͏Как и обещали, последовало продолжение инцидента со взломом крупнейшего австралийского провайдера Optus.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
По оценкам на декабрь 2019 года Optus, дочерняя компания Singtel, имела более 10 миллионов абонентов.
При этом компания не сообщила, когда и как произошел инцидент, а также сколько клиентских и корпоративных данных могло оказаться в руках хакеров.
Кроме того, Optus согласно политике конфиденциальности и законодательству хранит также личную информацию пользователей в течение определенного периода времени.
Однако, как выяснил журналист ISMG Джереми Кирк, взлом мог затронуть почти всех клиентов и был реализован через неаутентифицированную конечную точку API «api.www.optus.com[.]au» без аутентификации, которая, по-видимому, находилась в незащищенном исполнении еще с января 2019 года.
Инцидент с Optus также вызвал острую критику со стороны Министра кибербезопасности Австралии, назвавшего это «беспрецедентной кражей информации о пользователях», а также всего госаппарата страны.
Пока Австралийская федеральная полиция (AFP) работает над сбором доказательств и инициировала операцию Ураган, стоящий за Optus Breach хакер обнародовал записи о 10 200 клиентах, следуя наработанной схеме вымогательства и обещая прекратить слив за 1 млн. долларов.
В проливном случае он пригрозил опубликовать пеше о 10 000 записей в течение следующих трех дней.
Отдельные массивы данных также выставлены на продажу по цене 100, 200 и 300 тысяч долларов в зависимости от объема покупки.
Optus уже разослала электронные письма или текстовые сообщения всем клиентам, у которых была скомпрометирована информация, удостоверяющая личность, а также порекомендовала им принять меры по защите банковских и финансовых сервисов от подозрительных или мошеннических действий.
А мы будем посмотреть, чем закончится весь этот кибертреш.
Проправительственная хакерская группировка TA413 (также известная как LuckyCat), связанная с Китаем была замечена в атаках на Правительство Тибета в изгнании или как ее еще называют Центральной тибетской администрацией.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
В рамках шпионской кампании APT использовали недавно обнаруженные недостатки в брандмауэре Sophos и Microsoft Office (CVE-2022-1040 и CVE-2022-30190) для развертывания неизвестного ранее бэкдора LOWZERO.
В основном целями были организации, связанные с тибетской общиной, в том числе и предприятия, связанные с тибетским правительством о чем говорится в отчете Recorded Future.
Атаки LuckyCat на организации и отдельных лиц, связанных с тибетским сообществом, продолжаются по крайней мере с 2020 года с использованием вредоносных программ, таких как ExileRAT, Sepulcher и вредоносного расширения браузера Mozilla Firefox, получившего название FriarFox .
В целевой фишинговой атаке применялся вредоносный RTF-документ, в котором использовались недостатки в редакторе Microsoft Equation Editor для доставки пользовательского имплантата LOWZERO. В совокупности это было достигнуто за счет использования инструмента Royal Road RTF, который широко распространен среди китайских злоумышленников.
В другом электронном письме, полученной тибетской жертвой использовалось вложение Microsoft Word, размещенное в службе Google Firebase, которое пыталось использовать уязвимость Follina для выполнения команды PowerShell с последующей загрузкой бэкдора с удаленного сервера.
Бэкдор LOWZERO имеет модульную структуру и загружает необходимые определенные модули с C2, если скомпрометированная машина представляет интерес для злоумышленника.
Исследователям удалось связать несколько кампаний с деятельностью группы из-за того, что субъекты угрозы регулярно использовали одни и те же адреса отправителей электронной почты в течение нескольких лет (такие как tseringkanyaq@yahoo[.]com и mediabureauin@gmail[.]com).
Со слов экспертов, группа продолжает внедрять новые возможности, полагаясь при этом на проверенные практикой TTP.
Команда Team82 из Claroty обнаружили 11 уязвимостей в IoT-решениях производителя Carlo Gavazzi, 6 из которых критические.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Carlo Gavazzi — международная группа, занимающаяся проектированием, производством и продажей решений по автоматизации для мировых рынков промышленной автоматизации и автоматизации зданий.
Компания поставляет продукцию в Европу, Америку и Азиатско-Тихоокеанский регион через сеть из 22 собственных торговых компаний и через более чем 60 независимых национальных дистрибьюторов.
Проблемы затрагивают в основном Carlo Gavazzi UWP3.0 и CPY Car Park Server.
Все критические ошибки имеют оценку CVSS V3 9,8.
Часть из них связана с использованием жестко закодированных учетных данных (CVE-2022-22522, CVE-2022-28812) в некоторых версиях UWP3.0 и CPY Car Park Server, которые позволяют неаутентифицированному злоумышленнику получить полный доступ к серверу и уязвимым продуктам.
Другие обусловлены отсутствием аутентификации, которая обеспечивает злоумышленнику полный доступ через API (CVE-2022-22526), неверной проверкой ввода в параметре, отправленном через API, для доступа к уязвимым продуктам (CVE-2022-28811), а также относительным обходом пути, приводящим к RCE (CVE-2022-28814).
Кроме того, удаленный злоумышленник, не прошедший проверку подлинности, может использовать уязвимость SQL-Injection для получения полного доступа к базе данных (CVE-2022-22524), а в других случаях уязвимость SQL-инъекции позволяет злоумышленнику запрашивать другие таблицы службы Sentilo (CVE-2022-28813 с оценкой CVSS V3 7,5).
Серьезные уязвимости связаны с неправильной аутентификации, которая позволяет обходить аутентификацию в контексте пользователя (CVE-2022-22523 с оценкой CVSS V3 7,5), а также неправильной проверкой ввода - CVE-2022-22525 (CVSS V3 7.2).
Последняя дает возможность удаленному злоумышленнику с правами администратора выполнять произвольные команды.
В ряде версий UWP3.0 прокси-сервер Sentilo подвержен отраженному XSS (CVE-2022-28816 с CVSS V3 7.6).
Пользователям следует обратить внимание на проблемы и поспешить с обновлениями, учитывая критичность обнаруженных баг.
Claroty
XIoT Vulnerability Disclosure Dashboard
Track all XIoT vulnerabilities disclosed by Team82, the industry’s best cybersecurity vulnerability and threat research team. Team82 finds software and firmware vulnerabilities before threat actors can exploit them.
