Иранская АРТ, отслеживаемая с 2020 года специалистами Mandiant как UNC3890, нацелилась на интересы Израиля в судоходной отрасли.
Группа нацелена преимущественно на Израиль, но, вероятно, у злоумышленников могут быть интересы и в других регионах. Основной таргет разумеется на правительственные организации и паровозом идут уже энергетика, авиация, сектор здравоохранения и судоходство.
Вектор реализации своих коварных замыслов мало чем отличается от типового: АРТ осуществляет сбор учетных данных, маскируясь под легитимные сервисы путем отправки фишинговых приманок с фальшивыми страницами входа, например в Office 365, социальные сети LinkedIn, Facebook, а также фейковые предложения о работе и иные рекламные страницы.
Одной из возможных фишинговых приманок, использованных злоумышленниками, скорее всего, был файл .xls, замаскированный под предложение о работе, но предназначенный для установки Sugardump — одного из двух уникальных инструментов, используемых АРТ.
Sugardump — инструмент для сбора учетных данных, способный извлекать пароли из браузеров на базе Chromium.
Второй инструмент Sugarush - бэкдор, используемый для установления соединения со встроенным C2 и выполнения команд cmd.
Другие инструменты, используемые UNC3890, включают Unicorn (инструмент для проведения атаки PowerShell на более раннюю версию и внедрения шелл-кода в память), Metasploit и Northstar C2 (среда C2 с открытым исходным кодом, разработанная для тестирования на проникновение и Red Teaming).
Специалистами было обнаружено несколько версий Sugardump.
Самые ранние датируются началом 2021 года и хранили в себе учетные данные без их фильтрации, что указывало на период его аткивной разработки. Следующая версия конца 2021 года отличалась использованием SMTP для связи с C2 и адресами Yahoo, Yandex и Gmail для эксфильтрации. Причем исследователи нашли связь с конкретной фишинговой приманкой.
Третья от апреля использует HTTP для связи и связана с поддельным предложением о работе NexisLexis в качестве приманки. Она поставляется в виде XLS-файла, содержащего макрос, который пытается выполнить встроенный PE-файл. Собранные данные шифруются с помощью AES с использованием SHA256 встроенного пароля в качестве ключа шифрования.
Sugarush исследователи назвали достаточно эффективным бэкдором, который проверяет подключение к сети и устанавливает обратную связь через TCP. Если соединение существует, Sugarush устанавливает новое TCP-соединение со встроенным адресом C2 через порт 4585 и ожидает ответа, а ответ интерпретируется как команда cmd для выполнения.
Совокупность пасхалок, найденных в коде, и сосредоточение внимания на израильских целях заставило Mandiant с «умеренной уверенностью» предположить, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.
Группа нацелена преимущественно на Израиль, но, вероятно, у злоумышленников могут быть интересы и в других регионах. Основной таргет разумеется на правительственные организации и паровозом идут уже энергетика, авиация, сектор здравоохранения и судоходство.
Вектор реализации своих коварных замыслов мало чем отличается от типового: АРТ осуществляет сбор учетных данных, маскируясь под легитимные сервисы путем отправки фишинговых приманок с фальшивыми страницами входа, например в Office 365, социальные сети LinkedIn, Facebook, а также фейковые предложения о работе и иные рекламные страницы.
Одной из возможных фишинговых приманок, использованных злоумышленниками, скорее всего, был файл .xls, замаскированный под предложение о работе, но предназначенный для установки Sugardump — одного из двух уникальных инструментов, используемых АРТ.
Sugardump — инструмент для сбора учетных данных, способный извлекать пароли из браузеров на базе Chromium.
Второй инструмент Sugarush - бэкдор, используемый для установления соединения со встроенным C2 и выполнения команд cmd.
Другие инструменты, используемые UNC3890, включают Unicorn (инструмент для проведения атаки PowerShell на более раннюю версию и внедрения шелл-кода в память), Metasploit и Northstar C2 (среда C2 с открытым исходным кодом, разработанная для тестирования на проникновение и Red Teaming).
Специалистами было обнаружено несколько версий Sugardump.
Самые ранние датируются началом 2021 года и хранили в себе учетные данные без их фильтрации, что указывало на период его аткивной разработки. Следующая версия конца 2021 года отличалась использованием SMTP для связи с C2 и адресами Yahoo, Yandex и Gmail для эксфильтрации. Причем исследователи нашли связь с конкретной фишинговой приманкой.
Третья от апреля использует HTTP для связи и связана с поддельным предложением о работе NexisLexis в качестве приманки. Она поставляется в виде XLS-файла, содержащего макрос, который пытается выполнить встроенный PE-файл. Собранные данные шифруются с помощью AES с использованием SHA256 встроенного пароля в качестве ключа шифрования.
Sugarush исследователи назвали достаточно эффективным бэкдором, который проверяет подключение к сети и устанавливает обратную связь через TCP. Если соединение существует, Sugarush устанавливает новое TCP-соединение со встроенным адресом C2 через порт 4585 и ожидает ответа, а ответ интерпретируется как команда cmd для выполнения.
Совокупность пасхалок, найденных в коде, и сосредоточение внимания на израильских целях заставило Mandiant с «умеренной уверенностью» предположить, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.
Google Cloud Blog
UNC3890: Suspected Iranian Threat Actor Targeting Israeli Shipping, Healthcare, Government and Energy Sectors | Google Cloud Blog
Передовики в экосистеме раскрытия уязвимостей Trend Micro Zero Day Initiative выступили с новым регламентом процедур, направленным на противодействие негативным тенденциям в отношении качества и прозрачности исправлений исправлений ПО.
Увеличивающееся число «галочных» по факту исправлений создает, по мнению исследователей, риски для пользователей, утративших способность адекватно оценивать угрозы для своих систем.
Представитель ZDI Дастин Чайлдс рассказал о новых более жестких сроках.
На первом уровне будут применяться 30-дневные сроки для наиболее критических уязвимостей, когда потенциально может произойти эксплуатация. 60-дневные сроки будут назначаться для критических и серьезных ошибок, где исправление предлагает некоторую защиту, а также 90-дневные период для остальных уязвимостей.
Ранее в распоряжении разработчиков имелось 120 дней на исправление.
По словам Чайлдса, за последние 18 месяцев данные об ошибках ZDI указывают на резкий всплеск обращений, связанных с некачественными или неполными исправлениями, которые легко обойти, прежде всего, в виду того, что не закрывается основная суть проблем.
.От 10% до 20% всех ошибок, которые реализуются по BugBounty, связаны с неэффективным исправлением предыдущих баг.
И эта практика свойственна также для Pwn2Own и других площадок. Брокер буквально вынужден дважды платить за ошибки для обходов, за которые было заплачено ранее.
ZDI считают, что во многом это обусловлено переходом к отчетности об уязвимостях на основе API, которая исключает мнение реальных специалистов из процесса тестирования и оценки качества исправлений.
Свои выводы представили на конференции Black Hat в Лас-Вегасе на прошлой неделе, показав наглядно исправления, которые не вносят эффективных изменений (уязвимость все еще присутствует после применения официального исправления поставщика) и которые обходят всего через несколько часов после выпуска патча.
При этом такой практикой грешат и ряд крупных поставщиков ПО, включая Microsoft, Adobe, Google, Oracle, VMware, Cisco, Apple, HP и Dell.
Чайлдс обвинил поставщиков в отсутствии приверженности к устойчивому обеспечению безопасности и реагированию, а также в отсутствии прозрачности в коммуникациях или рекомендациях.
В результате чего предприятия и организации не имеют четкого представления об истинном риске для своей инфраструктуры и тратят дополнительное время и средства на исправление того, что они уже исправили.
В целом, это негативно отражается на ландшафте угроз и используется злоумышленниками для совершения кибератак.
Увеличивающееся число «галочных» по факту исправлений создает, по мнению исследователей, риски для пользователей, утративших способность адекватно оценивать угрозы для своих систем.
Представитель ZDI Дастин Чайлдс рассказал о новых более жестких сроках.
На первом уровне будут применяться 30-дневные сроки для наиболее критических уязвимостей, когда потенциально может произойти эксплуатация. 60-дневные сроки будут назначаться для критических и серьезных ошибок, где исправление предлагает некоторую защиту, а также 90-дневные период для остальных уязвимостей.
Ранее в распоряжении разработчиков имелось 120 дней на исправление.
По словам Чайлдса, за последние 18 месяцев данные об ошибках ZDI указывают на резкий всплеск обращений, связанных с некачественными или неполными исправлениями, которые легко обойти, прежде всего, в виду того, что не закрывается основная суть проблем.
.От 10% до 20% всех ошибок, которые реализуются по BugBounty, связаны с неэффективным исправлением предыдущих баг.
И эта практика свойственна также для Pwn2Own и других площадок. Брокер буквально вынужден дважды платить за ошибки для обходов, за которые было заплачено ранее.
ZDI считают, что во многом это обусловлено переходом к отчетности об уязвимостях на основе API, которая исключает мнение реальных специалистов из процесса тестирования и оценки качества исправлений.
Свои выводы представили на конференции Black Hat в Лас-Вегасе на прошлой неделе, показав наглядно исправления, которые не вносят эффективных изменений (уязвимость все еще присутствует после применения официального исправления поставщика) и которые обходят всего через несколько часов после выпуска патча.
