͏Говорят, снаряд не падает в одну воронку дважды. И в AT&T также считают, правда до тех, пор пока их не разоблачают.

Вот и на этот раз оператор отрицает какую-либо связь с базой данных украденной информации, которая включала 23 миллиона уникальных SSN, заявляя, что это может быть связано со взломом кредитного агентства.

4 августа специалисты Hold Security обнаружили сжатый архив объемом 1,6 ГБ на популярном файлообменнике в DarkWeb, который включал файл размером 3,6 гигабайта с именем dbfull. В нем содержалась украденная идентификационная информация, вероятно, принадлежащая клиентам AT&T.

Далее исследователи нашли достаточно много доказательств, связывающих утечку с AT&T, включая адреса электронной почты, оканчивающиеся на «att.net», «SBCGLobal.net» или «Bellsouth.net», а также ссылки на малоизвестный широкополосный сервис AT&T, а также совпадения по местоположениям, соответствующих адресам 21 филиала.

Представители AT&T полагают, что утечка может быть связана с предыдущим инцидентом с данными в другой компании. Отметив также, что пакет данных появлялся несколько раз за эти годы, а результаты расследования указывают на другой источник.

При этом AT&T не уточнила, что они имели в виду и какое кредитное агентство могло быть взломано.

Но, что точно известно: в прошлом году известная хакерская группа ShinyHunters продавала базу данных с конфиденциальной информацией на более чем 70 миллионов клиентов AT&T.

И тогда оператор также отрицал инцидент и его всякую связь со своими клиентами.

Однако база все же была продана с аукциона за 200 000 долларов или по цене немедленной продажи в 1 миллион долларов, а две недели назад хакеров даже за это арестовали.

Имена новых счастливчиков вскоре тоже станут известны, как и результата попадания нового снаряда по подбитой воронке.

Теперь вместе с индексом пакетов для Python можно установить себе майнер в придачу.

Исследователи Sonatype обнаружили вредоносный пакет в официальном репозитории стороннего программного обеспечения для Python, который развертывает криптомайнеры в системах Linux.

Вредоносный модуль под названием secretslib был включен в индекс пакетов Python (PyPI) 6 августа 2022 и его успели загрузить 93 раза до его удаления.

После установки пакет тайно запускает криптомайнер Monero в оперативной памяти — достаточно популярный метод, в основном используемый бесфайловыми вредоносными программами и шифровальщиками.

Собственно, исследователи и отмечают в своем отчете, что малварь практически не оставляет следов и совершенно "невидима"" с точки зрения судебной экспертизы.

Причем злоумышленник, загрузивший пакет был настолько изощрен и чтобы придать вредоносному ПО достоверности выдал себя за личность легитимного инженера-программиста, трудоустроенного в Аргоннской национальной лаборатории, которая работает в интересах Министерства энергетики США.

Благо, что глобальный замысел не реализовался, но это уже далеко не первая попытка провести атаку на цепочки поставок путем подставки вредоносных пакетов.

Несколько дней назад мы писали, как исследователи Check Point обнаружили еще десять вредоносных пакетов в PyPI, которые позволяли злоумышленникам красть личные данные и аутентификационные сведения пользователей.

Инфраструктура судебной система Аргентины была полностью отключена после инцидента с ransomware, а работники вынуждены были вернуться к бумажному делопроизводству.

Атака произошла в субботу 13 августа. Пострадавшая сторона начала расследование и привлекла к нему специалистов из Microsoft, Cisco и Trend Micro.

Clarín сообщает, что, по словам источников, атака затронула ИТ-системы судебной власти и ее базы данных, что сделало ее самой разрушительной атакой на госучреждения в истории страны.

Как выяснили журналисты, атака связана с программой-вымогателем Play, которая появилась впервые на радаре исследователей инфосек в июне 2022 года.

Как и во всех аналогичных инцидентах, злоумышленники компрометируют сеть и шифруют устройства. При шифровании файлов программа-вымогатель добавляет расширение .PLAY.

