На фоне охватившей Европу антироссийской истерии, почти в каждом ЧП первым делом спешат обвинить во всем Россию, а уже потом разбираться в ситуации.
Так и случилось на прошлой неделе, когда был поврежден подводный кабель связи в Шотландии.
Полиция Шотландии заявила, что сигнал по линии связи SHEFA-2 между Фарерскими островами, Шетландскими островами и Шотландией была прерван рано утром в четверг.
Из-за разрыва прямого подводного кабеля, соединяющего Шетландские острова с материковой частью Шотландии, стали недоступны некоторые телефонные, широкополосные и мобильные услуги.
В результате чего 22 000 человек субарктического архипелага остались без связи.
По аналогии с инцидентом на Северном потоке первым делом у расследовавших возникли опасения, что срыв мог быть преднамеренным саботажем.
Однако управляющий директор NET, дочерней компании Faroese Telecom, Палл Хойгаард Вестурбу после изучения ситуации сделал заявление о том, что обрыв подводного кабеля произошел по вине рыболовного суда, как это случалось и ранее в 2013 году.
Главное, в ходе следственных действий не выйти на самих себя… Так что там с Северным потоком?
Так и случилось на прошлой неделе, когда был поврежден подводный кабель связи в Шотландии.
Полиция Шотландии заявила, что сигнал по линии связи SHEFA-2 между Фарерскими островами, Шетландскими островами и Шотландией была прерван рано утром в четверг.
Из-за разрыва прямого подводного кабеля, соединяющего Шетландские острова с материковой частью Шотландии, стали недоступны некоторые телефонные, широкополосные и мобильные услуги.
В результате чего 22 000 человек субарктического архипелага остались без связи.
По аналогии с инцидентом на Северном потоке первым делом у расследовавших возникли опасения, что срыв мог быть преднамеренным саботажем.
Однако управляющий директор NET, дочерней компании Faroese Telecom, Палл Хойгаард Вестурбу после изучения ситуации сделал заявление о том, что обрыв подводного кабеля произошел по вине рыболовного суда, как это случалось и ранее в 2013 году.
Главное, в ходе следственных действий не выйти на самих себя… Так что там с Северным потоком?
The Record
Fishing vessel, not sabotage, to blame for Shetland Island submarine cable cut
Damage to a submarine cable which cut connectivity Thursday to the remote Shetland Islands north of Scotland is believed to have been accidentally caused by a fishing vessel and not sabotage.
F5 выпустила ежеквартальные исправления, информируя клиентов об устранении 18 уязвимостей, затрагивающих ее продукты.
Десяти уязвимостям был присвоен рейтинг высокой степени серьезности.
Одной из них является аутентифицированная RCE-уязвимость, затрагивающая системы, развернутые в стандартном режиме или в режиме устройства.
Проблема имеет критическую оценку, если активирован режим устройства. Злоумышленник с повышенными привилегиями может использовать багу для запуска произвольных системных команд, создания или удаления файлов или отключения служб.
Большинство других уязвимостей высокой степени серьезности могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, запустить атаку типа DoS.
Кроме того, три из рекомендаций связаны с модулями NGINX и описывают недостатки, которые могут позволить локальному злоумышленнику вызвать завершение рабочего процесса NGINX.
Рейтинг высокой степени серьезности также был присвоен уязвимости F5OS, которую можно использовать для повышения привилегий.
Следующие ежеквартальные обновления F5 запланированы на 1 февраля 2023 года. В двух предыдущих ежеквартальных уведомлениях, выпущенных в мае и августе, сообщалось о 50 и 21 уязвимости соответственно.
Пользователям BIG-IP не следует игнорировать эти исправления, поскольку известно, что злоумышленники нацелены на уязвимые продукты.
Самым последним примером является CVE-2022-1388, которая в начале этого года подверглась массовой эксплуатации, и некоторые хакеры использовали ее для вывода из строя устройств BIG-IP.
Десяти уязвимостям был присвоен рейтинг высокой степени серьезности.
Одной из них является аутентифицированная RCE-уязвимость, затрагивающая системы, развернутые в стандартном режиме или в режиме устройства.
Проблема имеет критическую оценку, если активирован режим устройства. Злоумышленник с повышенными привилегиями может использовать багу для запуска произвольных системных команд, создания или удаления файлов или отключения служб.
