Израильская компании по киберразведке KELA выяснила, что хакеры продают начальный доступ к 576 корпоративным сетям по всему миру на общую сумму 4 млн. долларов США.
Брокеры начального доступа IAB продают доступ к корпоративным сетям, как правило, путем кражи учетных данных, веб-оболочек или использования уязвимостей.
Закрепившись в сети, они продают доступ другим хакерам, которые уже используют его для кражи ценных данных, развертывания программ-вымогателей или других вредоносных действий.
Данные ресерчеров отражают результаты исследования за третий квартал 2022 года, при этом количество продаж доступа к сети осталось примерно таким же, как и в предыдущие два квартала.
Однако общая стоимость первоначальных списков доступа во втором квартале 2022 года составила 660 000 долларов США, зафиксировав падение стоимости, которое совпало с летним перерывом в борьбе с ransomware, который снизил спрос.
Ресерчеры наблюдали за 110 злоумышленниками. Средняя цена продажи этих листингов составляла 2800 долларов, а средняя цена продажи достигла рекордной отметки в 1350 долларов.
KELA также отметила один лот, когда стоимость доступа достигла астрономической цены в 3 000 000 долларов. Однако этот список не был включен в статистику из-за сомнений в его подлинности.
В исследуемый период ресерчеры выделили три ведущих IAB, которые вели широкий бизнес, предлагая от 40 до 100 доступов на продажу.
Судя по обсуждениям на хакерских форумах среднее время продажи корпоративного доступа составляло всего 1,6 дня, в то время как большинство из них относились к типам RDP и VPN.
Наиболее целевой страной в квартале стали США, на которые приходилось 30,4% всех предложений IAB.
При этом эта статистика близка к доле 39,1% атак ransomware в третьем квартале, нацеленных на американские компании.
Что касается целевых секторов, то профессиональные услуги, производство и технологии возглавили список с 13,4%, 10,8% и 9,4% соответственно.
Опять же, атаки программ-вымогателей имеют аналогичный рейтинг, что подчеркивает тесную связь вымогателей с IAB.
Как вывод, ресерчеры констатируют, что IAB, по-прежнему, играют решающую роль в цепочке заражения ransomware.
Даже несмотря на то, что с прошлого года крупные банды вымогателей начали действовать в качестве преступных синдикатов, управляя собственными подразделениями IAB.
Брокеры начального доступа IAB продают доступ к корпоративным сетям, как правило, путем кражи учетных данных, веб-оболочек или использования уязвимостей.
Закрепившись в сети, они продают доступ другим хакерам, которые уже используют его для кражи ценных данных, развертывания программ-вымогателей или других вредоносных действий.
Данные ресерчеров отражают результаты исследования за третий квартал 2022 года, при этом количество продаж доступа к сети осталось примерно таким же, как и в предыдущие два квартала.
Однако общая стоимость первоначальных списков доступа во втором квартале 2022 года составила 660 000 долларов США, зафиксировав падение стоимости, которое совпало с летним перерывом в борьбе с ransomware, который снизил спрос.
Ресерчеры наблюдали за 110 злоумышленниками. Средняя цена продажи этих листингов составляла 2800 долларов, а средняя цена продажи достигла рекордной отметки в 1350 долларов.
KELA также отметила один лот, когда стоимость доступа достигла астрономической цены в 3 000 000 долларов. Однако этот список не был включен в статистику из-за сомнений в его подлинности.
В исследуемый период ресерчеры выделили три ведущих IAB, которые вели широкий бизнес, предлагая от 40 до 100 доступов на продажу.
Судя по обсуждениям на хакерских форумах среднее время продажи корпоративного доступа составляло всего 1,6 дня, в то время как большинство из них относились к типам RDP и VPN.
Наиболее целевой страной в квартале стали США, на которые приходилось 30,4% всех предложений IAB.
При этом эта статистика близка к доле 39,1% атак ransomware в третьем квартале, нацеленных на американские компании.