При этом такой практикой грешат и ряд крупных поставщиков ПО, включая Microsoft, Adobe, Google, Oracle, VMware, Cisco, Apple, HP и Dell.
Чайлдс обвинил поставщиков в отсутствии приверженности к устойчивому обеспечению безопасности и реагированию, а также в отсутствии прозрачности в коммуникациях или рекомендациях.
В результате чего предприятия и организации не имеют четкого представления об истинном риске для своей инфраструктуры и тратят дополнительное время и средства на исправление того, что они уже исправили.
В целом, это негативно отражается на ландшафте угроз и используется злоумышленниками для совершения кибератак.
Zero Day Initiative
Zero Day Initiative — New Disclosure Timelines for Bugs Resulting from Incomplete Patches
Today at the Black Hat USA conference , we announced some new disclosure timelines. Our standard 120-day disclosure timeline for most vulnerabilities remains, but for bug reports that result from faulty or incomplete patches, we will use a shorter timeline.…
Cisco сообщает об исправлениях серьезной уязвимости повышения привилегий в AsyncOS для Cisco Secure Web Appliance, ранее - Web Security Appliance (WSA), которое представляет собой решение для защиты предприятия, предназначенное для блокировки опасных сайтов и обеспечения видимости и контроля приложений.
Отслеживаемая как CVE-2022-20871, уязвимость может быть использована удаленно. Ошибка безопасности вызвана тем, что введенные пользователем данные для веб-интерфейса недостаточно проверяются.
Злоумышленник может воспользоваться этой уязвимостью в системе, отправив созданный HTTP-пакет на уязвимое устройство.
Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе и повышать привилегии до root.
Злоумышленнику необходимо иметь как минимум учетные данные только для чтения, чтобы успешно использовать проблему.
Cisco устранила уязвимость, выпустив AsyncOS для веб-устройства версии 14.5.0-537, и планирует также выпустить обновления для версий 12.5 и 14.0.
Компании неизвестно об использовании этой уязвимости в вредоносных атаках.
Обходных путей для устранения этой уязвимости не существует, в связи с чем Cisco рекомендует клиентам как можно скорее установить доступные исправления.
Отслеживаемая как CVE-2022-20871, уязвимость может быть использована удаленно. Ошибка безопасности вызвана тем, что введенные пользователем данные для веб-интерфейса недостаточно проверяются.
Злоумышленник может воспользоваться этой уязвимостью в системе, отправив созданный HTTP-пакет на уязвимое устройство.
Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе и повышать привилегии до root.
Злоумышленнику необходимо иметь как минимум учетные данные только для чтения, чтобы успешно использовать проблему.
Cisco устранила уязвимость, выпустив AsyncOS для веб-устройства версии 14.5.0-537, и планирует также выпустить обновления для версий 12.5 и 14.0.
Компании неизвестно об использовании этой уязвимости в вредоносных атаках.
Обходных путей для устранения этой уязвимости не существует, в связи с чем Cisco рекомендует клиентам как можно скорее установить доступные исправления.
Cisco
Cisco Security Advisory: Cisco Secure Web Appliance Privilege Escalation Vulnerability
A vulnerability in the web management interface of Cisco AsyncOS for Cisco Secure Web Appliance, formerly Cisco Web Security Appliance (WSA), could allow an authenticated, remote attacker to perform a command injection and elevate privileges to root.
This…
This…
Клипу Джанет Джексон под названием Rhythm Nation 1989 года MITRE официально был присвоен CVE.
Видео признано уязвимым, поскольку влияет на некоторые модели жестких дисков, преимущественно установленных на устаревших моделях компьютерной техники.
Присвоенный CVE-2022-38392 представляет собой отказ в обслуживании (DoS), реализуя атаку по побочному каналу, которая приводит к сбою в работе жестких дисков 2005 года выпуска.
Все дело в вызываемом звучанием резонансе, о котором рассказал представитель Microsoft Рэймонд Чен на этой неделе.
Оказалось даже, что воспроизведение музыкального видео на одном ноутбуке привело к сбою ноутбука, стоящего рядом, хотя на другом ноутбуке видео не воспроизводилось.
Как выяснили исследователи, песня содержала одну из естественных резонансных частот работы модели жестких дисков для ноутбуков со скоростью вращения 5400 об/мин, которую использовали также и другие производители.
В современных условиях угроза безопасности при воспроизведении музыкального видео на актуальном оборудовании практически отсутствует, а раньше производители решали эту проблему, добавляя специальный фильтр в аудиоконвейер, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука.
На самом деле, еще в 2017 году исследователь Альфредо Ортега демонстрировал, как воспроизведение звука с частотой 130 Гц может привести к тому, что жесткий диск почти полностью перестанет реагировать на команды.
В том же году ученые из Принстона и Пердью также представили исследование, раскрывающее акустические атаки на жесткие диски, способные вывести из строя ПК, банкоматы и системы видеонаблюдения.
Все пропало, секретное оружие АНБ раскрыто, Джастин Бибер срочно меняет репертуар.
Видео признано уязвимым, поскольку влияет на некоторые модели жестких дисков, преимущественно установленных на устаревших моделях компьютерной техники.
Присвоенный CVE-2022-38392 представляет собой отказ в обслуживании (DoS), реализуя атаку по побочному каналу, которая приводит к сбою в работе жестких дисков 2005 года выпуска.
Все дело в вызываемом звучанием резонансе, о котором рассказал представитель Microsoft Рэймонд Чен на этой неделе.
Оказалось даже, что воспроизведение музыкального видео на одном ноутбуке привело к сбою ноутбука, стоящего рядом, хотя на другом ноутбуке видео не воспроизводилось.
Как выяснили исследователи, песня содержала одну из естественных резонансных частот работы модели жестких дисков для ноутбуков со скоростью вращения 5400 об/мин, которую использовали также и другие производители.
В современных условиях угроза безопасности при воспроизведении музыкального видео на актуальном оборудовании практически отсутствует, а раньше производители решали эту проблему, добавляя специальный фильтр в аудиоконвейер, который обнаруживал и удалял нежелательные частоты во время воспроизведения звука.
На самом деле, еще в 2017 году исследователь Альфредо Ортега демонстрировал, как воспроизведение звука с частотой 130 Гц может привести к тому, что жесткий диск почти полностью перестанет реагировать на команды.
В том же году ученые из Принстона и Пердью также представили исследование, раскрывающее акустические атаки на жесткие диски, способные вывести из строя ПК, банкоматы и системы видеонаблюдения.
Все пропало, секретное оружие АНБ раскрыто, Джастин Бибер срочно меняет репертуар.
͏Как мы и предполагали, за июньской кибератакой на гиганта в области цифровой безопасности Entrust стояли вымогатели.
LockBit создала на своем DLS выделенную страницу утечки для Entrust, заявив, что они опубликуют все украденные данные сегодня вечером.
При этом хакеры вопреки традиционной тактике распределенного по времени слива намерены опубликовать эксфильтрованные данные в полном объеме. Вероятно, Entrust провалила переговоры или отказывается выполнять требования.
Не исключаем, что слив может быть также связана с тем, что хакеры монетизирвоали Entrust доступом к клиентам компании, ведь Entrust не представил до настоящего никаких дополнительных данных относительно расследования инцидента.
Впрочем, будем посмотреть.
LockBit создала на своем DLS выделенную страницу утечки для Entrust, заявив, что они опубликуют все украденные данные сегодня вечером.
При этом хакеры вопреки традиционной тактике распределенного по времени слива намерены опубликовать эксфильтрованные данные в полном объеме. Вероятно, Entrust провалила переговоры или отказывается выполнять требования.
Не исключаем, что слив может быть также связана с тем, что хакеры монетизирвоали Entrust доступом к клиентам компании, ведь Entrust не представил до настоящего никаких дополнительных данных относительно расследования инцидента.
Впрочем, будем посмотреть.
Компания Arnica, специализирующаяся на безопасности цепочки поставок ПО, опубликовала отчет об инциденте, который произошел в начале этого месяца, когда злоумышленник заполонил GitHub более чем 35 000 проектами с бэкдором.
Ресерчеры отмечают: что на первый взгляд показалось массовым взломом репозитория, оказалось небольшой автоматизацией, смешанной с небольшим знанием некоторых эзотерических команд git.
В код многих тысяч репозиториев был вставлен код, который отправлял переменные среды на виртуальный частный сервер и запускал код с этого сервера. Как ни странно, эти одинаково написанные бэкдоры, по-видимому, были созданы многими разработчиками в течение многих лет.
GitHub быстро удалил затронутые репозитории и сообщил, что все затронутые репозитории были просто клонами реальных репозиториев и при этом ни один реальный аккаунт не был скомпрометирован.
Примечательно то, как были созданы эти клоны, если не в результате форка: один из способов сделать это — создать второй удаленный локальный клон.
Одна из причин такого приема — запретить GitHub сообщать другим пользователям, что это клон. При этом GitHub связывает коммит клона со страницей того же автора. GitHub выбирает имя и адрес электронной почты последнего коммита и доверяет ему. Таким образом, автор коммита может быть не тем, кто отправляет коммит.
Помимо репосквотинга, такого рода клоны можно использовать для создания скрытых PR для исходных проектов, хотя форк вместо клона сработает так же хорошо.