Команда Unit42 из Paloaltonetworks рассказала о том, как уже несколько лет им удается отслеживать АРТ благодаря анализу вредоносных библиотек DLL.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Ресерчеры предполагают, что именно загрузка таких DLL является одним из основных методов выполнения вредоносных полезных нагрузок в зараженных системах, которым пользуются как отдельные хакеры, так и APT-группы.
На практике поиск загрузки неподписанных библиотек DLL помогла им обнаружить сложные полезные нагрузки и APT-группы в дикой природе, включая китайскую Stately Taurus (ранее известную как PKPLUG, она же Mustang Panda) и северокорейскую Selective Pisces (она же Lazarus Group).
Большинство вредоносных библиотек DLL имеют три общих характеристики: в основном записываются по непривилегированным путям, DLL не подписаны, а во избежание обнаружения загружаются подписанным процессом.
При этом наиболее распространенными методами загрузки среди хакеров выступают следующие:
⁃ Загрузка DLL с помощью rundll32.exe/regsvr32.exe (злоумышленники злоупотребляют ими для выполнения кода в попытке избежать обнаружения).
⁃ Перехват порядка поиска DLL (безопасное приложение будет загружать вредоносную полезную нагрузку с именем известной библиотеки).
В реальных условиях наиболее распространенными непривилегированными путями для загрузки вредоносных неподписанных библиотек DLL являются папки и подпапки ProgramData, AppData и домашние каталоги пользователей.
Для проверки своей гипотезы ресерчеры создали два XQL-запроса: первый ищет неподписанные библиотеки DLL, загруженные rundll32.exe/regsvr32.exe, а другой - подписанное ПО, которое загружает неподписанную библиотеку. По результатам за последние шесть месяцев были выявлены различные семейства вредоносных ПО.
Анализ результатов показал, что банковские трояны и отдельные злоумышленники обычно использовали rundll32.exe или regsvr32.exe для загрузки вредоносной DLL, в то время как APT использовали технику боковой загрузки DLL.
В своем блоге ресерчеры выделили расследование деятельности Stately Taurus, которые используют технику перехвата порядка поиска DLL.
АРТ поместила полезную нагрузку в папку ProgramData, которая содержала три файла — безопасный EXE-файл для перехвата DLL (AvastSvc.exe), файл DLL (wsc.dll) и зашифрованную полезную нагрузку (AvastAuth.dat). Загруженной DLL оказалась PlugX RAT.
Среди результатов ресерчеры также идентифицировали Selective Pisces.
Исследование цепочки выполнения неподписанных модулей в каталогах ProgramData показало, что они были сброшены на диск подписанным процессом DreamSecurity MagicLine4NX (MagicLine4NX.exe).
MagicLine4NX.exe выполнял полезную нагрузку второго этапа, которая использовала неопубликованную загрузку DLL, чтобы избежать обнаружения.
Полезная нагрузка второго этапа записала новую DLL с именем mi.dll и скопировала wsmprovhost.exe (хост-процесс для WinRM) в случайный каталог в ProgramData. Злоумышленники злоупотребили этим механизмом, чтобы добиться боковой загрузки DLL (T1574.002).
Полезная нагрузка mi.dll перебрасывала новую полезную нагрузку с именем ualapi.dll в каталог System32.
Поскольку ualapi.dll в данном случае является отсутствующей библиотекой DLL в каталоге System32, злоумышленники использовали это для обеспечения устойчивости, присвоив своей вредоносной полезной нагрузке имя ualapi.dll. Таким образом, spoolsv.exe загружала его при запуске.
Исследователи рекомендуют ИБ-специалистам использовать описанные в их статье подходы для активного поиска и последующей блокировки вредоносных неподписанных библиотек DLL.
Примеры запросов и некоторые индикаторы представлены в отчете.
Unit 42
Hunting for Unsigned DLLs to Find APTs
Hunting for the loading of unsigned DLLs can help you identify attacks and threat actors in your environment. Our examples include well-known APTs.
Как мы предупреждали, и неделя не прошла, как утекший сборщик LockBit 3.0 был взят на вооружение бандой вымогателей Bl00Dy Ransomware Gang, которые уже поспешили применить новинку в реальных атаках.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Слитый обиженным разрабом конструктор новейшей ransomware LockBit 3.0 позволяет любому оператору ПО создать реально работающие шифратор и дешифратор, а также соответствующие заметки о выкупе, что было подтверждено ресерчерами в рамках тестовых сборок.
Первый собранный на базе конструктора комплект уже успешно опробован Bl00Dy на украинской организации.
Позже ресерчеры MalwareHunterTeam подтвердили, что шифровальщик был построен с использованием недавно выпущенного компоновщика LockBit 3.0. Сканирование Intezer также показало много совпадений кода между шифровальщиками Bl00dy и LockBit 3.0.
Как ранее сообщали DataBreaches.net, банда вымогателей Bl00Dy попала в поле зрения в мае 2022 года, когда они атаковали медицинские и стоматологические компании в Нью-Йорке.
Злоумышленники взламывают сеть, крадут корпоративные данные и шифруют устройства. Однако вместо того, чтобы использовать сайт утечки данных Tor для вымогательства жертв и публикации украденных данных, злоумышленники используют для той же цели канал Telegram.
Группа отличается тем, что они не ведут собственных разработок, а предпочитают орудовать, используя утекшие сборщики и исходный код других ransomware, таких как Babuk [VirusTotal] и Conti [VirusTotal].
При этом в прошлых кампаниях злоумышленники добавляли расширение bl00dy для зашифрованных файлов. Однако, поскольку это этот параметр в сборщике LockBit 3.0 не имеет возможности настройки, злоумышленники используют расширения, установленные при сборке шифровальщика.
Что касается заметки о выкупе, то имена файлов, по-прежнему, создаются в стиле LockBit, но злоумышленники настроили их так, чтобы они включали собственный текст и контактную информацию.
В целом, Bl00dy Ransomware Gang балансирует между штаммами программ-вымогателей по мере необходимости, чтобы избегать атрибуции и применять необходимые в каждой конкретной атаке функции.
