверждают, что полторы тысячи ушедших из России международных компаний формировали 40% российского ВВП и минимум 12% рабочих мест.
Мы даже не про то, что принадлежащее солидной инфосек компании издание постит новости санкционных войн, а про то, какого качества дичь оно размещает.
Помните об этом, когда увидите бездумно распространяемые крупными новостными ресурсами, в том числе российскими, отчеты за авторством западных инфосек фирм, согласно которым тысячи русских хакеров грабят, убивают и сношают гусей. И без малейших признаков TTPs.
therecord.media
Report: Sanctions Devastating Russian Economy
We first spoke with Russian business owner Stanislav back in early March, shortly after Russia’s invasion of Ukraine. Almost six months later, we check back in with him to see how he’s doing, and look at a new report that suggests the Russian economy is cratering.…
Специалистам из Quarkslab видимо нечего было делать и они решили заняться фаззингом чипа Google Titan M, который устанавливается на борту девайсов Pixel.
Исследование специалистов таки увенчалось успехом и они опубликовали подробную информацию о найденной критической уязвимости в кристале, предназначенном для обеспечения повышенной безопасности устройств Pixel, включая безопасную загрузку.
Бага отслеживается как CVE-2022-20233 и была устранена в рамках исправлений безопасности Android в июне 2022 года, когда Google описал ее как критическую ошибку повышения привилегий.
Ошибка связана с записью за границами буфера, которая появилась из-за некорректной проверки границ.
Причем использование ошибки для локального повышения привилегий не требует взаимодействия с пользователем.
Исследователи даже написали эксплойт, который позволял им считывать произвольную память на чипе и получать любой ключ, защищенный StrongBox, тем самым обходя самый высокий уровень защиты Keystore на Android.
Об уязвимости сообщили в марте этого года, а в июне Google выпустил патч.
Изначально IT-гигант присудил вознаграждение в размере 10 000 долларов за ошибку, но после предоставления рабочего эксплойта, компания оценила выплату более достойно и увеличила гонорар до 75 000 долларов.
Исследование специалистов таки увенчалось успехом и они опубликовали подробную информацию о найденной критической уязвимости в кристале, предназначенном для обеспечения повышенной безопасности устройств Pixel, включая безопасную загрузку.
Бага отслеживается как CVE-2022-20233 и была устранена в рамках исправлений безопасности Android в июне 2022 года, когда Google описал ее как критическую ошибку повышения привилегий.
Ошибка связана с записью за границами буфера, которая появилась из-за некорректной проверки границ.
Причем использование ошибки для локального повышения привилегий не требует взаимодействия с пользователем.
Исследователи даже написали эксплойт, который позволял им считывать произвольную память на чипе и получать любой ключ, защищенный StrongBox, тем самым обходя самый высокий уровень защиты Keystore на Android.
Об уязвимости сообщили в марте этого года, а в июне Google выпустил патч.
Изначально IT-гигант присудил вознаграждение в размере 10 000 долларов за ошибку, но после предоставления рабочего эксплойта, компания оценила выплату более достойно и увеличила гонорар до 75 000 долларов.
Quarkslab
Attacking Titan M with Only One Byte - Quarkslab's blog
Following our presentation at Black Hat USA, in this blog post we provide some details on CVE-2022-20233, the latest vulnerability we found on Titan M, and how we exploited it to obtain code execution on the chip.
Apple выпустила экстренные исправления (macOS Monterey 12.5.1, iOS 15.6.1 и iPadOS 15.6.1) для активно эксплуатируемых 0-day в своих флагманских ОС.
Ошибки выполнения кода аналогичны для всех трех операционных систем.
Первая отслеживается как CVE-2022-32894. Ошибка представляет собой уязвимость записи за пределы в ядре операционной системы. Проблема устранена путем улучшенной проверки границ.
Приложение, например вредоносное ПО, может использовать эту уязвимость для RCE с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс может выполнять любую команду на устройстве, фактически получая над ним полный контроль.
Вторая 0-day - CVE-2022-32893, представляет собой уязвимость записи за пределы допустимого диапазона в WebKit, движке веб-браузера, используемом Safari и другими приложениями с выходом в Интернет. Проблема также устранена путем улучшенной проверки границ.
Apple заявляет, что последняя уязвимость позволит злоумышленнику выполнить произвольный код и может быть реализована удаленно в ходе посещения вредоносного веб-сайта.
Об ошибках сообщили анонимные исследователи. Apple не обнародовала никаких подробностей об эксплуатации в реальном времени или каких-либо признаков компрометации.
Вероятно, 0-day использовались в целевых атаках, но все же настоятельно рекомендуется установить сегодняшние обновления безопасности как можно скорее.