Исследователи рекомендуют использовать подписание и проверку коммитов с помощью GPG. Однако почти никто этого не делает. Кроме того, для предотвращения такого рода атак решающее значение имеет последовательность.
Все подробности и наглядно - здесь 👇
Ресерчеры отмечают: что на первый взгляд показалось массовым взломом репозитория, оказалось небольшой автоматизацией, смешанной с небольшим знанием некоторых эзотерических команд git.
В код многих тысяч репозиториев был вставлен код, который отправлял переменные среды на виртуальный частный сервер и запускал код с этого сервера. Как ни странно, эти одинаково написанные бэкдоры, по-видимому, были созданы многими разработчиками в течение многих лет.
GitHub быстро удалил затронутые репозитории и сообщил, что все затронутые репозитории были просто клонами реальных репозиториев и при этом ни один реальный аккаунт не был скомпрометирован.
Примечательно то, как были созданы эти клоны, если не в результате форка: один из способов сделать это — создать второй удаленный локальный клон.
Одна из причин такого приема — запретить GitHub сообщать другим пользователям, что это клон. При этом GitHub связывает коммит клона со страницей того же автора. GitHub выбирает имя и адрес электронной почты последнего коммита и доверяет ему. Таким образом, автор коммита может быть не тем, кто отправляет коммит.
Помимо репосквотинга, такого рода клоны можно использовать для создания скрытых PR для исходных проектов, хотя форк вместо клона сработает так же хорошо.
Исследователи рекомендуют использовать подписание и проверку коммитов с помощью GPG. Однако почти никто этого не делает. Кроме того, для предотвращения такого рода атак решающее значение имеет последовательность.
Все подробности и наглядно - здесь 👇
www.arnica.io
Demystifying the Pl0x GitHub Attack
What seems on first blush to be a massive repository compromise turned out to be a little automation mixed with a little knowledge of esoteric git commands.
Халява штука, конечно, привлекательная, но часто может обойтись очень дорого, особенно когда речь идет о приватности в сети.
7 июля, когда исследователь Cybernews практиковал свои навыки OSINT он случайно обнаружил открытый экземпляр ElasticSearch, содержащий 626 ГБ журналов VPN-подключений с 5,7 млрд записей данных бесплатного китайского VPN.
Использование VPN в принципе более популярно в Азии и на Ближнем Востоке, где использование Интернета контролируется гораздо строже, чем в западных странах.
Таким образом, пользователи приложения Airplane Accelerates, вероятно, уже обеспокоены, что их частная сетевая активность может быть не такой уж и частной и что это может подвергнуть их риску преследования со стороны правоохранительных структур.
Ибо, если партия запретила, значит нельзя, а утечка включает идентификаторы пользователей, IP-адреса, к которым и с которых подключались пользователи, доменные имена и время сессий.
По мнению экспертов Cybernews, утечка имеет большое значение, поскольку данные можно использовать для деанонимизации и отслеживания абонентов этого приложения, а фактическое количество пользователей Windows, MacOS, iOS и Android может исчисляться десятками или даже сотнями тысяч.
Более того, у экспертов есть вопрос непосредственно к безопасности самого приложения, так как оказалось оно на самом деле работает на менее безопасном протоколе HTTPS и шифрует только веб-трафик, а не трафик из OS или других приложений.
А самое удивительное, Cybernews обнаружили, что приложение Airplane запрашивало подозрительно большое количество разрешений, начиная от доступа к камере и аудиозаписи и заканчивая чтением и изменением контактов, внешним хранилищем и установкой пакетов.
Примечательно, что в списке, проиндексированном для приложения, не было китайских веб-сайтов, что позволяет предположить, что оно было составлено для отслеживания пользователей, которые посещают ресурсы, запрещенные в Пекине.
При таком раскладе, многие пользователи попадут под раздачу, если приложение раскроет их использование Интернета властям.
Cybernews связались с AP Network, чтобы предупредить о проблеме вскоре после ее обнаружения. Но не получив ответа после ожидания более месяца решили, что в общественных интересах поделиться этой историей.
В целом, использование бесплатных VPN следует избегать, так как ресерчеры уже неоднократно фиксировали, что ряд поставщиков таких как Hoxx, iNinja и SuperVPN хранят пользовательские данные.
В некоторых случаях даже делятся ими с другими организациями, что ставит под угрозу конфиденциальность пользователей, не говоря уж о прочих ограничениях, скорости соединения, количества серверов, рекламы и сбором и спекуляцией пользовательских данных третьим лицам.
7 июля, когда исследователь Cybernews практиковал свои навыки OSINT он случайно обнаружил открытый экземпляр ElasticSearch, содержащий 626 ГБ журналов VPN-подключений с 5,7 млрд записей данных бесплатного китайского VPN.
Использование VPN в принципе более популярно в Азии и на Ближнем Востоке, где использование Интернета контролируется гораздо строже, чем в западных странах.
Таким образом, пользователи приложения Airplane Accelerates, вероятно, уже обеспокоены, что их частная сетевая активность может быть не такой уж и частной и что это может подвергнуть их риску преследования со стороны правоохранительных структур.
Ибо, если партия запретила, значит нельзя, а утечка включает идентификаторы пользователей, IP-адреса, к которым и с которых подключались пользователи, доменные имена и время сессий.
По мнению экспертов Cybernews, утечка имеет большое значение, поскольку данные можно использовать для деанонимизации и отслеживания абонентов этого приложения, а фактическое количество пользователей Windows, MacOS, iOS и Android может исчисляться десятками или даже сотнями тысяч.
Более того, у экспертов есть вопрос непосредственно к безопасности самого приложения, так как оказалось оно на самом деле работает на менее безопасном протоколе HTTPS и шифрует только веб-трафик, а не трафик из OS или других приложений.
А самое удивительное, Cybernews обнаружили, что приложение Airplane запрашивало подозрительно большое количество разрешений, начиная от доступа к камере и аудиозаписи и заканчивая чтением и изменением контактов, внешним хранилищем и установкой пакетов.
Примечательно, что в списке, проиндексированном для приложения, не было китайских веб-сайтов, что позволяет предположить, что оно было составлено для отслеживания пользователей, которые посещают ресурсы, запрещенные в Пекине.
При таком раскладе, многие пользователи попадут под раздачу, если приложение раскроет их использование Интернета властям.
Cybernews связались с AP Network, чтобы предупредить о проблеме вскоре после ее обнаружения. Но не получив ответа после ожидания более месяца решили, что в общественных интересах поделиться этой историей.
В целом, использование бесплатных VPN следует избегать, так как ресерчеры уже неоднократно фиксировали, что ряд поставщиков таких как Hoxx, iNinja и SuperVPN хранят пользовательские данные.
В некоторых случаях даже делятся ими с другими организациями, что ставит под угрозу конфиденциальность пользователей, не говоря уж о прочих ограничениях, скорости соединения, количества серверов, рекламы и сбором и спекуляцией пользовательских данных третьим лицам.
Cybernews
5.7bn data entries found exposed on Chinese VPN
Users in China could find that their virtual private network is not so private after all - potentially landing them in trouble with the authorities there.
Исследователи Positive Technologies выяснили, что у зашифрованного ZIP-файла может быть два правильных пароля, и оба они дают одинаковый результат при извлечении ZIP-файла.
Защищенные паролем ZIP-архивы являются распространенным средством сжатия и работы с файлами — от конфиденциальных документов до образцов вредоносных ПО.
На выходных ресерчеры провели простой эксперимент, в ходе которого был создан защищенный паролем ZIP-файл с названием x.zip, для которого был подобран пароль хита 1987 года: Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You.
В ходе эксперимента исследователи продемонстрировали распаковку x.zip с совершенно другим паролем, при этом безо всяких сообщений об ошибках. Применение другого пароля привело к успешному извлечению ZIP-файла с неповрежденным исходным содержимым.
Вс дело в том, что при создании защищенных паролем ZIP-архивов с включенным режимом AES-256 формат ZIP использует алгоритм PBKDF2 и хеширует пароль, предоставленный пользователем, если пароль длиннее 64 символов.
Вместо введенного пользователем пароля (в данном случае «Nev1r-G0nna-G2ve-...») вновь рассчитанный хэш становится фактическим паролем к архиву.
Когда пользователь пытается распаковать файл и вводит пароль длиннее 64 байт ("Nev1r-G0nna-G2ve-..."), введенные пользователем данные снова хэшируются приложением ZIP и сравниваются с правильным паролем (который теперь сам по себе является хешем). Совпадение и приводит к успешному извлечению файла.
Альтернативный пароль, используемый в этом примере ("pkH8a0AqNbHcdw8GrmSp"), на самом деле представляет собой ASCII-представление хэша SHA-1 более длинного пароля.
Контрольная сумма SHA-1 "Nev1r-G0nna-G2ve-..." = 706b4838613041714e62486364773847726d5370. Эта контрольная сумма при преобразовании в ASCII дает: pkH8a0AqNbHcdw8GrmSp.
Однако при шифровании или расшифровке файла процесс хеширования происходит только в том случае, если длина пароля превышает 64 символа. Более короткие пароли не будут хэшироваться ни на этапе сжатия, ни на этапе распаковки ZIP.
