Специалисты из SentinelOne вместе с Checkmarx провели расследование, в результате которого стало известно, кто причастен к фишинговой кампании по компрометации пакетов PyPI.
Специалисты выяснили, что за атаками стоят операторы JuiceLedger, которые активно атаковали пользователей и успешно «отравили» как минимум два легитимных пакета PyPI вредоносным программным обеспечением.
Группировка новая и, по мнению экспертов, появилась в начале 2022 года.
Как сообщается, изначально JuiceLedger использовали мошеннические приложения-установщики Python для доставки вредоносного ПО на основе .NET под названием JuiceStealer.
Малварь предназначалась для сбора паролей и других конфиденциальных данных из веб-браузеров жертв. В прошлом месяце масштаб атак значительно вырос, когда участники JuiceLedger нацелились на цепочку поставок пакетов PyPi.
Причем этот вектор, использовался параллельно с более ранним методом заражения JuiceLedger, поскольку аналогичные полезные нагрузки доставлялись примерно в то же время через фейковые ресурсы приложений для торговли криптовалютой.
Чтобы смягчить воздействие этих атак в PyPI заявили, что активно изучают отчеты о вредоносных пакетах и уже устранили несколько сотен ошибок.
Кроме того, PyPI начал вводить требование обязательной двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими».
Практика крайне не приятная и учитывая широкое использование PyPI, а также других пакетов с открытым исходным кодом в корпоративных средах, атаки, подобные этим, вызывают беспокойство.
В связи с чем, группам безопасности настоятельно рекомендуется проверять предоставленные индикаторы и принимать соответствующие меры по смягчению последствий.
Специалисты выяснили, что за атаками стоят операторы JuiceLedger, которые активно атаковали пользователей и успешно «отравили» как минимум два легитимных пакета PyPI вредоносным программным обеспечением.
Группировка новая и, по мнению экспертов, появилась в начале 2022 года.
Как сообщается, изначально JuiceLedger использовали мошеннические приложения-установщики Python для доставки вредоносного ПО на основе .NET под названием JuiceStealer.
Малварь предназначалась для сбора паролей и других конфиденциальных данных из веб-браузеров жертв. В прошлом месяце масштаб атак значительно вырос, когда участники JuiceLedger нацелились на цепочку поставок пакетов PyPi.
Причем этот вектор, использовался параллельно с более ранним методом заражения JuiceLedger, поскольку аналогичные полезные нагрузки доставлялись примерно в то же время через фейковые ресурсы приложений для торговли криптовалютой.
Чтобы смягчить воздействие этих атак в PyPI заявили, что активно изучают отчеты о вредоносных пакетах и уже устранили несколько сотен ошибок.
Кроме того, PyPI начал вводить требование обязательной двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими».
Практика крайне не приятная и учитывая широкое использование PyPI, а также других пакетов с открытым исходным кодом в корпоративных средах, атаки, подобные этим, вызывают беспокойство.
В связи с чем, группам безопасности настоятельно рекомендуется проверять предоставленные индикаторы и принимать соответствующие меры по смягчению последствий.
SentinelOne
PyPI Phishing Campaign | JuiceLedger Threat Actor Pivots From Fake Apps to Supply Chain Attacks
A new threat actor is spreading infostealer malware through targeted attacks on developers and fraudulent cryptotrading applications.
Исходники CodeRAT утекли на GitHub и случилось это во многом благодаря ресерчерам SafeBreach после попытки установить контакт с разработчиком вредоносного ПО, которое использовалось в атаках.
Автор, как предположили исследователи, базируется в Иране. Малварь была нацелена на разработчиков ПО, знающих фарси. В кампании использовался документ Word с эксплойтом Microsoft Dynamic Data Exchange (DDE).
Эксплойт загружал и запускал CodeRAT из репозитория GitHub злоумышленника, предоставляя удаленному оператору широкий спектр возможностей после заражения.
В частности, CodeRAT поддерживает около 50 команд, включая создание снимков экрана, копирование содержимого буфера обмена, получение списка запущенных процессов, завершение процессов, проверку использования графического процессора, загрузку, загрузку, удаление файлов, выполнение программ.
Кроме того, обладает обширными возможностями мониторинга веб-почты, документов Microsoft Office, баз данных, платформ социальных сетей, интегрированной среды разработки (IDE) для Windows Android и даже отдельных веб-сайтов, таких как PayPal.
Вредоносное ПО также шпионит за конфиденциальными окнами Visual Studio, Python, PhpStorm и Verilog.
Для связи с оператором и эксфильтрации украденных данных CodeRAT использует механизм на базе Telegram, который опирается на общедоступный API загрузки анонимных файлов вместо распространенной инфраструктуры С2.
В случае блокировки мессенджера в сегменте жертвы, CodeRAT предлагает функциональность антифильтрации, которая устанавливает отдельный канал маршрутизации запросов, который может помочь обойти блокировки.
Злоумышленник может генерировать команды с помощью инструмента пользовательского интерфейса также в ручном режиме (включая опцию USB) и через локально сохраненные команды (в папке «myPictures»).
Автор утверждает, что вредоносное ПО может сохраняться между перезагрузками без внесения каких-либо изменений в реестр Windows, но SafeBreach не предоставляет никаких подробностей об этой функции.
CodeRAT обладает мощным функционалом, который, по всей видимости, получит вторую жизнь после обнародования исходного кода и будет упакован уже в новые «продукты».
Автор, как предположили исследователи, базируется в Иране. Малварь была нацелена на разработчиков ПО, знающих фарси. В кампании использовался документ Word с эксплойтом Microsoft Dynamic Data Exchange (DDE).
Эксплойт загружал и запускал CodeRAT из репозитория GitHub злоумышленника, предоставляя удаленному оператору широкий спектр возможностей после заражения.
В частности, CodeRAT поддерживает около 50 команд, включая создание снимков экрана, копирование содержимого буфера обмена, получение списка запущенных процессов, завершение процессов, проверку использования графического процессора, загрузку, загрузку, удаление файлов, выполнение программ.
Кроме того, обладает обширными возможностями мониторинга веб-почты, документов Microsoft Office, баз данных, платформ социальных сетей, интегрированной среды разработки (IDE) для Windows Android и даже отдельных веб-сайтов, таких как PayPal.
Вредоносное ПО также шпионит за конфиденциальными окнами Visual Studio, Python, PhpStorm и Verilog.
Для связи с оператором и эксфильтрации украденных данных CodeRAT использует механизм на базе Telegram, который опирается на общедоступный API загрузки анонимных файлов вместо распространенной инфраструктуры С2.
В случае блокировки мессенджера в сегменте жертвы, CodeRAT предлагает функциональность антифильтрации, которая устанавливает отдельный канал маршрутизации запросов, который может помочь обойти блокировки.
Злоумышленник может генерировать команды с помощью инструмента пользовательского интерфейса также в ручном режиме (включая опцию USB) и через локально сохраненные команды (в папке «myPictures»).
Автор утверждает, что вредоносное ПО может сохраняться между перезагрузками без внесения каких-либо изменений в реестр Windows, но SafeBreach не предоставляет никаких подробностей об этой функции.
CodeRAT обладает мощным функционалом, который, по всей видимости, получит вторую жизнь после обнародования исходного кода и будет упакован уже в новые «продукты».
SafeBreach
SafeBreach Uncovers New Remote Access Trojan (RAT)
Dubbed CodeRAT, the new RAT is used in attacks targeting Farsi-speaking code developers using a Microsoft Dynamic Data Exchange (DDE) exploit.
QNAP предупреждает клиентов сетевых хранилищ NAS о начавшихся с субботы активных атаках ransomware DeadBolt с использованием 0-day в Photo Station.
Компания выпустила новый информационный бюллетень и призывает всех пользователей NAS с выходом в Интернет обновиться до последней версии Photo Station.
Исправления для 0-day вышли через 12 часов с начала атак.
