͏Что ж ты, фраер, сдал назад?
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
После дерзкой атаки на австралийского провайдера Optus и не менее дерзкого вымогательства 1 000 000 долларов США за украденную информацию на 11 млн. абонентов, актор принес извинения за утечку 10 тысяч клиентских данных и отозвал свои требования.
Более того, OptusData удалил эксфильтрованные данные, включая и небольшой образец украденных данных на хакерском форуме Breached. Он объяснил это тем высоким резонансом и пристальным вниманием спецслужб к инциденту, инициировавших целую операцию под названием Ураган.
Правда, некоторые из жертв этой утечки уже стали объектом преследования, получая сообщения с требованием выплаты 2000 австралийских долларов (1300 долларов США) в течение двух дней, в противном случае их данные будут проданы другим хакерам.
Австралийская полиция заявила о привлечении возможностей зарубежных правоохранителей и задействовании целого арсенала технологий деанона, предупредив, что акторам грозит наказание в виде лишения свободы на срок до десяти лет.
Вряд ли, это удивило или хоть как-то встревожило дельца, который прекрасно понимает и осознает чем он занимается.
Однако, учитывая всю массу критики, которая обрушилась на жертву атаки, инцидент скорее был благополучно разрешен где-нибудь в приватной переписке за хороший гонорар каким-нибудь частным инвестором.
В поисках очередного кряка, важно самому не стать крякнутным.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
О новой угрозе предупреждают специалисты Лаборатории Касперского, которые обнаружили новый дроппер NullMixer, активно рекламируемый на вредоносных сайтах.
Дроппер крайне опасен и способен одновременно заразить устройства Windows двенадцатью различными семействами вредоносных программ.
Черные сеошники хорошо поработали и при поиске кряка или кейгена, вероятно нарветесь на мошеннический сайт и под видом желанного софта скачаете и запустите NullMixer, который наградит вас букетом разных троянских программ, даунлоудеров, шпионов и инфостилеров.
Момент когда стоит задуматься, так это если при попытке скачать желанный софт вас проведут через цепочку редиректоров на страницу с инструкциями по загрузке с файлообменника запароленного ZIP или RAR архива, который собственно и будет содержать вредоносный дроппер.
Чтобы вывести свои сайты в топ поисковой выдачи, злоумышленники применяют "серые" SEO-методы, например заполнение страниц расхожими ключевыми словами и фразами. Похожая тактика ранее уже наблюдалась в кампаниях GootLoader и SolarMarker, а в прошлом месяце — в атаках Redline.
Помимо того, что коварный NullMixer загружает дюжину троянов одновременно, что значительно увеличивает масштабы заражения, он сначала сам украдет у вас сведения об учетных данных пользователей, адресов, данные кредитных карт, криптовалют и даже файлы cookie с сеансами учетных записей Facebook и Amazon.
Специалисты связывают NullMixer с распространением в прошлом месяце мошеннического расширения Google Chrome под названием FB Stealer, которое ворует учетные данные Facebook и подменяет результаты выдачи поисковых систем.
Лаборатория Касперского заявила, что заблокировала более 47 778 попыток заражения жертв по всему миру, при этом большинство пользователей находятся в Бразилии, Индии, России, Италии, Германии, Франции, Египте, Турции и США.
В прочем любая загрузка файлов с ненадежных ресурсов — это настоящая игра в рулетку. Уже устоявшаяся практика, когда малварь распространяются через пиратское ПО.
Securelist
NullMixer drops Redline Stealer, SmokeLoader and other malware
NullMixer is a dropper delivering a number of Trojans, such as RedLine Stealer, SmokeLoader, Satacom, and others.
Sentinel One раскрывает новую фишинговую кампанию, за которой стоят северокорейские Lazarus.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
Как известно, с 2020 года хакеры ведут кампанию под названием Operation In(ter)ception, нацеленную на специалистов в криптоиндустрии.
Злоумышленники обманом пытаются заставить жертв открыть вредоносные файлы для заражения их системы и взлома внутренних сетей крипто-компаний с конечной целью кражи больших объемов криптовалюты, NFT или ведения шпионажа.
Если в августе 2022 года Lazarus использовали вредоносные предложения о работе, выдавая себя за Coinbase, то на этот раз перешли к поддельным предложениям Crypto.com для взлома разработчиков и кражи цифровых активов и криптовалюты с использованием того же вредоносного ПО для macOS, что и в предыдущих кампаниях.
Crypto.com — одна из ведущих мировых платформ обмена криптовалютой. Компания стала известна в 2021 году после приобретения арены Los Angeles Staples Center, которая была переименована в Crypto.com Arena и стала вещать серию телевизионных рекламных роликов, продвигающих продукт.
Lazarus обычно обращаются к своим целям через LinkedIn, отправляя им сообщения с упоминанием о высокооплачиваемой вакансии в крупной компании. После чего заинтересованные жертвы получают 26-страничный PDF с именем «Crypto.com_Job_Opportunities_2022_confidential.pdf».
В фоновом режиме двоичный файл Mach-O создает папку WifiPreference в каталоге библиотеки пользователя. На втором этапе — WifiAnalyticsServ.app загружает агент wifanalyticsagent, который в конечном итоге подключается к серверу C2 по адресу market.contradecapital[.]com для получения окончательной полезной нагрузки WiFiCloudWidget.
Исследователи не смогли проанализировать окончательную полезную нагрузку в виду того, что C2 был отключен на момент расследования.
При этом двоичные файлы подписаны специальной подписью, поэтому они могут проходить проверки Apple Gatekeeper и выполняться как доверенное ПО.
Актор не предпринял никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочность кампании.
Скорее всего, Lazarus вскоре переключатся на другую компанию-приманку, сохранив при этом остальные элементы атаки практически без изменений.
Результаты исследования указывают на продолжение Operation In(ter)ception, в связи с чем специалистам в области криптоиндустрии следует проявлять бдительность, дабы не стать троянским конем для своего работодателя.
SentinelOne
Lazarus ‘Operation In(ter)ception’ Targets macOS Users Dreaming of Jobs in Crypto
First Coinbase, now Crypto.com. Lazarus campaign targets more crypto exchange platform job seekers with multi-stage malware.
Лаборатория Касперского четко расчехляет маститого бразильского актора, который за годы работы превратил вредоносное ПО, ориентированное на банкоматы в модульное вредоносное ПО для торговых точек.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Знакомьтесь, это Prilex.
Группа стояла за одной из крупнейших атак на банкоматы в стране, заразив и взломав более 1000 машин, а также клонировав более 28 000 кредитных карт.
Злоумышленники не имели физического доступа к машинам, но они смогли получить доступ к сети банка, используя самодельное устройство, содержащее маршрутизатор 4G и Raspberry PI. Им удалось скомпрометировать беспроводное соединение учреждения и нацелиться на банкоматы по всей сети.
Группа сосредоточила все свои атаки на системах PoS, нацеленных на бразильские платежные системы с ПО EFT/TEF, превратив свое ПО в очень продвинутую и сложную вредоносную программу.
Первое вредоносное ПО для PoS было обнаружено в октябре 2016 года. PoS-версия Prilex написана на Visual Basic, но модуль стилера, описанный в отчете, написан на p-code.
Основной подход, используемый Prilex для сбора данных кредитных карт, заключается в использовании патча в системных библиотеках PoS, позволяющего вредоносному ПО собирать данные, передаваемые программным обеспечением.
Prilex не является широко распространенным типом вредоносного ПО, так как не распространяется через спам-кампании по электронной почте. Он очень целенаправленный и обычно доставляется с помощью социальной инженерии.
Последний выпуск способен генерировать криптограммы EMV (Europay, MasterCard и Visa), представленные VISA в 2019 году в качестве системы проверки транзакций, помогающей обнаруживать и блокировать мошенничество с платежами.
Как подробно описано в отчете «Лаборатории Касперского», это также позволяет злоумышленникам использовать криптограмму EMV для выполнения фантомных транзакций даже с использованием кредитных карт, защищенных технологией CHIP и PIN.
В новой версии Prilex также добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации. Его модуль кражи использует перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и программным обеспечением PoS и может изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C2 через HTTP-запросы POST.