Однако, в отличие от большинства операций ransomware, заметки о выкупе Play необычайно просты. Вместо создания примечаний о выкупе в каждой папке, заметка PlayMe.txt создается только в корне жесткого диска (C:\) и содержит лишь слово «PLAY» с контактным адресом электронной почты.

Пока что не понятен механизм взлома Play сети судебного органа. Не зафиксировано публично утечки данных или каких-либо признаков эксфильтрации данных во время атаки. 

Как известно, список адресов электронной почты сотрудников уже фигурировал на просторах даркнета после взлома Globant хакерами Lapsus$ в марте этого года. Возможно именно он использоваться злоумышленниками для реализации фишинговой атаки и кражи учетных данных.

К сожалению, это не первый случай, когда правительственное учреждение в Аргентине подвергается атаке ransomware. В сентябре 2020 года банда вымогателей Netwalker уже атаковала Dirección Nacional de Migraciones и выкатила выкуп в размере 4 млн. долларов.

Будем следить за развитием ситуации.

Нам пташки начирикали, что Лаборатория Касперского продолжает свою экспансию на российский IT-рынок. В этот раз ЛК покупает контрольный пакет компании ForPeople, разрабатывающей ПО для автоматизации HR-процессов.

Последняя успешно замещает в России программное обеспечение Success Factors от богопротивной SAP.

И это есть позитивные новости. Потому что мы-то знаем как оверпрайснутые продукты SAP внедрялись в российскую корпоративную действительность - откаты и большая четверка, специалисты по натягиванию совы на глобус. А российское ПО оказывалось выкинутым на обочину IT-истории.

Если учитывать уже совершенные покупки МойОфис, Brain4Net, Мотив НТ, Polys, можно сказать, что Касперские, похоже, перепрофилируются из чисто инфосек компании в большого профильного венчурного инвестора.

Потенциальный рынок, к слову, не ограничивается только лишь Россией. Думается со временем российское ПО будет активно продвигаться и в странах СНГ, БРИКС, ШОС и прочих.

Мы такие движения, безусловно, приветствуем. Потому что, как вы помните, наш план прост - Евгений Валентинович последовательно скупит всю российскую IT-отрасль. А потом SecAtor купит Евгения Валентиновича.

В связи с этим продадим рекламу. Недорого.

Не для кого не секрет, что ПЛК достаточно заманчивая цель для злоумышленников, особенно когда речь идет о нанесении ущерба или нарушении работы предприятия, а также внесения изменений в процессы, которые они контролируют.

Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.

В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.

В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).

Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.

По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.

Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.

В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.

Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.

Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.

И вновь Microsoft кидает пользователей можно сказать - на вилы.

После обновления Windows KB5012170 Secure Boot DBX, о котором мы писали буквально вчера, пользователи могут столкнуться с ошибкой 0x800f0922 в поддерживаемых в настоящее время ОС для потребителей и версии Server корпоративного класса.

KB5012170 обязано своему выходу на свет уязвимостям, обнаруженным Eclypsium в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом (CVE-2022-34302,  CVE-2022-34303 и CVE-2022-34301).

Ошибка 0x800f0922 связана исключительно с обновлением безопасности для безопасной загрузки DBX (базы данных запрещенных подписей), репозитория, в котором хранятся отозванные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).

Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться, а также говорит, что в системах с одним из трех отозванных загрузчиков обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.

При этом исследователи из Eclypsium, в свою очередь, сообщают, решить проблему можно, обновив версию UEFI до последней версии от поставщика, предупреждая, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.

Перед обновлением списка отзыва DBX ресерчеры рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить. Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.

В общем, как обычно, вместо патча пользователей ждут приключения и танцы с бубнами. Во всяком случае это будет пушим вариантом, нежели ждать новый патч для устранения проблем с предыдущим.

Хакеры попытались взяли на понт британского поставщика воды, заявив о взломе его систем.

South Staffordshire Water поставляет 330 млн. литров питьевой воды 1,6 млн. потребителям в сутки. На днях компания опубликовала заявление с подтверждением сбоя, затронувшего ИТ-инфраструктуру после кибератаки.