Что касается целевых секторов, то профессиональные услуги, производство и технологии возглавили список с 13,4%, 10,8% и 9,4% соответственно.
Опять же, атаки программ-вымогателей имеют аналогичный рейтинг, что подчеркивает тесную связь вымогателей с IAB.
Как вывод, ресерчеры констатируют, что IAB, по-прежнему, играют решающую роль в цепочке заражения ransomware.
Даже несмотря на то, что с прошлого года крупные банды вымогателей начали действовать в качестве преступных синдикатов, управляя собственными подразделениями IAB.
Компания 0patch выпустила неофициальный патч для устранения активно используемой уязвимости системы безопасности в Microsoft Windows, позволяющей обойти защиту Mark-of-the-Web (MotW) с помощью файлов, подписанных с искаженными подписями.
Проблема затрагивает все поддерживаемые и ряд устаревших версий Windows.
Причем использование этой уязвимости засветилось в атаках программы-вымогателя Magniber, о которых впервые стало известно, после атак на пользователей Windows посредством вредоносных JavaScript-файлов.
Специалист 0patch объяснил, что вредоносные файлы, извлеченные из ZIP-файлов злоумышленника, выполнялись без предупреждений системы безопасности, то есть без пометки Mark-of-the-Web, которая в Microsoft указывает на то, что файл был загружен из сети и может в теории представлять угрозу.
Как обнаружили эксперты поврежденные подписи Authenticode (технология подписи кода, которая удостоверяет личность издателя ПО) позволяют запускать произвольные исполняемые файлы без предупреждения SmartScreen.
Согласно 0patch, по какой-то причине Windows не может правильно проанализировать подпись и поэтому доверяет им и позволяет запускать вредоносные исполняемые файлы без предупреждения.
Патч доступен для следующих версий операционной системы: Windows 11 v21H2; Windows 10 v21H2; Windows 10 v21H1; Windows 10 v20H2; Windows 10 v2004; Windows 10 v1909; Windows 10 v1903; Windows 10 v1809; Windows 10 v1803; Windows Server 2022; Windows Server 2019.
Проблема затрагивает все поддерживаемые и ряд устаревших версий Windows.
Причем использование этой уязвимости засветилось в атаках программы-вымогателя Magniber, о которых впервые стало известно, после атак на пользователей Windows посредством вредоносных JavaScript-файлов.
Специалист 0patch объяснил, что вредоносные файлы, извлеченные из ZIP-файлов злоумышленника, выполнялись без предупреждений системы безопасности, то есть без пометки Mark-of-the-Web, которая в Microsoft указывает на то, что файл был загружен из сети и может в теории представлять угрозу.
Как обнаружили эксперты поврежденные подписи Authenticode (технология подписи кода, которая удостоверяет личность издателя ПО) позволяют запускать произвольные исполняемые файлы без предупреждения SmartScreen.
Согласно 0patch, по какой-то причине Windows не может правильно проанализировать подпись и поэтому доверяет им и позволяет запускать вредоносные исполняемые файлы без предупреждения.
Патч доступен для следующих версий операционной системы: Windows 11 v21H2; Windows 10 v21H2; Windows 10 v21H1; Windows 10 v20H2; Windows 10 v2004; Windows 10 v1909; Windows 10 v1903; Windows 10 v1809; Windows 10 v1803; Windows Server 2022; Windows Server 2019.
0Patch
Free Micropatches For Bypassing MotW Security Warning with Invalid Signature (0day, now CVE-2022-44698 and CVE-2023-24880)
by Mitja Kolsek, the 0patch Team Update 12/13/2022: Microsoft patched this issue with December 2022 Windows Updates and assigned it CVE-2022...
Ресерчеры Лаборатории Касперского раскрывают новые методы цепочки заражения китайской APT10 (ака Cicada), которая использует антивирусные решения для запуска вредоносного ПО LODEINFO.
Целями АРТ являются СМИ, дипагентства, правительственные организации, а также аналитические центры в Японии в рамках инспирируемых кампаний кибершпионажа.