Проблема решена для следующих версий (и более поздних): QTS 5.0.1: Photo Station 6.1.2; QTS 5.0.0/4.5.x: Photo Station 6.0.22; QTS 4.3.6: Photo Station 5.7.18; QTS 4.3.3: Photo Station 5.4.15; QTS 4.2.6: Photo Station 5.2.14.
Кроме того, в качестве альтернативы QNAP предлагает пользователям заменить Photo Station на более безопасный инструмент QuMagie, предназначенный для управления хранилищем фотографий для устройств QNAP NAS.
Технические детали уязвимости на данный момент не разглашаются.
Производитель настаивал и продолжает настаивать на том, чтотень и призыване подключались напрямую к Интернету, рекомендуя пользователям использовать myQNAPcloud Link или подключить VPN.
Также следует отключить переадресацию портов на маршрутизаторах, запретить доступ к устройствам NAS в Интернете, обновить прошивку, применять надежные пароли для учетных записей пользователей и регулярно делать резервные копии.
Буде м считать, что в четвертом раунде начавшегося с января 2022 года противостояния QNAP с вымогателями победу одержал производитель.
Однако, принимая во внимание методичность хакеров - поединок продолжится.
Будем посмотреть.
Компания выпустила новый информационный бюллетень и призывает всех пользователей NAS с выходом в Интернет обновиться до последней версии Photo Station.
Исправления для 0-day вышли через 12 часов с начала атак.
Проблема решена для следующих версий (и более поздних): QTS 5.0.1: Photo Station 6.1.2; QTS 5.0.0/4.5.x: Photo Station 6.0.22; QTS 4.3.6: Photo Station 5.7.18; QTS 4.3.3: Photo Station 5.4.15; QTS 4.2.6: Photo Station 5.2.14.
Кроме того, в качестве альтернативы QNAP предлагает пользователям заменить Photo Station на более безопасный инструмент QuMagie, предназначенный для управления хранилищем фотографий для устройств QNAP NAS.
Технические детали уязвимости на данный момент не разглашаются.
Производитель настаивал и продолжает настаивать на том, чтотень и призыване подключались напрямую к Интернету, рекомендуя пользователям использовать myQNAPcloud Link или подключить VPN.
Также следует отключить переадресацию портов на маршрутизаторах, запретить доступ к устройствам NAS в Интернете, обновить прошивку, применять надежные пароли для учетных записей пользователей и регулярно делать резервные копии.
Буде м считать, что в четвертом раунде начавшегося с января 2022 года противостояния QNAP с вымогателями победу одержал производитель.
Однако, принимая во внимание методичность хакеров - поединок продолжится.
Будем посмотреть.
QNAP Systems, Inc. - Network Attached Storage (NAS)
DeadBolt Ransomware - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
͏Lockbit ransomware обрушили IT-инфраструктуру старейшего города-коммуны Гориция в итальянском регионе Фриули-Венеция-Джулия на границе со Словенией, административного центра одноимённой провинции. Первые упоминания датируются 1001 годом. Видимо, и местная ИБ пришла с тех же самых времен.
Серьезный удар вымогатели также нанесли и по Бразилии.
LockBit добавила интегрированную бразильскую энергетическую компанию на свой DLS.
Пострадавшая Eneva SA работает в секторах разведки и добычи нефти и природного газа, а также выступает в качестве поставщика энергоносителей конечным потребителям на внутреннем рынке.
При этом Eneva покрывает до 38% всей добычи природного газа в Бразилии, что делает ее крупнейшим частным газооператором.
Примерно в это же время RansomEXX атаковали Национальный фонд развития образования Бразилии (FNDE).
62,14 ГБ эксфильтрованных в результате атаки данных висят на DLS группы. Учреждение связано с Минобром республики, обеспечивает финансирование и координацию федеральных структур по вопросам образования.
Серьезный удар вымогатели также нанесли и по Бразилии.
LockBit добавила интегрированную бразильскую энергетическую компанию на свой DLS.
Пострадавшая Eneva SA работает в секторах разведки и добычи нефти и природного газа, а также выступает в качестве поставщика энергоносителей конечным потребителям на внутреннем рынке.
При этом Eneva покрывает до 38% всей добычи природного газа в Бразилии, что делает ее крупнейшим частным газооператором.
Примерно в это же время RansomEXX атаковали Национальный фонд развития образования Бразилии (FNDE).
62,14 ГБ эксфильтрованных в результате атаки данных висят на DLS группы. Учреждение связано с Минобром республики, обеспечивает финансирование и координацию федеральных структур по вопросам образования.
Хакеры из Open Hands сообщили о взломе личного телефона главы Моссада Дэвида Барнеа и в качестве доказательств разместили фотографии с его недавнего похода к стоматологу, посоветовав ему «чистить зубы два раза в день».
Ранее, предположительно, связанная с Ираном группа демонстрировала целый массив личных документов главы израильской спецслужбы, фотографии дома и семейный фотоархив.
Open Hands смонтировали и представили целый видеоролик из документов, который стали их достоянием в результате длительной целевой шпионской кампании, начиная с 2014 года.
В паблик утекли даже билеты на самолёт и неучтенная недвижимость.
Официальные лица Израиля заявили, что опубликованные материалы утратили свою актуальность и были получены из других источников, но не с телефона. Именно так снимки зубов Барнеа тоже попали в сеть.
Неясно, был ли в реальности взломан телефон или прочие гаджеты главы Моссада, но представленные Open Hands пруфы сомнений не вызывают.
К тому же, администраторы сливного канала в телеге обещают новые утечки.
Впрочем, если вспомнить недавние киберинциденты на объектах транспорта и энергетики Ирана, то становится очевидным, что шутка с заменой номера горячей линии на принадлежащий офису верховного лидера страны - по всей видимости, вышла атакующим боком.
Но будем посмотреть.
Ранее, предположительно, связанная с Ираном группа демонстрировала целый массив личных документов главы израильской спецслужбы, фотографии дома и семейный фотоархив.
Open Hands смонтировали и представили целый видеоролик из документов, который стали их достоянием в результате длительной целевой шпионской кампании, начиная с 2014 года.
В паблик утекли даже билеты на самолёт и неучтенная недвижимость.
Официальные лица Израиля заявили, что опубликованные материалы утратили свою актуальность и были получены из других источников, но не с телефона. Именно так снимки зубов Барнеа тоже попали в сеть.
Неясно, был ли в реальности взломан телефон или прочие гаджеты главы Моссада, но представленные Open Hands пруфы сомнений не вызывают.
К тому же, администраторы сливного канала в телеге обещают новые утечки.
Впрочем, если вспомнить недавние киберинциденты на объектах транспорта и энергетики Ирана, то становится очевидным, что шутка с заменой номера горячей линии на принадлежащий офису верховного лидера страны - по всей видимости, вышла атакующим боком.
Но будем посмотреть.
וואלה
ההאקרים שפרצו לטלפון של ראש המוסד הדליפו תמונות מ"טיפול שיניים" שלו: "לצחצח פעמיים ביום" - וואלה חדשות
הקבוצה "Open Hands", שככל הנראה קשורה לאיראן, הפיצה מידע אישי לכאורה מהטלפון של ברנע, עם "טיפ בריאותי". בחודשים האחרונים פרסמו ההאקרים גם מסמכי מס, צילום לוויין של ביתו ותמונות משפחתיות
Forwarded from Social Engineering
👺 Оттенки красного. Роли Red Team.
• Учитывайте информацию: Ключевые роли, количество человек (состав тимы), различные особенности и эффективность, зависит от многих факторов. Например от ограниченного бюджета или сложности проекта. Описанные ниже роли весьма условны и многие специалисты тесно переплетаются между собой. Перечислю ключевые (на мой взгляд) роли Red Team:
1. Руководитель проекта. Отвечает за планирование, стратегию, решение различных и спорных вопросов, отвечает за взаимодействие между ключевыми фигурами в компании. Руководителем может быть любой член команды в пределах одного проекта.