Большинство других уязвимостей высокой степени серьезности могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, запустить атаку типа DoS.
Кроме того, три из рекомендаций связаны с модулями NGINX и описывают недостатки, которые могут позволить локальному злоумышленнику вызвать завершение рабочего процесса NGINX.
Рейтинг высокой степени серьезности также был присвоен уязвимости F5OS, которую можно использовать для повышения привилегий.
Следующие ежеквартальные обновления F5 запланированы на 1 февраля 2023 года. В двух предыдущих ежеквартальных уведомлениях, выпущенных в мае и августе, сообщалось о 50 и 21 уязвимости соответственно.
Пользователям BIG-IP не следует игнорировать эти исправления, поскольку известно, что злоумышленники нацелены на уязвимые продукты.
Самым последним примером является CVE-2022-1388, которая в начале этого года подверглась массовой эксплуатации, и некоторые хакеры использовали ее для вывода из строя устройств BIG-IP.
Forwarded from Борьба с киберпреступностью | F6
#отчет #OldGremlin #ransomware
👿Никогда не кормите гремлинов после полуночи.
Впервые о группировке OldGremlin мы рассказывали еще в 2020-м году, и вот она снова в центре внимания. Сегодня Group-IB представляет новый отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", в котором проанализированы 16 вредоносных кампаний, которые "гремлины" провели за эти два с половиной года.
📍Аппетиты группировки бьют рекорды: если в 2021 году OldGremlin требовали у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб.
📍Среди жертв "гремлинов" — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
📍Как и большинство "классических" вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма.
Новый отчет Group-IB "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес" содержит подробную информацию об актуальных техниках, тактиках и процедурах атакующих (TTPs), а также полный цикл атаки (Kill Chain) "гремлинов". Скачать👈
Кстати, гремлина на обложке отчета сгенерировала нейросеть Midjourney🤖
👿Никогда не кормите гремлинов после полуночи.
Впервые о группировке OldGremlin мы рассказывали еще в 2020-м году, и вот она снова в центре внимания. Сегодня Group-IB представляет новый отчет "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес", в котором проанализированы 16 вредоносных кампаний, которые "гремлины" провели за эти два с половиной года.
📍Аппетиты группировки бьют рекорды: если в 2021 году OldGremlin требовали у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб.
📍Среди жертв "гремлинов" — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
📍Как и большинство "классических" вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма.
Новый отчет Group-IB "OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес" содержит подробную информацию об актуальных техниках, тактиках и процедурах атакующих (TTPs), а также полный цикл атаки (Kill Chain) "гремлинов". Скачать👈
Кстати, гремлина на обложке отчета сгенерировала нейросеть Midjourney🤖
Закономерно после появления PoC для Text4Shell, отслеживаемой как CVE-2022-42889, начались первые атаки с использованием новой уязвимости Apache Commons Text.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Wordfence
Threat Advisory: Monitoring CVE-2022-42889 "Text4Shell" Exploit Attempts
On October 17, 2022, the Wordfence Threat Intelligence team began monitoring for activity targeting CVE-2022-42889, or “Text4Shell” on our network of 4 million websites. We started seeing activity targeting this vulnerability on October 18, 2022. Text4Shell…
Очередная резня и разборки с Google по поводу того, что они собирают биометрические данные без надлежащего на то согласия.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
Свое фи и заявление в суд подал генеральный прокурор Техаса Кен Пэкстон, который посчитал, что Google использовала Google Photos, Google Assistant и Nest Hub Max для сбора широкого спектра биометрических идентификаторов с 2015 года, ущемляя тем самым права миллионов техасцев.
Техасцы в принципе молодцы и выгодно отличаются от остальных американцев, что заботятся о защите конфиденциальности своих граждан.
Причем Техас уже более десяти лет запрещает компаниям собирать биометрические данные граждан штата, включая уникальные характеристики лица и голоса человека, без их информирования и предварительного согласия. Закон штата требует, чтобы компании запрашивали согласие пользователей при сборе таких сведений.
Помимо шквала судебных исков по поводу нарушений конфиденциальности, Пакстон подал и другие иски против IT-гиганта, включая и вторжение в частную жизнь техасцев при использовании его продуктов и услуг.
В январе 2022 года Texas AG подала в суд на Google за нарушение Закона Техаса «о мошеннической торговой практике и защите прав потребителей».