Наблюдающие за операциями APT10 еще с 2019 года ресерчеры отмечают, что злоумышленники постоянно совершенствуют свою тактику заражения и бэкдор LODEINFO, эволюция которого проиллюстрирована ими в отельном отчете.
Начиная с марта 2022 года, Лаборатория Касперского заметила в атаках новый вектор заражения, который включал: адресную фишинговую электронную рассылку, самораспаковывающийся (SFX) RAR-файл и злоупотребление уязвимостью боковой загрузки DLL в ПО безопасности.
Архив RAR содержит исполняемый файл ПО K7Security Suite, NRTOLD.exe и вредоносную DLL с именем K7SysMn1.dll. Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.
Однако исполняемый файл не ищет DLL в определенной папке, что позволяет злоумышленникам создавать вредоносные DLL с тем же именем, что и K7SysMn1.dll.
Если вредоносная DLL хранится в той же папке, что и законные исполняемые файлы, при запуске исполняемый файл загружает вредоносную DLL, содержащую вредоносное ПО LODEINFO.
Поскольку малварь грузится с использованием приложения безопасности, другие антивирусные решения не определяют его как вредоносное.
При этом K7SysMn1.dll содержит BLOB с запутанной подпрограммой, которая не наблюдалась в прошлых атаках. Он разделен на четырехбайтовые фрагменты, и каждая часть хранится в одной из 50 случайно названных экспортных функций двоичного файла DLL.
Функции экспорта восстанавливают BLOB в выделенном буфере, а затем декодируют шелл-код LODEINFO с помощью однобайтового ключа XOR.
Пока архив извлекается в фоновом режиме и инициирует процесс заражения, жертва видит на переднем плане документ-приманку.
В июне 2022 года ЛК обнаружила еще один вариант в цепочке заражения APT10, использующий шелл-код безфайлового загрузчика, доставляемый через защищенный паролем документ Microsoft Office, содержащий вредоносный код VBA.
На этот раз вместо боковой загрузки DLL хакеры использовали макрокод для внедрения и загрузки шелл-кода DOWNISSA непосредственно в память процесса WINWORD.exe.
В общей сложности авторы выпустили шесть новых версий LODEINFO в 2022 году, последняя из которых — v0.6.7 в сентябре 2022 года, а v0.6.6 и v0.6.7 - по данным ЛК, уже распространяются через новые TTP.
Целями АРТ являются СМИ, дипагентства, правительственные организации, а также аналитические центры в Японии в рамках инспирируемых кампаний кибершпионажа.
Наблюдающие за операциями APT10 еще с 2019 года ресерчеры отмечают, что злоумышленники постоянно совершенствуют свою тактику заражения и бэкдор LODEINFO, эволюция которого проиллюстрирована ими в отельном отчете.
Начиная с марта 2022 года, Лаборатория Касперского заметила в атаках новый вектор заражения, который включал: адресную фишинговую электронную рассылку, самораспаковывающийся (SFX) RAR-файл и злоупотребление уязвимостью боковой загрузки DLL в ПО безопасности.
Архив RAR содержит исполняемый файл ПО K7Security Suite, NRTOLD.exe и вредоносную DLL с именем K7SysMn1.dll. Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.
Однако исполняемый файл не ищет DLL в определенной папке, что позволяет злоумышленникам создавать вредоносные DLL с тем же именем, что и K7SysMn1.dll.
Если вредоносная DLL хранится в той же папке, что и законные исполняемые файлы, при запуске исполняемый файл загружает вредоносную DLL, содержащую вредоносное ПО LODEINFO.
Поскольку малварь грузится с использованием приложения безопасности, другие антивирусные решения не определяют его как вредоносное.
При этом K7SysMn1.dll содержит BLOB с запутанной подпрограммой, которая не наблюдалась в прошлых атаках. Он разделен на четырехбайтовые фрагменты, и каждая часть хранится в одной из 50 случайно названных экспортных функций двоичного файла DLL.