Здесь следует отметить интересный ключевой аспект: ASCII-представление каждого хэша SHA-1 не обязательно должно быть буквенно-цифровым.
ASCII-представление контрольной суммы выглядит как бессвязный набор байтов — далеко не такой элегантный, как альтернативный пароль, сгенерированный исследователем для своего эксперимента.
Именно поэтому для подбора пароля, контрольная сумма SHA-1 которого была бы такой, что его представление ASCII дает чистую буквенно-цифровую строку исследователь использовал hashcat, генерируя варианты строки «Never Gonna Give You Up…», используя буквенно-цифровые символы, пока не получил идеальный пароль.
Поэтому даже, когда есть два возможных пароля к одному и тому же ZIP-архиву, это не представляет уязвимости в системе безопасности, поскольку необходимо знать исходный пароль, чтобы сгенерировать хэш пароля. Но фишка от этого не перестаёт быть фишкой.
Защищенные паролем ZIP-архивы являются распространенным средством сжатия и работы с файлами — от конфиденциальных документов до образцов вредоносных ПО.
На выходных ресерчеры провели простой эксперимент, в ходе которого был создан защищенный паролем ZIP-файл с названием x.zip, для которого был подобран пароль хита 1987 года: Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You.
В ходе эксперимента исследователи продемонстрировали распаковку x.zip с совершенно другим паролем, при этом безо всяких сообщений об ошибках. Применение другого пароля привело к успешному извлечению ZIP-файла с неповрежденным исходным содержимым.
Вс дело в том, что при создании защищенных паролем ZIP-архивов с включенным режимом AES-256 формат ZIP использует алгоритм PBKDF2 и хеширует пароль, предоставленный пользователем, если пароль длиннее 64 символов.
Вместо введенного пользователем пароля (в данном случае «Nev1r-G0nna-G2ve-...») вновь рассчитанный хэш становится фактическим паролем к архиву.
Когда пользователь пытается распаковать файл и вводит пароль длиннее 64 байт ("Nev1r-G0nna-G2ve-..."), введенные пользователем данные снова хэшируются приложением ZIP и сравниваются с правильным паролем (который теперь сам по себе является хешем). Совпадение и приводит к успешному извлечению файла.
Альтернативный пароль, используемый в этом примере ("pkH8a0AqNbHcdw8GrmSp"), на самом деле представляет собой ASCII-представление хэша SHA-1 более длинного пароля.
Контрольная сумма SHA-1 "Nev1r-G0nna-G2ve-..." = 706b4838613041714e62486364773847726d5370. Эта контрольная сумма при преобразовании в ASCII дает: pkH8a0AqNbHcdw8GrmSp.
Однако при шифровании или расшифровке файла процесс хеширования происходит только в том случае, если длина пароля превышает 64 символа. Более короткие пароли не будут хэшироваться ни на этапе сжатия, ни на этапе распаковки ZIP.
Здесь следует отметить интересный ключевой аспект: ASCII-представление каждого хэша SHA-1 не обязательно должно быть буквенно-цифровым.
ASCII-представление контрольной суммы выглядит как бессвязный набор байтов — далеко не такой элегантный, как альтернативный пароль, сгенерированный исследователем для своего эксперимента.
Именно поэтому для подбора пароля, контрольная сумма SHA-1 которого была бы такой, что его представление ASCII дает чистую буквенно-цифровую строку исследователь использовал hashcat, генерируя варианты строки «Never Gonna Give You Up…», используя буквенно-цифровые символы, пока не получил идеальный пароль.
Поэтому даже, когда есть два возможных пароля к одному и тому же ZIP-архиву, это не представляет уязвимости в системе безопасности, поскольку необходимо знать исходный пароль, чтобы сгенерировать хэш пароля. Но фишка от этого не перестаёт быть фишкой.
YouTube
Rick Astley - Never Gonna Give You Up (Official Video) (4K Remaster)
The official video for “Never Gonna Give You Up” by Rick Astley.
Never: The Autobiography 📚 OUT NOW!
Follow this link to get your copy and listen to Rick’s ‘Never’ playlist ❤️ #RickAstleyNever
https://linktr.ee/rickastleynever
“Never Gonna Give You Up”…
Never: The Autobiography 📚 OUT NOW!
Follow this link to get your copy and listen to Rick’s ‘Never’ playlist ❤️ #RickAstleyNever
https://linktr.ee/rickastleynever
“Never Gonna Give You Up”…
Лицо человека, который думает, что бомбить украинских детей - это хорошая идея. Он только что потерял дочь при подрыве машины в Москве - такой комментарий оставляет твиттер-аккаунт Anonymous Operations к фотографии Александра Дугина на месте взрыва автомобиля его дочери Дарьи.
3,5к ретвитов, 20+ тысяч лайков и куча радостных мемчиков в обсуждении. На аккаунт подписаны множество инфосек экспертов и компаний.
Это чтобы вы понимали, какое на самом деле говно из себя представляет вся эта "интеллектуальная элита". Дай такому "ресерчеру" в руки безнаказанность и огнемет - новая Хатынь будет прямо завтра.
3,5к ретвитов, 20+ тысяч лайков и куча радостных мемчиков в обсуждении. На аккаунт подписаны множество инфосек экспертов и компаний.
Это чтобы вы понимали, какое на самом деле говно из себя представляет вся эта "интеллектуальная элита". Дай такому "ресерчеру" в руки безнаказанность и огнемет - новая Хатынь будет прямо завтра.
͏Специалисты из Resecurity обнаружили новый RAT Escanor.
Ну как новый, инструмент был доступен для продажи на теневых площадках с начала этого года и изначально представлял собой компактный имплантат HVNC для установки удаленного подключения к компьютеру жертвы, после чего трансформировался в полноценный RAT с более богатым набором функций.
Теперь злоумышленники предлагают версии RAT для Android и ПК, HVNC и набор эксплойтов, чтобы использовать документы Microsoft Office и Adobe PDF для доставки вредоносного кода.
Мобильная версия Escanor (также известная как «Esca RAT») активно используется для атак на клиентов онлайн-банкинга путем перехвата OTP-кодов.
Инструмент можно использовать для сбора GPS-координат жертвы, отслеживания нажатия клавиш, активации скрытых камер и просмотра и кражи файлов на мобильных устройствах.
Большинство обнаруженных в последнее время образцов вредоносного ПО было доставлено с помощью Escanor Exploit Builder.
Вектор атаки адаптирован под документы-приманки, имитирующие счета-фактуры и уведомления популярных онлайн-сервисов.
Географию распространения Escanor преимущественно составляет США, Канада, ОАЭ, Саудовская Аравия, Кувейт, Бахрейн, Египет, Израиль, Мексика, Сингапур и в некоторых случаях — страны Юго-Восточной Азии.
И судя по всему Escanor штука достаточно востребованная и эффективная раз заработала надежную репутацию в даркнете и привлекла более 28 000 подписчиков на канал Telegram.
Ну как новый, инструмент был доступен для продажи на теневых площадках с начала этого года и изначально представлял собой компактный имплантат HVNC для установки удаленного подключения к компьютеру жертвы, после чего трансформировался в полноценный RAT с более богатым набором функций.
Теперь злоумышленники предлагают версии RAT для Android и ПК, HVNC и набор эксплойтов, чтобы использовать документы Microsoft Office и Adobe PDF для доставки вредоносного кода.
Мобильная версия Escanor (также известная как «Esca RAT») активно используется для атак на клиентов онлайн-банкинга путем перехвата OTP-кодов.
Инструмент можно использовать для сбора GPS-координат жертвы, отслеживания нажатия клавиш, активации скрытых камер и просмотра и кражи файлов на мобильных устройствах.
Большинство обнаруженных в последнее время образцов вредоносного ПО было доставлено с помощью Escanor Exploit Builder.
Вектор атаки адаптирован под документы-приманки, имитирующие счета-фактуры и уведомления популярных онлайн-сервисов.
Географию распространения Escanor преимущественно составляет США, Канада, ОАЭ, Саудовская Аравия, Кувейт, Бахрейн, Египет, Израиль, Мексика, Сингапур и в некоторых случаях — страны Юго-Восточной Азии.
И судя по всему Escanor штука достаточно востребованная и эффективная раз заработала надежную репутацию в даркнете и привлекла более 28 000 подписчиков на канал Telegram.
͏- Партнёрский пост -
15 сентября в Горной Олимпийской деревне курорта Роза Хутор, г. Сочи, компания Deiteriy проведет PCI DSS Training.
После выхода PCI DSS v. 4.0 у участников финансовой индустрии накопилось множество вопросов, связанных с новой версией стандарта.
Очный формат PCI DSS Training позволит участникам лично почерпнуть опыт у коллег по индустрии, а также проконсультироваться с действующими аудиторами в вопросах внедрения новых требований безопасности PCI DSS v. 4.0.
Регистрация для участия в PCI DSS Training уже доступна на сайте pcidsstraining.ru.
16 сентября в том же месте команда пентестеров из Deiteriy Lab проведет воркшоп по практической информационной безопасности.
Каждый участник воркшопа сможет побыть в роли хакера и получить опыт в поиске и эксплуатации актуальных уязвимостей, которые часто встречаются в реальных инфраструктурах.