Позже они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом. Запрашиваемая цена за комплект Prilex PoS составляет 3500 долларов. Правда, были и случаи, когда он продавался через чаты Telegram по цене от 10 000 до 13 000 долларов.
В настоящее время Prilex использует Subversion, что является явным признаком того, что они работают с более чем одним разработчиком. За годы работы группа меняла технику, однако главный вектор, направленный на злоупотребления PoS-процессами и перехват связи с ПИН-падом, остается неизменным.
Успех Prilex является сильнейшим мотиватором к появлению новых семейств вредоносных программ, оказывающих серьезное влияние на цепочку платежей, в связи с чем разработчикам ПО PoS определенно стоит задуматься над внедрением в свои модули средства самозащиты, такие как Kaspersky SDK.
Securelist
Prilex: Brazilian PoS malware evolution
Prilex is a Brazilian threat actor focusing on ATM and PoS attacks. In this report, we provide an overview of its PoS malware.
Bishop Fox совместно с SANS Institute опросили более 300 практикующих хакеров, по результатам стало понятно, что многие из них могут провести сквозную атаку менее чем за день.
Цель исследования - получить представление о том, как думают и действуют реальные хакеры, насколько быстро они реализуют атаки, какие инструменты и тактику используют, что может быть весьма полезно специалистам ИБ для совершенствования стратегий защиты.
Примерно 40 % респондентов ответили, что для обнаружения уязвимости, дающей доступ к целевой среде организации (нарушение периметра), им потребуется не более 5 часов, а 5 % считают - менее чем за час. Более 58% заявили, что могут проникнуть в целевую среду менее чем за 5 часов.
Что касается поверхности атаки, наиболее часто выявляемые уязвимые точки включают проблемные конфигурации, открытые веб-службы и ошибки в ПО.
Более половины респондентов заявили, что после получения первоначального доступа им требуется до 5 часов, чтобы получить доступ к целевым данным или системе путем повышения привилегий или горизонтального перемещения.
Почти 64% могут собирать и эксфильтровать данные также в течение 5 часов, а 16% утверждают, что могут сделать это менее чем за 1 час.
На вопрос о том, сколько времени им требуется для проведения сквозной атаки, 18% ответили, что могут сделать это за 10 часов или менее, но более половины считают, что им потребуются на это сутки.
В случае, если провала первоначального вектора атаки, только 38% удавалось добиться успеха, используя новые методы. При этом опрос показал, что чем больше у хакера опыта, тем больше у него шансов на успех.
Наиболее эффективными и рентабельными векторами атак респонденты назвали социальную инженерию, за которой следует фишинг.
Почти 60% заявили, что используют инструменты с открытым исходным кодом, и только 11% полагаются на коммерческие инструменты.
Что особенно важно, многие опрошенные полагают, что организации достаточно часто не обладают необходимым функционалом для обнаружения, реагирования и отражения атак.
Полный отчет под названием Думай как хакер: взгляды и методы современных противников доступен в формате PDF.
Цель исследования - получить представление о том, как думают и действуют реальные хакеры, насколько быстро они реализуют атаки, какие инструменты и тактику используют, что может быть весьма полезно специалистам ИБ для совершенствования стратегий защиты.
Примерно 40 % респондентов ответили, что для обнаружения уязвимости, дающей доступ к целевой среде организации (нарушение периметра), им потребуется не более 5 часов, а 5 % считают - менее чем за час. Более 58% заявили, что могут проникнуть в целевую среду менее чем за 5 часов.
Что касается поверхности атаки, наиболее часто выявляемые уязвимые точки включают проблемные конфигурации, открытые веб-службы и ошибки в ПО.
Более половины респондентов заявили, что после получения первоначального доступа им требуется до 5 часов, чтобы получить доступ к целевым данным или системе путем повышения привилегий или горизонтального перемещения.
Почти 64% могут собирать и эксфильтровать данные также в течение 5 часов, а 16% утверждают, что могут сделать это менее чем за 1 час.
На вопрос о том, сколько времени им требуется для проведения сквозной атаки, 18% ответили, что могут сделать это за 10 часов или менее, но более половины считают, что им потребуются на это сутки.
В случае, если провала первоначального вектора атаки, только 38% удавалось добиться успеха, используя новые методы. При этом опрос показал, что чем больше у хакера опыта, тем больше у него шансов на успех.
Наиболее эффективными и рентабельными векторами атак респонденты назвали социальную инженерию, за которой следует фишинг.
Почти 60% заявили, что используют инструменты с открытым исходным кодом, и только 11% полагаются на коммерческие инструменты.
Что особенно важно, многие опрошенные полагают, что организации достаточно часто не обладают необходимым функционалом для обнаружения, реагирования и отражения атак.
Полный отчет под названием Думай как хакер: взгляды и методы современных противников доступен в формате PDF.
Bishop Fox
Know Your Enemy, Know Yourself: Examining the Mind of a Cyber Attacker
We partnered with SANS to research the minds and methods of modern cyber adversaries. See what inspired the survey and get the full report.
Все тайны и секреты протокола Schneider Electric UMAS раскрыли ресерчеры Лаборатории Касперского.
UMAS (Unified Messaging Application Services) — это проприетарный протокол Schneider Electric (SE), который используется для конфигурации и мониторинга Schneider Electric PLC.
Он реализован в таких контроллерах Schneider Electric, как Modicon M580 CPU и Modicon M340 CPU. Конфигурация и программирование этих процессоров осуществляется при помощи инженерного ПО — EcoStruxure Control Expert (Unity Pro), EcoStruxure Process Expert.
В 2020 году в ПО была обнаружена CVE-2020-28212, которая позволяла удаленному неавторизованному злоумышленнику получить управление контроллером с правами уже аутентифицированного на ПЛК оператора.
Для ее исправления производитель разработал Application Password, обеспечивая тем самым защиту от несанкционированного доступа к ПЛК и внесения нежелательных изменений.
Для внесения изменений в ПЛК требуется его «резервирование». Эта процедура и выполняет роль аутентификации.
Основная проблема базового механизма резервирования без использования Application Password заключалась в том, что атакующий с помощью ключа сессии может отправлять запросы и изменять конфигурацию устройства.
После активации Application Password с помощью EcoStruxure Control Expert клиенту необходимо вводить пароль при подключении к устройству в рамках процедуры резервирования. Также Application Password вносит изменения в сам механизм резервирования.
Однако специалисты Kaspersky ICS CERT обнаружили недостатки уже в новом механизме. Главный недостаток состоит в том, что все вычисления в ходе аутентификации происходят на стороне клиента, то есть на стороне инженерного ПО EcoStruxure Control Expert.
Выявленная в ходе исследования уязвимость CVE-2021-22779 давала удаленному нарушителю возможность обойти процесс аутентификации и использовать функции, требующие резервирования, чтобы вносить изменения в ПЛК.
Как выяснилось, дело в том, что протокол UMAS в реализации, предшествующей версии с исправленной уязвимостью CVE-2021-22779, имеет критические недостатки, которые затрагивают безопасность систем управления на основе контроллеров SE.
К середине августа 2022 года компания Schneider Electric выпустила обновление для ПО EcoStruxure Control Expert, ПЛК Modicon M340 и ПЛК Modicon M580 с исправлением баги.
Подробный отчет с результатами исследования, описанием исправлений и рекомендациями ресерчеров представлен на сайте Kaspersky ICS CERT (здесь).
UMAS (Unified Messaging Application Services) — это проприетарный протокол Schneider Electric (SE), который используется для конфигурации и мониторинга Schneider Electric PLC.
Он реализован в таких контроллерах Schneider Electric, как Modicon M580 CPU и Modicon M340 CPU. Конфигурация и программирование этих процессоров осуществляется при помощи инженерного ПО — EcoStruxure Control Expert (Unity Pro), EcoStruxure Process Expert.
В 2020 году в ПО была обнаружена CVE-2020-28212, которая позволяла удаленному неавторизованному злоумышленнику получить управление контроллером с правами уже аутентифицированного на ПЛК оператора.
Для ее исправления производитель разработал Application Password, обеспечивая тем самым защиту от несанкционированного доступа к ПЛК и внесения нежелательных изменений.
Для внесения изменений в ПЛК требуется его «резервирование». Эта процедура и выполняет роль аутентификации.