2. Разработка. Написание различных инструментов под определенные нужды тимы. Перечислю несколько основных характеристик, которыми должен обладать разработчик команды:
• Понимание принципов работы основных защитных решений.
• Опыт разработки средств эксплуатации.
• Скорость разработки MVP (minimal viable product).
3. Социальная Инженерия. Роль включает в себя огромное кол-во пунктов, начиная от фишинга и заканчивая физическим проникновением на территорию организации, с целью получить необходимую информацию, установкой различных инструментов для продвижения и т.д.
4. Исследователь уязвимостей. Эксперт, который умеет эффективно находить уязвимости в выделенных доменах: мобильных, десктопных, веб-приложениях и т.д.
5. DevOps. Должен отвечать за инфраструктуру тимы. Например, поддержание работы С2-серверов или работы серверов для рассылки фишинга.
6. Аналитик. Проводит анализ полученных данных во время проведения операции, дает рекомендации и указывает на недостатки которые были обнаруженные во время проведения работ. Взаимодействует с Blue Team.
7. Penetration Testing. Навык, который должен быть у каждого члена команды, включая аналитика. Каждый из участников должен уметь «ломать» любую рабочую станцию на сервисе вроде HTB.
8. Training. Навык обучения крайне важен, так как основной целью Red Team является повышение эффективности работы Blue Team. Для реализации качественного процесса обучения, требуется четко понимать проблемы синей команды и уметь правильно предоставить необходимую информацию, которая формируется на основе полученных данных от Red Team.
📌 Обязательно ознакомься со следующим материалом:
Информационная безопасность. Функционал и отличия команд.
5 Мифов о Red Teaming.
Red/Blue Team – детальный обзор.
Как хакеры врываются в энергосистему США.
Проект Red Team: организация, управление, скоуп.
Red Team: командное взаимодействие при проведении тестирования на проникновение.
Твой S.E. #Red_Team #Blue_Team #ИБ
🖖🏻 Приветствую тебя user_name.
• Как уже понятно из названия поста, сегодня мы поговорим о составе Red Team. Возможно не самая полезная тема, но мне хотелось бы добавить данную статью к общему списку касательно #Red_Team + новичкам будет полезно.• Учитывайте информацию: Ключевые роли, количество человек (состав тимы), различные особенности и эффективность, зависит от многих факторов. Например от ограниченного бюджета или сложности проекта. Описанные ниже роли весьма условны и многие специалисты тесно переплетаются между собой. Перечислю ключевые (на мой взгляд) роли Red Team:
1. Руководитель проекта. Отвечает за планирование, стратегию, решение различных и спорных вопросов, отвечает за взаимодействие между ключевыми фигурами в компании. Руководителем может быть любой член команды в пределах одного проекта.
2. Разработка. Написание различных инструментов под определенные нужды тимы. Перечислю несколько основных характеристик, которыми должен обладать разработчик команды:
• Понимание принципов работы основных защитных решений.
• Опыт разработки средств эксплуатации.
• Скорость разработки MVP (minimal viable product).
3. Социальная Инженерия. Роль включает в себя огромное кол-во пунктов, начиная от фишинга и заканчивая физическим проникновением на территорию организации, с целью получить необходимую информацию, установкой различных инструментов для продвижения и т.д.
4. Исследователь уязвимостей. Эксперт, который умеет эффективно находить уязвимости в выделенных доменах: мобильных, десктопных, веб-приложениях и т.д.
5. DevOps. Должен отвечать за инфраструктуру тимы. Например, поддержание работы С2-серверов или работы серверов для рассылки фишинга.
6. Аналитик. Проводит анализ полученных данных во время проведения операции, дает рекомендации и указывает на недостатки которые были обнаруженные во время проведения работ. Взаимодействует с Blue Team.
7. Penetration Testing. Навык, который должен быть у каждого члена команды, включая аналитика. Каждый из участников должен уметь «ломать» любую рабочую станцию на сервисе вроде HTB.
8. Training. Навык обучения крайне важен, так как основной целью Red Team является повышение эффективности работы Blue Team. Для реализации качественного процесса обучения, требуется четко понимать проблемы синей команды и уметь правильно предоставить необходимую информацию, которая формируется на основе полученных данных от Red Team.
📌 Обязательно ознакомься со следующим материалом:
Информационная безопасность. Функционал и отличия команд.
5 Мифов о Red Teaming.
Red/Blue Team – детальный обзор.
Как хакеры врываются в энергосистему США.
Проект Red Team: организация, управление, скоуп.
Red Team: командное взаимодействие при проведении тестирования на проникновение.
Твой S.E. #Red_Team #Blue_Team #ИБ
Исторически притеснение уйгуров в Китае на фоне этнических и религиозных разногласий продолжается уже не один десяток лет и, очевидно, в нынешних условиях дело докатилось до "современных" методов воздействия.
На днях исследователи обнаружили новую кампанию шпионского ПО для Android, нацеленную на уйгурское меньшинство в КНР.
Ранее неизвестная разновидность шпионского ПО для Android с широкими возможностями по сбору информации была обнаружена под видом книги, которая, вероятно, предназначалась для уйгурского сообщества в Китае.
Малварь распространялась под видом издания с названием The Trap of China’s Freedom ("Ловушка свободы Китая»), написанного изгнанным уйгурским лидером Долкуном Исой.
Распространяемое за пределами официального магазина Google Play, приложение после установки и открытия отображает несколько страниц книги, включая титульный лист и введение.
Однако на самом деле вредоносный APK-файл предназначен для кражи информации об устройстве, перехвата SMS-сообщений, контактов и журналов вызовов, а также способен делать снимки с камеры зараженного устройства и захватывать его экран.
Образцы вредоносных программ, поставляемых с именем пакета com.emc.pdf были впервые раскрыты исследователями из MalwareHunterTeam в конце прошлого месяца.
А на днях свой анализ инцидента обнародовала компания по кибербезопасности Cyble в отчете, которой достаточно предметно описывается использование конфликтной ситуации к распространению вредоносного ПО в целевом сообществе.
На днях исследователи обнаружили новую кампанию шпионского ПО для Android, нацеленную на уйгурское меньшинство в КНР.
Ранее неизвестная разновидность шпионского ПО для Android с широкими возможностями по сбору информации была обнаружена под видом книги, которая, вероятно, предназначалась для уйгурского сообщества в Китае.
Малварь распространялась под видом издания с названием The Trap of China’s Freedom ("Ловушка свободы Китая»), написанного изгнанным уйгурским лидером Долкуном Исой.
Распространяемое за пределами официального магазина Google Play, приложение после установки и открытия отображает несколько страниц книги, включая титульный лист и введение.
Однако на самом деле вредоносный APK-файл предназначен для кражи информации об устройстве, перехвата SMS-сообщений, контактов и журналов вызовов, а также способен делать снимки с камеры зараженного устройства и захватывать его экран.
Образцы вредоносных программ, поставляемых с именем пакета com.emc.pdf были впервые раскрыты исследователями из MalwareHunterTeam в конце прошлого месяца.
А на днях свой анализ инцидента обнародовала компания по кибербезопасности Cyble в отчете, которой достаточно предметно описывается использование конфликтной ситуации к распространению вредоносного ПО в целевом сообществе.
Производитель сетевых устройств Zyxel выпустила новую прошивку для NAS с исправлением критической RCE-уязвимости.
Ошибка затрагивает три модели Network Attached Storage (NAS326, NAS540 и NAS542) и отслеживается как CVE-2022-34747 с оценкой CVSS v3 9,8. Уязвимы следующие версии встроенного ПО(и более ранние): V5.21(AAZF.11)C0, V5.21(AATB.8)C0 и V5.21(AATB.8)C0.
Технические детали пока не раскрываются, но известно, что уязвимость строки формата, которая может позволить злоумышленнику добиться несанкционированного удаленного выполнения кода с помощью созданного UDP-пакета.