Кстати, для тех, кто использует Splunk (а мы знаем, что вы его используете), сообщаем о выпуске нового набора ежеквартальных исправлений, устранивших достаточно большое количество уязвимостей и проблем.
Самая важная из них CVE-2022-37437 - это проблема проверки сертификата TLS с высокой степенью серьезности в пользовательском интерфейсе Ingest Actions.
Другая CVE-2022-37439 средней степени серьезности может привести к сбою при индексации вредоносного ZIP-файла с использованием входных данных мониторинга файлов. Приложение будет аварийно завершать работу даже после перезагрузки, требуя ручного удаления вредоносного файла.
Кроме того, Splunk анонсировала исправления ряда других уязвимостей сторонних компонентов в Splunk Enterprise и Universal Forwarders.
Ошибки выполнения кода аналогичны для всех трех операционных систем.
Первая отслеживается как CVE-2022-32894. Ошибка представляет собой уязвимость записи за пределы в ядре операционной системы. Проблема устранена путем улучшенной проверки границ.
Приложение, например вредоносное ПО, может использовать эту уязвимость для RCE с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс может выполнять любую команду на устройстве, фактически получая над ним полный контроль.
Вторая 0-day - CVE-2022-32893, представляет собой уязвимость записи за пределы допустимого диапазона в WebKit, движке веб-браузера, используемом Safari и другими приложениями с выходом в Интернет. Проблема также устранена путем улучшенной проверки границ.
Apple заявляет, что последняя уязвимость позволит злоумышленнику выполнить произвольный код и может быть реализована удаленно в ходе посещения вредоносного веб-сайта.
Об ошибках сообщили анонимные исследователи. Apple не обнародовала никаких подробностей об эксплуатации в реальном времени или каких-либо признаков компрометации.
Вероятно, 0-day использовались в целевых атаках, но все же настоятельно рекомендуется установить сегодняшние обновления безопасности как можно скорее.
Кстати, для тех, кто использует Splunk (а мы знаем, что вы его используете), сообщаем о выпуске нового набора ежеквартальных исправлений, устранивших достаточно большое количество уязвимостей и проблем.
Самая важная из них CVE-2022-37437 - это проблема проверки сертификата TLS с высокой степенью серьезности в пользовательском интерфейсе Ingest Actions.
Другая CVE-2022-37439 средней степени серьезности может привести к сбою при индексации вредоносного ZIP-файла с использованием входных данных мониторинга файлов. Приложение будет аварийно завершать работу даже после перезагрузки, требуя ручного удаления вредоносного файла.
Кроме того, Splunk анонсировала исправления ряда других уязвимостей сторонних компонентов в Splunk Enterprise и Universal Forwarders.
Splunk Vulnerability Disclosure
Ingest Actions UI in Splunk Enterprise 9.0.0 disabled TLS certificate validation
Исследователями из Snyk обнаружили дюжину вредоносных пакетов PyPi, которые превращают Discord по факту в бэкдор для кражи данных из веб-браузеров и Roblox.
Двенадцать пакетов были загружены в PyPI 1 августа 2022 года пользователем по scarycoder и до сих пор не удалены из репозитория пакетов с открытым исходным кодом.
Вопреки распространенному подходу с опечатками, выявленные пакеты используют уникальные именования и содержат многообещающие функции для потенциальных разработчиков.
Пакеты позиционируются инструментами Roblox, однако ни один из них не обладает заявленной функциональностью.
В рамках своего исследования ресерчеры проанализировали один из пакетов «cyphers», наглядно показав, как вредоносный код, скрытый в файле «setup.py», используется для установки двух исполняемых файлов вредоносных программ с CDN-сервера Discord, а именно « ZYXMN.exe» и «ZYRBX.exe».
При этом такое поведение одинаково для всех пакетов в наборе, за исключением «hackerfilelol» и «hackerfileloll», которые используют вредоносный исполняемый файл с именем «Main.exe».
ZYXMN.exe используется для кражи информации из Google Chrome, Chromium, Microsoft Edge, Firefox и Opera.
Для этого малварь расшифровывает главный ключ локальной базы данных веб-браузера, чтобы получить в открытом виде данные истории поиска жертвы, истории просмотров, файлов cookie, закладок, сохраненных паролей и сохраненных кредитных карт. Затем эта информация загружается злоумышленникам через веб-перехватчик Discord.
Однако, что еще более интересно, вредоносная программа заменяет файлы JavaScript для внедрения бэкдора, который перехватывает информацию непосредственно из вашей учетной записи Discord.
Для этого вредоносная программа изменяет файл index.js в папке «discord_desktop_core», добавляя вредоносный скрипт Discord-Injection. После этого при перезапуске Discord он выполняет различные действия, включая кражу токенов аутентификации, статуса Nitro, платежной информации и кредитных карт.