Основная проблема базового механизма резервирования без использования Application Password заключалась в том, что атакующий с помощью ключа сессии может отправлять запросы и изменять конфигурацию устройства.
После активации Application Password с помощью EcoStruxure Control Expert клиенту необходимо вводить пароль при подключении к устройству в рамках процедуры резервирования. Также Application Password вносит изменения в сам механизм резервирования.
Однако специалисты Kaspersky ICS CERT обнаружили недостатки уже в новом механизме. Главный недостаток состоит в том, что все вычисления в ходе аутентификации происходят на стороне клиента, то есть на стороне инженерного ПО EcoStruxure Control Expert.
Выявленная в ходе исследования уязвимость CVE-2021-22779 давала удаленному нарушителю возможность обойти процесс аутентификации и использовать функции, требующие резервирования, чтобы вносить изменения в ПЛК.
Как выяснилось, дело в том, что протокол UMAS в реализации, предшествующей версии с исправленной уязвимостью CVE-2021-22779, имеет критические недостатки, которые затрагивают безопасность систем управления на основе контроллеров SE.
К середине августа 2022 года компания Schneider Electric выпустила обновление для ПО EcoStruxure Control Expert, ПЛК Modicon M340 и ПЛК Modicon M580 с исправлением баги.
Подробный отчет с результатами исследования, описанием исправлений и рекомендациями ресерчеров представлен на сайте Kaspersky ICS CERT (здесь).
securelist.ru
Уязвимости протокола UMAS компании Schneider Electric
Отчет Kaspersky ICS CERT об уязвимостях в инженерном ПО компании Schneider Electric, позволяющих злоупотреблять протоколом UMAS.
Google объявила о выпуске Chrome 106 для Windows, Mac и Linux с исправлениями 20 уязвимостей, в том числе 5 с высокой степенью серьезности.
Половина уязвимостей представляют собой ошибки использования после освобождения, которые могут привести к RCE, DoS или повреждению данных. В сочетании с другими уязвимостями ошибки могут быть использованы для полной компрометации системы.
Из пяти серьезных проблем, которые исправлены в Chrome 106, четыре представляют собой уязвимости использования после освобождения (CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307), затрагивающие три компонента браузера, а именно CSS, Survey и Media.
Пятая — недостаточная проверка ненадежного ввода в инструментах разработчика (CVE-2022-3201).
В последнем выпуске браузера также устранены три уязвимости среднего уровня, также связанные с использованием после освобождения (CVE-2022-3309, CVE-2022-3311, CVE-2022-3314), которые влияют на три других компонента Chrome: Assistant, Import и Logging.
Обновление браузера также устраняет недостаточное применение политики средней степени серьезности в инструментах разработчика (CVE-2022-3308) и настраиваемых вкладках (CVE-2022-3310), недостаточную проверку ненадежного ввода в VPN (CVE-2022-3312), неправильный пользовательский интерфейс безопасности в полноэкранном режиме (CVE-2022-3313) и путаницу типов в Blink (CVE-2022-3315).
Google выплатила в общей сложности более 38 000 долларов по BugBounty сообщившим об ошибках.
Сведений об эксплуатации уязвимостей в дикой природе Google не сообщает.
Почти незаметным прошло очередное обновление Apple для своей мобильной iOS и watchOS.
Новые версии iOS 16.0.2 и watchOS 9.0.1 были выпущены 22 сентября 2022 года, однако как и для вышедшей еще неделей ранее iOS 16.0.1 записи CVE отсутствуют.
Apple в целях защиты клиентов не разглашает информацию о проблемах безопасности.
Наверно, новые АНБэшные бэкдоры подъехали, а старые еще не успели списать.
Половина уязвимостей представляют собой ошибки использования после освобождения, которые могут привести к RCE, DoS или повреждению данных. В сочетании с другими уязвимостями ошибки могут быть использованы для полной компрометации системы.
Из пяти серьезных проблем, которые исправлены в Chrome 106, четыре представляют собой уязвимости использования после освобождения (CVE-2022-3304, CVE-2022-3305, CVE-2022-3306, CVE-2022-3307), затрагивающие три компонента браузера, а именно CSS, Survey и Media.
Пятая — недостаточная проверка ненадежного ввода в инструментах разработчика (CVE-2022-3201).
В последнем выпуске браузера также устранены три уязвимости среднего уровня, также связанные с использованием после освобождения (CVE-2022-3309, CVE-2022-3311, CVE-2022-3314), которые влияют на три других компонента Chrome: Assistant, Import и Logging.
Обновление браузера также устраняет недостаточное применение политики средней степени серьезности в инструментах разработчика (CVE-2022-3308) и настраиваемых вкладках (CVE-2022-3310), недостаточную проверку ненадежного ввода в VPN (CVE-2022-3312), неправильный пользовательский интерфейс безопасности в полноэкранном режиме (CVE-2022-3313) и путаницу типов в Blink (CVE-2022-3315).
Google выплатила в общей сложности более 38 000 долларов по BugBounty сообщившим об ошибках.
Сведений об эксплуатации уязвимостей в дикой природе Google не сообщает.
Почти незаметным прошло очередное обновление Apple для своей мобильной iOS и watchOS.
Новые версии iOS 16.0.2 и watchOS 9.0.1 были выпущены 22 сентября 2022 года, однако как и для вышедшей еще неделей ранее iOS 16.0.1 записи CVE отсутствуют.
Apple в целях защиты клиентов не разглашает информацию о проблемах безопасности.
Наверно, новые АНБэшные бэкдоры подъехали, а старые еще не успели списать.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 106 to the stable channel for Windows, Mac and Linux . This will roll ou...
Обнаружено четыре уязвимости в широко распространенной функции Ethernet VLAN Stacking.
VLAN Stacking — функция современных маршрутизаторов и коммутаторов, которая позволяет компаниям инкапсулировать несколько идентификаторов VLAN в одно соединение VLAN.
Об уязвимостях сообщил координационный центр CERT, предоставив производителям устройств время на расследование, реагирование и выпуск соответствующих обновлений безопасности.
Уязвимости существуют в протоколах инкапсуляции Ethernet, которые позволяют складывать заголовки виртуальной локальной сети (VLAN).
Злоумышленник, не прошедший проверку подлинности, может использовать комбинацию заголовков VLAN и LLC/SNAP для обхода средств сетевой фильтрации L2, таких как защита IPv6 RA, динамическая проверка ARP, защита обнаружения соседей IPv6 и отслеживание DHCP.
Недостатки безопасности затрагивают целый пул сетевых устройств, коммутаторов и маршрутизаторов, а также операционные системы, которые используют элементы управления безопасностью 2 уровня (L2) для фильтрации трафика и изоляции виртуальной сети.
Ошибки позволяют злоумышленникам выполнять атаки типа «отказ в обслуживании» (DoS) или «человек посередине» (MitM) за счет использования специально созданных пакетов.
Ошибки отслеживаются как CVE-2021-27853, CVE-2021-27854, CVE-2021-27861 и CVE-2021-27862, каждая из которых представляет собой отдельный тип обхода функции проверки сетевых пакетов 2 уровня.
Cisco и Juniper Networks уже подтвердили, что ряд из их продуктов подвержен уязвимостям, но многие другие поставщики устройств еще не завершили свое расследование и соответственно угроза воздействия остается актуальной.
VLAN Stacking — функция современных маршрутизаторов и коммутаторов, которая позволяет компаниям инкапсулировать несколько идентификаторов VLAN в одно соединение VLAN.
Об уязвимостях сообщил координационный центр CERT, предоставив производителям устройств время на расследование, реагирование и выпуск соответствующих обновлений безопасности.
Уязвимости существуют в протоколах инкапсуляции Ethernet, которые позволяют складывать заголовки виртуальной локальной сети (VLAN).
Злоумышленник, не прошедший проверку подлинности, может использовать комбинацию заголовков VLAN и LLC/SNAP для обхода средств сетевой фильтрации L2, таких как защита IPv6 RA, динамическая проверка ARP, защита обнаружения соседей IPv6 и отслеживание DHCP.
Недостатки безопасности затрагивают целый пул сетевых устройств, коммутаторов и маршрутизаторов, а также операционные системы, которые используют элементы управления безопасностью 2 уровня (L2) для фильтрации трафика и изоляции виртуальной сети.