Ошибка была обнаружена исследователем Ильей Шапошниковым еще в июне 2022 года, после чего Zyxel последовательно выпускала обновления для уязвимых моделей.
Выявленные недостатки допускают множество различных сценариев атак, в том числе обход необходимости аутентификации пользователя, повышения привилегий или любых других ограничивающих условий.
Уязвимость может быть использована для кражи данных, удаления данных или развертывания ransomware на устройствах NAS, доступных в Интернете. Буквально вчера мы уже писали про новую волну атак DeadBolt на QNAP NAS.
Всем владельцам Zyxel NAS настоятельно рекомендуем посетить официальный портал и не пожалеть времени на применение обновлений.
Ошибка затрагивает три модели Network Attached Storage (NAS326, NAS540 и NAS542) и отслеживается как CVE-2022-34747 с оценкой CVSS v3 9,8. Уязвимы следующие версии встроенного ПО(и более ранние): V5.21(AAZF.11)C0, V5.21(AATB.8)C0 и V5.21(AATB.8)C0.
Технические детали пока не раскрываются, но известно, что уязвимость строки формата, которая может позволить злоумышленнику добиться несанкционированного удаленного выполнения кода с помощью созданного UDP-пакета.
Ошибка была обнаружена исследователем Ильей Шапошниковым еще в июне 2022 года, после чего Zyxel последовательно выпускала обновления для уязвимых моделей.
Выявленные недостатки допускают множество различных сценариев атак, в том числе обход необходимости аутентификации пользователя, повышения привилегий или любых других ограничивающих условий.
Уязвимость может быть использована для кражи данных, удаления данных или развертывания ransomware на устройствах NAS, доступных в Интернете. Буквально вчера мы уже писали про новую волну атак DeadBolt на QNAP NAS.
Всем владельцам Zyxel NAS настоятельно рекомендуем посетить официальный портал и не пожалеть времени на применение обновлений.
͏Система бронирования и онлайн-сервисы крупнейшего гостиничного оператора InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) вышли из строя после разрушительной кибератаки и взлома сети.
IHG — британская международная компания, в управлении которой находится более 6 тысяч отелей в более чем 100 странах и более 1 800 объектов находятся в стадии строительства.
Конгломерату принадлежат такие премиальные гостиничные бренды как InterContinental, Regent, Six Senses, Crowne Plaza, Holiday Inn и многие другие.
Компания признала инцидент, сделав соответствующее заявление на Лондонской фондовой бирже во вторник.
В настоящее время каналы бронирования IHG и другие приложения отключены, ведутся восстановительные работы и параллельно им расследование. API-интерфейсы также не работают и выдают ошибки HTTP 502 и 503, клиенты не могут авторизоваться в приложениях и на сайте.
Компания не раскрывает никаких подробностей об атаки, которая по всем признакам связана с ransomware. Однако Hudson Rock сообщает, что на данный момент, предварительно, данные не менее 15 сотрудников и более 4000 пользователей IHG скомпрометировано.
По всей видимости, атака может быть связана с недавним инцидентом: в прошлом месяце Lockbit заявила об атаке на один из принадлежащих IHG отелей - Holiday Inn Istanbul Kadıköy.
Будем посмотреть, конечно, но точно можно сказать - гигабайты клиентов сети уже потекли в даркнет или еще куда.
IHG — британская международная компания, в управлении которой находится более 6 тысяч отелей в более чем 100 странах и более 1 800 объектов находятся в стадии строительства.
Конгломерату принадлежат такие премиальные гостиничные бренды как InterContinental, Regent, Six Senses, Crowne Plaza, Holiday Inn и многие другие.
Компания признала инцидент, сделав соответствующее заявление на Лондонской фондовой бирже во вторник.
В настоящее время каналы бронирования IHG и другие приложения отключены, ведутся восстановительные работы и параллельно им расследование. API-интерфейсы также не работают и выдают ошибки HTTP 502 и 503, клиенты не могут авторизоваться в приложениях и на сайте.
Компания не раскрывает никаких подробностей об атаки, которая по всем признакам связана с ransomware. Однако Hudson Rock сообщает, что на данный момент, предварительно, данные не менее 15 сотрудников и более 4000 пользователей IHG скомпрометировано.
По всей видимости, атака может быть связана с недавним инцидентом: в прошлом месяце Lockbit заявила об атаке на один из принадлежащих IHG отелей - Holiday Inn Istanbul Kadıköy.
Будем посмотреть, конечно, но точно можно сказать - гигабайты клиентов сети уже потекли в даркнет или еще куда.
͏Если и говорить об утечках, то непременно следует отметить базу данных граждан Индонезии, которая выставлена на продажу в даркнете.
Файл объемом более 20 ГБ содержит более 105 млн. строк с указанием ФИО, места и даты рождения, пола, национального идентификационного номера и других документальных сведений.
В это же самое время одна из индонезийских компании - Teladan Prima Agro, стала жертвой вымогателей AvosLocker, которые разместили жертву на своем DLS.
Агропромышленная компания имеет плантации и заводы по производству пальмового масла, а также занимается возобновляемыми источниками энергии, имея доход почти в 1,5 млрд. долларов.
AvosLocker обещают слить в сеть солидную порцию конфиденциальных коммерческих данных объемом более 750 ГБ в случае отказа от выплаты выкупа.
Файл объемом более 20 ГБ содержит более 105 млн. строк с указанием ФИО, места и даты рождения, пола, национального идентификационного номера и других документальных сведений.
В это же самое время одна из индонезийских компании - Teladan Prima Agro, стала жертвой вымогателей AvosLocker, которые разместили жертву на своем DLS.
Агропромышленная компания имеет плантации и заводы по производству пальмового масла, а также занимается возобновляемыми источниками энергии, имея доход почти в 1,5 млрд. долларов.
AvosLocker обещают слить в сеть солидную порцию конфиденциальных коммерческих данных объемом более 750 ГБ в случае отказа от выплаты выкупа.
Ресерчеры Unit 42 Palo Alto Network сообщают об активизации MooBot (разновидность ботнета Mirai) в рамках новой волны атак, начавшейся с прошлого месяца и нацеленной на уязвимые маршрутизаторы D-Link с использованием как старых, так и новых эксплойтов.
MooBot был обнаружен исследователями Fortinet в декабре 2021 года.
На тот момент был нацелен на уязвимости в камерах Hikvision для быстрого распространения и включения большего числа устройств для проведения DDoS-атак.
Согласно отчету Palo Alto Network, ботнет в настоящее время ориентирован на критические уязвимости в устройствах D-Link, среди которых: CVE-2015-2051 (ошибка D-Link HNAP SOAPAction, связанная с выполнением команды заголовка), CVE-2018-6530 (RCE-уязвимость интерфейса D-Link SOAP), CVE-2022-26258 и CVE-2022-28958 (уязвимости D-Link, связанные с выполнением удаленных команд).
Вендор выпустил обновления безопасности для устранения всех недостатков, но, к сожалению, не все пользователи смогли применили патчи, особенно последние два, вышедшие в марте и мае этого года.
Операторы MooBot используют уязвимости для достижения RCE на целях и доставки двоичного файла вредоносного ПО с помощью произвольных команд.
После того как вредоносное ПО декодирует жестко запрограммированный адрес из конфигурации, вновь захваченные маршрутизаторы регистрируются на C2 злоумышленника.
При этом, представленные в отчете Unit 42 адреса C2 отличаются от адресов в статье Fortinet, что указывает на обновление злоумышленником инфраструктуры.
В конечном итоге все захваченные маршрутизаторы участвуют в распределенных DDoS-атаках, инициируемых операторами MooBot в качестве возмездных услуг.
Всем проигнорировавшим последние патчи пользователям устройств D-Link следует все же обработаться этим вопросом, нежели стать невольно причастным к массированным DDoS-атакам.
MooBot был обнаружен исследователями Fortinet в декабре 2021 года.