Для участия в воркшопе необходимо зарегистрироваться на practicalsecurityvillage.ru и иметь с собой в Сочи ноутбук с Kali Linux.
Место проведения мероприятий позволит участникам насладиться горными пейзажами и черноморским побережьем. Формат мероприятий очный, поэтому количество мест ограничено.
15 сентября в Горной Олимпийской деревне курорта Роза Хутор, г. Сочи, компания Deiteriy проведет PCI DSS Training.
После выхода PCI DSS v. 4.0 у участников финансовой индустрии накопилось множество вопросов, связанных с новой версией стандарта.
Очный формат PCI DSS Training позволит участникам лично почерпнуть опыт у коллег по индустрии, а также проконсультироваться с действующими аудиторами в вопросах внедрения новых требований безопасности PCI DSS v. 4.0.
Регистрация для участия в PCI DSS Training уже доступна на сайте pcidsstraining.ru.
16 сентября в том же месте команда пентестеров из Deiteriy Lab проведет воркшоп по практической информационной безопасности.
Каждый участник воркшопа сможет побыть в роли хакера и получить опыт в поиске и эксплуатации актуальных уязвимостей, которые часто встречаются в реальных инфраструктурах.
Для участия в воркшопе необходимо зарегистрироваться на practicalsecurityvillage.ru и иметь с собой в Сочи ноутбук с Kali Linux.
Место проведения мероприятий позволит участникам насладиться горными пейзажами и черноморским побережьем. Формат мероприятий очный, поэтому количество мест ограничено.
Используя 0-day, хакеры обчистили банкоматы General Bytes Bitcoin.
Когда клиенты вносили или покупали криптовалюту через банкомат, средства вместо этого выводились хакерами.
General Bytes — производитель биткойн-банкоматов, которые позволяют покупать или продавать более 40 различных криптовалют.
Управление сетью криптобанкоматов реализуется удаленным сервером криптоприложений CAS.
18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day в ПО для CAS, которая использовалась для создания фальшивой учетной записи администратора через административный интерфейс.
Уязвимость присутствует в программном обеспечении CAS, начиная с версии 20201208.
General Bytes выяснили, что хакеры провели сканирование глобальной сети на предмет открытых серверов, работающих на TCP-портах 7777 или 443, включая серверы, размещенные в Digital Ocean и на собственном облачном сервисе.
Затем они воспользовались ошибкой для добавления пользователя-администратора по умолчанию с именем «gb» в CAS, изменив настройки и заставив банкоматы пересылать всю криптовалюту клиентов на свои кошельки.
General Bytes выпустила исправление безопасности для эксплойта — ошибки, которую хакеры могут использовать для незаконного доступа к целевой машине — и предупредила своих клиентов, чтобы они не использовали свои банкоматы, пока не запустится обновление.
Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено. Но дело даже в другом.
Ранее в этом месяце General Bytes выпустила заявление на своем веб-сайте в поддержку Украины и предоставила своим клиентам возможность напрямую помогать Украине криптой. И тут что-то пошло не так.
Но волноваться не стоит: более чем уверены, что актор найдет криптоактивам лучшее применение, чем планировалось.
Когда клиенты вносили или покупали криптовалюту через банкомат, средства вместо этого выводились хакерами.
General Bytes — производитель биткойн-банкоматов, которые позволяют покупать или продавать более 40 различных криптовалют.
Управление сетью криптобанкоматов реализуется удаленным сервером криптоприложений CAS.
18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day в ПО для CAS, которая использовалась для создания фальшивой учетной записи администратора через административный интерфейс.
Уязвимость присутствует в программном обеспечении CAS, начиная с версии 20201208.
General Bytes выяснили, что хакеры провели сканирование глобальной сети на предмет открытых серверов, работающих на TCP-портах 7777 или 443, включая серверы, размещенные в Digital Ocean и на собственном облачном сервисе.
Затем они воспользовались ошибкой для добавления пользователя-администратора по умолчанию с именем «gb» в CAS, изменив настройки и заставив банкоматы пересылать всю криптовалюту клиентов на свои кошельки.
General Bytes выпустила исправление безопасности для эксплойта — ошибки, которую хакеры могут использовать для незаконного доступа к целевой машине — и предупредила своих клиентов, чтобы они не использовали свои банкоматы, пока не запустится обновление.
Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено. Но дело даже в другом.
Ранее в этом месяце General Bytes выпустила заявление на своем веб-сайте в поддержку Украины и предоставила своим клиентам возможность напрямую помогать Украине криптой. И тут что-то пошло не так.
Но волноваться не стоит: более чем уверены, что актор найдет криптоактивам лучшее применение, чем планировалось.
Generalbytes
CAS for Bitcoin ATM | GENERAL BYTES
The Crypto Application Server for easy management of your Bitcoin ATM from General Bytes.
Команда Team82 Claroty сообщает об обнаружении 6 XIoT-уязвимостей в программном обеспечении ведущего производителя в сфере промышленной автоматизации Emerson.
Ошибки средней степени серьезности затрагивают ПО Proficy Machine Edition 9.00 и более ранних версий, которое представляет собой инженерную рабочую станцию, которая является частью программной платформы системы управления PACSystems.
При этом CVE-2022-2788 изначально был присвоен рейтинг CVSS V3 9,3, правда буквально на днях бага была списана в категорию низкой степени серьезности с 3,9 баллами.
Как выяснили исследователи, Proficy Machine Edition уязвима для атаки ZipSlip посредством процедуры загрузки, которая позволяет злоумышленникам внедрить вредоносный файл BLZ в ПЛК. Файл может передаваться через инженерную станцию в Windows таким образом, что выполняется вредоносный код.
Ряд недостатков связаны с недостаточной проверкой подлинности данных (CVE-2022-2789 с CVSS V3 4.7) и криптографической подписи (CVE-2022-2790 с CVSS V3 5,9).
CVE-2022-2791 (CVSS V3 5,9) позволяет злоумышленнику загрузить любой файл через папку логики, в подключенный ПЛК, а CVE-2022-2792 (CVSS V3 6,6) обусловлена тем, что ПО хранит данные проекта в каталоге с неправильными списками контроля доступа, реализуя неправильный контроль доступа.
И, наконец, CVE-2022-2793 (с CVSS V3 5,9) выражается в ненадлежащей поддержке проверки целостности, в связи с отсутствием аутентификации или авторизации пакетов данных после установления соединения по протоколу SRTP.
Все ошибки могут быть использованы в атаках низкой сложности, с возможностью удаленного доступа.
Успешная эксплуатация уязвимостей может сделать возможным удаленное выполнение скрытого кода на подключенном ПЛК и реализовать загрузку вредоносных файлов с ПЛК на подключенные рабочие станции.
Поскольку исправления для недостатков еще не выпущены, Emerson рекомендует пользователям принять необходимые меры для снижения рисков, которые подробно описаны в бюллетене по безопасности.
Ошибки средней степени серьезности затрагивают ПО Proficy Machine Edition 9.00 и более ранних версий, которое представляет собой инженерную рабочую станцию, которая является частью программной платформы системы управления PACSystems.
При этом CVE-2022-2788 изначально был присвоен рейтинг CVSS V3 9,3, правда буквально на днях бага была списана в категорию низкой степени серьезности с 3,9 баллами.
Как выяснили исследователи, Proficy Machine Edition уязвима для атаки ZipSlip посредством процедуры загрузки, которая позволяет злоумышленникам внедрить вредоносный файл BLZ в ПЛК. Файл может передаваться через инженерную станцию в Windows таким образом, что выполняется вредоносный код.
Ряд недостатков связаны с недостаточной проверкой подлинности данных (CVE-2022-2789 с CVSS V3 4.7) и криптографической подписи (CVE-2022-2790 с CVSS V3 5,9).
CVE-2022-2791 (CVSS V3 5,9) позволяет злоумышленнику загрузить любой файл через папку логики, в подключенный ПЛК, а CVE-2022-2792 (CVSS V3 6,6) обусловлена тем, что ПО хранит данные проекта в каталоге с неправильными списками контроля доступа, реализуя неправильный контроль доступа.
И, наконец, CVE-2022-2793 (с CVSS V3 5,9) выражается в ненадлежащей поддержке проверки целостности, в связи с отсутствием аутентификации или авторизации пакетов данных после установления соединения по протоколу SRTP.
Все ошибки могут быть использованы в атаках низкой сложности, с возможностью удаленного доступа.
Успешная эксплуатация уязвимостей может сделать возможным удаленное выполнение скрытого кода на подключенном ПЛК и реализовать загрузку вредоносных файлов с ПЛК на подключенные рабочие станции.
Поскольку исправления для недостатков еще не выпущены, Emerson рекомендует пользователям принять необходимые меры для снижения рисков, которые подробно описаны в бюллетене по безопасности.
Claroty
XIoT Vulnerability Disclosure Dashboard
Track all XIoT vulnerabilities disclosed by Team82, the industry’s best cybersecurity vulnerability and threat research team. Team82 finds software and firmware vulnerabilities before threat actors can exploit them.
Крупнейший дистрибьютор природного газа в Греции DESFA подтвердил в субботу, что стал жертвой киберинцидента с использованием ransomware.
В публичном заявлении DESFA пояснила, что хакеры пытались проникнуть в его сеть, но им помешала молниеносная реакция IT-отдела.