Ошибки позволяют злоумышленникам выполнять атаки типа «отказ в обслуживании» (DoS) или «человек посередине» (MitM) за счет использования специально созданных пакетов.
Ошибки отслеживаются как CVE-2021-27853, CVE-2021-27854, CVE-2021-27861 и CVE-2021-27862, каждая из которых представляет собой отдельный тип обхода функции проверки сетевых пакетов 2 уровня.
Cisco и Juniper Networks уже подтвердили, что ряд из их продуктов подвержен уязвимостям, но многие другие поставщики устройств еще не завершили свое расследование и соответственно угроза воздействия остается актуальной.
kb.cert.org
CERT/CC Vulnerability Note VU#855201
L2 network security controls can be bypassed using VLAN 0 stacking and/or 802.3 headers
Исследователи Securonixdiscovered обнаружили новую кампанию, нацеленную на военных подрядчиков, включая поставщика компонентов для истребителей F-35 Lightning II.
Аналитики обнаружили атаки, но не смогли связать кампанию с какими-либо известными субъектами угроз, хотя в отчете упоминается некоторое сходство с прошлыми атаками APT37 (Konni).
Целенаправленные атаки начинаются с рассылки фишинговых электронных писем сотрудникам. Письмо включает в себя ZIP-вложение, содержащее файл-ярлык («Company & Benefits.pdf.lnk»), который при выполнении подключается к C2 и запускает цепочку сценариев PowerShell, заражающих систему вредоносным ПО.
Интересно, что файл ярлыка не использует широко используемые инструменты «cmd.exe» или «powershell.exe», а вместо этого полагается на необычную команду «C:\Windows\System32\ForFiles.exe» для выполнения команд.
Кампания также выделяется, прежде всего, своей безопасной инфраструктурой C2 и несколькими уровнями обфускации в стейджерах PowerShell.
Методы запутывания включают запутывание переупорядочивания символов, запутывание IEX, запутывание значений байтов, необработанное сжатие, изменение порядка, замену строк и запутывание обратных кавычек.
Кроме того, сценарий сканирует список процессов, связанных с ПО для отладки и мониторинга, проверяет, чтобы высота экрана превышала 777 пикселей, а объем памяти превышал 4 ГБ, чтобы избежать песочниц. Проверяется также время установки системы.
Если какая-либо из этих проверок не пройдена, сценарий отключит системные сетевые адаптеры, настроит брандмауэр Windows на блокировку всего трафика, удалит все на всех обнаруженных дисках, а затем выключит компьютер. Если все проверки пройдены успешно, сценарий отключает ведение журнала блоков сценариев PowerShell и добавляет исключения Защитника Windows для файлов «.lnk», «.rar» и «.exe», а также для каталогов, важных для функционирования вредоносного ПО.
Постоянство достигается с помощью нескольких методов, включая добавление новых ключей реестра, встраивание сценария в запланированное задание, добавление новой записи в каталог автозагрузки, а также подписки WMI.
После того, как этап PowerShell завершает процесс, с C2 загружается окончательная полезная нагрузка ("header.png"), зашифрованная с помощью AES. Ресерчеры смогли загрузить и проанализировать файл header.png, однако им не удалось его расшифровать.
Аналитики определили, что домены, используемые для инфраструктуры C2, поддерживающей эту кампанию, были зарегистрированы в июле 2022 года и размещены на DigitalOcean. Позже были перемещены домены в Cloudflare, чтобы воспользоваться ее CDN и службами безопасности, включая маскировку IP-адресов, геоблокировку и шифрование HTTPS/TLS.
Некоторые домены C2, упомянутые в отчете, включают «terma[.]wiki», «terma[.]ink», «terma[.]dev», «terma[.]app» и «cobham-satcom.onrender[.] ком".
В целом, эта кампания выглядит как работа достаточно изощренного актора, который способен отлично скрываться от радаров в системе.
Аналитики обнаружили атаки, но не смогли связать кампанию с какими-либо известными субъектами угроз, хотя в отчете упоминается некоторое сходство с прошлыми атаками APT37 (Konni).
Целенаправленные атаки начинаются с рассылки фишинговых электронных писем сотрудникам. Письмо включает в себя ZIP-вложение, содержащее файл-ярлык («Company & Benefits.pdf.lnk»), который при выполнении подключается к C2 и запускает цепочку сценариев PowerShell, заражающих систему вредоносным ПО.
Интересно, что файл ярлыка не использует широко используемые инструменты «cmd.exe» или «powershell.exe», а вместо этого полагается на необычную команду «C:\Windows\System32\ForFiles.exe» для выполнения команд.
Кампания также выделяется, прежде всего, своей безопасной инфраструктурой C2 и несколькими уровнями обфускации в стейджерах PowerShell.
Методы запутывания включают запутывание переупорядочивания символов, запутывание IEX, запутывание значений байтов, необработанное сжатие, изменение порядка, замену строк и запутывание обратных кавычек.
Кроме того, сценарий сканирует список процессов, связанных с ПО для отладки и мониторинга, проверяет, чтобы высота экрана превышала 777 пикселей, а объем памяти превышал 4 ГБ, чтобы избежать песочниц. Проверяется также время установки системы.
Если какая-либо из этих проверок не пройдена, сценарий отключит системные сетевые адаптеры, настроит брандмауэр Windows на блокировку всего трафика, удалит все на всех обнаруженных дисках, а затем выключит компьютер. Если все проверки пройдены успешно, сценарий отключает ведение журнала блоков сценариев PowerShell и добавляет исключения Защитника Windows для файлов «.lnk», «.rar» и «.exe», а также для каталогов, важных для функционирования вредоносного ПО.
Постоянство достигается с помощью нескольких методов, включая добавление новых ключей реестра, встраивание сценария в запланированное задание, добавление новой записи в каталог автозагрузки, а также подписки WMI.
После того, как этап PowerShell завершает процесс, с C2 загружается окончательная полезная нагрузка ("header.png"), зашифрованная с помощью AES. Ресерчеры смогли загрузить и проанализировать файл header.png, однако им не удалось его расшифровать.
Аналитики определили, что домены, используемые для инфраструктуры C2, поддерживающей эту кампанию, были зарегистрированы в июле 2022 года и размещены на DigitalOcean. Позже были перемещены домены в Cloudflare, чтобы воспользоваться ее CDN и службами безопасности, включая маскировку IP-адресов, геоблокировку и шифрование HTTPS/TLS.
Некоторые домены C2, упомянутые в отчете, включают «terma[.]wiki», «terma[.]ink», «terma[.]dev», «terma[.]app» и «cobham-satcom.onrender[.] ком".
В целом, эта кампания выглядит как работа достаточно изощренного актора, который способен отлично скрываться от радаров в системе.
Securonix
Securonix Threat Labs Security Advisory: Detecting STEEP#MAVERICK: New Covert Attack Campaign Targeting Military Contractors
Find out how a sophisticated attack targeted military contractors using advanced PowerShell tactics and obfuscation techniques.
Forwarded from SecurityLab.ru
— Набор инструментов для постэксплуатации Brute Ratel С4 был взломан и теперь бесплатно распространяется на хакерских форумах.
— Разработчик Brute Ratel Четан Наяк сообщил, что может отозвать лицензии у любых клиентов, использующих Brute Ratel в злонамеренных целях. Однако, по его словам, на VirusTotal была загружена лицензионная версия, которая затем была взломана группировкой «Molecules».
— Brute Ratel может генерировать шелл-код, который не обнаруживается средствами безопасности. Это предоставляет хакеру достаточное количество времени, чтобы установить первоначальный доступ, совершить боковое перемещение и добиться постоянства в системе.
https://www.securitylab.ru/news/534149.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Инструмент пентестера из Mandiant взломан и выложен в открытый доступ
Универсальный инструмент является заменой Cobalt Strike и может использоваться даже неопытными хакерами.
Ресерчеры из вьетнамского подразделения кибербезопасности GTSC сообщают об обнаружении активно эксплуатируемой 0-day в Microsoft Exchange, позволяющие злоумышленнику выполнить RCE.
Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.
GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.
Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.
Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.
Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.
ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.
GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.
Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.
В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.
Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.
Злоумышленники используют комбинацию 0-day для развертывания веб-оболочек China Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения на другие системы в сетях жертв.