ZYRBX.exe фокусируется исключительно на Roblox, пытаясь украсть файл cookie учетной записи, идентификатор пользователя, баланс Robux и премиум-статус учетной записи платформы онлайн-игр и передать их на веб-перехватчик Discord.
Учитывая неспешную реакцию PyPI на отчеты о вредоносных пакетах (оно и понятно: небольшая группа добровольцев с ограниченным бюджетом перегружена постоянными проверками), число вредоносных пакетов и жертв атак на цепочку поставок будет только расти.
Двенадцать пакетов были загружены в PyPI 1 августа 2022 года пользователем по scarycoder и до сих пор не удалены из репозитория пакетов с открытым исходным кодом.
Вопреки распространенному подходу с опечатками, выявленные пакеты используют уникальные именования и содержат многообещающие функции для потенциальных разработчиков.
Пакеты позиционируются инструментами Roblox, однако ни один из них не обладает заявленной функциональностью.
В рамках своего исследования ресерчеры проанализировали один из пакетов «cyphers», наглядно показав, как вредоносный код, скрытый в файле «setup.py», используется для установки двух исполняемых файлов вредоносных программ с CDN-сервера Discord, а именно « ZYXMN.exe» и «ZYRBX.exe».
При этом такое поведение одинаково для всех пакетов в наборе, за исключением «hackerfilelol» и «hackerfileloll», которые используют вредоносный исполняемый файл с именем «Main.exe».
ZYXMN.exe используется для кражи информации из Google Chrome, Chromium, Microsoft Edge, Firefox и Opera.
Для этого малварь расшифровывает главный ключ локальной базы данных веб-браузера, чтобы получить в открытом виде данные истории поиска жертвы, истории просмотров, файлов cookie, закладок, сохраненных паролей и сохраненных кредитных карт. Затем эта информация загружается злоумышленникам через веб-перехватчик Discord.
Однако, что еще более интересно, вредоносная программа заменяет файлы JavaScript для внедрения бэкдора, который перехватывает информацию непосредственно из вашей учетной записи Discord.
Для этого вредоносная программа изменяет файл index.js в папке «discord_desktop_core», добавляя вредоносный скрипт Discord-Injection. После этого при перезапуске Discord он выполняет различные действия, включая кражу токенов аутентификации, статуса Nitro, платежной информации и кредитных карт.
ZYRBX.exe фокусируется исключительно на Roblox, пытаясь украсть файл cookie учетной записи, идентификатор пользователя, баланс Robux и премиум-статус учетной записи платформы онлайн-игр и передать их на веб-перехватчик Discord.
Учитывая неспешную реакцию PyPI на отчеты о вредоносных пакетах (оно и понятно: небольшая группа добровольцев с ограниченным бюджетом перегружена постоянными проверками), число вредоносных пакетов и жертв атак на цепочку поставок будет только расти.
Snyk
Snyk finds PyPi malware that steals Discord and Roblox credential and payment info | Snyk
Learn about the newly discovered PyPi malware that attempts to steal credential and payment information from Discord and Roblox users.
Google обновляет свой Chrome 104, устраняя 11 уязвимостей, в том числе пятую за 2022 год 0-day, которая использовалась в атаках.
Предыдущая исправленная 0-day была связана с израильской шпионской компанией Candiru и использовалась в целевых атаках на Среднем Востоке.
Отслеживаемая как CVE-2022-2856 высокой степени серьезности связана с недостаточной проверкой ненадежных входных данных в компоненте Intents.
Google при этом не поделилась информацией об атаках, но исследователи Threat Analysis Group сообщили о ней еще 19 июля.
Chrome 104.0.5112.101 также исправляет критическую ошибку, обнаруженную исследователем Google Project Zero, пять других серьезных проблем, выявленных сотрудниками Google совместно с внешними исследователями, а также еще три - средней степени серьезности.
А вот недавно выпущенный Android 13 заставляет разработчиков вредоносных программ придумывать способы обхода новой функции безопасности «ограниченные настройки».
Новая операционная система была развернута на устройствах Google Pixel, а исходный код опубликован на AOSP.
В рамках этого выпуска Google серьезно ограничила возможности мобильного вредоносного ПО.
В предыдущих версиях Android большинство мобильных вредоносных программ попадали на миллионы устройств через приложения-дропперы, доступные в Play Store, которые маскировались под законные приложения, которые злоупотребляли привилегиями службы специальных возможностей.
Новая функция в Android 13 блокирует загруженные приложения от запроса привилегий службы специальных возможностей, ограничивая функцию APK-файлами из Google Play.