Системы безопасности и распределения воды продолжают работать, несмотря на вывод из строя ИТ-систем. Клиенты о дочерние компании Cambridge Water и South Staffs Water не испытывают перебоев в поставках воды. Все сервисные команды также работают в штатном режиме.

Между тем, банда вымогателей Clop на своем сайте DLS назначила жертвой атаки Thames Water, утверждая о получении доступа к системам SCADA, которыми хакеры могли манипулировать, меняя качество воды и вызывая перебои водоснабжения для 15 миллионам потребителей.

Thames Water является крупнейшим в Великобритании оператором водных ресурсов, обслуживающим Большой Лондон и районы, прилегающие к реке Темзе.

Хакеры проинформировали Thames Water о пробелах в ИБ и не стали шифровать ее системы, ограничившись ознакомлением с 5ТБ из скомпрометированных систем.

После захода переговоров о выкупе в тупик, злоумышленники опубликовали первую выборку украденных данных, которая включает в себя паспорта, водительские удостоверения, скриншоты из систем очистки воды SCADA и другие сведения.

Thames Water официально опровергла все доводы вымогателей, обвинив Clop в кибермистификации. Ведь среди представленных доказательств взлома Clop представили электронную таблицу с именами пользователей и паролями, которые относятся к South Staff Water и South Staffordshire.

Весьма вероятно, что Clop либо неверно идентифицировали свою жертву, либо решили взять на понт рыбу покрупнее. В условиях возникшего дефицита воды в Лондоне, трюк мог бы и сработать.

Во всяком случае, Thames Water стоит насторожиться, ведь публикация может быть лишь прелюдией к будущему киберинциденту.

͏npm install 😂

By ChrisArter.

Уязвимость внедрения, связанная с тем, как macOS обрабатывает обновления ПО в системе, может позволить хакерам обойти все уровни безопасности и получить доступ ко всем файлам на устройствах Mac.

Багу обнаружил и расчехлил в блоге Sector7 исследователь Mac Патрик Уордл, который в ходе конференции Black Hat в Лас-Вегасе также наглядно продемонстрировал, как злоумышленники могут использовать уязвимость, чтобы завладеть устройством.

После развертывания первоначальной атаки Alkemade смогла выйти из песочницы macOS, а затем обойти защиту целостности системы (SIP), что эффективно позволило реализовать далее RCE.

Исследователь отметил, что впервые обнаружил уязвимость в декабре 2020 года, после чего сообщил о проблеме в Apple в рамках программы BugBounty. Компания устранила большинство из проблем в апреле 2021 года, а один был исправлен в октябре 2021 года.

В бюллетенях обновлений не приводится технических деталей исправленных уязвимостей. Однако Уордл полагает, что в текущей архитектуре безопасности macOS внедрение процессов — мощная техника.

Общую уязвимость внедрения процесса можно использовать для выхода из песочницы, повышения привилегий до root и для обхода ограничений файловой системы SIP. Так, небезопасная десериализация при загрузке сохраненного состояния приложения могла быть использована для внедрения в любой процесс Cocoa. Эта проблема была устранена Apple в обновлении macOS Monterey.

Примечательно, что раскрытие уязвимости и ее исправлений произошло через несколько недель после того, как исследователи ESET обнаружили в macOS бэкдор CloudMensis, который использовался в целевых атаках для кражи конфиденциальной информации у жертв.

Опубликован PoC для критической уязвимости, о которой мы писали на прошлой неделе, затрагивающей сетевые устройства с системой Realtek RTL819x на кристалле (SoC), количество которых, по оценкам, исчисляется миллионами.

CVE-2022-27255 — это переполнение буфера на основе стека, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.

CVE-2022-27255 (с оценкой серьезности 9,8 из 10) может использоваться для взлома уязвимых устройств от различных производителей оригинального оборудования (OEM): от маршрутизаторов и точек доступа до повторителей сигналов.

Realtek изучила проблему еще в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а ее эксплуатация возможна через интерфейс WAN.

Ошибка представляет собой уязвимость с нулевым кликом: ее эксплуатация не требует взаимодействия с пользователем.