Менее чем через неделю после, Пакстон подал еще один иск по обвинению Google за отслеживание местоположения своих пользователей без их согласия и использование данных о местоположении для целевой рекламы.
Такими темпами Пакстону и до губернаторского кресла не далеко. Сам же он заявил, что будет продолжать бороться с большими технологиями, чтобы обеспечить конфиденциальность и безопасность своих сограждан.
Как минимум бюджету штата это точно пойдет на пользу, так как Google регулярно отжимают на штрафах причем по-взрослому.
Ранее Google была оштрафована на 2,72 млрд. долларов за злоупотребление своим доминирующим положением на рынке для настройки результатов поиска, 1,7 миллиарда долларов за антиконкурентную практику в онлайн-рекламе, 220 миллионов евро за предоставление своих услуг в ущерб конкурентам и 11,3 миллиона долларов за агрессивный сбор данных.
The Texas Tribune
Texas Attorney General Ken Paxton sues Google for compiling Texans’ biometric data
The lawsuit, filed Thursday, claims Google illegally collects and indefinitely stores information about Texans’ facial geometry and voiceprints without their consent, even if they’re not the ones usi…
Forwarded from Social Engineering
🛡 Создаём свой собственный VPN WireGuard на Raspberry Pi.
• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
🖖🏻 Приветствую тебя user_name.
• В начале неделе была опубликована статья, в которой описывается бесплатный способ реализации личного прокси-сервера #Shadowsocks . Сегодня предлагаю продолжить данное направление и ознакомиться с полезным материалом по созданию собственного VPN WireGuard на Raspberry Pi.• WireGuard представляет из себя VPN-протокол, который намного безопаснее и быстрее, чем OpenVPN или IPsec. С помощью этой статьи вы настроите свой собственный WireGuard VPN на Raspberry Pi и подключите все свои устройства к серверу, не беспокоясь о проблемах с пропускной способностью или безопасности данных. Более того, приложение WireGuard VPN доступно для #Windows, Mac, #Linux, #Android и iOS, которые вы можете использовать для безопасного подключения своих устройств к VPN.
🧷 https://www.securitylab.ru/analytics/532508.php
Дополнительный материал:
• Малина с сахаром. Превращаем Raspberry Pi в мобильный VPN сервер.
• Поднимаем свой VPN за 10 минут. Используем и устанавливаем WireGuard.
Твой S.E. #Raspberry #VPN
Группа хактивистов, называющая себя Black Reward, взяла на себя ответственность за взлом Организации по атомной энергии Ирана, опубликовав более 50 ГБ данных.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Утечка якобы включает в себя электронные письма, контракты и планы строительства, связанные с иранской атомной электростанцией в Бушере.
Хакеры потребовали требования освободить политических заключенных, задержанных в ходе потрясших страну протестных акций в прошлом месяце, пригрозив в противном случае обнародовать документы о ядерной программе Тегерана.
Правительство Ирана подтвердило инцидент в воскресенье.
Организация по атомной энергии Ирана заявила, что почтовый сервер ее дочерней компании был взломан в результате «иностранной» атаки, больше направленной на оказание медийного давления на иранские власти.
Иранцы отметили, что несанкционированный доступ к системе электронной почты хотя и привел к публикации содержания некоторых электронных писем в социальных сетях, однако данные не содержат какой-либо чувствительной информации.
Не менее громкими стали и недавние ransomware-атаки.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
Объединенный комитет начальника штаба вооруженных сил Аргентины на прошлой неделе отключил свою ИТ-сеть после того, как агентство подверглось атаке программы-вымогателя.
Местные СМИ сообщили, что в результате инцидента была фактически приостановлена работа армейских чиновников, которые лишились возможности проводить регулярные встречи по вопросам безопасности, в том числе с международными партнерами.
Pendragon, один из крупнейших автомобильных дилеров Великобритании, сообщил о взломе бандой вымогателей LockBit.
Ничего необычного, если бы не
колоссальные 60 миллионов долларов, которые вымогатели запросили в качестве выкупа за расшифровку файлов, что стало, пожалуй, одной из самых больших сумм требований вымогателей за всю историю.
Не повезло и европейскому гиганту розничной торговли METRO.
Компания сообщила о киберинциденте, который серьезно повлиял на ИТ-инфраструктуру сети в Австрии, Германии и Франции.