Учитывая, что LockBit 3.0 — пожалуй, одна из наиболее продвинутых и функционально богатых ransomware в настоящее время, стоит ожидать новые операции с использованием утекшего конструктора.
Telegram
SecAtor
͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика…
Elbit Systems of America была атакована вымогателями Black Basta.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
Дочерняя компания израильского оборонного подрядчика Elbit Systems Ltd. базируется в США и являющаяся ведущим мировым поставщиком инновационных оборонных технологий и электроники, включая БПЛА, РЭБ и другие системы разведки и наблюдения для вооруженных сил и правительств по всему миру.
В 2015 году Elbit приобрела киберподразделение Nice Systems примерно за 160 миллионов долларов, которое было выделено в дочернюю компанию под названием Cyberbit, а два года спустя Citizen Lab обнаружили коммерческое шпионское ПО, созданное Cyberbit, которое использовалось для атак на эфиопских диссидентов в США и Великобритании.
Инцидент произошел еще 8 июня 2022 года и затронула 369 человек, а раскрыть его компании пришлось после того, как в конце июня вымогатели добавили компанию на свой сайт утечки в Tor.
Теперь же Elbit подтвердила утечку данных. В ходе этого расследования Elbit America выяснила, что личная информация определенных сотрудников могла быть получена третьей стороной без разрешения. Раскрытые данные могли включать имена, адреса, номера социального страхования, даты рождения, информацию о прямом депозите и этническую принадлежность.
Пруфы взлома от Black Basta включали аудиторский отчет, соглашения о конфиденциальности и отчет о заработной плате. Не густо.
Но, вероятно, у хакеров припасены и другие интересные пруфы. Ведь расследование все еще продолжается, да и жертва особенная.
Будем посмотреть.
TechCrunch
US arm of Israeli defense giant Elbit Systems says it was hacked
Elbit Systems of America, the U.S. arm of Israeli defense contractor Elbit, says its network was compromised in early June and personal information of employees was stolen.
͏Что ж ты, фраер, сдал назад?
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
В поисках очередного кряка, важно самому не стать крякнутным.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
Securelist
NullMixer drops Redline Stealer, SmokeLoader and other malware
NullMixer is a dropper delivering a number of Trojans, such as RedLine Stealer, SmokeLoader, Satacom, and others.
Sentinel One раскрывает новую фишинговую кампанию, за которой стоят северокорейские Lazarus.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
SentinelOne
Lazarus ‘Operation In(ter)ception’ Targets macOS Users Dreaming of Jobs in Crypto
First Coinbase, now Crypto.com. Lazarus campaign targets more crypto exchange platform job seekers with multi-stage malware.
Лаборатория Касперского четко расчехляет маститого бразильского актора, который за годы работы превратил вредоносное ПО, ориентированное на банкоматы в модульное вредоносное ПО для торговых точек.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Securelist
Prilex: Brazilian PoS malware evolution
Prilex is a Brazilian threat actor focusing on ATM and PoS attacks. In this report, we provide an overview of its PoS malware.
Bishop Fox совместно с SANS Institute опросили более 300 практикующих хакеров, по результатам стало понятно, что многие из них могут провести сквозную атаку менее чем за день.
Цель исследования - получить представление о том, как думают и действуют реальные хакеры, насколько быстро они реализуют атаки, какие инструменты и тактику используют, что может быть весьма полезно специалистам ИБ для совершенствования стратегий защиты.
Примерно 40 % респондентов ответили, что для обнаружения уязвимости, дающей доступ к целевой среде организации (нарушение периметра), им потребуется не более 5 часов, а 5 % считают - менее чем за час. Более 58% заявили, что могут проникнуть в целевую среду менее чем за 5 часов.
Что касается поверхности атаки, наиболее часто выявляемые уязвимые точки включают проблемные конфигурации, открытые веб-службы и ошибки в ПО.
Более половины респондентов заявили, что после получения первоначального доступа им требуется до 5 часов, чтобы получить доступ к целевым данным или системе путем повышения привилегий или горизонтального перемещения.
Почти 64% могут собирать и эксфильтровать данные также в течение 5 часов, а 16% утверждают, что могут сделать это менее чем за 1 час.
На вопрос о том, сколько времени им требуется для проведения сквозной атаки, 18% ответили, что могут сделать это за 10 часов или менее, но более половины считают, что им потребуются на это сутки.
В случае, если провала первоначального вектора атаки, только 38% удавалось добиться успеха, используя новые методы. При этом опрос показал, что чем больше у хакера опыта, тем больше у него шансов на успех.
Наиболее эффективными и рентабельными векторами атак респонденты назвали социальную инженерию, за которой следует фишинг.
Почти 60% заявили, что используют инструменты с открытым исходным кодом, и только 11% полагаются на коммерческие инструменты.
Что особенно важно, многие опрошенные полагают, что организации достаточно часто не обладают необходимым функционалом для обнаружения, реагирования и отражения атак.
Полный отчет под названием Думай как хакер: взгляды и методы современных противников доступен в формате PDF.
Цель исследования - получить представление о том, как думают и действуют реальные хакеры, насколько быстро они реализуют атаки, какие инструменты и тактику используют, что может быть весьма полезно специалистам ИБ для совершенствования стратегий защиты.
Примерно 40 % респондентов ответили, что для обнаружения уязвимости, дающей доступ к целевой среде организации (нарушение периметра), им потребуется не более 5 часов, а 5 % считают - менее чем за час. Более 58% заявили, что могут проникнуть в целевую среду менее чем за 5 часов.
Что касается поверхности атаки, наиболее часто выявляемые уязвимые точки включают проблемные конфигурации, открытые веб-службы и ошибки в ПО.
Более половины респондентов заявили, что после получения первоначального доступа им требуется до 5 часов, чтобы получить доступ к целевым данным или системе путем повышения привилегий или горизонтального перемещения.
Почти 64% могут собирать и эксфильтровать данные также в течение 5 часов, а 16% утверждают, что могут сделать это менее чем за 1 час.
На вопрос о том, сколько времени им требуется для проведения сквозной атаки, 18% ответили, что могут сделать это за 10 часов или менее, но более половины считают, что им потребуются на это сутки.