Функции экспорта восстанавливают BLOB в выделенном буфере, а затем декодируют шелл-код LODEINFO с помощью однобайтового ключа XOR.
Пока архив извлекается в фоновом режиме и инициирует процесс заражения, жертва видит на переднем плане документ-приманку.
В июне 2022 года ЛК обнаружила еще один вариант в цепочке заражения APT10, использующий шелл-код безфайлового загрузчика, доставляемый через защищенный паролем документ Microsoft Office, содержащий вредоносный код VBA.
На этот раз вместо боковой загрузки DLL хакеры использовали макрокод для внедрения и загрузки шелл-кода DOWNISSA непосредственно в память процесса WINWORD.exe.
В общей сложности авторы выпустили шесть новых версий LODEINFO в 2022 году, последняя из которых — v0.6.7 в сентябре 2022 года, а v0.6.6 и v0.6.7 - по данным ЛК, уже распространяются через новые TTP.
Securelist
APT10: Tracking down LODEINFO 2022, part I
The first part of this report will provide technical analysis of the new infection methods such as SFX files and DOWNIISSA, a new downloader shellcode used to deploy the LODEINFO backdoor.
͏Французская оборонная и технологическая группа Thales (TCFP.PA) объявила, что LockBit 3.0 указали компанию на своем DLS, заявляя о краже данных и угрозе их публикации.
Thales — мировой лидер в области высоких технологий с более чем 81 000 сотрудников по всему миру.
Группа известна тем, что инвестирует в цифровые и глубокие технологические инновации — большие данные, искусственный интеллект, кибербезопасность и квантовые вычисления.
Thales была добавлена в список жертв вымогателей 31 октября, LockBit грозится опубликовать украденные данные до 7 ноября 2022 года, если компания не заплатит выкуп. При этом ни одного образца предполагаемых украденных данных еще не было опубликовано.
В свою очередь, Thales сообщила Reuters, что начала расследование предполагаемого нарушения безопасности, а также уведомила французское национальное агентство кибербезопасности ANSSI, однако не подавала официальное заявление.
Компания до сих пор не получала прямого уведомления о выкупе, как и доказательств того, что LockBit получили какие-либо данные из Thales.
Но будем посмотреть.
Thales — мировой лидер в области высоких технологий с более чем 81 000 сотрудников по всему миру.
Группа известна тем, что инвестирует в цифровые и глубокие технологические инновации — большие данные, искусственный интеллект, кибербезопасность и квантовые вычисления.
Thales была добавлена в список жертв вымогателей 31 октября, LockBit грозится опубликовать украденные данные до 7 ноября 2022 года, если компания не заплатит выкуп. При этом ни одного образца предполагаемых украденных данных еще не было опубликовано.
В свою очередь, Thales сообщила Reuters, что начала расследование предполагаемого нарушения безопасности, а также уведомила французское национальное агентство кибербезопасности ANSSI, однако не подавала официальное заявление.
Компания до сих пор не получала прямого уведомления о выкупе, как и доказательств того, что LockBit получили какие-либо данные из Thales.
Но будем посмотреть.
Microsoft исправила критическую RCE-уязвимость в Azure Cosmos DB.
Azure Cosmos DB — это управляемая база данных Microsoft NoSQL с широкой поддержкой типов API для приложений любого размера и интерактивной веб-платформой Jupyter Notebooks, которая позволяет пользователям получать доступ к данным Cosmos DB.
Ошибку обнаружили ресерчеры Orca Security и сообщили о своих выводах в Microsoft 3 октября 2022 года. Поставщик устранил проблемы в течение двух дней 5 октября.
Проблема безопасности, названная CosMiss, допускала неавторизованный доступ для чтения и записи к контейнерам.
Она связана со встроенными записными книжками Jupyter Azure Cosmos DB, которые интегрируются с порталом Azure и учетными записями Azure Cosmos DB для упрощения запросов, анализа и визуализации данных и результатов NoSQL.