Злоумышленнику, использующему уязвимость, для успешной атаки потребуется лишь знать внешний IP-адрес уязвимого устройства.

Исследователи Faraday Security из Аргентины (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага) обнаружили уязвимость в SDK Realtek для операционной системы eCos с открытым исходным кодом и раскрыли технические подробности на прошлой неделе на DEFCON.

Они же разработали и представили PoC для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus, а также поделились демонстрационным видео.

Ресерчеры предупреждают, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.

Несмотря на то, что исправление доступно с марта, что уязвимость все еще затрагивает миллионы устройств, на которые исправление будет доставлено еще не скоро.

Неясно, сколько конкретно сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.

Пользователям следует проверить, не уязвимо ли их сетевое оборудование, установить обновление прошивки от производителя, выпущенное после марта, если оно доступно.

Помимо этого, организациям рекомендуется блокировать нежелательные запросы UDP.

Материалы презентации с DEFCON вместе с эксплойтами и скриптом обнаружения CVE-2022-27255 доступны в репозитории GitHub.

Еще два пакета Python пополнили библиотеку вредоносного ПО в репозитории Python Package Index (PyPI).

Сразу после того, как исследователи из Check Point раскрыли 10 таких пакетов, ресерчеры Лаборатории Касперского поспешили дополнить результаты еще двумя, которые маскировались под один из самых популярных пакетов с открытым исходным кодом в PyPI.

Атакующий использовал описание легитимного пакета requests, чтобы обманом заставить жертву установить вредоносный пакет.

Кроме того, описание содержало фальшивую статистику, предполагающую, что пакет был установлен 230 миллионов раз в месяц и получил более 48 000 «звезд» на GitHub.

В описании проекта также упоминаются веб-страницы оригинального requests, а также электронная почта автора, однако все упоминания имени легитимного пакета заменены именем вредоносного.

Код вредоносных пакетов также был очень cхож c оригинальным кодом requests, за исключением одного файла с именем exception.py.

Модифицированная версия скрипта, появившаяся от 30 июля, отвечала за доставку вредоносной полезной нагрузки.

Сценарий записывает еще один однострочный скрипт Python во временный файл, а затем запускает этот файл с помощью функции system.start(), после чего загружает скрипт следующего этапа.

Далее посредством загрузчика, замаскированного с помощью Hyperion, развертывается полезная нагрузка последнего этапа со сценарием, позволяющим добиться сохранения на зараженной машине.

Реализуемая в виде W4SP Stealer, полезная нагрузка последнего этапа представляет собой троян, написанный на Python и запутанный тем же обфускатором, что и загрузчик.

Вредоносное ПО позволяет красть IP-адреса и работать с криптографией для расшифровки файлов cookie и паролей браузеров.

После первоначального заражения троянец начинает собирать токены Discord, сохраненные файлы cookie и пароли от браузеров в отдельных потоках.

Внедренный скрипт отслеживает действия жертвы, такие как изменение адреса электронной почты, пароля или платежной информации. Обновленная информация также отправляется на Discord.

Ресерчеры уведомили команду безопасности PyPI о двух вредоносных пакетах, а также маякнули в Snyk.

Стартовавшее прошлой зимой отраслевое издание The Record, принадлежащее неплохой, в принципе, американской инфосек компании Recorded Future, с первых дней своего существования взяло достаточно высокую планку и, по нашему скромному мнению, на недолгий период стало возможно новостным ресурсом №1 в области информационной безопасности.

Удачно нахантили одного из лучших в мире инфосек журналистов Каталина Чимпану, подтянули в качестве интервьюера бывшего российского кардера Дмитрия Смилянца (ныне работающего на американские спецслужбы, что не сделало статьи за его авторством менее интересными), грамотно выбирали материалы, не гонясь за количеством, а стремясь к интересному контенту. А потом покатились по наклонной.

Расовый румын Чимпану ушел на вольные хлеба, потерялся Смилянец, а в новостную ленту все больше стала вмешиваться повесточка, которая приобрела решающий вес со времени начала спецоперации на Украине. Получился эдакий инфосек агитлисток.