В случае, если провала первоначального вектора атаки, только 38% удавалось добиться успеха, используя новые методы. При этом опрос показал, что чем больше у хакера опыта, тем больше у него шансов на успех.
Наиболее эффективными и рентабельными векторами атак респонденты назвали социальную инженерию, за которой следует фишинг.
Почти 60% заявили, что используют инструменты с открытым исходным кодом, и только 11% полагаются на коммерческие инструменты.
Что особенно важно, многие опрошенные полагают, что организации достаточно часто не обладают необходимым функционалом для обнаружения, реагирования и отражения атак.
Полный отчет под названием Думай как хакер: взгляды и методы современных противников доступен в формате PDF.
Bishop Fox
Know Your Enemy, Know Yourself: Examining the Mind of a Cyber Attacker
We partnered with SANS to research the minds and methods of modern cyber adversaries. See what inspired the survey and get the full report.
Все тайны и секреты протокола Schneider Electric UMAS раскрыли ресерчеры Лаборатории Касперского.
UMAS (Unified Messaging Application Services) — это проприетарный протокол Schneider Electric (SE), который используется для конфигурации и мониторинга Schneider Electric PLC.
Он реализован в таких контроллерах Schneider Electric, как Modicon M580 CPU и Modicon M340 CPU. Конфигурация и программирование этих процессоров осуществляется при помощи инженерного ПО — EcoStruxure Control Expert (Unity Pro), EcoStruxure Process Expert.
В 2020 году в ПО была обнаружена CVE-2020-28212, которая позволяла удаленному неавторизованному злоумышленнику получить управление контроллером с правами уже аутентифицированного на ПЛК оператора.
Для ее исправления производитель разработал Application Password, обеспечивая тем самым защиту от несанкционированного доступа к ПЛК и внесения нежелательных изменений.
Для внесения изменений в ПЛК требуется его «резервирование». Эта процедура и выполняет роль аутентификации.
Основная проблема базового механизма резервирования без использования Application Password заключалась в том, что атакующий с помощью ключа сессии может отправлять запросы и изменять конфигурацию устройства.
После активации Application Password с помощью EcoStruxure Control Expert клиенту необходимо вводить пароль при подключении к устройству в рамках процедуры резервирования. Также Application Password вносит изменения в сам механизм резервирования.
Однако специалисты Kaspersky ICS CERT обнаружили недостатки уже в новом механизме. Главный недостаток состоит в том, что все вычисления в ходе аутентификации происходят на стороне клиента, то есть на стороне инженерного ПО EcoStruxure Control Expert.
Выявленная в ходе исследования уязвимость CVE-2021-22779 давала удаленному нарушителю возможность обойти процесс аутентификации и использовать функции, требующие резервирования, чтобы вносить изменения в ПЛК.
Как выяснилось, дело в том, что протокол UMAS в реализации, предшествующей версии с исправленной уязвимостью CVE-2021-22779, имеет критические недостатки, которые затрагивают безопасность систем управления на основе контроллеров SE.
К середине августа 2022 года компания Schneider Electric выпустила обновление для ПО EcoStruxure Control Expert, ПЛК Modicon M340 и ПЛК Modicon M580 с исправлением баги.
Подробный отчет с результатами исследования, описанием исправлений и рекомендациями ресерчеров представлен на сайте Kaspersky ICS CERT (здесь).
UMAS (Unified Messaging Application Services) — это проприетарный протокол Schneider Electric (SE), который используется для конфигурации и мониторинга Schneider Electric PLC.
Он реализован в таких контроллерах Schneider Electric, как Modicon M580 CPU и Modicon M340 CPU. Конфигурация и программирование этих процессоров осуществляется при помощи инженерного ПО — EcoStruxure Control Expert (Unity Pro), EcoStruxure Process Expert.
В 2020 году в ПО была обнаружена CVE-2020-28212, которая позволяла удаленному неавторизованному злоумышленнику получить управление контроллером с правами уже аутентифицированного на ПЛК оператора.
Для ее исправления производитель разработал Application Password, обеспечивая тем самым защиту от несанкционированного доступа к ПЛК и внесения нежелательных изменений.
Для внесения изменений в ПЛК требуется его «резервирование». Эта процедура и выполняет роль аутентификации.
Основная проблема базового механизма резервирования без использования Application Password заключалась в том, что атакующий с помощью ключа сессии может отправлять запросы и изменять конфигурацию устройства.
После активации Application Password с помощью EcoStruxure Control Expert клиенту необходимо вводить пароль при подключении к устройству в рамках процедуры резервирования. Также Application Password вносит изменения в сам механизм резервирования.
Однако специалисты Kaspersky ICS CERT обнаружили недостатки уже в новом механизме. Главный недостаток состоит в том, что все вычисления в ходе аутентификации происходят на стороне клиента, то есть на стороне инженерного ПО EcoStruxure Control Expert.
Выявленная в ходе исследования уязвимость CVE-2021-22779 давала удаленному нарушителю возможность обойти процесс аутентификации и использовать функции, требующие резервирования, чтобы вносить изменения в ПЛК.
Как выяснилось, дело в том, что протокол UMAS в реализации, предшествующей версии с исправленной уязвимостью CVE-2021-22779, имеет критические недостатки, которые затрагивают безопасность систем управления на основе контроллеров SE.
К середине августа 2022 года компания Schneider Electric выпустила обновление для ПО EcoStruxure Control Expert, ПЛК Modicon M340 и ПЛК Modicon M580 с исправлением баги.
Подробный отчет с результатами исследования, описанием исправлений и рекомендациями ресерчеров представлен на сайте Kaspersky ICS CERT (здесь).
securelist.ru
Уязвимости протокола UMAS компании Schneider Electric
Отчет Kaspersky ICS CERT об уязвимостях в инженерном ПО компании Schneider Electric, позволяющих злоупотреблять протоколом UMAS.
Google объявила о выпуске Chrome 106 для Windows, Mac и Linux с исправлениями 20 уязвимостей, в том числе 5 с высокой степенью серьезности.
Половина уязвимостей представляют собой ошибки использования после освобождения, которые могут привести к RCE, DoS или повреждению данных. В сочетании с другими уязвимостями ошибки могут быть использованы для полной компрометации системы.