На тот момент был нацелен на уязвимости в камерах Hikvision для быстрого распространения и включения большего числа устройств для проведения DDoS-атак.
Согласно отчету Palo Alto Network, ботнет в настоящее время ориентирован на критические уязвимости в устройствах D-Link, среди которых: CVE-2015-2051 (ошибка D-Link HNAP SOAPAction, связанная с выполнением команды заголовка), CVE-2018-6530 (RCE-уязвимость интерфейса D-Link SOAP), CVE-2022-26258 и CVE-2022-28958 (уязвимости D-Link, связанные с выполнением удаленных команд).
Вендор выпустил обновления безопасности для устранения всех недостатков, но, к сожалению, не все пользователи смогли применили патчи, особенно последние два, вышедшие в марте и мае этого года.
Операторы MooBot используют уязвимости для достижения RCE на целях и доставки двоичного файла вредоносного ПО с помощью произвольных команд.
После того как вредоносное ПО декодирует жестко запрограммированный адрес из конфигурации, вновь захваченные маршрутизаторы регистрируются на C2 злоумышленника.
При этом, представленные в отчете Unit 42 адреса C2 отличаются от адресов в статье Fortinet, что указывает на обновление злоумышленником инфраструктуры.
В конечном итоге все захваченные маршрутизаторы участвуют в распределенных DDoS-атаках, инициируемых операторами MooBot в качестве возмездных услуг.
Всем проигнорировавшим последние патчи пользователям устройств D-Link следует все же обработаться этим вопросом, нежели стать невольно причастным к массированным DDoS-атакам.
Unit 42
Mirai Variant MooBot Targeting D-Link Devices
Attackers are leveraging known vulnerabilities in D-Link devices to deliver MooBot, a Mirai variant, potentially leading to further DDoS attacks.
Бывший менеджер Google Мередит Уиттакер назначена президентом, после учреждения Signal Foundation новой высокой должности.
Уиттакер же должна приступить к своим обязанностям президента 12 сентября. Вновь назначенный руководитель заявила, что будет работать над стратегией Signal Messenger, обеспечением ее финансовой устойчивости и улучшением связей с общественностью.
Если вкратце, Signal Messenger согласно общераспространенной легенде считается одним из самых безопасных приложений для общения с точки зрения конфиденциальности.
Он был разработан в 2014 году американским криптографом Мокси Марлинспайком, который уже с 2010 года находился под колпаком (или на) национальных спецслужб.
Четыре года спустя, в 2018 году, к нему присоединился соучредитель другого мегабезопасного мессенджера WhatsApp Брайан Актон и вместе они учредили Signal Foundation.
В начале этого года Марлинспайк ушел с поста генерального директора, а Эктон исполнял обязанности генерального директора до назначения в руководство Signal Messenger LLC человека из Google.
В общем, это все, что нужно знать о приватности Signal.
Уиттакер же должна приступить к своим обязанностям президента 12 сентября. Вновь назначенный руководитель заявила, что будет работать над стратегией Signal Messenger, обеспечением ее финансовой устойчивости и улучшением связей с общественностью.
Если вкратце, Signal Messenger согласно общераспространенной легенде считается одним из самых безопасных приложений для общения с точки зрения конфиденциальности.
Он был разработан в 2014 году американским криптографом Мокси Марлинспайком, который уже с 2010 года находился под колпаком (или на) национальных спецслужб.
Четыре года спустя, в 2018 году, к нему присоединился соучредитель другого мегабезопасного мессенджера WhatsApp Брайан Актон и вместе они учредили Signal Foundation.
В начале этого года Марлинспайк ушел с поста генерального директора, а Эктон исполнял обязанности генерального директора до назначения в руководство Signal Messenger LLC человека из Google.
В общем, это все, что нужно знать о приватности Signal.
Signal
A Message from Signal's New President
On September 12 I’ll be stepping into the role of Signal’s President, a newposition created in collaboration with Signal’s leadership. I am thrilled, and Ican’t think of a more meaningful use of my time, or a greater honor. I’ve been afriend, admirer, and…
Исследователи ESET сообщают об АРТ, которая реализует шпионские кампании с 2020 года, атакуя правительства и крупные организации, используя комбинацию пользовательских и существующих вредоносных инструментов.
Группа отслеживается ESET как Workok, которые заметили ее, когда та атаковала цели в Африке и на Ближнем Востоке.
Workok нацелен на телекоммуникационные, банковские, морские и энергетические компании, а также на военные, правительственные учреждения и общественные организации.
В конце 2020 года АРТ интересовали телекоммуникационная компания в Восточной Азии, банк в Центральной Азии, судостроительную компанию в Юго-Восточной Азии, государственное учреждение на Ближнем Востоке и частную компанию на юге Африки.
Начиная с февраля 2022 года ESET связывает АРТ с новыми атаками на энергетическую компанию в Центральной Азии и организацию в госсекторе в Юго-Восточной Азии.
Несмотря на то, что группа использовала эксплойты ProxyShell для получения начального доступа к сетям своих жертв, первоначальный вектор доступа остается неизвестным для большинства ее операций.
Как правило, веб-оболочки загружались после использования этих уязвимостей, чтобы обеспечить постоянство в сети жертвы. Затем операторы использовали различные имплантаты для реализации дополнительных возможностей.
Набор вредоносных инструментов Workok включает в себя два загрузчика: загрузчик C++, известный как CLRLoad, и загрузчик C#, получивший название PNGLoad, который помогает злоумышленникам скрывать полезную нагрузку вредоносного ПО в файлах изображений PNG с помощью стеганографии.
ESET также обнаружили новый бэкдор PowerShell, получивший название PowHeartBeat, который заменил CLRLoad в инцидентах, наблюдаемых с февраля 2022 года, в качестве инструмента, предназначенного для запуска PNGLoad на скомпрометированных системах.
PowHeartBeat обладает широким спектром возможностей, включая манипулирование файлами и выполнение команд или процессов, а также загрузку или скачивание файлов на устройства жертв.
Несмотря на то, что время активности и набор инструментов указывают на возможную связь с TA428, ресерчеры все же говорят об этом низкой уверенностью.
Исследователи полагают, что более предметное представление об АРТ можно будет получить лишь путем дальнейшего наблюдения. Ведь даже некоторые из последних полезных нагрузок остаются до конца не изучеными.
Группа отслеживается ESET как Workok, которые заметили ее, когда та атаковала цели в Африке и на Ближнем Востоке.
Workok нацелен на телекоммуникационные, банковские, морские и энергетические компании, а также на военные, правительственные учреждения и общественные организации.
В конце 2020 года АРТ интересовали телекоммуникационная компания в Восточной Азии, банк в Центральной Азии, судостроительную компанию в Юго-Восточной Азии, государственное учреждение на Ближнем Востоке и частную компанию на юге Африки.
Начиная с февраля 2022 года ESET связывает АРТ с новыми атаками на энергетическую компанию в Центральной Азии и организацию в госсекторе в Юго-Восточной Азии.
Несмотря на то, что группа использовала эксплойты ProxyShell для получения начального доступа к сетям своих жертв, первоначальный вектор доступа остается неизвестным для большинства ее операций.
Как правило, веб-оболочки загружались после использования этих уязвимостей, чтобы обеспечить постоянство в сети жертвы. Затем операторы использовали различные имплантаты для реализации дополнительных возможностей.
Набор вредоносных инструментов Workok включает в себя два загрузчика: загрузчик C++, известный как CLRLoad, и загрузчик C#, получивший название PNGLoad, который помогает злоумышленникам скрывать полезную нагрузку вредоносного ПО в файлах изображений PNG с помощью стеганографии.
ESET также обнаружили новый бэкдор PowerShell, получивший название PowHeartBeat, который заменил CLRLoad в инцидентах, наблюдаемых с февраля 2022 года, в качестве инструмента, предназначенного для запуска PNGLoad на скомпрометированных системах.