GTSC подозревает, что за атаками стоит китайская АРТ, судя по кодовой странице веб-оболочек, кодировке символов Microsoft для упрощенного китайского языка.
Пользовательский агент, используемый для установки веб-оболочек, также связан с Antsword, китайским инструментом администрирования веб-сайтов с открытым исходным кодом и поддержкой управления веб-оболочками.
Microsoft пока не раскрывает никакой информации о двух критических ошибках и еще не присвоила им CVE.
Исследователи уведомили Microsoft об уязвимостях еще три недели назад в рамкахрбезопасности GTSC сообщаюгде баги отслеживаются как ZDI-CAN-18333 и ZDI-CAN-18802 с CVSS в 8,8 и 6,3.
ZDI подтвердил ошибки, о чем Trend Micro выпустила бюллетень по безопасности и добавила средства обнаружения 0-day в свои продукты.
GTSC пока не стали публиковать технические подробности новых 0-day. Тем не менее, исследователи обнаружили, что запросы, используемые в этой цепочке эксплойтов, аналогичны тем, которые применяются в атаках, нацеленных на уязвимости ProxyShell.
Пока Microsoft не выпустит исправления для устранения 0-day, следует руководствоваться рекомендациями GTSC по смягчению последствий атак. Ресерчеры предлагают добавить новое правило сервера IIS с помощью модуля правила перезаписи URL.
В Autodiscover at FrontEnd необходимо выберать вкладку URL Rewrite, а затем Request Blocking, после чего добавить строку « .*autodiscover\.json.*\@.*Powershell.* » в URL-путь. При вводе условия - выберать {REQUEST_URI}.
Для проверки возможной компрометации серверов Exchange с использованием обнаруженных 0-day, администраторам следует запустить следующую команду PowerShell для сканирования файлов журнала IIS на наличие индикаторов компрометации: Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200’.
gteltsc.vn
WARNING: NEW ATTACK CAMPAIGN UTILIZED A NEW 0-DAY RCE VULNERABILITY ON MICROSOFT EXCHANGE SERVER
Circa the beginning of August 2022, while doing security monitoring & incident response services, GTSC SOC team discovered that a critical infrastructure
Forwarded from Social Engineering
🤔 Личное мнение. Почему атаки с помощью методов СИ в РФ эффективнее, чем в других странах?
• Если говорить об утечках, то недавно securitylab опубликовали новость, в которой сказано, что с начала 2022 года в РФ произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 млн записей с личной информацией россиян.
• А как мы все прекрасно знаем, в 80% случаев атакующие используют информацию собранную из открытых источников, которая становится доступна любому желающему, благодаря утечкам данных различных компаний. Соответственно атаки с помощью методов СИ становятся наиболее эффективными...
• Что касается низкой осведомленности, то почти в каждом третьем случае граждане лишаются денежных средств из-за собственной беспечности. Атакующие с успехом используют способы психологического воздействия, ведь любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом.
• Исходя из этого, методы социальной инженерии часто завершаются успехом даже если интеллект атакующего заметно ниже, чем у жертвы. Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения и страха.
• Берегите свои данные, сейчас информация — это золото. Большое количество данных — это огромные возможности для социальных инженеров и фишеров.
Твой S.E. #СИ
🖖🏻 Приветствую тебя user_name.
• В RU сегменте, атаки с помощью социальной инженерии получили куда большее распространение, чем в других странах. Эта проблема нарастает с каждым годом из-за определенных причин: • Утечки баз данных различных компаний и структур.• Низкая осведомленность граждан.• Если говорить об утечках, то недавно securitylab опубликовали новость, в которой сказано, что с начала 2022 года в РФ произошло около 60 крупных утечек персональных данных, в ходе которых в открытый доступ попало 230 млн записей с личной информацией россиян.
• А как мы все прекрасно знаем, в 80% случаев атакующие используют информацию собранную из открытых источников, которая становится доступна любому желающему, благодаря утечкам данных различных компаний. Соответственно атаки с помощью методов СИ становятся наиболее эффективными...
• Что касается низкой осведомленности, то почти в каждом третьем случае граждане лишаются денежных средств из-за собственной беспечности. Атакующие с успехом используют способы психологического воздействия, ведь любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом.
• Исходя из этого, методы социальной инженерии часто завершаются успехом даже если интеллект атакующего заметно ниже, чем у жертвы. Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения и страха.
• Берегите свои данные, сейчас информация — это золото. Большое количество данных — это огромные возможности для социальных инженеров и фишеров.
Твой S.E. #СИ
Разработчики браузера Brave порадовали своих пользователей, внедрив блокировку раздражающих баннеров с согласием на использование cookie.
С недавнего времени такие уведомления стали необходимым для ведения бизнеса в Интернете, который подпадает под правила защиты данных GDPR, а пользователям приходится сталкиваться с ними почти каждый раз при посещении веб-сайта.
При этом зачастую сами баннеры наносят больший ущерб конфиденциальности недели упомянутые в нем соглашения. В некоторых случаях эти баннеры могут сами служить трекерами, нарушая конфиденциальность, еще до того, как у пользователя появится возможность отказаться.
Теперь же новые версии Brave будут скрывать — и, по возможности, полностью блокировать — уведомления о согласии на использование файлов cookie, снижая потенциальный риск для конфиденциальности пользователей, что выгодно отличает браузер от аналогов, реализующих функцию автоматического согласия.
При этом Brave будет блокировать канал связи между браузером и системой отслеживания согласия.
Внедрение новой системы уже началось в Brave Nightly, и планируется, что в октябре она достигнет стабильной ветки версии 1.45, начиная с Windows и Android. iOS появится вскоре после этого.
Новая опция появится в настройках браузера, в разделе «Щит», где пользователи могут поставить галочку для блокировки навязчивых уведомлений о файлах cookie.
С недавнего времени такие уведомления стали необходимым для ведения бизнеса в Интернете, который подпадает под правила защиты данных GDPR, а пользователям приходится сталкиваться с ними почти каждый раз при посещении веб-сайта.
При этом зачастую сами баннеры наносят больший ущерб конфиденциальности недели упомянутые в нем соглашения. В некоторых случаях эти баннеры могут сами служить трекерами, нарушая конфиденциальность, еще до того, как у пользователя появится возможность отказаться.
Теперь же новые версии Brave будут скрывать — и, по возможности, полностью блокировать — уведомления о согласии на использование файлов cookie, снижая потенциальный риск для конфиденциальности пользователей, что выгодно отличает браузер от аналогов, реализующих функцию автоматического согласия.
При этом Brave будет блокировать канал связи между браузером и системой отслеживания согласия.
Внедрение новой системы уже началось в Brave Nightly, и планируется, что в октябре она достигнет стабильной ветки версии 1.45, начиная с Windows и Android. iOS появится вскоре после этого.
Новая опция появится в настройках браузера, в разделе «Щит», где пользователи могут поставить галочку для блокировки навязчивых уведомлений о файлах cookie.
Brave
Blocking annoying and privacy-harming cookie consent banners | Brave
New versions of Brave will hide—and, where possible, completely block—cookie consent notifications. Brave's approach is distinct and more privacy-preserving than similar systems used in other browsers.
Коммуникационная платформа Matrix исправляет критические уязвимости сквозного шифрования в комплекте для разработки программного обеспечения (SDK), рекомендуя пользователям применить доступные обновления к своим IM-клиентам.
Matrix — открытый децентрализованный клиент-серверный протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи, а также передачей сообщений между серверами и API в формате JSON.
Используя уязвимости, злоумышленник может реализовать атаки типа MiTM, получив доступ к содержимому сообщений в Matrix. Среди затронутых клиентов: matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, такие как Element, Beeper, Cinny, SchildiChat, Circuli и Synod.im.
Уязвимости были обнаружены группой исследователей из Brave Software, Королевского университета Холлоуэя в Лондоне и Университета Шеффилда, которые представили свой технический отчет с подробным описанием своих выводов и шестью примерами атак с использованием ошибок.
Критическая CVE-2022-39250 описывается как ошибка путаницы с идентификатором ключа/устройства при проверке SAS на matrix-js-sdk, позволяющая администратору сервера нарушать проверку на основе смайликов при использовании перекрестной подписи, аутентифицируя себя вместо целевого пользователя.