Из пяти серьезных проблем, которые исправлены в Chrome 106, четыре представляют собой уязвимости использования после освобождения (CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307), затрагивающие три компонента браузера, а именно CSS, Survey и Media.
Пятая — недостаточная проверка ненадежного ввода в инструментах разработчика (CVE-2022-3201).
В последнем выпуске браузера также устранены три уязвимости среднего уровня, также связанные с использованием после освобождения (CVE-2022-3309, CVE-2022-3311, CVE-2022-3314), которые влияют на три других компонента Chrome: Assistant, Import и Logging.
Обновление браузера также устраняет недостаточное применение политики средней степени серьезности в инструментах разработчика (CVE-2022-3308) и настраиваемых вкладках (CVE-2022-3310), недостаточную проверку ненадежного ввода в VPN (CVE-2022-3312), неправильный пользовательский интерфейс безопасности в полноэкранном режиме (CVE-2022-3313) и путаницу типов в Blink (CVE-2022-3315).
Google выплатила в общей сложности более 38 000 долларов по BugBounty сообщившим об ошибках.
Сведений об эксплуатации уязвимостей в дикой природе Google не сообщает.
Почти незаметным прошло очередное обновление Apple для своей мобильной iOS и watchOS.
Новые версии iOS 16.0.2 и watchOS 9.0.1 были выпущены 22 сентября 2022 года, однако как и для вышедшей еще неделей ранее iOS 16.0.1 записи CVE отсутствуют.
Apple в целях защиты клиентов не разглашает информацию о проблемах безопасности.
Наверно, новые АНБэшные бэкдоры подъехали, а старые еще не успели списать.
Половина уязвимостей представляют собой ошибки использования после освобождения, которые могут привести к RCE, DoS или повреждению данных. В сочетании с другими уязвимостями ошибки могут быть использованы для полной компрометации системы.
Из пяти серьезных проблем, которые исправлены в Chrome 106, четыре представляют собой уязвимости использования после освобождения (CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307), затрагивающие три компонента браузера, а именно CSS, Survey и Media.
Пятая — недостаточная проверка ненадежного ввода в инструментах разработчика (CVE-2022-3201).
В последнем выпуске браузера также устранены три уязвимости среднего уровня, также связанные с использованием после освобождения (CVE-2022-3309, CVE-2022-3311, CVE-2022-3314), которые влияют на три других компонента Chrome: Assistant, Import и Logging.
Обновление браузера также устраняет недостаточное применение политики средней степени серьезности в инструментах разработчика (CVE-2022-3308) и настраиваемых вкладках (CVE-2022-3310), недостаточную проверку ненадежного ввода в VPN (CVE-2022-3312), неправильный пользовательский интерфейс безопасности в полноэкранном режиме (CVE-2022-3313) и путаницу типов в Blink (CVE-2022-3315).
Google выплатила в общей сложности более 38 000 долларов по BugBounty сообщившим об ошибках.
Сведений об эксплуатации уязвимостей в дикой природе Google не сообщает.
Почти незаметным прошло очередное обновление Apple для своей мобильной iOS и watchOS.
Новые версии iOS 16.0.2 и watchOS 9.0.1 были выпущены 22 сентября 2022 года, однако как и для вышедшей еще неделей ранее iOS 16.0.1 записи CVE отсутствуют.
Apple в целях защиты клиентов не разглашает информацию о проблемах безопасности.
Наверно, новые АНБэшные бэкдоры подъехали, а старые еще не успели списать.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 106 to the stable channel for Windows, Mac and Linux . This will roll ou...
Обнаружено четыре уязвимости в широко распространенной функции Ethernet VLAN Stacking.
VLAN Stacking — функция современных маршрутизаторов и коммутаторов, которая позволяет компаниям инкапсулировать несколько идентификаторов VLAN в одно соединение VLAN.
Об уязвимостях сообщил координационный центр CERT, предоставив производителям устройств время на расследование, реагирование и выпуск соответствующих обновлений безопасности.
Уязвимости существуют в протоколах инкапсуляции Ethernet, которые позволяют складывать заголовки виртуальной локальной сети (VLAN).
Злоумышленник, не прошедший проверку подлинности, может использовать комбинацию заголовков VLAN и LLC/SNAP для обхода средств сетевой фильтрации L2, таких как защита IPv6 RA, динамическая проверка ARP, защита обнаружения соседей IPv6 и отслеживание DHCP.
Недостатки безопасности затрагивают целый пул сетевых устройств, коммутаторов и маршрутизаторов, а также операционные системы, которые используют элементы управления безопасностью 2 уровня (L2) для фильтрации трафика и изоляции виртуальной сети.
Ошибки позволяют злоумышленникам выполнять атаки типа «отказ в обслуживании» (DoS) или «человек посередине» (MitM) за счет использования специально созданных пакетов.
Ошибки отслеживаются как CVE-2021-27853, CVE-2021-27854, CVE-2021-27861 и CVE-2021-27862, каждая из которых представляет собой отдельный тип обхода функции проверки сетевых пакетов 2 уровня.
Cisco и Juniper Networks уже подтвердили, что ряд из их продуктов подвержен уязвимостям, но многие другие поставщики устройств еще не завершили свое расследование и соответственно угроза воздействия остается актуальной.
VLAN Stacking — функция современных маршрутизаторов и коммутаторов, которая позволяет компаниям инкапсулировать несколько идентификаторов VLAN в одно соединение VLAN.
Об уязвимостях сообщил координационный центр CERT, предоставив производителям устройств время на расследование, реагирование и выпуск соответствующих обновлений безопасности.
Уязвимости существуют в протоколах инкапсуляции Ethernet, которые позволяют складывать заголовки виртуальной локальной сети (VLAN).
Злоумышленник, не прошедший проверку подлинности, может использовать комбинацию заголовков VLAN и LLC/SNAP для обхода средств сетевой фильтрации L2, таких как защита IPv6 RA, динамическая проверка ARP, защита обнаружения соседей IPv6 и отслеживание DHCP.
Недостатки безопасности затрагивают целый пул сетевых устройств, коммутаторов и маршрутизаторов, а также операционные системы, которые используют элементы управления безопасностью 2 уровня (L2) для фильтрации трафика и изоляции виртуальной сети.