PowHeartBeat обладает широким спектром возможностей, включая манипулирование файлами и выполнение команд или процессов, а также загрузку или скачивание файлов на устройства жертв.
Несмотря на то, что время активности и набор инструментов указывают на возможную связь с TA428, ресерчеры все же говорят об этом низкой уверенностью.
Исследователи полагают, что более предметное представление об АРТ можно будет получить лишь путем дальнейшего наблюдения. Ведь даже некоторые из последних полезных нагрузок остаются до конца не изучеными.
WeLiveSecurity
Worok: The big picture
ESET Research has uncovered Worok, a new cyberespionage group that targets high-profile organizations based in Asia and operating in various sectors.
Интриги и расследования вокруг киберпротивостояния Ирана и Израиля не утихают.
На днях в Министерстве юстиции Израиля сообщили, что привлекли гражданина, работавшего уборщиком в доме министра обороны Бенни Ганца к трем годам тюремного заключения за попытку шпионажа в пользу хакеров, связанных с Ираном.
Омри Горен Гороховский, 38-летний житель центрального города Лод, работал в доме Ганца в Рош-ха-Аине недалеко от Тель-Авива.
Арест подозреваемого произошел еще в ноябре прошлого года по обвинению в попытке шпионажа в пользу хакерской группировки Black Shadow путем получения и передачи хакерам информации из дома Ганца.
Источники сообщают, что Гороховский заключил сделку со следствием и признал вину.
Однако Агентство внутренней безопасности ШАБАК еще в прошлом году заявило, что Гороховский так и не получил доступа к «секретным материалам» и, следовательно, не смог успешно поделиться государственными секретами.
Более того, он был арестован всего через пару дней после того, как связался с Black Shadow.
Эпичности ситуации добавляет тот факт, что у Гороховского обширная криминальная история, в которой пять судимостей и тюремное заключение за различные преступления, включая ограбление банка, что, мягко говоря, вызывает большие вопросы о том, как его вообще наняли для работы в доме одного из высших должностных лиц Израиля.
Black Shadow обвиняют в многочисленных атаках на инфраструктуру Израиля.
Взломы уже давно рассматриваются в призме многолетнего противостояния между Израилем и Ираном, причем включая как физические атаки на корабли, так и наступательные воздействия в информационном пространстве.
На днях в Министерстве юстиции Израиля сообщили, что привлекли гражданина, работавшего уборщиком в доме министра обороны Бенни Ганца к трем годам тюремного заключения за попытку шпионажа в пользу хакеров, связанных с Ираном.
Омри Горен Гороховский, 38-летний житель центрального города Лод, работал в доме Ганца в Рош-ха-Аине недалеко от Тель-Авива.
Арест подозреваемого произошел еще в ноябре прошлого года по обвинению в попытке шпионажа в пользу хакерской группировки Black Shadow путем получения и передачи хакерам информации из дома Ганца.
Источники сообщают, что Гороховский заключил сделку со следствием и признал вину.
Однако Агентство внутренней безопасности ШАБАК еще в прошлом году заявило, что Гороховский так и не получил доступа к «секретным материалам» и, следовательно, не смог успешно поделиться государственными секретами.
Более того, он был арестован всего через пару дней после того, как связался с Black Shadow.
Эпичности ситуации добавляет тот факт, что у Гороховского обширная криминальная история, в которой пять судимостей и тюремное заключение за различные преступления, включая ограбление банка, что, мягко говоря, вызывает большие вопросы о том, как его вообще наняли для работы в доме одного из высших должностных лиц Израиля.
Black Shadow обвиняют в многочисленных атаках на инфраструктуру Израиля.
Взломы уже давно рассматриваются в призме многолетнего противостояния между Израилем и Ираном, причем включая как физические атаки на корабли, так и наступательные воздействия в информационном пространстве.
The Times of Israel
House cleaner sentenced to 3 years for snooping on Gantz for Iranian hackers
Omri Goren agrees to plea deal saying he passed on information to an enemy entity; original espionage charges dropped
HP сообщает об уязвимости в HP Support Assistant, который предустанавливается практически на все ноутбуки и настольные компьютеры HP.
HP Support Assistant используется для устранения неполадок, проведения диагностических тестов оборудования, оценки технических характеристик, управления обновлениями BIOS и драйверов на устройствах HP.
Обнаруженная исследователями из Secure D уязвимость отслеживается как CVE-2022-38395 и имеет оценку 8,2, поскольку позволяет злоумышленникам повысить свои привилегии на уязвимых системах.
В вышедшей рекомендации производитель не раскрыл подробностей проблемы безопасности, отметив, что недостаток связан с угоном DLL и срабатывает при попытке запустить HP Performance Tune-up из HP Support Assistant.
Злоумышленник может воспользоваться уязвимостью, поместив вредоносную DLL в ту же папку, что и злоупотребляемый исполняемый файл.
Благодаря логике Windows для приоритизации код, который будет выполняться при загрузке библиотеки, подучит привилегии злоупотребляемого файла, в данном случае - HP Support Assistant с привилегиями SYSTEM.
Таким образом, CVE-2022-38395 может эксплуатироваться лишь злоумышленниками, которые уже обеспечили присутствие в системе жертвы с низким уровнем привилегий.
Учитывая высокую распространённость софта и низкую сложность эксплуатации, HP рекомендует клиентам обновить Support Assistant как можно скорее.
Правда в этом случае стоит также помнить о том, что ранее в апреле 2020 года были выявлены не менее 10 критических уязвимостей в HP Support Assistant, некоторые из которых оставались неисправленными с октября 2012 года и даже после раскрытия устранялись чуть ли не год.
Кардинально решить проблему безопасности можно и другим способом: деинсталляция ПО устранит все связанные с ним риски.
HP Support Assistant используется для устранения неполадок, проведения диагностических тестов оборудования, оценки технических характеристик, управления обновлениями BIOS и драйверов на устройствах HP.
Обнаруженная исследователями из Secure D уязвимость отслеживается как CVE-2022-38395 и имеет оценку 8,2, поскольку позволяет злоумышленникам повысить свои привилегии на уязвимых системах.
В вышедшей рекомендации производитель не раскрыл подробностей проблемы безопасности, отметив, что недостаток связан с угоном DLL и срабатывает при попытке запустить HP Performance Tune-up из HP Support Assistant.
Злоумышленник может воспользоваться уязвимостью, поместив вредоносную DLL в ту же папку, что и злоупотребляемый исполняемый файл.
Благодаря логике Windows для приоритизации код, который будет выполняться при загрузке библиотеки, подучит привилегии злоупотребляемого файла, в данном случае - HP Support Assistant с привилегиями SYSTEM.
Таким образом, CVE-2022-38395 может эксплуатироваться лишь злоумышленниками, которые уже обеспечили присутствие в системе жертвы с низким уровнем привилегий.
Учитывая высокую распространённость софта и низкую сложность эксплуатации, HP рекомендует клиентам обновить Support Assistant как можно скорее.
Правда в этом случае стоит также помнить о том, что ранее в апреле 2020 года были выявлены не менее 10 критических уязвимостей в HP Support Assistant, некоторые из которых оставались неисправленными с октября 2012 года и даже после раскрытия устранялись чуть ли не год.
Кардинально решить проблему безопасности можно и другим способом: деинсталляция ПО устранит все связанные с ним риски.
Cisco не намерена исправлять вновь выявленную 0-day обхода аутентификации, затрагивающий несколько VPN-маршрутизаторов для малого бизнеса, ссылаясь на истечение срока службы устройств EoL.
CVE-2022-20923 вызвана проблемами в алгоритме проверки пароля. Успешный эксплойт может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN.
Злоумышленник может получить привилегии, которые находятся на том же уровне, что и администратор, в зависимости от используемых учетных данных.
Cisco заявляет, что ее группа реагирования на инциденты безопасности продуктов PSIRT не нашла никаких доказательств существования общедоступных эксплойтов для 0-day или эксплуатации в дикой природе.