По словам немецкого блогера Гюнтера Борна, METRO на испытывает IT-сложности, как минимум с 17 октября.
В даркнете тем временем хакер выложил на продажу личные данные почти 2 миллионов пользователей, зарегистрированных на крупнейшей сингапурской торговой площадке Carousell, что составляет почти 40% всего населения Сингапура.
LA NACION
Detectan un “virus malicioso” en el sistema informático del Estado Mayor Conjunto de las Fuerzas Armadas
El organismo militar confirmó el “ciberincidente” en la red de datos, que obligó a desconectar los servidores del máximo organismo militar del país; hace un mes se produjo un golpe similar en las Fuerzas Armadas de Chile
Эксплуатируемая 0-day в Windows позволяет злоумышленникам использовать вредоносные автономные файлы, подписанные Authenticode и с внесенными изменениями, для обхода предупреждений безопасности Mark-of-the-Web.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.
Новые возможности уже используются в атаках программ-вымогателей.
Windows включает функцию безопасности под названием Mark-of-the-Web (MoTW), которая помечает файл как загруженный из Интернета.
MoTW добавляется к загруженному файлу или вложению электронной почты в виде специального альтернативного потока данных под названием Zone.Identifier, который включает в себя зону безопасности URL-адреса, реферер и URL-адрес файла.
Недавно группа HP по анализу угроз выяснила, что злоумышленники заражают устройства ransomware Magniber, используя файлы JavaScript, распространяемые в виде вложений или загрузок, которые могут работать вне веб-браузера.
Magniber использовали цифровую подпись с использованием встроенного блока подписи в кодировке base64. Однако после анализа Уиллом Дорманном из ANALYGENCE, обнаружилось, что злоумышленники подписали эти файлы неверным ключом.
При этом подписанный исполняемый файл можно изменить с помощью шестнадцатеричного редактора, чтобы изменить некоторые байты в сигнатурной части файла и, таким образом, испортить сигнатуру.
При такой подписи, несмотря на то, что JS-файл был загружен из Интернета и получил флаг MoTW, Microsoft не отображала предупреждение системы безопасности, и автоматически выполнялся сценарий для установки Magniber.
Дорманн дополнительно протестировал использование этой искаженной подписи в файлах JavaScript и смог создать файлы JavaScript для проверки концепции, которые также обходят предупреждение MoTW.
Правда, по его мнению, эта ошибка впервые появилась с выпуском Windows 10, поскольку полностью исправленное устройство Windows 8.1 отображает предупреждение системы безопасности MoTW, как положенно.
Проблема связана с новой функцией SmartScreen в Win10, а ее отключение возвращает Windows к устаревшему поведению, когда подсказки MotW еще не были не связаны с подписями Authenticode.
Дорманн поделился PoC с Microsoft.
Разработчик же сообщ ил, что им известно об обнаруженной проблеме - она исследуется. Как бы то ни было, 0-day я вызывает серьезную озабоченность, поскольку злоумышленники уже ее активно используют в ransomware-атаках.
Cisco проинформировала клиентов о двух уязвимостях в продукте Identity Services Engine, в том числе о проблеме высокой степени серьезности.
Ресерчер Давиде Виррусо из Yoroi обнаружил, что веб-интерфейс управления Identity Services Engine подвержен уязвимости несанкционированного доступа к файлам.
Проблема отслеживается как CVE-2022-20822.
Злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-запрос, содержащий определенные последовательности символов, в уязвимую систему.
Успешный эксплойт может позволить удаленному злоумышленнику, прошедшему проверку подлинности, читать и удалять файлы на затронутых устройствах.
Cisco работает над обновлениями ПО, которые должны устранить дыру в безопасности — ожидается, что патчи станут доступны в ноябре 2022 г. и январе 2023 г., однако горячие исправления могут быть доступны по запросу.
Виррусо также обнаружил уязвимость межсайтового скриптинга (XSS) в API внешних служб RESTful (ERS) Identity Services Engine.
Уязвимость можно использовать для выполнения произвольного кода сценария, заставив аутентифицированного пользователя щелкнуть специально созданную ссылку.
Она была исправлена в одной версии, а для других версий по запросу могут быть доступны оперативные исправления.