Ошибки позволяют злоумышленникам выполнять атаки типа «отказ в обслуживании» (DoS) или «человек посередине» (MitM) за счет использования специально созданных пакетов.
Ошибки отслеживаются как CVE-2021-27853, CVE-2021-27854, CVE-2021-27861 и CVE-2021-27862, каждая из которых представляет собой отдельный тип обхода функции проверки сетевых пакетов 2 уровня.
Cisco и Juniper Networks уже подтвердили, что ряд из их продуктов подвержен уязвимостям, но многие другие поставщики устройств еще не завершили свое расследование и соответственно угроза воздействия остается актуальной.
kb.cert.org
CERT/CC Vulnerability Note VU#855201
L2 network security controls can be bypassed using VLAN 0 stacking and/or 802.3 headers
Исследователи Securonixdiscovered обнаружили новую кампанию, нацеленную на военных подрядчиков, включая поставщика компонентов для истребителей F-35 Lightning II.
Аналитики обнаружили атаки, но не смогли связать кампанию с какими-либо известными субъектами угроз, хотя в отчете упоминается некоторое сходство с прошлыми атаками APT37 (Konni).
Целенаправленные атаки начинаются с рассылки фишинговых электронных писем сотрудникам. Письмо включает в себя ZIP-вложение, содержащее файл-ярлык («Company & Benefits.pdf.lnk»), который при выполнении подключается к C2 и запускает цепочку сценариев PowerShell, заражающих систему вредоносным ПО.
Интересно, что файл ярлыка не использует широко используемые инструменты «cmd.exe» или «powershell.exe», а вместо этого полагается на необычную команду «C:\Windows\System32\ForFiles.exe» для выполнения команд.
Кампания также выделяется, прежде всего, своей безопасной инфраструктурой C2 и несколькими уровнями обфускации в стейджерах PowerShell.
Методы запутывания включают запутывание переупорядочивания символов, запутывание IEX, запутывание значений байтов, необработанное сжатие, изменение порядка, замену строк и запутывание обратных кавычек.
Кроме того, сценарий сканирует список процессов, связанных с ПО для отладки и мониторинга, проверяет, чтобы высота экрана превышала 777 пикселей, а объем памяти превышал 4 ГБ, чтобы избежать песочниц. Проверяется также время установки системы.
Если какая-либо из этих проверок не пройдена, сценарий отключит системные сетевые адаптеры, настроит брандмауэр Windows на блокировку всего трафика, удалит все на всех обнаруженных дисках, а затем выключит компьютер. Если все проверки пройдены успешно, сценарий отключает ведение журнала блоков сценариев PowerShell и добавляет исключения Защитника Windows для файлов «.lnk», «.rar» и «.exe», а также для каталогов, важных для функционирования вредоносного ПО.
Постоянство достигается с помощью нескольких методов, включая добавление новых ключей реестра, встраивание сценария в запланированное задание, добавление новой записи в каталог автозагрузки, а также подписки WMI.
После того, как этап PowerShell завершает процесс, с C2 загружается окончательная полезная нагрузка ("header.png"), зашифрованная с помощью AES. Ресерчеры смогли загрузить и проанализировать файл header.png, однако им не удалось его расшифровать.
Аналитики определили, что домены, используемые для инфраструктуры C2, поддерживающей эту кампанию, были зарегистрированы в июле 2022 года и размещены на DigitalOcean. Позже были перемещены домены в Cloudflare, чтобы воспользоваться ее CDN и службами безопасности, включая маскировку IP-адресов, геоблокировку и шифрование HTTPS/TLS.
Некоторые домены C2, упомянутые в отчете, включают «terma[.]wiki», «terma[.]ink», «terma[.]dev», «terma[.]app» и «cobham-satcom.onrender[.] ком".
В целом, эта кампания выглядит как работа достаточно изощренного актора, который способен отлично скрываться от радаров в системе.
Аналитики обнаружили атаки, но не смогли связать кампанию с какими-либо известными субъектами угроз, хотя в отчете упоминается некоторое сходство с прошлыми атаками APT37 (Konni).
Целенаправленные атаки начинаются с рассылки фишинговых электронных писем сотрудникам. Письмо включает в себя ZIP-вложение, содержащее файл-ярлык («Company & Benefits.pdf.lnk»), который при выполнении подключается к C2 и запускает цепочку сценариев PowerShell, заражающих систему вредоносным ПО.
Интересно, что файл ярлыка не использует широко используемые инструменты «cmd.exe» или «powershell.exe», а вместо этого полагается на необычную команду «C:\Windows\System32\ForFiles.exe» для выполнения команд.
Кампания также выделяется, прежде всего, своей безопасной инфраструктурой C2 и несколькими уровнями обфускации в стейджерах PowerShell.
Методы запутывания включают запутывание переупорядочивания символов, запутывание IEX, запутывание значений байтов, необработанное сжатие, изменение порядка, замену строк и запутывание обратных кавычек.
Кроме того, сценарий сканирует список процессов, связанных с ПО для отладки и мониторинга, проверяет, чтобы высота экрана превышала 777 пикселей, а объем памяти превышал 4 ГБ, чтобы избежать песочниц. Проверяется также время установки системы.
Если какая-либо из этих проверок не пройдена, сценарий отключит системные сетевые адаптеры, настроит брандмауэр Windows на блокировку всего трафика, удалит все на всех обнаруженных дисках, а затем выключит компьютер. Если все проверки пройдены успешно, сценарий отключает ведение журнала блоков сценариев PowerShell и добавляет исключения Защитника Windows для файлов «.lnk», «.rar» и «.exe», а также для каталогов, важных для функционирования вредоносного ПО.
Постоянство достигается с помощью нескольких методов, включая добавление новых ключей реестра, встраивание сценария в запланированное задание, добавление новой записи в каталог автозагрузки, а также подписки WMI.
После того, как этап PowerShell завершает процесс, с C2 загружается окончательная полезная нагрузка ("header.png"), зашифрованная с помощью AES. Ресерчеры смогли загрузить и проанализировать файл header.png, однако им не удалось его расшифровать.