А сегодня в качестве главного новостного материала на TheRecord вышла статья "Санкции разрушают российскую экономику", в которой экономисты из Йельского университета на голубом глазу утверждают, что полторы тысячи ушедших из России международных компаний формировали 40% российского ВВП и минимум 12% рабочих мест.

Мы даже не про то, что принадлежащее солидной инфосек компании издание постит новости санкционных войн, а про то, какого качества дичь оно размещает.

Помните об этом, когда увидите бездумно распространяемые крупными новостными ресурсами, в том числе российскими, отчеты за авторством западных инфосек фирм, согласно которым тысячи русских хакеров грабят, убивают и сношают гусей. И без малейших признаков TTPs.

Специалистам из Quarkslab видимо нечего было делать и они решили заняться фаззингом чипа Google Titan M, который устанавливается на борту девайсов Pixel.

Исследование специалистов таки увенчалось успехом и они опубликовали подробную информацию о найденной критической уязвимости в кристале, предназначенном для обеспечения повышенной безопасности устройств Pixel, включая безопасную загрузку.

Бага отслеживается как CVE-2022-20233 и была устранена в рамках исправлений безопасности Android в июне 2022 года, когда Google описал ее как критическую ошибку повышения привилегий.

Ошибка связана с записью за границами буфера, которая появилась из-за некорректной проверки границ.

Причем использование ошибки для локального повышения привилегий не требует взаимодействия с пользователем.

Исследователи даже написали эксплойт, который позволял им считывать произвольную память на чипе и получать любой ключ, защищенный StrongBox, тем самым обходя самый высокий уровень защиты Keystore на Android.

Об уязвимости сообщили в марте этого года, а в июне Google выпустил патч.

Изначально IT-гигант присудил вознаграждение в размере 10 000 долларов за ошибку, но после предоставления рабочего эксплойта, компания оценила выплату более достойно и увеличила гонорар до 75 000 долларов.

Apple выпустила экстренные исправления (macOS Monterey 12.5.1, iOS 15.6.1 и iPadOS 15.6.1) для активно эксплуатируемых 0-day в своих флагманских ОС.

Ошибки выполнения кода аналогичны для всех трех операционных систем.

Первая отслеживается как CVE-2022-32894. Ошибка представляет собой уязвимость записи за пределы в ядре операционной системы. Проблема устранена путем улучшенной проверки границ.

Приложение, например вредоносное ПО, может использовать эту уязвимость для RCE с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс может выполнять любую команду на устройстве, фактически получая над ним полный контроль.

Вторая 0-day - CVE-2022-32893, представляет собой уязвимость записи за пределы допустимого диапазона в WebKit, движке веб-браузера, используемом Safari и другими приложениями с выходом в Интернет. Проблема также устранена путем улучшенной проверки границ.

Apple заявляет, что последняя уязвимость позволит злоумышленнику выполнить произвольный код и может быть реализована удаленно в ходе посещения вредоносного веб-сайта.

Об ошибках сообщили анонимные исследователи. Apple не обнародовала никаких подробностей об эксплуатации в реальном времени или каких-либо признаков компрометации.

Вероятно, 0-day использовались в целевых атаках, но все же настоятельно рекомендуется установить сегодняшние обновления безопасности как можно скорее.

Кстати, для тех, кто использует Splunk (а мы знаем, что вы его используете), сообщаем о выпуске нового набора ежеквартальных исправлений, устранивших достаточно большое количество уязвимостей и проблем.

Самая важная из них CVE-2022-37437 - это проблема проверки сертификата TLS с высокой степенью серьезности в пользовательском интерфейсе Ingest Actions.

Другая CVE-2022-37439 средней степени серьезности может привести к сбою при индексации вредоносного ZIP-файла с использованием входных данных мониторинга файлов. Приложение будет аварийно завершать работу даже после перезагрузки, требуя ручного удаления вредоносного файла.

Кроме того, Splunk анонсировала исправления ряда других уязвимостей сторонних компонентов в Splunk Enterprise и Universal Forwarders.