Другие критические ошибки CVE-2022-39251, CVE-2022-39255 и CVE-2022-39248 связаны с путаницей протоколов в matrix-js-sdk, matrix-ios-sdk (клиенты iOS) и matrix-android-sdk2 (клиенты Android) соответственно, приводящей к неправильному приему сообщений от поддельного отправителя, открывающая возможность выдать себя за доверенного отправителя.
Тот же недостаток позволяет злоумышленникам-администраторам домашних серверов добавлять резервные ключи к учетной записи цели.
Серьезные проблемы CVE-2022-39249, CVE-2022-39257 и CVE-2022-39246 в matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2 соответственно, приводят к принятию ключей, пересылаемых без запроса, что делает возможным олицетворение других пользователей на сервере. Клиенты помечают эти сообщения как подозрительные на стороне получателя, поэтому серьезность ошибки снижается.
Еще не отмеченные CVE оставшиеся ошибки позволяют злоумышленнику на домашнем сервере подделывать приглашения от имени своих пользователей или добавлять устройства в учетные записи пользователей, а также снижают безопасность AES-CTR для шифрования вложений, секретов и резервных копий симметричных ключей без вектора инициализации AES.
Согласно заявлению, Matrix эксплуатация уязвимостей достаточно осложнена, а доказательства активного использования в дикой природе ими не получены.
Но не стоить беспокоиться насчет сложности эксплуатации, ведь если это касается возможности взломать реализованные на базе Matrix приватные мессенджеры Минобороны Германии или правительства Франции, то задача будет решена. Или уже решена.
Matrix — открытый децентрализованный клиент-серверный протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи, а также передачей сообщений между серверами и API в формате JSON.
Используя уязвимости, злоумышленник может реализовать атаки типа MiTM, получив доступ к содержимому сообщений в Matrix. Среди затронутых клиентов: matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, такие как Element, Beeper, Cinny, SchildiChat, Circuli и Synod.im.
Уязвимости были обнаружены группой исследователей из Brave Software, Королевского университета Холлоуэя в Лондоне и Университета Шеффилда, которые представили свой технический отчет с подробным описанием своих выводов и шестью примерами атак с использованием ошибок.
Критическая CVE-2022-39250 описывается как ошибка путаницы с идентификатором ключа/устройства при проверке SAS на matrix-js-sdk, позволяющая администратору сервера нарушать проверку на основе смайликов при использовании перекрестной подписи, аутентифицируя себя вместо целевого пользователя.
Другие критические ошибки CVE-2022-39251, CVE-2022-39255 и CVE-2022-39248 связаны с путаницей протоколов в matrix-js-sdk, matrix-ios-sdk (клиенты iOS) и matrix-android-sdk2 (клиенты Android) соответственно, приводящей к неправильному приему сообщений от поддельного отправителя, открывающая возможность выдать себя за доверенного отправителя.
Тот же недостаток позволяет злоумышленникам-администраторам домашних серверов добавлять резервные ключи к учетной записи цели.
Серьезные проблемы CVE-2022-39249, CVE-2022-39257 и CVE-2022-39246 в matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2 соответственно, приводят к принятию ключей, пересылаемых без запроса, что делает возможным олицетворение других пользователей на сервере. Клиенты помечают эти сообщения как подозрительные на стороне получателя, поэтому серьезность ошибки снижается.
Еще не отмеченные CVE оставшиеся ошибки позволяют злоумышленнику на домашнем сервере подделывать приглашения от имени своих пользователей или добавлять устройства в учетные записи пользователей, а также снижают безопасность AES-CTR для шифрования вложений, секретов и резервных копий симметричных ключей без вектора инициализации AES.
Согласно заявлению, Matrix эксплуатация уязвимостей достаточно осложнена, а доказательства активного использования в дикой природе ими не получены.
Но не стоить беспокоиться насчет сложности эксплуатации, ведь если это касается возможности взломать реализованные на базе Matrix приватные мессенджеры Минобороны Германии или правительства Франции, то задача будет решена. Или уже решена.
Особой изощрённостью удивила китайская APT группировка Witchetty, которая использовала в очередной шпионской кампании стеганографию для сокрытия бэкдора в логотипе Windows.
По мнению экспертов, АРТ, известная также как LookingFrog, является частью Cicada, китайской кибершпионской группы (ака APT10 и Stone Panda).
Первоначально ориентируясь на японские цели, Cicada расширила свой список целей, включив в него правительственные организации в нескольких странах Европы, Азии и Северной Америки.
А в рамках недавно наблюдаемой активности Witchetty специалисты из Symatec определили в качестве целей правительства двух стран на Ближнем Востоке, а также фондовую биржу в Африканской стране.
Для первоначальной компрометации хакеры использовали уязвимости ProxyShell и ProxyLogon в Microsoft Exchange Server для установки веб-оболочек, а затем приступали к краже учетных данных, боковому перемещению и развертыванию вредоносных программ.
Начиная с апреля 2022 года хакеры добавили в свой арсенал новые вредоносные программы, в том числе бэкдор Stegmap, который использует стеганографию для извлечения полезной нагрузки из растрового изображения.
Цепочка заражения включает использование загрузчика DLL для загрузки с GitHub растрового файла, который выглядит как логотип Microsoft Windows, но содержит скрытый вредоносный код. Загрузка с доверенного хоста GitHub, значительно затрудняет обнаружение, чем загрузка с C&C.
Бэкдор Stegmap поддерживает команды для создания/удаления каталогов, управление файлами, запуск/завершение процессов, загрузку и запуск исполняемых файлов, кражу файлов, уничтожение процессов, а также чтение, создание и удаление ключей реестра.
В рамках наблюдаемых атак хакеры также использовали набор специальных инструментов, таких как прокси утилиты, которые используют протокол, аналогичный SOCKS5, но действуют как сервер, сканер портов и утилиты сохранения, которые добавляют себя в автозагрузку.
По данным Symantec, злоумышленники начали свою вредоносную деятельность в сети одного из скомпрометированных ближневосточных правительств в конце февраля 2022 года и продолжали активно подключаться к среде до 1 сентября.
За это время хакеры предприняли несколько попыток получить учетные данные через дампы памяти, выполнили перечисление сети, развернули бэкдоры и веб-шеллы, а также установили вышеупомянутые пользовательские инструменты.
В очередной раз китайские APT в лице Witchetty продемонстрировали способность постоянно совершенствовать и обновлять свой набор инструментов и тактик, чтобы компрометировать интересующие объекты.
По мнению экспертов, АРТ, известная также как LookingFrog, является частью Cicada, китайской кибершпионской группы (ака APT10 и Stone Panda).
Первоначально ориентируясь на японские цели, Cicada расширила свой список целей, включив в него правительственные организации в нескольких странах Европы, Азии и Северной Америки.
А в рамках недавно наблюдаемой активности Witchetty специалисты из Symatec определили в качестве целей правительства двух стран на Ближнем Востоке, а также фондовую биржу в Африканской стране.
Для первоначальной компрометации хакеры использовали уязвимости ProxyShell и ProxyLogon в Microsoft Exchange Server для установки веб-оболочек, а затем приступали к краже учетных данных, боковому перемещению и развертыванию вредоносных программ.
Начиная с апреля 2022 года хакеры добавили в свой арсенал новые вредоносные программы, в том числе бэкдор Stegmap, который использует стеганографию для извлечения полезной нагрузки из растрового изображения.
Цепочка заражения включает использование загрузчика DLL для загрузки с GitHub растрового файла, который выглядит как логотип Microsoft Windows, но содержит скрытый вредоносный код. Загрузка с доверенного хоста GitHub, значительно затрудняет обнаружение, чем загрузка с C&C.
Бэкдор Stegmap поддерживает команды для создания/удаления каталогов, управление файлами, запуск/завершение процессов, загрузку и запуск исполняемых файлов, кражу файлов, уничтожение процессов, а также чтение, создание и удаление ключей реестра.
В рамках наблюдаемых атак хакеры также использовали набор специальных инструментов, таких как прокси утилиты, которые используют протокол, аналогичный SOCKS5, но действуют как сервер, сканер портов и утилиты сохранения, которые добавляют себя в автозагрузку.
По данным Symantec, злоумышленники начали свою вредоносную деятельность в сети одного из скомпрометированных ближневосточных правительств в конце февраля 2022 года и продолжали активно подключаться к среде до 1 сентября.