Аналитики определили, что домены, используемые для инфраструктуры C2, поддерживающей эту кампанию, были зарегистрированы в июле 2022 года и размещены на DigitalOcean. Позже были перемещены домены в Cloudflare, чтобы воспользоваться ее CDN и службами безопасности, включая маскировку IP-адресов, геоблокировку и шифрование HTTPS/TLS.
Некоторые домены C2, упомянутые в отчете, включают «terma[.]wiki», «terma[.]ink», «terma[.]dev», «terma[.]app» и «cobham-satcom.onrender[.] ком".
В целом, эта кампания выглядит как работа достаточно изощренного актора, который способен отлично скрываться от радаров в системе.
Securonix
Securonix Threat Labs Security Advisory: Detecting STEEP#MAVERICK: New Covert Attack Campaign Targeting Military Contractors
Find out how a sophisticated attack targeted military contractors using advanced PowerShell tactics and obfuscation techniques.
Forwarded from SecurityLab.ru
— Набор инструментов для постэксплуатации Brute Ratel С4 был взломан и теперь бесплатно распространяется на хакерских форумах.
— Разработчик Brute Ratel Четан Наяк сообщил, что может отозвать лицензии у любых клиентов, использующих Brute Ratel в злонамеренных целях. Однако, по его словам, на VirusTotal была загружена лицензионная версия, которая затем была взломана группировкой «Molecules».
— Brute Ratel может генерировать шелл-код, который не обнаруживается средствами безопасности. Это предоставляет хакеру достаточное количество времени, чтобы установить первоначальный доступ, совершить боковое перемещение и добиться постоянства в системе.
https://www.securitylab.ru/news/534149.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Инструмент пентестера из Mandiant взломан и выложен в открытый доступ
Универсальный инструмент является заменой Cobalt Strike и может использоваться даже неопытными хакерами.
Ресерчеры из вьетнамского подразделения кибербезопасности GTSC сообщают об обнаружении активно эксплуатируемой 0-day в Microsoft Exchange, позволяющие злоумышленнику выполнить RCE.
Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.
GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.
Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.
Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.
Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.
ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.
GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.
Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.
В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.
Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.
Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.
GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.
Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.
Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.
Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.
ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.
GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.
Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.
В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.
Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.
gteltsc.vn
WARNING: NEW ATTACK CAMPAIGN UTILIZED A NEW 0-DAY RCE VULNERABILITY ON MICROSOFT EXCHANGE SERVER
Circa the beginning of August 2022, while doing security monitoring & incident response services, GTSC SOC team discovered that a critical infrastructure
Forwarded from Social Engineering
🤔 Личное мнение. Почему атаки с помощью методов СИ в РФ эффективнее, чем в других странах?
• Если говорить об утечках, то недавно securitylab опубликовали новость, в которой сказано, что с начала 2022 года в РФ произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 млн записей с личной информацией россиян.
• А как мы все прекрасно знаем, в 80% случаев атакующие используют информацию собранную из открытых источников, которая становится доступна любому желающему, благодаря утечкам данных различных компаний. Соответственно атаки с помощью методов СИ становятся наиболее эффективными...
• Что касается низкой осведомленности, то почти в каждом третьем случае граждане лишаются денежных средств из-за собственной беспечности. Атакующие с успехом используют способы психологического воздействия, ведь любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом.
• Исходя из этого, методы социальной инженерии часто завершаются успехом даже если интеллект атакующего заметно ниже, чем у жертвы. Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения и страха.
• Берегите свои данные, сейчас информация — это золото. Большое количество данных — это огромные возможности для социальных инженеров и фишеров.
Твой S.E. #СИ
🖖🏻 Приветствую тебя user_name.
• В RU сегменте, атаки с помощью социальной инженерии получили куда большее распространение, чем в других странах. Эта проблема нарастает с каждым годом из-за определенных причин: • Утечки баз данных различных компаний и структур.• Низкая осведомленность граждан.• Если говорить об утечках, то недавно securitylab опубликовали новость, в которой сказано, что с начала 2022 года в РФ произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 млн записей с личной информацией россиян.
• А как мы все прекрасно знаем, в 80% случаев атакующие используют информацию собранную из открытых источников, которая становится доступна любому желающему, благодаря утечкам данных различных компаний. Соответственно атаки с помощью методов СИ становятся наиболее эффективными...
• Что касается низкой осведомленности, то почти в каждом третьем случае граждане лишаются денежных средств из-за собственной беспечности. Атакующие с успехом используют способы психологического воздействия, ведь любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом.
• Исходя из этого, методы социальной инженерии часто завершаются успехом даже если интеллект атакующего заметно ниже, чем у жертвы. Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения и страха.
• Берегите свои данные, сейчас информация — это золото. Большое количество данных — это огромные возможности для социальных инженеров и фишеров.
Твой S.E. #СИ
Разработчики браузера Brave порадовали своих пользователей, внедрив блокировку раздражающих баннеров с согласием на использование cookie.
С недавнего времени такие уведомления стали необходимым для ведения бизнеса в Интернете, который подпадает под правила защиты данных GDPR, а пользователям приходится сталкиваться с ними почти каждый раз при посещении веб-сайта.
При этом зачастую сами баннеры наносят больший ущерб конфиденциальности недели упомянутые в нем соглашения. В некоторых случаях эти баннеры могут сами служить трекерами, нарушая конфиденциальность, еще до того, как у пользователя появится возможность отказаться.
Теперь же новые версии Brave будут скрывать — и, по возможности, полностью блокировать — уведомления о согласии на использование файлов cookie, снижая потенциальный риск для конфиденциальности пользователей, что выгодно отличает браузер от аналогов, реализующих функцию автоматического согласия.
При этом Brave будет блокировать канал связи между браузером и системой отслеживания согласия.
Внедрение новой системы уже началось в Brave Nightly, и планируется, что в октябре она достигнет стабильной ветки версии 1.45, начиная с Windows и Android. iOS появится вскоре после этого.
Новая опция появится в настройках браузера, в разделе «Щит», где пользователи могут поставить галочку для блокировки навязчивых уведомлений о файлах cookie.
С недавнего времени такие уведомления стали необходимым для ведения бизнеса в Интернете, который подпадает под правила защиты данных GDPR, а пользователям приходится сталкиваться с ними почти каждый раз при посещении веб-сайта.