В бюллетенях, посвященных этим уязвимостям, Cisco отметила, что ей ничего не известно о вредоносных атаках, но заявила, что PoC будет доступен после выпуска исправлений ПО.
Ресерчер Давиде Виррусо из Yoroi обнаружил, что веб-интерфейс управления Identity Services Engine подвержен уязвимости несанкционированного доступа к файлам.
Проблема отслеживается как CVE-2022-20822.
Злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-запрос, содержащий определенные последовательности символов, в уязвимую систему.
Успешный эксплойт может позволить удаленному злоумышленнику, прошедшему проверку подлинности, читать и удалять файлы на затронутых устройствах.
Cisco работает над обновлениями ПО, которые должны устранить дыру в безопасности — ожидается, что патчи станут доступны в ноябре 2022 г. и январе 2023 г., однако горячие исправления могут быть доступны по запросу.
Виррусо также обнаружил уязвимость межсайтового скриптинга (XSS) в API внешних служб RESTful (ERS) Identity Services Engine.
Уязвимость можно использовать для выполнения произвольного кода сценария, заставив аутентифицированного пользователя щелкнуть специально созданную ссылку.
Она была исправлена в одной версии, а для других версий по запросу могут быть доступны оперативные исправления.
В бюллетенях, посвященных этим уязвимостям, Cisco отметила, что ей ничего не известно о вредоносных атаках, но заявила, что PoC будет доступен после выпуска исправлений ПО.
Cisco
Cisco Security Advisory: Cisco Identity Services Engine Unauthorized File Access Vulnerability
A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, remote attacker to list, download, and delete files on an affected device.
This vulnerability is due to insufficient validation of…
This vulnerability is due to insufficient validation of…
Исследователи из Zscaler ThreatLabz обнаружили новое вредоносное ПО WarHawk, используемое группой угроз SideWinder в кампаниях, нацеленных на объекты критической инфраструктуры Пакистана.
SideWinder, также известная как Rattlesnake, T-APT4, APT-C-17 и Razor Tiger, является индийской АРТ и действует по меньшей мере с 2012 года.
Группе приписывают ряд атак на организации по всей Азии, а также удары по пакистанским военным объектам.
Первый экземпляр вредоносного ПО зафиксировали в сентябре 2022 года, после того как в руки специалистов попал файл ISO «32-Advisory-No-32.iso», содержащий WarHawk и размещенный на официальном сайте Национального органа по регулированию электроэнергетики Пакистана.
Бэкдор содержит различные модули, включая новые ТТР: KernelCallBackTable Injection и возможность проверки часового пояса Пакистана. Причем KernelCallBackTable ранее активно использовался APT FinFisher и Lazarus.
WarHawk состоит из четырех модулей: Download & Execute, Command Execution, File Manager InfoExfil и UploadFromC2. Посредством Download & Execute бэкдор получает команду на загрузку Cobalt Strike в качестве финальной полезной нагрузки.
В атаках хакеры использует файлы ISO в комплекте с файлом LNK и PDF-приманку, отображающую копию "рекомендаций" (с бэкдором на борту), по кибербезопасности, выпущенных Кабинетом министров Пакистана.
Хотя и АРТ подозревается в связях с индийским государством, но уже в майском отчете Лаборатории Касперского отмечено исчезновение идентифицирующих признаков, по которым ранее производилась атрибуция кластера угроз с конкретной страной.
Ресерчерами замечена активизация деятельности SideWinder: только с апреля 2020 года хакеры провели более 1000 атак. При этом поражает не только их частота, но и внушительный арсенал применяемых компонентов.
Например, в июне 2022 года злоумышленник использовал сценарий AntiBot, предназначенный для фильтрации жертв и проверки среды клиентского браузера, в частности IP-адреса, чтобы убедиться о нахождении цели в Пакистане.
Помимо прочего WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, чтобы заманить как можно большее количество жертв.
По данным Zscaler, связи последних кампании с APT SideWinder обусловлены, прежде всего, повторным использованием инфраструктуры, которая была замечена специалистами еще в предыдущих шпионских атаках против Пакистана.
SideWinder, также известная как Rattlesnake, T-APT4, APT-C-17 и Razor Tiger, является индийской АРТ и действует по меньшей мере с 2012 года.
Группе приписывают ряд атак на организации по всей Азии, а также удары по пакистанским военным объектам.