Cisco рекомендовала пользователям уязвимых маршрутизаторов RV110W, RV130, RV130W и RV215W для устранения угроз перейти на более новые модели, ведь обновления для них выпускаться не будут.
При этом согласно объявлению на веб-сайте Cisco, маршрутизаторы были сняты с продажи не так давно - 2 декабря 2019 года.
Похоже, что Cisco подобную практику поставила на поток как часть своей маркетинговой компании по продвижению новой продукции.
Ведь CVE-2022-20923 - это не первая серьезная уязвимость безопасности, затрагивающая старые модели маршрутизаторов EoL, которые Cisco оставила без патча в последние годы.
В августе 2021 года аналогичным образом компания поступила с критической RCE-уязвимостью CVE-2021-34730 в маршрутизаторах серии RV, а в июне 2022 года - и с CVE-2022-20825.
Т - техподдерждка.
CVE-2022-20923 вызвана проблемами в алгоритме проверки пароля. Успешный эксплойт может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN.
Злоумышленник может получить привилегии, которые находятся на том же уровне, что и администратор, в зависимости от используемых учетных данных.
Cisco заявляет, что ее группа реагирования на инциденты безопасности продуктов PSIRT не нашла никаких доказательств существования общедоступных эксплойтов для 0-day или эксплуатации в дикой природе.
Cisco рекомендовала пользователям уязвимых маршрутизаторов RV110W, RV130, RV130W и RV215W для устранения угроз перейти на более новые модели, ведь обновления для них выпускаться не будут.
При этом согласно объявлению на веб-сайте Cisco, маршрутизаторы были сняты с продажи не так давно - 2 декабря 2019 года.
Похоже, что Cisco подобную практику поставила на поток как часть своей маркетинговой компании по продвижению новой продукции.
Ведь CVE-2022-20923 - это не первая серьезная уязвимость безопасности, затрагивающая старые модели маршрутизаторов EoL, которые Cisco оставила без патча в последние годы.
В августе 2021 года аналогичным образом компания поступила с критической RCE-уязвимостью CVE-2021-34730 в маршрутизаторах серии RV, а в июне 2022 года - и с CVE-2022-20825.
Т - техподдерждка.
Cisco
Cisco Security Advisory: Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers IPSec VPN Server Authentication Bypass…
A vulnerability in the IPSec VPN Server authentication functionality of Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers could allow an unauthenticated, remote attacker to bypass authentication controls and access the IPSec VPN network.
This…
This…
Forwarded from SecurityLab.ru
Впервые в истории страны разорвали дипломатические отношения из-за кибератаки
—Албания разорвала дипломатические отношения с Ираном и дала 24 часа на то, чтобы сотрудники иранского посольства покинули столицу страны Тирану
—Премьер-министр Албании заявил, что Иран пытался осуществить кибератаку в отношении государственных сервисов 15 июля, обвиняя исламскую республику в намерении украсть государственные данные
—Позицию Албании поддержали США, которые осудили Иран «за этот беспрецедентный киберинцидент»
https://www.securitylab.ru/news/533799.php?r=1
—Албания разорвала дипломатические отношения с Ираном и дала 24 часа на то, чтобы сотрудники иранского посольства покинули столицу страны Тирану
—Премьер-министр Албании заявил, что Иран пытался осуществить кибератаку в отношении государственных сервисов 15 июля, обвиняя исламскую республику в намерении украсть государственные данные
—Позицию Албании поддержали США, которые осудили Иран «за этот беспрецедентный киберинцидент»
https://www.securitylab.ru/news/533799.php?r=1
SecurityLab.ru
Впервые в истории страны разорвали дипломатические отношения из-за кибератаки
Дипломаты должны покинуть страну в течение 24 часов из-за вмешательства хакеров в работу государственных сервисов
Американская Mandiant, которая раньше была FireEye Mandiant, а еще раньше таки была опять Mandiant, выпустила комплексный отчет в отношении иранской APT 42, вкратце описав совершенные хакерской группой на протяжении последних лет атаки, частично и весьма поверхностно используемые TTPs, и странным образом привязав эту группу к распространению ransomware.
Пересказывать весь отчет нет смысла, для точного понимания надо смотреть его в оригинале. Мы же, как надоедливые инфосек насекомые, как обычно обратим внимание на его несуразности.
Во-первых, исследователи проводят связи между описываемой APT 42 и довольно известной и старой APT 35 aka Charming Kitten aka TA453 aka Phosphorus. При этом утверждается, что обе работают на иранский КСИР. Атрибуции, как обычно, нет.
Это не значит, что APT 42 не работает под контролем КСИР на самом деле. Это значит, что атрибуции нет.
Во-вторых, указав эту связь, они ссылаются на данные Microsoft, которые говорят, что UNC2448 (это еще один актор, которого отслеживает Mandiant) и Phosphorus - это одна и та же группа и она причастна, кроме всего прочего, к развертыванию ransomware. При этом делается дисклеймер, что сами Mandiant технических признаков сходства UNC2448 и APT 42 не видят, но "допускают, что последняя может также работать под контролем КСИР". Атрибуции опять ноль, только ссылки на какие-то ТГ-каналы (?).
Для чего это все делается? Для того, чтобы по новостям понеслось (уже), что КСИР развертывает ransomware. Не в первый раз, кстати.
Редакция канала SecAtor признаков слабоумия у сотрудников Mandiant не видит. Но допускает, что они функционируют под воздействием разнообразных веществ. Напишет ли Bleeping Computer статью "В Mandiant все дуют днями напролет"?
Пересказывать весь отчет нет смысла, для точного понимания надо смотреть его в оригинале. Мы же, как надоедливые инфосек насекомые, как обычно обратим внимание на его несуразности.
Во-первых, исследователи проводят связи между описываемой APT 42 и довольно известной и старой APT 35 aka Charming Kitten aka TA453 aka Phosphorus. При этом утверждается, что обе работают на иранский КСИР. Атрибуции, как обычно, нет.
Это не значит, что APT 42 не работает под контролем КСИР на самом деле. Это значит, что атрибуции нет.
Во-вторых, указав эту связь, они ссылаются на данные Microsoft, которые говорят, что UNC2448 (это еще один актор, которого отслеживает Mandiant) и Phosphorus - это одна и та же группа и она причастна, кроме всего прочего, к развертыванию ransomware. При этом делается дисклеймер, что сами Mandiant технических признаков сходства UNC2448 и APT 42 не видят, но "допускают, что последняя может также работать под контролем КСИР". Атрибуции опять ноль, только ссылки на какие-то ТГ-каналы (?).
Для чего это все делается? Для того, чтобы по новостям понеслось (уже), что КСИР развертывает ransomware. Не в первый раз, кстати.
Редакция канала SecAtor признаков слабоумия у сотрудников Mandiant не видит. Но допускает, что они функционируют под воздействием разнообразных веществ. Напишет ли Bleeping Computer статью "В Mandiant все дуют днями напролет"?
Google Cloud Blog
APT42: Crooked Charms, Cons, and Compromises | Google Cloud Blog
Wordfence обнаружили активно эксплуатируемую в дикой природе 0-day в плагине WordPress под названием BackupBuddy.
BackupBuddy предоставляет пользователям возможности создания резервных копии всей своей установки WordPress из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы.
Плагин при этом имеет около 140 000 активных установок.
Согласно Wordfence, уязвимость с оценкой CVSS: 7,5 позволяет неавторизованным злоумышленникам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию, включая WordPress wp-config.php и /etc/passwd, а также загружать любой произвольный файл на сервер.
Проблема связана с функцией копии локального каталога, которая предназначена для хранения локального образа резервных копий.
CVE-2022-31474 затрагивает все версии плагина с 8.5.8.0 по 8.7.4.1 и была устранена в версии 8.7.5, выпущенной 2 сентября 2022 года.
Подробности об уязвимости были скрыты в связи с активным злоупотреблением в дикой природе и простотой эксплуатации.