За это время хакеры предприняли несколько попыток получить учетные данные через дампы памяти, выполнили перечисление сети, развернули бэкдоры и веб-шеллы, а также установили вышеупомянутые пользовательские инструменты.
В очередной раз китайские APT в лице Witchetty продемонстрировали способность постоянно совершенствовать и обновлять свой набор инструментов и тактик, чтобы компрометировать интересующие объекты.
Security
Witchetty: Group Uses Updated Toolset in Attacks on Governments in Middle East
Espionage group begins using new backdoor that leverages rarely seen steganography technique.
ESET поймали Lazarus на злоупотреблении ошибкой драйвера Dell и использовании нового руткита FudModule в ходе атаки Bring Your Own Vulnerable Driver с целью шпионажа и кражи данных.
В своем отчете ресерчеры сообщают, что все началось с кампании целевого фишинга осенью 2021 года, среди подтвержденных целей которого были жертвы из аэрокосмической отрасли Нидерландов и сектор политических журналистов в Бельгии.
Целям этой кампании в ЕС по электронной почте отправлялись поддельные предложения о работе, на этот раз от имени Amazon, что является их излюбленным приемом в рамках социальной инженерии.
ESET сообщает, что среди инструментов этой кампании наиболее интересным является новый руткит FudModule, который использует технику BYOVD для использования уязвимости CVE-2021-21551 в драйвере оборудования Dell («dbutil_2_3.sys»).
Стоит отметить, что это первое зарегистрированное злоупотребление этой уязвимостью в дикой природе. Причем в декабре 2021 года Rapid 7 предупреждали, что именно этот драйвер из-за некачественных исправлений Dell позволяет выполнять код ядра даже в последних подписанных версиях.
Но, похоже, что Lazarus уже отлично знали об этой возможности задолго до того, как аналитики озвучили свои опасения.
Затем злоумышленники использовали свой доступ к записи в память ядра, чтобы отключить семь механизмов, которые ОС Windows предлагает для мониторинга действий. После чего злоумышленники получали возможность использовать уязвимости драйвера для запуска команд с привилегиями на уровне ядра.
ESET также отметили, что АРТ развернула свой фирменный бэкдор HTTP(S) BLINDINGCAN, который был атрибутирован Лабораторией Касперского в октябре 2021 года.
Бэкдор поддерживает обширный набор из 25 команд, охватывающих действия с файлами, выполнение команд, настройку связи C2, создание скриншотов, создание и завершение процессов, а также кражу системной информации.
Среди других инструментов, развернутых в представленной кампании, были также различные троянизированные приложения с открытым исходным кодом, такие как wolfSSL и FingerText.
Все подробности атаки BYOVD подробно изложены ESET в отдельном 15-страничном техническом документе.
В своем отчете ресерчеры сообщают, что все началось с кампании целевого фишинга осенью 2021 года, среди подтвержденных целей которого были жертвы из аэрокосмической отрасли Нидерландов и сектор политических журналистов в Бельгии.
Целям этой кампании в ЕС по электронной почте отправлялись поддельные предложения о работе, на этот раз от имени Amazon, что является их излюбленным приемом в рамках социальной инженерии.
ESET сообщает, что среди инструментов этой кампании наиболее интересным является новый руткит FudModule, который использует технику BYOVD для использования уязвимости CVE-2021-21551 в драйвере оборудования Dell («dbutil_2_3.sys»).
Стоит отметить, что это первое зарегистрированное злоупотребление этой уязвимостью в дикой природе. Причем в декабре 2021 года Rapid 7 предупреждали, что именно этот драйвер из-за некачественных исправлений Dell позволяет выполнять код ядра даже в последних подписанных версиях.
Но, похоже, что Lazarus уже отлично знали об этой возможности задолго до того, как аналитики озвучили свои опасения.
Затем злоумышленники использовали свой доступ к записи в память ядра, чтобы отключить семь механизмов, которые ОС Windows предлагает для мониторинга действий. После чего злоумышленники получали возможность использовать уязвимости драйвера для запуска команд с привилегиями на уровне ядра.
ESET также отметили, что АРТ развернула свой фирменный бэкдор HTTP(S) BLINDINGCAN, который был атрибутирован Лабораторией Касперского в октябре 2021 года.
Бэкдор поддерживает обширный набор из 25 команд, охватывающих действия с файлами, выполнение команд, настройку связи C2, создание скриншотов, создание и завершение процессов, а также кражу системной информации.
Среди других инструментов, развернутых в представленной кампании, были также различные троянизированные приложения с открытым исходным кодом, такие как wolfSSL и FingerText.
Все подробности атаки BYOVD подробно изложены ESET в отдельном 15-страничном техническом документе.
WeLiveSecurity
Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium
ESET researchers have discovered Lazarus attacks against targets in the Netherlands and Belgium that use spearphishing emails connected to fake job offers.
Не так давно мы писали про серьезные утечки, которые в числе прочих затронули Чили и Мексику и стали результатом массированных атак. Как стало известно, за инцидентами стоит хактивистская группа Guacamaya.
В общей сложности хакеры выкрали 10 ТБ конфиденциальных документов и электронных писем военного сектора Центральной и Южной Америки.
В рамках своей кампании, получившей наименование Mining Secrets, хакеры обнародовали множество документов военных и правоохранительных структур Мексики, Сальвадора, Колумбии, Чили и Перу.
Ранее они также взломали и опубликовали электронные письма горнодобывающей компании, долгое время обвиняемой в нарушении прав человека и окружающей среды в Гватемале.
Ни одно из попавших под руку хакеров агентств не комментировало инциденты. Однако Президент Мексики Андрес Мануэль Лопес Обрадор провел пресс-конференцию, на которой не только подтвердил кибератаку на армию Мексики, но и сказал, что получил информацию о нападениях на ряд других стран.
Представители Гуакамайи, в свою очередь, раскритиковали новостные агентства в Мексике, сосредоточившие внимание к закрытым сведениям о болезни Лопеса Обрадора, в то время как, утечки проливают свет на более широкие вопросы управления, коррупции и ущерба окружающей среде.
Лопес Обрадор преуменьшил значение взлома, заявив, что «нет ничего неизвестного». Он сказал, что вторжение, по-видимому, произошло во время смены систем министерства обороны, а также отказался расследовать киберинцидент.
Хакеры же отметили, что утечка включает и шесть терабайт файлов с документами о слежке за послом США в Мексике Кеном Салазаром, стенограммы и информацию о наркопреступных операциях. Кроме того, они представили тысячи электронных писем, иллюстрирующих огромную власть мексиканских военных над правительством Обрадора, а также споры внутри военных кланов.
В правительстве Чили тем временем были настолько обеспокоены взломом систем, что на прошлой неделе страна вызвала своего министра обороны из Соединенных Штатов, где она вместе с президентом Габриэлем Бориком присутствовала на Генеральной Ассамблее ООН.
Хакеры же намерены продолжать разоблачать несправедливость и коррупцию в защиту коренных народов Центральной и Южной Америки, мотивируя свои действия ответом на разграбление Латинской Америки колонизаторами с Глобального севера.
Ну, а мы - будем посмотреть.
В общей сложности хакеры выкрали 10 ТБ конфиденциальных документов и электронных писем военного сектора Центральной и Южной Америки.
В рамках своей кампании, получившей наименование Mining Secrets, хакеры обнародовали множество документов военных и правоохранительных структур Мексики, Сальвадора, Колумбии, Чили и Перу.
Ранее они также взломали и опубликовали электронные письма горнодобывающей компании, долгое время обвиняемой в нарушении прав человека и окружающей среды в Гватемале.
Ни одно из попавших под руку хакеров агентств не комментировало инциденты. Однако Президент Мексики Андрес Мануэль Лопес Обрадор провел пресс-конференцию, на которой не только подтвердил кибератаку на армию Мексики, но и сказал, что получил информацию о нападениях на ряд других стран.
Представители Гуакамайи, в свою очередь, раскритиковали новостные агентства в Мексике, сосредоточившие внимание к закрытым сведениям о болезни Лопеса Обрадора, в то время как, утечки проливают свет на более широкие вопросы управления, коррупции и ущерба окружающей среде.