Первый экземпляр вредоносного ПО зафиксировали в сентябре 2022 года, после того как в руки специалистов попал файл ISO «32-Advisory-No-32.iso», содержащий WarHawk и размещенный на официальном сайте Национального органа по регулированию электроэнергетики Пакистана.
Бэкдор содержит различные модули, включая новые ТТР: KernelCallBackTable Injection и возможность проверки часового пояса Пакистана. Причем KernelCallBackTable ранее активно использовался APT FinFisher и Lazarus.
WarHawk состоит из четырех модулей: Download & Execute, Command Execution, File Manager InfoExfil и UploadFromC2. Посредством Download & Execute бэкдор получает команду на загрузку Cobalt Strike в качестве финальной полезной нагрузки.
В атаках хакеры использует файлы ISO в комплекте с файлом LNK и PDF-приманку, отображающую копию "рекомендаций" (с бэкдором на борту), по кибербезопасности, выпущенных Кабинетом министров Пакистана.
Хотя и АРТ подозревается в связях с индийским государством, но уже в майском отчете Лаборатории Касперского отмечено исчезновение идентифицирующих признаков, по которым ранее производилась атрибуция кластера угроз с конкретной страной.
Ресерчерами замечена активизация деятельности SideWinder: только с апреля 2020 года хакеры провели более 1000 атак. При этом поражает не только их частота, но и внушительный арсенал применяемых компонентов.
Например, в июне 2022 года злоумышленник использовал сценарий AntiBot, предназначенный для фильтрации жертв и проверки среды клиентского браузера, в частности IP-адреса, чтобы убедиться о нахождении цели в Пакистане.
Помимо прочего WarHawk маскируется под легитимные приложения, такие как ASUS Update Setup и Realtek HD Audio Manager, чтобы заманить как можно большее количество жертв.
По данным Zscaler, связи последних кампании с APT SideWinder обусловлены, прежде всего, повторным использованием инфраструктуры, которая была замечена специалистами еще в предыдущих шпионских атаках против Пакистана.
Zscaler
WarHawk: New APT backdoor from SideWinder | Zscaler
SideWinder APT, an Indian threat group, has been targeting Pakistan in threat campaigns using a new backdoor called "WarHawk." Read the ThreatLabz analysis.
Apple выпустила крупное обновление iOS 16.1 и iPadOS 16 с исправлениями не менее 20 задокументированных проблем безопасности, включая уязвимость ядра, которая уже активно эксплуатируется.
Производитель подтвердил активную эксплуатацию CVE-2022-42827 в RCE-атаках на iPhone и iPad.
Как обычно, Apple не делится подробностями выявленных инцидентов, индикаторами компрометации или другими техническими данными.
Компания описала ошибку как проблему записи за пределы, которая была устранена путем улучшенной проверки границ, отметив, что о ней сообщил анонимный исследователь.
Как поясняет Apple, в случае успешного использования в атаках этот нулевой день мог быть использован потенциальными злоумышленниками для выполнения произвольного кода с привилегиями ядра.
К настоящему времени известно лишь то, что в этом году было зарегистрировано как минимум 8 реальных атак на устройства Apple с использованием 0-day.
Последнее обновление также включает исправления как минимум для четырех других ошибок, которые подвергают устройства iOS атакам с RCE, включая:
⁃ CVE-2022-42813 в CFNetwork - проблема проверки вредоносного сертификата при обработке WKWebView может привести к выполнению произвольного кода. Проблема устранена путем улучшенной проверки. О ней сообщил Джонатан Чжан из Open Computing Facility.
⁃ CVE-2022-42808 в ядре - удаленный пользователь может вызвать выполнение кода ядра. Проблема с записью за пределами границ устранена путем улучшенной проверки границ. О проблеме сообщил Цвейг из Kunlun Lab.
⁃ CVE-2022-42823 в WebKit - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема с путаницей типов устранена путем улучшенной обработки памяти. Об ошибке сообщил Дохён Ли из SSD Labs.
⁃ CVE-2022-32922 в WebKit PDF - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема использования после освобождения устранена путем улучшенного управления памятью. Сообщил Yonghwi Jin в Theori.
Несмотря на то, что 0-day, скорее всего, использовалась только в таргетированных атаках, настоятельно рекомендуется установить последние обновления безопасности, чтобы заблокировать любые попытки эксплуатации.