На самом деле вымогатели проникли в сеть, эксфильтровали и затем пошифровали данные.
После чего DESFA отключил многие из своих онлайн-сервисов, а специалисты работают над их тщательным восстановлением.
DESFA заверяет потребителей, что инцидент не повлияет на подачу газа и что все газотранспортные сети работают в штатном режиме.
К расследованию инцидента присоединились местные киберполицейские, национальное управление по защите данных, министерство обороны и министерство энергетики, что уже наводит на мысль о том, что официальная версия может достаточно розниться в реальными обстоятельствами.
Подтверждение атаки пришло после того, как в пятницу Ragnar Locker разместили жертву на своем DLS с небольшим набором украденных и не совсем конфиденциальных файлов.
Более того, хакеры отметили, что они обнаружили несколько уязвимостей в системе безопасности DESFA и сообщили им об этом факте, вероятно, в рамках своей кибератаки, а после игнора - предприняли свои традиционные операции.
DESFA заявляет также, что не будет вести переговоры с киберпреступниками по поводу выкупа.
Однако учитывая эскалацию энергокризиса в Европе, непоколебимость греческого поставщика может оказаться публичной фикцией, как и обнадеживающие официальные заявления.
Будем посмотреть, зима все ближе.
В публичном заявлении DESFA пояснила, что хакеры пытались проникнуть в его сеть, но им помешала молниеносная реакция IT-отдела.
На самом деле вымогатели проникли в сеть, эксфильтровали и затем пошифровали данные.
После чего DESFA отключил многие из своих онлайн-сервисов, а специалисты работают над их тщательным восстановлением.
DESFA заверяет потребителей, что инцидент не повлияет на подачу газа и что все газотранспортные сети работают в штатном режиме.
К расследованию инцидента присоединились местные киберполицейские, национальное управление по защите данных, министерство обороны и министерство энергетики, что уже наводит на мысль о том, что официальная версия может достаточно розниться в реальными обстоятельствами.
Подтверждение атаки пришло после того, как в пятницу Ragnar Locker разместили жертву на своем DLS с небольшим набором украденных и не совсем конфиденциальных файлов.
Более того, хакеры отметили, что они обнаружили несколько уязвимостей в системе безопасности DESFA и сообщили им об этом факте, вероятно, в рамках своей кибератаки, а после игнора - предприняли свои традиционные операции.
DESFA заявляет также, что не будет вести переговоры с киберпреступниками по поводу выкупа.
Однако учитывая эскалацию энергокризиса в Европе, непоколебимость греческого поставщика может оказаться публичной фикцией, как и обнадеживающие официальные заявления.
Будем посмотреть, зима все ближе.
www.documentcloud.org
desfa-statement
В первую декаду августа прошла конференция по безопасности Black Hat, на которой была раскрыта уязвимость в ядре Linux под названием Dirty Cred.
Об уязвимости поведали пытливые умы из Университета Нортуэстерн, которые работали над печально известной багой Dirty Pipe и обнаружили ошибку восьмилетней давности, с помощью которой злоумышленник может повысить свои права до максимального уровня.
Как подчеркнули сами исследователи, DirtyCred представляет собой концепцию эксплуатации на уровне ядра, позволяющую повысить права в результате замены непривилегированных учетных данных на привилегированные.
Для повышения привилегий DirtyCred использует ранее неизвестную уязвимость, отслеживаемую как CVE-2022-2588. Недостаток в связан с проблемой использования после освобождения, которая находится в route4_change при реализации фильтра net/sched/cls_route.c в ядре Linux.
Уязвимость позволяет локальному привилегированному злоумышленнику вывести систему из строя, что может привести к повышению локальных привилегий.
Эксперты отмечают, что эксплойты, написанные с помощью DirtyCred, будут работать с разными ядрами и архитектурами, что наглядно продемонстрировали у себя на странице.
Причем специалисты описали подход, который можно применять и для Android.
Кстати, POC доступен на GitHub.
Об уязвимости поведали пытливые умы из Университета Нортуэстерн, которые работали над печально известной багой Dirty Pipe и обнаружили ошибку восьмилетней давности, с помощью которой злоумышленник может повысить свои права до максимального уровня.
Как подчеркнули сами исследователи, DirtyCred представляет собой концепцию эксплуатации на уровне ядра, позволяющую повысить права в результате замены непривилегированных учетных данных на привилегированные.
Для повышения привилегий DirtyCred использует ранее неизвестную уязвимость, отслеживаемую как CVE-2022-2588. Недостаток в связан с проблемой использования после освобождения, которая находится в route4_change при реализации фильтра net/sched/cls_route.c в ядре Linux.
Уязвимость позволяет локальному привилегированному злоумышленнику вывести систему из строя, что может привести к повышению локальных привилегий.
Эксперты отмечают, что эксплойты, написанные с помощью DirtyCred, будут работать с разными ядрами и архитектурами, что наглядно продемонстрировали у себя на странице.
Причем специалисты описали подход, который можно применять и для Android.
Кстати, POC доступен на GitHub.
YouTube
"DirtyCred" Gives Hackers Full Control of Linux and Android Systems
In this video I discuss the dirty cred vulnerability that allows for an unprivileged user to escalate privileges to root on the Linux kernel (all architectures) the bug is also believe to present in the android kernel and docker images using the Linux kernel.…
Почти год назад мы писали про критическую CVE-2021-36260, которая может быть использована для получения root-доступа и полного контроля над видеоустройствами Hikvision, которые, как известно, крайне популярны в РФ и повсеместно размещаются в том числе на объектах критической инфраструктуры.
Вопреки предупреждениям и вышедшим еще в сентябре 2021 года исправлениям, более 80 000 камер Hikvision остаются уязвимыми для критической CVE, которую легко использовать с помощью специально созданных сообщений, отправляемых на уязвимый веб-сервер.
Согласно результатам исследования, проведенного CYFIRMA, десятки тысяч систем, используемых 2300 организациями в 100 странах, до сих пор не установили обновление безопасности.
При этом, как минимум два эксплойта для CVE-2021-36260 общедоступны еще с октября 2021 года и февраля 2022 года соответственно, а в декабре 2021 года эксплойт для взлома устройств использовался операторами ботнета Moobot для подготовки и совершения DDoS-атак.
Ресерчеры CYFIRMA обнаружили также, что хакеры реализуют доступ к эксплуатируемым камерам Hikvision, которые в дальнейшем можно использовать как для бокового перемещения, так и вовлечения в DDoS.
Помимо уязвимости внедрения команд ресерчеры отмечают также проблему со слабыми паролями, которые пользователи устанавливают для удобства или которые поставляются с устройством по умолчанию, а в последующем не сбрасываются после первой настройки.
Большинство из доступных к настоящему времени уязвимых конечных точек расположены в Китае, США, Вьетнаме, Великобритании, Украине, Таиланде, Южной Африке, Франции, Нидерландах и Румынии.
Ресерчеры рекомендуют пользователям камер Hikvision следует сделать приоритетом установку последнего доступного обновления прошивки, использовать надежный пароль и изолировать сеть IoT от критически важных активов с помощью брандмауэра или VLAN.
Вопреки предупреждениям и вышедшим еще в сентябре 2021 года исправлениям, более 80 000 камер Hikvision остаются уязвимыми для критической CVE, которую легко использовать с помощью специально созданных сообщений, отправляемых на уязвимый веб-сервер.
Согласно результатам исследования, проведенного CYFIRMA, десятки тысяч систем, используемых 2300 организациями в 100 странах, до сих пор не установили обновление безопасности.
При этом, как минимум два эксплойта для CVE-2021-36260 общедоступны еще с октября 2021 года и февраля 2022 года соответственно, а в декабре 2021 года эксплойт для взлома устройств использовался операторами ботнета Moobot для подготовки и совершения DDoS-атак.
Ресерчеры CYFIRMA обнаружили также, что хакеры реализуют доступ к эксплуатируемым камерам Hikvision, которые в дальнейшем можно использовать как для бокового перемещения, так и вовлечения в DDoS.
Помимо уязвимости внедрения команд ресерчеры отмечают также проблему со слабыми паролями, которые пользователи устанавливают для удобства или которые поставляются с устройством по умолчанию, а в последующем не сбрасываются после первой настройки.
Большинство из доступных к настоящему времени уязвимых конечных точек расположены в Китае, США, Вьетнаме, Великобритании, Украине, Таиланде, Южной Африке, Франции, Нидерландах и Румынии.
Ресерчеры рекомендуют пользователям камер Hikvision следует сделать приоритетом установку последнего доступного обновления прошивки, использовать надежный пароль и изолировать сеть IoT от критически важных активов с помощью брандмауэра или VLAN.
После дерзкой атаки на Entrust вымогатели LockBit сами стали жертвой киберинцидента.
Подконтрольные LockBit DLS на выходных подверглись жесткой DDoS-атаке, в ходе которой от хакеров потребовали удалить эксфильтрованные данные Entrust.
Совсем недавно мы сообщали, что LockBit взял на себя ответственность за атаку и анонсировали безальтернативную утечку данных вопреки своей тактике распределенного по времени слива.
Утечка состояла из 30 скриншотов данных, предположительно украденных из Entrust, включая юридические документы, маркетинговые таблицы и бухгалтерские данные.