В Wordfence отметили, что активные атаки с использованием CVE-2022-31474 начались 26 августа 2022 года, и за это время было отражено почти пять миллионов попыток эксплуатации.
В большинстве инцидентов злоумышленники пытались добраться до следующих файлов: etc/passwd, /wp-config.php, my.cnf и accesshash.
Пользователям плагина BackupBuddy рекомендуется незамедлительно обновиться до последней версии, а случае компрометации сбросить пароль базы данных, заменить ключи API, хранящиеся в wp-config.php.
BackupBuddy предоставляет пользователям возможности создания резервных копии всей своей установки WordPress из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы.
Плагин при этом имеет около 140 000 активных установок.
Согласно Wordfence, уязвимость с оценкой CVSS: 7,5 позволяет неавторизованным злоумышленникам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию, включая WordPress wp-config.php и /etc/passwd, а также загружать любой произвольный файл на сервер.
Проблема связана с функцией копии локального каталога, которая предназначена для хранения локального образа резервных копий.
CVE-2022-31474 затрагивает все версии плагина с 8.5.8.0 по 8.7.4.1 и была устранена в версии 8.7.5, выпущенной 2 сентября 2022 года.
Подробности об уязвимости были скрыты в связи с активным злоупотреблением в дикой природе и простотой эксплуатации.
В Wordfence отметили, что активные атаки с использованием CVE-2022-31474 начались 26 августа 2022 года, и за это время было отражено почти пять миллионов попыток эксплуатации.
В большинстве инцидентов злоумышленники пытались добраться до следующих файлов: etc/passwd, /wp-config.php, my.cnf и accesshash.
Пользователям плагина BackupBuddy рекомендуется незамедлительно обновиться до последней версии, а случае компрометации сбросить пароль базы данных, заменить ключи API, хранящиеся в wp-config.php.
Wordfence
PSA: Nearly 5 Million Attacks Blocked Targeting 0-Day in BackupBuddy Plugin
Late evening, on September 6, 2022, the Wordfence Threat Intelligence team was alerted to the presence of a vulnerability being actively exploited in BackupBuddy, a WordPress plugin we estimate has around 140,000 active installations. This vulnerability makes…
͏«Престижное» американское образование катируется и среди вымогателей, по большей части - в качестве возможности подзаработать.
К примеру, Стратфордский университет теперь весьма выигрышно теперь смотрится на DLS банды Avos Locker, уже в третий раз став жертвой ransomware. Первыми университетскую инфраструктуру посетили REvil в апреле 2022 года, а затем в августе там же побывали и Snatch.
Банда вымогателей STORMOUS разместила Министерство национального образования Алжира в качестве жертвы на своем DLS. В результате атаки было украдено 12 ГБ информации, которую акторы обещают слить в случае отказа жертвы от выплаты выкупа.
Банда Dabh сообщила об атаке на Министерство образования и науки Македонии, в результате которого, слов слов хакеров, им удалось выкрасть информацию всех учащихся и студентов страны.
Dabh потребовали от правительства Македонии разместить на сайте взломанного Министерства флаг Болгарии вместо традиционного требования выкупа в срок до 1 декабря, после чего все данные буду слиты.
В канун смерти королевы Великобритании хакеры выпотрошили правительственную сеть и выставили на продажу в даркнете финансовые сведения в отношении 37 правительственных советов, включая банковскую информацию и архив совершенных транзакций.
К примеру, Стратфордский университет теперь весьма выигрышно теперь смотрится на DLS банды Avos Locker, уже в третий раз став жертвой ransomware. Первыми университетскую инфраструктуру посетили REvil в апреле 2022 года, а затем в августе там же побывали и Snatch.
Банда вымогателей STORMOUS разместила Министерство национального образования Алжира в качестве жертвы на своем DLS. В результате атаки было украдено 12 ГБ информации, которую акторы обещают слить в случае отказа жертвы от выплаты выкупа.
Банда Dabh сообщила об атаке на Министерство образования и науки Македонии, в результате которого, слов слов хакеров, им удалось выкрасть информацию всех учащихся и студентов страны.
Dabh потребовали от правительства Македонии разместить на сайте взломанного Министерства флаг Болгарии вместо традиционного требования выкупа в срок до 1 декабря, после чего все данные буду слиты.
В канун смерти королевы Великобритании хакеры выпотрошили правительственную сеть и выставили на продажу в даркнете финансовые сведения в отношении 37 правительственных советов, включая банковскую информацию и архив совершенных транзакций.
Эпично, когда узнаешь из даркнета, что тебя обокрали и выложили на продажу добытые сведения.
Агентство Генерального штаба вооруженных сил Португалии (EMGFA) подверглось кибератаке, в результате которой были украдены секретные документы НАТО.
Причем в Агентстве осознали, что подверглись атаке только после того, когда хакеры разместили образцы украденных материалов для реализации заинтересованным лицам.
Бдительность проявила американская разведка, которая заметила продажу украденных документов и предупредила посольство США в Лиссабоне, которое, в свою очередь, сообщило в правительство Португалии об утечке данных.
В EMGFA немедленно была отправлена группа экспертов из Управления национальной безопасности и национального центра кибербезопасности Португалии для проведения полной проверки всей сети организации.
Об инциденте сообщила местная новостная площадка Diario de Noticias, которая утверждает о достоверности информации через неназванные источники близкие к текущему расследованию.
Со слов этих источников, украденные документы имеют «чрезвычайную серьезность», так как их распространение может вызвать кризис доверия к стране в военном альянсе.
На сегодняшний день португальское правительство не давало официальных заявлений по этой теме, но давление политической оппозиции с целью проведения брифинга растет после разоблачений Diario de Noticias.
Многие члены парламента уже выразили свое негодование новостями о том, что секретные военные документы продаются в Интернете, а разведывательные службы страны не смогли обнаружить столь серьезное нарушение.
Инцидент достаточно резонансный и члены парламента обратились к председателю парламентского комитета по обороне с просьбой вмешаться и назначить слушания по этому делу как можно скорее.
С нетерпением ждем продолжения банкета.
Агентство Генерального штаба вооруженных сил Португалии (EMGFA) подверглось кибератаке, в результате которой были украдены секретные документы НАТО.
Причем в Агентстве осознали, что подверглись атаке только после того, когда хакеры разместили образцы украденных материалов для реализации заинтересованным лицам.
Бдительность проявила американская разведка, которая заметила продажу украденных документов и предупредила посольство США в Лиссабоне, которое, в свою очередь, сообщило в правительство Португалии об утечке данных.
В EMGFA немедленно была отправлена группа экспертов из Управления национальной безопасности и национального центра кибербезопасности Португалии для проведения полной проверки всей сети организации.
Об инциденте сообщила местная новостная площадка Diario de Noticias, которая утверждает о достоверности информации через неназванные источники близкие к текущему расследованию.
Со слов этих источников, украденные документы имеют «чрезвычайную серьезность», так как их распространение может вызвать кризис доверия к стране в военном альянсе.
На сегодняшний день португальское правительство не давало официальных заявлений по этой теме, но давление политической оппозиции с целью проведения брифинга растет после разоблачений Diario de Noticias.
Многие члены парламента уже выразили свое негодование новостями о том, что секретные военные документы продаются в Интернете, а разведывательные службы страны не смогли обнаружить столь серьезное нарушение.
Инцидент достаточно резонансный и члены парламента обратились к председателю парламентского комитета по обороне с просьбой вмешаться и назначить слушания по этому делу как можно скорее.
С нетерпением ждем продолжения банкета.
DN
Documentos portugueses da NATO apanhados à venda na darkweb
A dimensão dos estragos ainda está a ser averiguada pelo Gabinete Nacional de Segurança, mas as suspeitas da quebra de segurança que facilitou a exfiltração de documentos secretos da NATO recaem em computadores do EMGFA, das secretas militares e do MDN.