Производитель подтвердил активную эксплуатацию CVE-2022-42827 в RCE-атаках на iPhone и iPad.
Как обычно, Apple не делится подробностями выявленных инцидентов, индикаторами компрометации или другими техническими данными.
Компания описала ошибку как проблему записи за пределы, которая была устранена путем улучшенной проверки границ, отметив, что о ней сообщил анонимный исследователь.
Как поясняет Apple, в случае успешного использования в атаках этот нулевой день мог быть использован потенциальными злоумышленниками для выполнения произвольного кода с привилегиями ядра.
К настоящему времени известно лишь то, что в этом году было зарегистрировано как минимум 8 реальных атак на устройства Apple с использованием 0-day.
Последнее обновление также включает исправления как минимум для четырех других ошибок, которые подвергают устройства iOS атакам с RCE, включая:
⁃ CVE-2022-42813 в CFNetwork - проблема проверки вредоносного сертификата при обработке WKWebView может привести к выполнению произвольного кода. Проблема устранена путем улучшенной проверки. О ней сообщил Джонатан Чжан из Open Computing Facility.
⁃ CVE-2022-42808 в ядре - удаленный пользователь может вызвать выполнение кода ядра. Проблема с записью за пределами границ устранена путем улучшенной проверки границ. О проблеме сообщил Цвейг из Kunlun Lab.
⁃ CVE-2022-42823 в WebKit - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема с путаницей типов устранена путем улучшенной обработки памяти. Об ошибке сообщил Дохён Ли из SSD Labs.
⁃ CVE-2022-32922 в WebKit PDF - обработка вредоносного веб-контента может привести к выполнению произвольного кода. Проблема использования после освобождения устранена путем улучшенного управления памятью. Сообщил Yonghwi Jin в Theori.
Несмотря на то, что 0-day, скорее всего, использовалась только в таргетированных атаках, настоятельно рекомендуется установить последние обновления безопасности, чтобы заблокировать любые попытки эксплуатации.
Apple Support
About the security content of iOS 16.1 and iPadOS 16
This document describes the security content of iOS 16.1 and iPadOS 16.
Исследователи Trend Micro на конференции SecurityWeek 2022 ICS Cyber Security Conference в Атланте представили исследование с неутешительными результатами оценки защищенности станков с ЧПУ.
Как известно, станки с ЧПУ применяют для решения широкого спектра задач с высоким уровнем эффективности и точности. К ним относятся мельницы, токарные станки, плазменные резаки, электроэрозионные машины, водоструйные резаки и штамповочные прессы.
Автоматика становятся все более сложной, что позволяет пользователям управлять ими удаленно и расширять их функциональные возможности, устанавливая надстройки. При этом возрастающая технологичность оборудования делает их более уязвимыми для кибератак.
Исследователи Trend Micro проанализировали решения с ЧПУ от Haas, Okuma, Heidenhain и Fanuc, которые используются на производстве по всему миру. Как выяснилось, станки уязвимы примерно для дюжины типов атак.
Ресерчеры продемонстрировали, как злоумышленник может нанести ущерб или нарушить работу, захватить машину или украсть ценную интеллектуальную собственность. При этом каждый из этих сценариев имеет потенциально значимые финансовые последствия для организации.
Например, хакер может нарушить работу станка или изделия, изменив геометрию устройства или ПО контроллера, что приведет к браку.
Хакеры также могут вмешаться в производственный процесс, вызвав сигналы тревоги, которые заблокируют работу машины, что обычно происходит в случае сбоя программного или аппаратного обеспечения.
Злоумышленник, имеющий доступ к станку с ЧПУ и связанным с ним системам, может запускать ransomware-атаки, при которых файлы шифруются, а операторы утрачивают доступ к пользовательскому интерфейсу.
Существует также риск кражи инженерных данных. Злоумышленник может выкрасть программу, запущенную на целевой машине, а затем легко реконструировать ее, чтобы извлечь код.
Кроме того, контроллеры ЧПУ могут хранить ценную информацию, связанную с производством, что также может быть полезно злоумышленникам, специализирующимся на корпоративном шпионаже.
По мнению ресерчеров Trend Micro, такие атаки можно предотвратить, используя промышленные системы обнаружения и предотвращения вторжений, сегментируя сети, правильно настраивая станки с ЧПУ и обеспечивая их постоянное обновление.