Лопес Обрадор преуменьшил значение взлома, заявив, что «нет ничего неизвестного». Он сказал, что вторжение, по-видимому, произошло во время смены систем министерства обороны, а также отказался расследовать киберинцидент.
Хакеры же отметили, что утечка включает и шесть терабайт файлов с документами о слежке за послом США в Мексике Кеном Салазаром, стенограммы и информацию о наркопреступных операциях. Кроме того, они представили тысячи электронных писем, иллюстрирующих огромную власть мексиканских военных над правительством Обрадора, а также споры внутри военных кланов.
В правительстве Чили тем временем были настолько обеспокоены взломом систем, что на прошлой неделе страна вызвала своего министра обороны из Соединенных Штатов, где она вместе с президентом Габриэлем Бориком присутствовала на Генеральной Ассамблее ООН.
Хакеры же намерены продолжать разоблачать несправедливость и коррупцию в защиту коренных народов Центральной и Южной Америки, мотивируя свои действия ответом на разграбление Латинской Америки колонизаторами с Глобального севера.
Ну, а мы - будем посмотреть.
Тем временем, консорциум отелей Shangri-La заявил, что их база данных с личной информации о клиентах была взломана.
Утечка затронула отели в Гонконге, Сингапуре, Чиангмае, Тайбэе и Токио. Компания заявила, что пока не смогла определить, какие конкретно данные были украдены.
Взлом произошел в период с мая по июль, когда в сингапурском отеле Shangri-La проходил крупнейший в Азии саммит по безопасности, на котором присутствовали в числе прочих Министр обороны США Ллойд Остин и его китайский коллега генерал Вэй Фэнхэ.
Как отметила Shangri-La, база данных содержала контактную информацию гостей, но личная информация, такая как даты рождения, удостоверения личности и номера паспортов, а также данные кредитной карты, была зашифрована.
Shangri-La уведомила власти и гостей, которые, возможно, пострадали. Неужели все 290 000 клиентов, о которых упоминают журналисты или только особенных гостей.
Утечка затронула отели в Гонконге, Сингапуре, Чиангмае, Тайбэе и Токио. Компания заявила, что пока не смогла определить, какие конкретно данные были украдены.
Взлом произошел в период с мая по июль, когда в сингапурском отеле Shangri-La проходил крупнейший в Азии саммит по безопасности, на котором присутствовали в числе прочих Министр обороны США Ллойд Остин и его китайский коллега генерал Вэй Фэнхэ.
Как отметила Shangri-La, база данных содержала контактную информацию гостей, но личная информация, такая как даты рождения, удостоверения личности и номера паспортов, а также данные кредитной карты, была зашифрована.
Shangri-La уведомила власти и гостей, которые, возможно, пострадали. Неужели все 290 000 клиентов, о которых упоминают журналисты или только особенных гостей.
Marketing Interactive
Shangri-La's hotels face cyber attacks affecting 290,000 consumers
The three affected hotels in Hong Kong include Island Shangri-La Hong Kong, Kerry Hotel Hong Kong and Kowloon Shangri-La Hong Kong.
Специалисты из Trustwave обнаружили две уязвимости XSS в инструменте Vitrea View от Canon Medical, которые могут раскрывать информацию о пациентах.
Vitrea View предназначен для просмотра и безопасного обмена медицинскими изображениями по стандарту DICOM.
Ошибки имеют общий идентификатор CVE-2022-37461 и позволяют потенциальному злоумышленнику вызывать ошибки для доступа и изменения информации о пациенте (например, сохраненных изображений и сканов), а также получать дополнительный доступ к некоторым службам, связанным с Vitrea View.
Первая уязвимость, которую можно использовать без аутентификации, обнаружена на странице ошибок, расположенной по адресу /vitrea-view/error/, где все вводимые данные после подкаталога /error/ возвращаются пользователю.
Эксперты заметили, что одинарные и двойные кавычки, а также пробелы могут нарушить отображение. Однако использование обратных кавычек и кодировки base64 может позволить избежать эти ограничения и импортировать удаленные сценарии.
Вторая бага кроется в административной панели инструментов и затрагивает функцию поиска на странице «Группы и пользователи». Потенциальный злоумышленник может получить доступ к панели, обманом заставив жертву нажать на специально созданную ссылку.
Спецы из Trustwave опубликовали соответствующий PoC, а Canon Medical устранили выявленные недостатки, выпустив Vitrea View версии 7.7.6.
Стоит отдать должное Canon Medical, уязвимости были обнаружены в результате пентеста. Всегда приятно, когда поставщик ПО достаточно ответственно подходит к вопросам безопасности решений.
Vitrea View предназначен для просмотра и безопасного обмена медицинскими изображениями по стандарту DICOM.
Ошибки имеют общий идентификатор CVE-2022-37461 и позволяют потенциальному злоумышленнику вызывать ошибки для доступа и изменения информации о пациенте (например, сохраненных изображений и сканов), а также получать дополнительный доступ к некоторым службам, связанным с Vitrea View.
Первая уязвимость, которую можно использовать без аутентификации, обнаружена на странице ошибок, расположенной по адресу /vitrea-view/error/, где все вводимые данные после подкаталога /error/ возвращаются пользователю.
Эксперты заметили, что одинарные и двойные кавычки, а также пробелы могут нарушить отображение. Однако использование обратных кавычек и кодировки base64 может позволить избежать эти ограничения и импортировать удаленные сценарии.
Вторая бага кроется в административной панели инструментов и затрагивает функцию поиска на странице «Группы и пользователи». Потенциальный злоумышленник может получить доступ к панели, обманом заставив жертву нажать на специально созданную ссылку.
Спецы из Trustwave опубликовали соответствующий PoC, а Canon Medical устранили выявленные недостатки, выпустив Vitrea View версии 7.7.6.
Стоит отдать должное Canon Medical, уязвимости были обнаружены в результате пентеста. Всегда приятно, когда поставщик ПО достаточно ответственно подходит к вопросам безопасности решений.
Trustwave
CVE-2022-37461: Two Reflected XSS Vulnerabilities in Canon Medical’s Vitrea View
During a penetration test, Trustwave Spiderlabs’ researcher, Jordan Hedges, identified two vulnerabilities in third-party software for Canon Medical’s Vitrea View (https://anz.medical.canon/).
Любители Formula1 в печали: RansomEXX добавила Ferrari на DLS, похитив более 7G данных. И это сразу после того, как Ferrari заключила соглашение о партнерстве с Bitdefender.
BlackCat (ALPHV) наехали на NJVC, ведущего ИТ-подрядчика обороны США, обещая сливать украденные данные каждые 12 часов.
После этого DLS отключился, а на момент возращения в сеть - упоминание о NJVC исчезло. Вероятно, клиент успел решить вопрос.
Сразу после этого BlackCat добавили на DLS ведущего канадского IT-интегратора в сфере обороны - Simex.
Lockbit атаковали региональный округ Саншайн-Кост, положив всю сеть на 16 часов, а их коллеги Hive препарировали школьный округ Мэнсфилда MISD.
Karakurt прилично пополнил свой послужной список новыми жертвами с общим доходом в $2,7 млрд.
Среди них Abdullah Al-Othaim Markets, торговые центры в Саудовской Аравии, а также главная телекоммуникационная компания Танзании.
Avos Locker представили 40-минутное видео с демонстрацией всех украденных данных и пруфов у испанской компании ALVAC.
BlackCat (ALPHV) наехали на NJVC, ведущего ИТ-подрядчика обороны США, обещая сливать украденные данные каждые 12 часов.
После этого DLS отключился, а на момент возращения в сеть - упоминание о NJVC исчезло. Вероятно, клиент успел решить вопрос.
Сразу после этого BlackCat добавили на DLS ведущего канадского IT-интегратора в сфере обороны - Simex.
Lockbit атаковали региональный округ Саншайн-Кост, положив всю сеть на 16 часов, а их коллеги Hive препарировали школьный округ Мэнсфилда MISD.
Karakurt прилично пополнил свой послужной список новыми жертвами с общим доходом в $2,7 млрд.
Среди них Abdullah Al-Othaim Markets, торговые центры в Саудовской Аравии, а также главная телекоммуникационная компания Танзании.
Avos Locker представили 40-минутное видео с демонстрацией всех украденных данных и пруфов у испанской компании ALVAC.