Вскоре после того, как они приступили к публикации, Tor-ресурсы банды стали недоступны, в результате DDoS-атаки, инициированной связанными с Entrust акторами.
К такому выводу хакеры пришли после того, как обнаружили в логах HTTPS-запросов требование удалить соответствующие данные.
Исследователь Cisco Talos Азим Шукуи отметил в Твиттере, что DDoS-атака на серверы LockBit включала 400 запросов в секунду с более чем 1000 серверов.
В ответ на атаку LockBit пообещали загрузить все данные Entrust в формате торрента, что сделает практически невозможным их удаление.
Кроме того, злоумышленники слили все переговоры с Entrust, засветив сумму первоначального выкупа в размере 8 миллионов долларов, позже прайс упал до 6,8 млн.
Оказывается, что ранее сайты DLS уже становились мишенью аналогичных атак, которые тогда предпринимались со стороны Accenture. Как отметили LockBit, Entrust в этом смогли существенно превзойти своих предшественников в этом вопросе.
Примечательно, что сайты ALPHV также положили в эти выходные в результате DDoS-атаки. Правда, пока не понятно связанны ли они или нет.
Тем не менее, Entrust не комментирует инцидент. Однако исследователи высказывают мнение, что за атаками может стоять правительство, а само проведение подобных атак считают беспрецедентным.
Несмотря на то, что вряд ли узнаем, кто стоял за этими атаками, выбранная актором тактика противодействия вымогателям более эффективна любых предпринимавшихся ранее мер.
Как мы помним, попытки экономического давления привели лишь к увеличению суммы выкупа.
В целом, ситуация неординарная - будем следить. Продолжение явно следует.
Подконтрольные LockBit DLS на выходных подверглись жесткой DDoS-атаке, в ходе которой от хакеров потребовали удалить эксфильтрованные данные Entrust.
Совсем недавно мы сообщали, что LockBit взял на себя ответственность за атаку и анонсировали безальтернативную утечку данных вопреки своей тактике распределенного по времени слива.
Утечка состояла из 30 скриншотов данных, предположительно украденных из Entrust, включая юридические документы, маркетинговые таблицы и бухгалтерские данные.
Вскоре после того, как они приступили к публикации, Tor-ресурсы банды стали недоступны, в результате DDoS-атаки, инициированной связанными с Entrust акторами.
К такому выводу хакеры пришли после того, как обнаружили в логах HTTPS-запросов требование удалить соответствующие данные.
Исследователь Cisco Talos Азим Шукуи отметил в Твиттере, что DDoS-атака на серверы LockBit включала 400 запросов в секунду с более чем 1000 серверов.
В ответ на атаку LockBit пообещали загрузить все данные Entrust в формате торрента, что сделает практически невозможным их удаление.
Кроме того, злоумышленники слили все переговоры с Entrust, засветив сумму первоначального выкупа в размере 8 миллионов долларов, позже прайс упал до 6,8 млн.
Оказывается, что ранее сайты DLS уже становились мишенью аналогичных атак, которые тогда предпринимались со стороны Accenture. Как отметили LockBit, Entrust в этом смогли существенно превзойти своих предшественников в этом вопросе.
Примечательно, что сайты ALPHV также положили в эти выходные в результате DDoS-атаки. Правда, пока не понятно связанны ли они или нет.
Тем не менее, Entrust не комментирует инцидент. Однако исследователи высказывают мнение, что за атаками может стоять правительство, а само проведение подобных атак считают беспрецедентным.
Несмотря на то, что вряд ли узнаем, кто стоял за этими атаками, выбранная актором тактика противодействия вымогателям более эффективна любых предпринимавшихся ранее мер.
Как мы помним, попытки экономического давления привели лишь к увеличению суммы выкупа.
В целом, ситуация неординарная - будем следить. Продолжение явно следует.
͏Израильский Университете Бен-Гуриона раскрыл подробности о новой атаке Air-Gap, в ходе которой используется скрытый ультразвуковой канал гироскопа MEMS для эксфильтрации данных из сетей с воздушным зазором.
При этом прием может осуществляться с ближайшего смартфона, которому даже не требуется микрофон для улавливания звуковых волн.
GAIROSCOPE является новейшим дополнением к длинному списку акустических, электромагнитных, оптических и тепловых методов, разработанных Исследовательским центром университета.
Среди последних исследований - разработка механизма, позволяющего преодолевать воздушные зазоры с помощью кабелей SATA.
Экспериментальная вредоносная программа генерирует ультразвуковые тоны на резонансных частотах гироскопа MEMS. Эти неуловимые слуху частоты производят механические микроколебания в гироскопе смартфона, которые можно демодулировать в двоичную информацию.
Как и другие атаки на сети с воздушным зазором, GAIROSCOPE не отличается тем, что опирается на способность злоумышленника взломать целевую среду с помощью таких уловок, как зараженные USB-накопители, водопои или компрометации цепочек поставок для доставки вредоносного ПО.
Но для нового метода также требуется заражение смартфонов в целевой среде мошенническим приложением, которое, в свою очередь.
На следующем этапе атаки злоумышленник злоупотребляет установленным ПО для сбора конфиденциальных данных (например, ключей шифрования, учетных данных и т.д.), кодирует и транслирует информацию в виде скрытых акустических звуковых волн через громкоговоритель машины.
Затем передача обнаруживается зараженным смартфоном, который находится в непосредственной близости и прослушивает встроенный в устройство датчик гироскопа, после чего данные демодулируются, декодируются и передаются злоумышленнику через Интернет по Wi-Fi.
Это стало возможным благодаря явлению, называемому ультразвуковым искажением, которое воздействует на MEMS-гироскопы на резонансных частотах.
Результаты эксперимента показывают, что скрытый канал можно использовать для передачи данных со скоростями 1-8 бит/сек на расстояния 0-600 см, при этом передатчик достигает расстояния 800 см в узких помещениях.
На практике достаточно того, чтобы сотрудник разместил свой гаджет (например,тных, оптических и тепловых методов, разработанных Исследрядом со своей рабочей станцией на столе.
Метод можно использовать для обмена данными, включая короткие тексты, ключи шифрования, пароли или нажатия клавиш.
Динамик, он же гироскоп, на Android и iOS не отображает визуальных подсказок, когда приложение использует его, датчик также доступен из HTML через стандартный JavaScript.
Злоумышленнику может внедрить бэкдор JavaScript на легитимный веб-сайт, который сэмплирует гироскоп, получает скрытые сигналы и извлекает информацию через Интернет.
Чтобы смягчить последствия Gairoscope, организациям необходимо:
- применять политику разделения, чтобы держать смартфоны на расстоянии не менее 800 см от охраняемых зон,
- удалять громкоговорители и звуковые драйверы с оконечных устройств,
- фильтровать ультразвуковые сигналы с помощью брандмауэров,
- глушить скрытый канал, добавляя фоновые шумы к акустический спектр.
При этом прием может осуществляться с ближайшего смартфона, которому даже не требуется микрофон для улавливания звуковых волн.
GAIROSCOPE является новейшим дополнением к длинному списку акустических, электромагнитных, оптических и тепловых методов, разработанных Исследовательским центром университета.
Среди последних исследований - разработка механизма, позволяющего преодолевать воздушные зазоры с помощью кабелей SATA.
Экспериментальная вредоносная программа генерирует ультразвуковые тоны на резонансных частотах гироскопа MEMS. Эти неуловимые слуху частоты производят механические микроколебания в гироскопе смартфона, которые можно демодулировать в двоичную информацию.
Как и другие атаки на сети с воздушным зазором, GAIROSCOPE не отличается тем, что опирается на способность злоумышленника взломать целевую среду с помощью таких уловок, как зараженные USB-накопители, водопои или компрометации цепочек поставок для доставки вредоносного ПО.
Но для нового метода также требуется заражение смартфонов в целевой среде мошенническим приложением, которое, в свою очередь.
На следующем этапе атаки злоумышленник злоупотребляет установленным ПО для сбора конфиденциальных данных (например, ключей шифрования, учетных данных и т.д.), кодирует и транслирует информацию в виде скрытых акустических звуковых волн через громкоговоритель машины.
Затем передача обнаруживается зараженным смартфоном, который находится в непосредственной близости и прослушивает встроенный в устройство датчик гироскопа, после чего данные демодулируются, декодируются и передаются злоумышленнику через Интернет по Wi-Fi.
Это стало возможным благодаря явлению, называемому ультразвуковым искажением, которое воздействует на MEMS-гироскопы на резонансных частотах.
Результаты эксперимента показывают, что скрытый канал можно использовать для передачи данных со скоростями 1-8 бит/сек на расстояния 0-600 см, при этом передатчик достигает расстояния 800 см в узких помещениях.
На практике достаточно того, чтобы сотрудник разместил свой гаджет (например,тных, оптических и тепловых методов, разработанных Исследрядом со своей рабочей станцией на столе.
Метод можно использовать для обмена данными, включая короткие тексты, ключи шифрования, пароли или нажатия клавиш.
Динамик, он же гироскоп, на Android и iOS не отображает визуальных подсказок, когда приложение использует его, датчик также доступен из HTML через стандартный JavaScript.
Злоумышленнику может внедрить бэкдор JavaScript на легитимный веб-сайт, который сэмплирует гироскоп, получает скрытые сигналы и извлекает информацию через Интернет.