Как известно, станки с ЧПУ применяют для решения широкого спектра задач с высоким уровнем эффективности и точности. К ним относятся мельницы, токарные станки, плазменные резаки, электроэрозионные машины, водоструйные резаки и штамповочные прессы.
Автоматика становятся все более сложной, что позволяет пользователям управлять ими удаленно и расширять их функциональные возможности, устанавливая надстройки. При этом возрастающая технологичность оборудования делает их более уязвимыми для кибератак.
Исследователи Trend Micro проанализировали решения с ЧПУ от Haas, Okuma, Heidenhain и Fanuc, которые используются на производстве по всему миру. Как выяснилось, станки уязвимы примерно для дюжины типов атак.
Ресерчеры продемонстрировали, как злоумышленник может нанести ущерб или нарушить работу, захватить машину или украсть ценную интеллектуальную собственность. При этом каждый из этих сценариев имеет потенциально значимые финансовые последствия для организации.
Например, хакер может нарушить работу станка или изделия, изменив геометрию устройства или ПО контроллера, что приведет к браку.
Хакеры также могут вмешаться в производственный процесс, вызвав сигналы тревоги, которые заблокируют работу машины, что обычно происходит в случае сбоя программного или аппаратного обеспечения.
Злоумышленник, имеющий доступ к станку с ЧПУ и связанным с ним системам, может запускать ransomware-атаки, при которых файлы шифруются, а операторы утрачивают доступ к пользовательскому интерфейсу.
Существует также риск кражи инженерных данных. Злоумышленник может выкрасть программу, запущенную на целевой машине, а затем легко реконструировать ее, чтобы извлечь код.
Кроме того, контроллеры ЧПУ могут хранить ценную информацию, связанную с производством, что также может быть полезно злоумышленникам, специализирующимся на корпоративном шпионаже.
По мнению ресерчеров Trend Micro, такие атаки можно предотвратить, используя промышленные системы обнаружения и предотвращения вторжений, сегментируя сети, правильно настраивая станки с ЧПУ и обеспечивая их постоянное обновление.
Trendmicro
Uncovering Security Weak Spots in Industry 4.0 CNC Machines
The technological leaps of the Fourth Industrial Revolution may have made production machinery more efficient, but these have also put manufacturers in the crosshairs of cybercriminals. Our research tackles the risks that computer numerical control (CNC)…
Blackcat (ALPHV) добавила MDaemon Technologies в список жертв. Компания разрабатывает средства киберзащиты и имеет доход в 78 млн. долларов.
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль. В ночь 14 октября 2022 года серверы мэрии зарансомились и отключились.
Команда Daixin конкретно проехалась по системе общественного здравоохранения США, добавив в свой список 4 жертв.
Тем временем несколько дней назад Karakurt взломала муниципалитет Белен из Коста-Рики.
Группа продолжает интенсивно и успешно наносить удары по правительственным организациям.
Более того, Karakurt удалось взломать регулятора в области связи Сенегала и выкрасть 102 ГБ.
Команда RansomEXX также может похвастаться большим кейсом. На ее счету Unimed Belém — сельхозкомпания с доходом в 602 млн. дол. из Бразилии.
А Black Basta добавила Essick Air на свой DLS.Компания разрабатывает решения для охлаждения, увлажнения и обогрева, имея доход в 103 млн. долларов.
Кроме того, вымогатели атаковали немецкую Döhler с доходом в 2 млрд. долларов.
Cuba положила целый город Шавиль. В ночь 14 октября 2022 года серверы мэрии зарансомились и отключились.
Команда Daixin конкретно проехалась по системе общественного здравоохранения США, добавив в свой список 4 жертв.
Тем временем несколько дней назад Karakurt взломала муниципалитет Белен из Коста-Рики.
Группа продолжает интенсивно и успешно наносить удары по правительственным организациям.
Более того, Karakurt удалось взломать регулятора в области связи Сенегала и выкрасть 102 ГБ.
Команда RansomEXX также может похвастаться большим кейсом. На ее счету Unimed Belém — сельхозкомпания с доходом в 602 млн. дол. из Бразилии.
А Black Basta добавила Essick Air на свой DLS.Компания разрабатывает решения для охлаждения, увлажнения и обогрева, имея доход в 103 млн. долларов.