Суть недостатка в том, что в Cosmos DB Jupyter Notebook отсутствуют проверки аутентификации, которые предотвращают несанкционированный доступ и даже модифицируют контейнер, если у них есть UUID рабочей области Notebook.
Исследователи проанализировали трафик запроса от недавно созданной записной книжки к серверу и заметили наличие заголовка авторизации. При его удалении и отправке запроса на перечисление ноутбуков на этом сервере, он отвечает штатным образом, не требуя заголовка авторизации.
Опробовав другие типы допустимых запросов PUT, содержащих полезные данные JSON, аналитики Orca обнаружили, что они могут изменять код в блокноте, перезаписывать данные, вставлять новые фрагменты или удалять их.
Кроме того, поскольку предыдущая команда раскрывает все идентификаторы ноутбуков на одной платформе, злоумышленники смогут получить доступ и изменить любой из них.
Для дальнейшего продвижения злоумышленник может изменить файл, который создает панель мониторинга Explorer, внедрив код Python, а затем загрузив Cosmos Data Explorer через интерфейс Azure. При его загрузке код Python выполняется автоматически, предоставляя злоумышленнику обратную оболочку на клиенте.
Исследователи опубликовали подробный технический отчет об уязвимости и представили PoC. Правда, эксплойт больше не позволяет выполнить код, так как Microsoft уже выпустила исправления.
Поскольку Azure Cosmos DB — это полностью управляемая бессерверная распределенная база данных, исправления выполняются на стороне сервера, поэтому пользователям не нужно предпринимать никаких действий для снижения риска.
Microsoft также представила отчет, подчеркнув, что проблема практически затронула лишь очень небольшой процент пользователей, поскольку клиенты, не использующие записные книжки Jupyter (99,8%) не были подвержены этой уязвимости.
Azure Cosmos DB — это управляемая база данных Microsoft NoSQL с широкой поддержкой типов API для приложений любого размера и интерактивной веб-платформой Jupyter Notebooks, которая позволяет пользователям получать доступ к данным Cosmos DB.
Ошибку обнаружили ресерчеры Orca Security и сообщили о своих выводах в Microsoft 3 октября 2022 года. Поставщик устранил проблемы в течение двух дней 5 октября.
Проблема безопасности, названная CosMiss, допускала неавторизованный доступ для чтения и записи к контейнерам.
Она связана со встроенными записными книжками Jupyter Azure Cosmos DB, которые интегрируются с порталом Azure и учетными записями Azure Cosmos DB для упрощения запросов, анализа и визуализации данных и результатов NoSQL.
Суть недостатка в том, что в Cosmos DB Jupyter Notebook отсутствуют проверки аутентификации, которые предотвращают несанкционированный доступ и даже модифицируют контейнер, если у них есть UUID рабочей области Notebook.
Исследователи проанализировали трафик запроса от недавно созданной записной книжки к серверу и заметили наличие заголовка авторизации. При его удалении и отправке запроса на перечисление ноутбуков на этом сервере, он отвечает штатным образом, не требуя заголовка авторизации.
Опробовав другие типы допустимых запросов PUT, содержащих полезные данные JSON, аналитики Orca обнаружили, что они могут изменять код в блокноте, перезаписывать данные, вставлять новые фрагменты или удалять их.
Кроме того, поскольку предыдущая команда раскрывает все идентификаторы ноутбуков на одной платформе, злоумышленники смогут получить доступ и изменить любой из них.
Для дальнейшего продвижения злоумышленник может изменить файл, который создает панель мониторинга Explorer, внедрив код Python, а затем загрузив Cosmos Data Explorer через интерфейс Azure. При его загрузке код Python выполняется автоматически, предоставляя злоумышленнику обратную оболочку на клиенте.
Исследователи опубликовали подробный технический отчет об уязвимости и представили PoC. Правда, эксплойт больше не позволяет выполнить код, так как Microsoft уже выпустила исправления.
Поскольку Azure Cosmos DB — это полностью управляемая бессерверная распределенная база данных, исправления выполняются на стороне сервера, поэтому пользователям не нужно предпринимать никаких действий для снижения риска.