Чтобы смягчить последствия Gairoscope, организациям необходимо:
- применять политику разделения, чтобы держать смартфоны на расстоянии не менее 800 см от охраняемых зон,
- удалять громкоговорители и звуковые драйверы с оконечных устройств,
- фильтровать ультразвуковые сигналы с помощью брандмауэров,
- глушить скрытый канал, добавляя фоновые шумы к акустический спектр.
͏Оказывается, что помимо GAIROSCOPE, ресерчеры Университета Бен-Гуриона в Негеве в Израиле открыли о другой эволюционный метод для извлечения данных из систем с воздушным зазором с использованием светодиодов.
Новая атака получила название ETHERLED и основана на светодиодах, подключенных к интегрированному контроллеру сетевого интерфейса NIC.
Сценарий атаки предполагает, что злоумышленнику каким-то образом удалось получить доступ к целевому устройству с воздушным зазором.
После чего внедрить часть вредоносного ПО, которое собирает конфиденциальные данные и использует скрытый канал для эксфильтрации.
Передавать конфиденциальную информацию можно путем их кодирования и модуляции с помощью оптических сигналов, которые основаны на шаблонах или частоте мигания светодиодов Ethernet.
NIC обычно имеет два светодиода: светодиод активности, который обычно светится зеленым, и светодиод состояния, который меняет цвет с зеленого на желтый в зависимости от скорости соединения.
Существует несколько методов, которые можно использовать для управления этими светодиодами, в том числе с помощью кода, который запускается как драйвер ядра или встроенное ПО сетевой карты.
Злоумышленник также может управлять индикатором состояния канала, используя команды OS для изменения скорости канала Ethernet-контроллера.
Для передачи данных злоумышленник может использовать несколько типов модуляции, в том числе on-off keying (OOK), частоту мигания и цветовую модуляцию.
Когда используется модуляция OOK, бит «0» передается, если светодиод выключен, и бит «1» передается, если светодиод включен. Когда используется вариант частоты мигания, мигание светодиода с определенной частотой означает «0», а с другой частотой — «1».
Кроме того, каждый цвет светодиода можно использовать для кодирования другого бита — например, зеленый — это «1», а желтый — «0».
Передаваемые данные могут быть записаны с помощью различных типов камер на расстоянии от 10 до 100 метров. Камера Samsung Galaxy, к примеру, может использоваться на расстоянии до 30 метров.
Что касается того, насколько быстро данные могут быть извлечены, это зависит от типа используемой модуляции и метода, используемого для управления светодиодами: от 1 бит/сек до 100 бит/сек (если используется метод управления драйвером/прошивкой)
Если управление драйвером/прошивкой использует два цвета светодиодов, пароль может быть извлечен всего за одну секунду, а закрытый биткойн-ключ — за 2,5 секунды. Текстовый файл размером 1 Кб можно украсть менее чем за две минуты.
Такие вот фокусы.
Новая атака получила название ETHERLED и основана на светодиодах, подключенных к интегрированному контроллеру сетевого интерфейса NIC.
Сценарий атаки предполагает, что злоумышленнику каким-то образом удалось получить доступ к целевому устройству с воздушным зазором.
После чего внедрить часть вредоносного ПО, которое собирает конфиденциальные данные и использует скрытый канал для эксфильтрации.
Передавать конфиденциальную информацию можно путем их кодирования и модуляции с помощью оптических сигналов, которые основаны на шаблонах или частоте мигания светодиодов Ethernet.
NIC обычно имеет два светодиода: светодиод активности, который обычно светится зеленым, и светодиод состояния, который меняет цвет с зеленого на желтый в зависимости от скорости соединения.
Существует несколько методов, которые можно использовать для управления этими светодиодами, в том числе с помощью кода, который запускается как драйвер ядра или встроенное ПО сетевой карты.
Злоумышленник также может управлять индикатором состояния канала, используя команды OS для изменения скорости канала Ethernet-контроллера.
Для передачи данных злоумышленник может использовать несколько типов модуляции, в том числе on-off keying (OOK), частоту мигания и цветовую модуляцию.
Когда используется модуляция OOK, бит «0» передается, если светодиод выключен, и бит «1» передается, если светодиод включен. Когда используется вариант частоты мигания, мигание светодиода с определенной частотой означает «0», а с другой частотой — «1».
Кроме того, каждый цвет светодиода можно использовать для кодирования другого бита — например, зеленый — это «1», а желтый — «0».
Передаваемые данные могут быть записаны с помощью различных типов камер на расстоянии от 10 до 100 метров. Камера Samsung Galaxy, к примеру, может использоваться на расстоянии до 30 метров.
Что касается того, насколько быстро данные могут быть извлечены, это зависит от типа используемой модуляции и метода, используемого для управления светодиодами: от 1 бит/сек до 100 бит/сек (если используется метод управления драйвером/прошивкой)
Если управление драйвером/прошивкой использует два цвета светодиодов, пароль может быть извлечен всего за одну секунду, а закрытый биткойн-ключ — за 2,5 секунды. Текстовый файл размером 1 Кб можно украсть менее чем за две минуты.
Такие вот фокусы.
͏Встречайте, Donut Leaks!
Хотя заочно читатели нашего канала уже с ними знакомы.
Новая группа вымогателей, как выяснилось, была связана с недавними ransomware-атаками на греческую газовую компанию DESFA, британскую архитектурную фирму Sheppard Robson и международную строительный конгломерат Sando.
Мы уже сообщали, что ответственность за нападение на DESFA взяли на себя Ragnar Locker, представившие публике скриншоты якобы украденных данных, а в прошлом месяце Hive Ransomware заявила, что атаковала Sando, публиковав лишь небольшой архив файлов в качестве пруфа.
Ранее в этом месяце Sheppard Robson сообщила об атаке с использованием ransomware, но так и не предоставив подробностей инцидента.
Как ни странно, данные об этих жертвах теперь представлены на DLS данных ранее неизвестных Donut Leaks.
При этом анонсированные ими данные гораздо более обширны, нежели взявших на себя ответственность за атаки их коллег.
Donut Leaks заявили о себе сразу после кражи данных, отправив по электронной почте URL-адреса своих сайтов в Tor деловым партнерам и сотрудникам жертвы.
Ресурсы включают сайт утечки и сайт хранения данных, который позволяет посетителям просматривать и загружать все украденные данные.
DLS к настоящему времени содержит упоминания пяти жертв, причем все содержат общее описание компании и ссылку на их украденные данные, кроме одной, в отношении которой хакеры слили фото с вечеринки с нелицеприятными высказываниями в адрес компании.
При этом на сервере хранилища данных размещается около 2,8 ТБ от десяти жертв.
Пока неизвестно шифруют ли Donut Leaks своих жертв, но поведение жертв все же указывают на это.
Ресерчеры предполагают, что стоящий за Donut Leaks актор скорее всего является оператором Hive, Ragnar Locker и, возможно, других Ransomware-as-a-Service.
Ситуация наглядно показывает, что украденные данные, как правило, попадают в руки нескольких групп, каждая из которых пытается использует свои собственные методы вымогательства и монетизации.
Поэтому вполне уместно, что даже «нескупой» будет вынужден платить дважды, а может и трижды.
Хотя заочно читатели нашего канала уже с ними знакомы.
Новая группа вымогателей, как выяснилось, была связана с недавними ransomware-атаками на греческую газовую компанию DESFA, британскую архитектурную фирму Sheppard Robson и международную строительный конгломерат Sando.
Мы уже сообщали, что ответственность за нападение на DESFA взяли на себя Ragnar Locker, представившие публике скриншоты якобы украденных данных, а в прошлом месяце Hive Ransomware заявила, что атаковала Sando, публиковав лишь небольшой архив файлов в качестве пруфа.
Ранее в этом месяце Sheppard Robson сообщила об атаке с использованием ransomware, но так и не предоставив подробностей инцидента.
Как ни странно, данные об этих жертвах теперь представлены на DLS данных ранее неизвестных Donut Leaks.
При этом анонсированные ими данные гораздо более обширны, нежели взявших на себя ответственность за атаки их коллег.
Donut Leaks заявили о себе сразу после кражи данных, отправив по электронной почте URL-адреса своих сайтов в Tor деловым партнерам и сотрудникам жертвы.
Ресурсы включают сайт утечки и сайт хранения данных, который позволяет посетителям просматривать и загружать все украденные данные.
DLS к настоящему времени содержит упоминания пяти жертв, причем все содержат общее описание компании и ссылку на их украденные данные, кроме одной, в отношении которой хакеры слили фото с вечеринки с нелицеприятными высказываниями в адрес компании.
При этом на сервере хранилища данных размещается около 2,8 ТБ от десяти жертв.
Пока неизвестно шифруют ли Donut Leaks своих жертв, но поведение жертв все же указывают на это.
Ресерчеры предполагают, что стоящий за Donut Leaks актор скорее всего является оператором Hive, Ragnar Locker и, возможно, других Ransomware-as-a-Service.
Ситуация наглядно показывает, что украденные данные, как правило, попадают в руки нескольких групп, каждая из которых пытается использует свои собственные методы вымогательства и монетизации.
Поэтому вполне уместно, что даже «нескупой» будет вынужден платить дважды, а может и трижды.