Исследователями из Snyk обнаружили дюжину вредоносных пакетов PyPi, которые превращают Discord по факту в бэкдор для кражи данных из веб-браузеров и Roblox.

Двенадцать пакетов были загружены в PyPI 1 августа 2022 года пользователем по scarycoder и до сих пор не удалены из репозитория пакетов с открытым исходным кодом.

Вопреки распространенному подходу с опечатками, выявленные пакеты используют уникальные именования и содержат многообещающие функции для потенциальных разработчиков.

Пакеты позиционируются инструментами Roblox, однако ни один из них не обладает заявленной функциональностью.

В рамках своего исследования ресерчеры проанализировали один из пакетов «cyphers», наглядно показав, как вредоносный код, скрытый в файле «setup.py», используется для установки двух исполняемых файлов вредоносных программ с CDN-сервера Discord, а именно « ZYXMN.exe» и «ZYRBX.exe».

При этом такое поведение одинаково для всех пакетов в наборе, за исключением «hackerfilelol» и «hackerfileloll», которые используют вредоносный исполняемый файл с именем «Main.exe».

ZYXMN.exe используется для кражи информации из Google Chrome, Chromium, Microsoft Edge, Firefox и Opera.

Для этого малварь расшифровывает главный ключ локальной базы данных веб-браузера, чтобы получить в открытом виде данные истории поиска жертвы, истории просмотров, файлов cookie, закладок, сохраненных паролей и сохраненных кредитных карт. Затем эта информация загружается злоумышленникам через веб-перехватчик Discord.

Однако, что еще более интересно, вредоносная программа заменяет файлы JavaScript для внедрения бэкдора, который перехватывает информацию непосредственно из вашей учетной записи Discord.

Для этого вредоносная программа изменяет файл index.js в папке «discord_desktop_core», добавляя вредоносный скрипт Discord-Injection. После этого при перезапуске Discord он выполняет различные действия, включая кражу токенов аутентификации, статуса Nitro, платежной информации и кредитных карт.

ZYRBX.exe фокусируется исключительно на Roblox, пытаясь украсть файл cookie учетной записи, идентификатор пользователя, баланс Robux и премиум-статус учетной записи платформы онлайн-игр и передать их на веб-перехватчик Discord.

Учитывая неспешную реакцию PyPI на отчеты о вредоносных пакетах (оно и понятно: небольшая группа добровольцев с ограниченным бюджетом перегружена постоянными проверками), число вредоносных пакетов и жертв атак на цепочку поставок будет только расти.

Google обновляет свой Chrome 104, устраняя 11 уязвимостей, в том числе пятую за 2022 год 0-day, которая использовалась в атаках.

Предыдущая исправленная 0-day была связана с израильской шпионской компанией Candiru и использовалась в целевых атаках на Среднем Востоке.

Отслеживаемая как CVE-2022-2856 высокой степени серьезности связана с недостаточной проверкой ненадежных входных данных в компоненте Intents.

Google при этом не поделилась информацией об атаках, но исследователи Threat Analysis Group сообщили о ней еще 19 июля.

Chrome 104.0.5112.101 также исправляет критическую ошибку, обнаруженную исследователем Google Project Zero, пять других серьезных проблем, выявленных сотрудниками Google совместно с внешними исследователями, а также еще три - средней степени серьезности.

А вот недавно выпущенный Android 13 заставляет разработчиков вредоносных программ придумывать способы обхода новой функции безопасности «ограниченные настройки».

Новая операционная система была развернута на устройствах Google Pixel, а исходный код опубликован на AOSP.

В рамках этого выпуска Google серьезно ограничила возможности мобильного вредоносного ПО.

В предыдущих версиях Android большинство мобильных вредоносных программ попадали на миллионы устройств через приложения-дропперы, доступные в Play Store, которые маскировались под законные приложения, которые злоупотребляли привилегиями службы специальных возможностей.

Новая функция в Android 13 блокирует загруженные приложения от запроса привилегий службы специальных возможностей, ограничивая функцию APK-файлами из Google Play.