Microsoft также представила отчет, подчеркнув, что проблема практически затронула лишь очень небольшой процент пользователей, поскольку клиенты, не использующие записные книжки Jupyter (99,8%) не были подвержены этой уязвимости.
Orca Security
CosMiss: Azure Cosmos DB Notebook Remote Code Execution Vulnerability
The Orca Research Pod has discovered CosMiss, a vulnerability in Microsoft Azure Cosmos DB where authentication checks were missing from Cosmos DB Notebooks.
Широко анонсированная в инфосеке новая версия OpenSSL содержит исправления двух уязвимостей высокой степени серьезности.
CVE-2022-3602 и CVE-2022-3786 затрагивают OpenSSL версии 3.0.0 и выше и были устранены в OpenSSL 3.0.7.
Первая CVE-2022-3602 описывается как произвольное 4-байтовое переполнение буфера стека, которое может вызвать сбои или привести к2022-3602 в то время как другая CVE-2022-3786 может использоваться злоумышленниками через вредоносные адреса электронной почты для запуска состояния и CVE-20через переполнение буфера.
Представляем проекта неизвестно ни о каком реальном эксплойте, который мог бы привести к удаленному выполнению кода, и у них нет доказательств использования этих проблем в дикой природе.
В соответствии с политикой Open SSL, организации и ИТ-администраторы с 25 октября предупреждены о необходимости поиска в своих средах уязвимых экземпляров и установке исправлений после выпуска OpenSSL 3.0.7.
OpenSSL также предоставила меры по смягчению последствий, требуя от администраторов, работающих с серверами TLS, отключать аутентификацию клиентов TLS до тех пор, пока не будут применены исправления.
Хотя и нервоначальное предупреждение содержало оценку CVE-2022-3602 как критической, впоследствии она была понижена до высокой серьезности и влияет только на экземпляры OpenSSL 3.0 и более поздних версий.
Кроме того, несмотря на то, что некоторые эксперты уже приравняли баги к ситуации, аналогичнойости.
CVE-2022-из более чем 1 793 000 уникальных онлайн-хостов, обнаруженныхержит исправлтолько на 7000 работают уязвимые версии.
Shodan дает оценки в 16 000 общедоступных экземпляров OpenSSL.
После анализа развертываний в основных облачных средах (например, AWS, GCP, Azure, OCI и Alibaba Cloud) ресерчеры Wiz.io также обнаружили лишь 1,5% уязвимых экземпляров OpenSSL.
В итоге: много шума из ничего.
CVE-2022-3602 и CVE-2022-3786 затрагивают OpenSSL версии 3.0.0 и выше и были устранены в OpenSSL 3.0.7.
Первая CVE-2022-3602 описывается как произвольное 4-байтовое переполнение буфера стека, которое может вызвать сбои или привести к2022-3602 в то время как другая CVE-2022-3786 может использоваться злоумышленниками через вредоносные адреса электронной почты для запуска состояния и CVE-20через переполнение буфера.
Представляем проекта неизвестно ни о каком реальном эксплойте, который мог бы привести к удаленному выполнению кода, и у них нет доказательств использования этих проблем в дикой природе.
В соответствии с политикой Open SSL, организации и ИТ-администраторы с 25 октября предупреждены о необходимости поиска в своих средах уязвимых экземпляров и установке исправлений после выпуска OpenSSL 3.0.7.
OpenSSL также предоставила меры по смягчению последствий, требуя от администраторов, работающих с серверами TLS, отключать аутентификацию клиентов TLS до тех пор, пока не будут применены исправления.
Хотя и нервоначальное предупреждение содержало оценку CVE-2022-3602 как критической, впоследствии она была понижена до высокой серьезности и влияет только на экземпляры OpenSSL 3.0 и более поздних версий.
Кроме того, несмотря на то, что некоторые эксперты уже приравняли баги к ситуации, аналогичнойости.