При этом зачастую сами баннеры наносят больший ущерб конфиденциальности недели упомянутые в нем соглашения. В некоторых случаях эти баннеры могут сами служить трекерами, нарушая конфиденциальность, еще до того, как у пользователя появится возможность отказаться.
Теперь же новые версии Brave будут скрывать — и, по возможности, полностью блокировать — уведомления о согласии на использование файлов cookie, снижая потенциальный риск для конфиденциальности пользователей, что выгодно отличает браузер от аналогов, реализующих функцию автоматического согласия.
При этом Brave будет блокировать канал связи между браузером и системой отслеживания согласия.
Внедрение новой системы уже началось в Brave Nightly, и планируется, что в октябре она достигнет стабильной ветки версии 1.45, начиная с Windows и Android. iOS появится вскоре после этого.
Новая опция появится в настройках браузера, в разделе «Щит», где пользователи могут поставить галочку для блокировки навязчивых уведомлений о файлах cookie.
Brave
Blocking annoying and privacy-harming cookie consent banners | Brave
New versions of Brave will hide—and, where possible, completely block—cookie consent notifications. Brave's approach is distinct and more privacy-preserving than similar systems used in other browsers.
Коммуникационная платформа Matrix исправляет критические уязвимости сквозного шифрования в комплекте для разработки программного обеспечения (SDK), рекомендуя пользователям применить доступные обновления к своим IM-клиентам.
Matrix — открытый децентрализованный клиент-серверный протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи, а также передачей сообщений между серверами и API в формате JSON.
Используя уязвимости, злоумышленник может реализовать атаки типа MiTM, получив доступ к содержимому сообщений в Matrix. Среди затронутых клиентов: matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, такие как Element, Beeper, Cinny, SchildiChat, Circuli и Synod.im.
Уязвимости были обнаружены группой исследователей из Brave Software, Королевского университета Холлоуэя в Лондоне и Университета Шеффилда, которые представили свой технический отчет с подробным описанием своих выводов и шестью примерами атак с использованием ошибок.
Критическая CVE-2022-39250 описывается как ошибка путаницы с идентификатором ключа/устройства при проверке SAS на matrix-js-sdk, позволяющая администратору сервера нарушать проверку на основе смайликов при использовании перекрестной подписи, аутентифицируя себя вместо целевого пользователя.
Другие критические ошибки CVE-2022-39251, CVE-2022-39255 и CVE-2022-39248 связаны с путаницей протоколов в matrix-js-sdk, matrix-ios-sdk (клиенты iOS) и matrix-android-sdk2 (клиенты Android) соответственно, приводящей к неправильному приему сообщений от поддельного отправителя, открывающая возможность выдать себя за доверенного отправителя.
Тот же недостаток позволяет злоумышленникам-администраторам домашних серверов добавлять резервные ключи к учетной записи цели.
Серьезные проблемы CVE-2022-39249, CVE-2022-39257 и CVE-2022-39246 в matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2 соответственно, приводят к принятию ключей, пересылаемых без запроса, что делает возможным олицетворение других пользователей на сервере. Клиенты помечают эти сообщения как подозрительные на стороне получателя, поэтому серьезность ошибки снижается.
Еще не отмеченные CVE оставшиеся ошибки позволяют злоумышленнику на домашнем сервере подделывать приглашения от имени своих пользователей или добавлять устройства в учетные записи пользователей, а также снижают безопасность AES-CTR для шифрования вложений, секретов и резервных копий симметричных ключей без вектора инициализации AES.
Согласно заявлению, Matrix эксплуатация уязвимостей достаточно осложнена, а доказательства активного использования в дикой природе ими не получены.
Но не стоить беспокоиться насчет сложности эксплуатации, ведь если это касается возможности взломать реализованные на базе Matrix приватные мессенджеры Минобороны Германии или правительства Франции, то задача будет решена. Или уже решена.
Matrix — открытый децентрализованный клиент-серверный протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи, а также передачей сообщений между серверами и API в формате JSON.
Используя уязвимости, злоумышленник может реализовать атаки типа MiTM, получив доступ к содержимому сообщений в Matrix. Среди затронутых клиентов: matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, такие как Element, Beeper, Cinny, SchildiChat, Circuli и Synod.im.
Уязвимости были обнаружены группой исследователей из Brave Software, Королевского университета Холлоуэя в Лондоне и Университета Шеффилда, которые представили свой технический отчет с подробным описанием своих выводов и шестью примерами атак с использованием ошибок.
Критическая CVE-2022-39250 описывается как ошибка путаницы с идентификатором ключа/устройства при проверке SAS на matrix-js-sdk, позволяющая администратору сервера нарушать проверку на основе смайликов при использовании перекрестной подписи, аутентифицируя себя вместо целевого пользователя.
Другие критические ошибки CVE-2022-39251, CVE-2022-39255 и CVE-2022-39248 связаны с путаницей протоколов в matrix-js-sdk, matrix-ios-sdk (клиенты iOS) и matrix-android-sdk2 (клиенты Android) соответственно, приводящей к неправильному приему сообщений от поддельного отправителя, открывающая возможность выдать себя за доверенного отправителя.
Тот же недостаток позволяет злоумышленникам-администраторам домашних серверов добавлять резервные ключи к учетной записи цели.
Серьезные проблемы CVE-2022-39249, CVE-2022-39257 и CVE-2022-39246 в matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2 соответственно, приводят к принятию ключей, пересылаемых без запроса, что делает возможным олицетворение других пользователей на сервере. Клиенты помечают эти сообщения как подозрительные на стороне получателя, поэтому серьезность ошибки снижается.
Еще не отмеченные CVE оставшиеся ошибки позволяют злоумышленнику на домашнем сервере подделывать приглашения от имени своих пользователей или добавлять устройства в учетные записи пользователей, а также снижают безопасность AES-CTR для шифрования вложений, секретов и резервных копий симметричных ключей без вектора инициализации AES.
Согласно заявлению, Matrix эксплуатация уязвимостей достаточно осложнена, а доказательства активного использования в дикой природе ими не получены.
Но не стоить беспокоиться насчет сложности эксплуатации, ведь если это касается возможности взломать реализованные на базе Matrix приватные мессенджеры Минобороны Германии или правительства Франции, то задача будет решена. Или уже решена.