Ресерчеры Threat Fabric заметили, что авторы вредоносного ПО уже разрабатывают дропперы под Android, которые могут обходить эти ограничения и доставлять на устройство пользователя полезные нагрузки, обладающие высокими привилегиями.

Среди таких передовиков оказались Hakoden, разработавшие дропперы Gymdrop и являющиеся операторами банковского трояна Xenomorph для Android.

Хакеры вовсю пилят дроппер BugDrop, который использует метода установки на основе сеанса для боковой загрузки полезной нагрузки вредоносного ПО. Android 13 при этом распознает использование API и не применяет ограничение.

Глядя на Hakoden, ресерчеры также смогли создать экспериментальный дроппер, который легко обходил эту новую функцию безопасности, получая доступ к службам специальных возможностей.

Для более подробного ознакомления с тем, как работает новая система безопасности и каковы ее слабые места, лучше почитать в блоге.

А что касается BugDrop, то при полной реализации эта небольшая модификация позволит полностью обойти новые меры безопасности Google, даже до того, как они будут эффективно реализованы.

По всей видимости, не зря новая версия ОС именно 13-ая.

👨🏻‍💻 Курс: Metasploit Unleashed – Free Ethical Hacking Course.

В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект Metasploit.

🖖🏻 Приветствую тебя user_name.

• Metasploit — мощный открытый фреймворк с продуманной архитектурой, который включает в себя тысячи модулей для автоматизации эксплуатации огромного количества уязвимостей.

• Сегодня делюсь с тобой ссылкой на бесплатный курс от Offensive Security, который поможет разобраться с этим инструментом и приступить к практике.

🧷 https://www.offensive-security.com/metasploit-unleashed/

Твой S.E. #Metasploit #Курс

Иранская АРТ, отслеживаемая с 2020 года специалистами Mandiant как UNC3890, нацелилась на интересы Израиля в судоходной отрасли.

Группа нацелена преимущественно на Израиль, но, вероятно, у злоумышленников могут быть интересы и в других регионах. Основной таргет разумеется на правительственные организации и паровозом идут уже энергетика, авиация, сектор здравоохранения и судоходство.

Вектор реализации своих коварных замыслов мало чем отличается от типового: АРТ осуществляет сбор учетных данных, маскируясь под легитимные сервисы путем отправки фишинговых приманок с фальшивыми страницами входа, например в Office 365, социальные сети LinkedIn, Facebook, а также фейковые предложения о работе и иные рекламные страницы.

Одной из возможных фишинговых приманок, использованных злоумышленниками, скорее всего, был файл .xls, замаскированный под предложение о работе, но предназначенный для установки Sugardump — одного из двух уникальных инструментов, используемых АРТ.

Sugardump — инструмент для сбора учетных данных, способный извлекать пароли из браузеров на базе Chromium.

Второй инструмент Sugarush - бэкдор, используемый для установления соединения со встроенным C2 и выполнения команд cmd.

Другие инструменты, используемые UNC3890, включают Unicorn (инструмент для проведения атаки PowerShell на более раннюю версию и внедрения шелл-кода в память), Metasploit и Northstar C2 (среда C2 с открытым исходным кодом, разработанная для тестирования на проникновение и Red Teaming).

Специалистами было обнаружено несколько версий Sugardump.

Самые ранние датируются началом 2021 года и хранили в себе учетные данные без их фильтрации, что указывало на период его аткивной разработки. Следующая версия конца 2021 года отличалась использованием SMTP для связи с C2 и адресами Yahoo, Yandex и Gmail для эксфильтрации. Причем исследователи нашли связь с конкретной фишинговой приманкой.

Третья от апреля использует HTTP для связи и связана с поддельным предложением о работе NexisLexis в качестве приманки. Она поставляется в виде XLS-файла, содержащего макрос, который пытается выполнить встроенный PE-файл. Собранные данные шифруются с помощью AES с использованием SHA256 встроенного пароля в качестве ключа шифрования.