CVE-2022-из более чем 1 793 000 уникальных онлайн-хостов, обнаруженныхержит исправлтолько на 7000 работают уязвимые версии.
Shodan дает оценки в 16 000 общедоступных экземпляров OpenSSL.
После анализа развертываний в основных облачных средах (например, AWS, GCP, Azure, OCI и Alibaba Cloud) ресерчеры Wiz.io также обнаружили лишь 1,5% уязвимых экземпляров OpenSSL.
В итоге: много шума из ничего.
www.openssl.org
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
Today we published an
advisory about CVE-2022-3786
(“X.509 Email Address Variable Length Buffer Overflow”) and
CVE-2022-3602 (“X.509 Email Address 4- …
advisory about CVE-2022-3786
(“X.509 Email Address Variable Length Buffer Overflow”) and
CVE-2022-3602 (“X.509 Email Address 4- …
Forwarded from SecurityLab.ru
— Как пишет издание, все министры, занимающиеся вопросами национальной безопасности, на этой неделе должны будут пройти новое обучение со службами безопасности, «чтобы убедиться, что все знают, как следует обращаться с этим материалом».
— Министров предупредят, что они никогда не должны использовать свои личные мобильные телефоны для ведения государственных дел, поскольку они могут стать целью «враждебных государств», таких как Россия, Китай, Северная Корея и Иран.
— Инициатива возникла после предполагаемого взлома телефона экс-премьера Лиз Трасс. Ричард Дирлав, бывший глава МИ-6 высказался, что в хакерской атаке могут быть виновны враждебные страны, вероятнее всего Россия , у который есть все инструменты для взлома.
https://www.securitylab.ru/news/534610.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Британским министрам могут запретить использовать личные мобильные телефоны
Инициатива возникла после предполагаемого взлома телефона экс-премьера Лиз Трасс.
Существует три вида лжи: ложь, наглая ложь и статистика. Но она не может не радовать, если речь идет о положительной динамике в сфере ИБ ICS и OT.
Несмотря на то, что риск для OT/ICS остается достаточно высоким, организации все больше уверены в своей способности обнаруживать злонамеренные действия со стороны третьих лиц.
Согласно отчету о кибербезопасности OT/ICS за 2022 год, в котором исследователями из Института SANS и компании Nozomi Networks, занимающейся промышленной ИБ, описали позитивный рост в отражении атак от злонамеренных воздействий.
Отчет основан на опросе 332 человек из числа представителей организации разных размеров и на разных континентах.
Собственно цифры:
- 11% респондентов заявили, что сталкивались с вторжением в прошлом году, по сравнению с 15% в 2021 году;
- 24% были уверены, что их системы не были взломаны, по сравнению с 12% в 2021 году;
- 35% знали, что системы их организаций были взломаны, по сравнению с 48% в предыдущем году;
- более 50% респондентов заявили, что смогут обнаружить атаку в течение 24 часов, и 2/3 считают, что они могут перейти от обнаружения к сдерживанию в течение 6-24 часов.
В предыдущем отчете компрометация рабочих станций инженеров была шестым наиболее распространенным вектором первоначальной атаки, на который указали 18% респондентов.
За последний год процент атак увеличился до 35%, и сейчас это третий по распространенности вектор после компрометации сети и съемных носителей.
Большинство организации осознают, что инженерные системы, в том числе рабочие станции инженеров и контрольно-измерительные ЭВМ, подвергаются наибольшему риску взлома, за ними следуют операторское и серверное оборудование, работающие под управлением Windows и других коммерческих операционных систем.
Главной проблемой же остаются атаки с ransomware, что неудивительно, так как промышленные организации в последнее время становятся мишенью номер один для многих киберпреступных групп.
Особую обеспокоенность вызывают кибератаки АРТ, за которыми потом следуют атаки от иных преступных групп и хактивистов, помимо программ-вымогателей, что также создает риски для цепочки поставок и третьих сторон.