Ресерчеры Threat Fabric заметили, что авторы вредоносного ПО уже разрабатывают дропперы под Android, которые могут обходить эти ограничения и доставлять на устройство пользователя полезные нагрузки, обладающие высокими привилегиями.
Среди таких передовиков оказались Hakoden, разработавшие дропперы Gymdrop и являющиеся операторами банковского трояна Xenomorph для Android.
Хакеры вовсю пилят дроппер BugDrop, который использует метода установки на основе сеанса для боковой загрузки полезной нагрузки вредоносного ПО. Android 13 при этом распознает использование API и не применяет ограничение.
Глядя на Hakoden, ресерчеры также смогли создать экспериментальный дроппер, который легко обходил эту новую функцию безопасности, получая доступ к службам специальных возможностей.
Для более подробного ознакомления с тем, как работает новая система безопасности и каковы ее слабые места, лучше почитать в блоге.
А что касается BugDrop, то при полной реализации эта небольшая модификация позволит полностью обойти новые меры безопасности Google, даже до того, как они будут эффективно реализованы.
По всей видимости, не зря новая версия ОС именно 13-ая.
Предыдущая исправленная 0-day была связана с израильской шпионской компанией Candiru и использовалась в целевых атаках на Среднем Востоке.
Отслеживаемая как CVE-2022-2856 высокой степени серьезности связана с недостаточной проверкой ненадежных входных данных в компоненте Intents.
Google при этом не поделилась информацией об атаках, но исследователи Threat Analysis Group сообщили о ней еще 19 июля.
Chrome 104.0.5112.101 также исправляет критическую ошибку, обнаруженную исследователем Google Project Zero, пять других серьезных проблем, выявленных сотрудниками Google совместно с внешними исследователями, а также еще три - средней степени серьезности.
А вот недавно выпущенный Android 13 заставляет разработчиков вредоносных программ придумывать способы обхода новой функции безопасности «ограниченные настройки».
Новая операционная система была развернута на устройствах Google Pixel, а исходный код опубликован на AOSP.
В рамках этого выпуска Google серьезно ограничила возможности мобильного вредоносного ПО.
В предыдущих версиях Android большинство мобильных вредоносных программ попадали на миллионы устройств через приложения-дропперы, доступные в Play Store, которые маскировались под законные приложения, которые злоупотребляли привилегиями службы специальных возможностей.
Новая функция в Android 13 блокирует загруженные приложения от запроса привилегий службы специальных возможностей, ограничивая функцию APK-файлами из Google Play.
Ресерчеры Threat Fabric заметили, что авторы вредоносного ПО уже разрабатывают дропперы под Android, которые могут обходить эти ограничения и доставлять на устройство пользователя полезные нагрузки, обладающие высокими привилегиями.
Среди таких передовиков оказались Hakoden, разработавшие дропперы Gymdrop и являющиеся операторами банковского трояна Xenomorph для Android.
Хакеры вовсю пилят дроппер BugDrop, который использует метода установки на основе сеанса для боковой загрузки полезной нагрузки вредоносного ПО. Android 13 при этом распознает использование API и не применяет ограничение.
Глядя на Hakoden, ресерчеры также смогли создать экспериментальный дроппер, который легко обходил эту новую функцию безопасности, получая доступ к службам специальных возможностей.
Для более подробного ознакомления с тем, как работает новая система безопасности и каковы ее слабые места, лучше почитать в блоге.
А что касается BugDrop, то при полной реализации эта небольшая модификация позволит полностью обойти новые меры безопасности Google, даже до того, как они будут эффективно реализованы.
По всей видимости, не зря новая версия ОС именно 13-ая.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 104.0.5112.101 for Mac and Linux and 104.0.5112.102/101 for Windows which will roll out over the co...
Forwarded from Social Engineering
👨🏻💻 Курс: Metasploit Unleashed – Free Ethical Hacking Course.
В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект Metasploit.
• Сегодня делюсь с тобой ссылкой на бесплатный курс от Offensive Security, который поможет разобраться с этим инструментом и приступить к практике.
🧷 https://www.offensive-security.com/metasploit-unleashed/
Твой S.E. #Metasploit #Курс
В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект Metasploit.
🖖🏻 Приветствую тебя user_name.• Metasploit — мощный открытый фреймворк с продуманной архитектурой, который включает в себя тысячи модулей для автоматизации эксплуатации огромного количества уязвимостей.
• Сегодня делюсь с тобой ссылкой на бесплатный курс от Offensive Security, который поможет разобраться с этим инструментом и приступить к практике.
🧷 https://www.offensive-security.com/metasploit-unleashed/
Твой S.E. #Metasploit #Курс