Sugarush исследователи назвали достаточно эффективным бэкдором, который проверяет подключение к сети и устанавливает обратную связь через TCP. Если соединение существует, Sugarush устанавливает новое TCP-соединение со встроенным адресом C2 через порт 4585 и ожидает ответа, а ответ интерпретируется как команда cmd для выполнения.

Совокупность пасхалок, найденных в коде, и сосредоточение внимания на израильских целях заставило Mandiant с «умеренной уверенностью» предположить, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.

Передовики в экосистеме раскрытия уязвимостей Trend Micro Zero Day Initiative выступили с новым регламентом процедур, направленным на противодействие негативным тенденциям в отношении качества и прозрачности исправлений исправлений ПО.

Увеличивающееся число «галочных» по факту исправлений создает, по мнению исследователей, риски для пользователей, утративших способность адекватно оценивать угрозы для своих систем.

Представитель ZDI Дастин Чайлдс рассказал о новых более жестких сроках.

На первом уровне будут применяться 30-дневные сроки для наиболее критических уязвимостей, когда потенциально может произойти эксплуатация. 60-дневные сроки будут назначаться для критических и серьезных ошибок, где исправление предлагает некоторую защиту, а также 90-дневные период для остальных уязвимостей.

Ранее в распоряжении разработчиков имелось 120 дней на исправление.

По словам Чайлдса, за последние 18 месяцев данные об ошибках ZDI указывают на резкий всплеск обращений, связанных с некачественными или неполными исправлениями, которые легко обойти, прежде всего, в виду того, что не закрывается основная суть проблем.

.От 10% до 20% всех ошибок, которые реализуются по BugBounty, связаны с неэффективным исправлением предыдущих баг.

И эта практика свойственна также для Pwn2Own и других площадок. Брокер буквально вынужден дважды платить за ошибки для обходов, за которые было заплачено ранее. 

ZDI считают, что во многом это обусловлено переходом к отчетности об уязвимостях на основе API, которая исключает мнение реальных специалистов из процесса тестирования и оценки качества исправлений.

Свои выводы представили на конференции Black Hat в Лас-Вегасе на прошлой неделе, показав наглядно исправления, которые не вносят эффективных изменений (уязвимость все еще присутствует после применения официального исправления поставщика) и которые обходят всего через несколько часов после выпуска патча.

При этом такой практикой грешат и ряд крупных поставщиков ПО, включая Microsoft, Adobe, Google, Oracle, VMware, Cisco, Apple, HP и Dell.

Чайлдс обвинил поставщиков в отсутствии приверженности к устойчивому обеспечению безопасности и реагированию, а также в отсутствии прозрачности в коммуникациях или рекомендациях.

В результате чего предприятия и организации не имеют четкого представления об истинном риске для своей инфраструктуры и тратят дополнительное время и средства на исправление того, что они уже исправили.

В целом, это негативно отражается на ландшафте угроз и используется злоумышленниками для совершения кибератак.

Cisco сообщает об исправлениях серьезной уязвимости повышения привилегий в AsyncOS для Cisco Secure Web Appliance, ранее - Web Security Appliance (WSA), которое представляет собой решение для защиты предприятия, предназначенное для блокировки опасных сайтов и обеспечения видимости и контроля приложений.

Отслеживаемая как CVE-2022-20871, уязвимость может быть использована удаленно. Ошибка безопасности вызвана тем, что введенные пользователем данные для веб-интерфейса недостаточно проверяются.

Злоумышленник может воспользоваться этой уязвимостью в системе, отправив созданный HTTP-пакет на уязвимое устройство.

Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе и повышать привилегии до root.

Злоумышленнику необходимо иметь как минимум учетные данные только для чтения, чтобы успешно использовать проблему.

Cisco устранила уязвимость, выпустив AsyncOS для веб-устройства версии 14.5.0-537, и планирует также выпустить обновления для версий 12.5 и 14.0.

Компании неизвестно об использовании этой уязвимости в вредоносных атаках.

Обходных путей для устранения этой уязвимости не существует, в связи с чем Cisco рекомендует клиентам как можно скорее установить доступные исправления.