Также значительно увеличилось количество компаний, сообщивших об увеличении бюджета на ИБ АСУ ТП/ОТ по сравнению с предыдущим годом и почти все респонденты сообщили, что проводят аудит безопасности, а также вкладывают средства в обучение и сертификацию сотрудников.
Несмотря на то, что риск для OT/ICS остается достаточно высоким, организации все больше уверены в своей способности обнаруживать злонамеренные действия со стороны третьих лиц.
Согласно отчету о кибербезопасности OT/ICS за 2022 год, в котором исследователями из Института SANS и компании Nozomi Networks, занимающейся промышленной ИБ, описали позитивный рост в отражении атак от злонамеренных воздействий.
Отчет основан на опросе 332 человек из числа представителей организации разных размеров и на разных континентах.
Собственно цифры:
- 11% респондентов заявили, что сталкивались с вторжением в прошлом году, по сравнению с 15% в 2021 году;
- 24% были уверены, что их системы не были взломаны, по сравнению с 12% в 2021 году;
- 35% знали, что системы их организаций были взломаны, по сравнению с 48% в предыдущем году;
- более 50% респондентов заявили, что смогут обнаружить атаку в течение 24 часов, и 2/3 считают, что они могут перейти от обнаружения к сдерживанию в течение 6-24 часов.
В предыдущем отчете компрометация рабочих станций инженеров была шестым наиболее распространенным вектором первоначальной атаки, на который указали 18% респондентов.
За последний год процент атак увеличился до 35%, и сейчас это третий по распространенности вектор после компрометации сети и съемных носителей.
Большинство организации осознают, что инженерные системы, в том числе рабочие станции инженеров и контрольно-измерительные ЭВМ, подвергаются наибольшему риску взлома, за ними следуют операторское и серверное оборудование, работающие под управлением Windows и других коммерческих операционных систем.
Главной проблемой же остаются атаки с ransomware, что неудивительно, так как промышленные организации в последнее время становятся мишенью номер один для многих киберпреступных групп.
Особую обеспокоенность вызывают кибератаки АРТ, за которыми потом следуют атаки от иных преступных групп и хактивистов, помимо программ-вымогателей, что также создает риски для цепочки поставок и третьих сторон.
Также значительно увеличилось количество компаний, сообщивших об увеличении бюджета на ИБ АСУ ТП/ОТ по сравнению с предыдущим годом и почти все респонденты сообщили, что проводят аудит безопасности, а также вкладывают средства в обучение и сертификацию сотрудников.
Forwarded from Russian OSINT
"Тело Виталия Кремеза [Генеральный директор AdvIntel] было обнаружено местными властями в среду", — пишут в Twitter.
Fortinet пофиксили 16 уязвимостей в своих продуктах, включая шесть недостатков, которым была присвоена высокая степень серьезности.
Одна из таких проблем затрагивает FortiTester и позволяет аутентифицированному злоумышленнику выполнять команды с помощью специально созданных аргументов для существующих команд.
FortiSIEM подвержен уязвимости, которая позволяет локальному злоумышленнику с доступом к командной строке выполнять операции на сервере Glassfish напрямую с помощью жестко заданного пароля.
Остальные уязвимости высокой серьезности сохраняются и отражают ошибки межсайтового скриптинга (XSS).
Они влияют на FortiADC, FortiDeceptor, FortiManager и FortiAnalyzer. Некоторые из них можно использовать удаленно без аутентификации.
Уязвимости средней и низкой степени серьезности были исправлены в FortiOS, FortiTester, FortiSOAR, FortiMail, FortiEDR CollectorWindows, FortiClient для Mac и FortiADC.
Их можно использовать для повышения привилегий, XSS-атак, получения конфиденциальной информации, DoS-атак, обхода защиты, изменения настроек и выполнения произвольных команд.
Клиентам не следует пренебрегать рекомендациями разработчика, как в случае с CVE-2022-40684 в FortiOS, FortiProxy и FortiSwitchManager.
Она изначально использовалась в целевых атаках, а впоследствии были замечены массовые попытки эксплуатации. Ведь пользователи не спешили развертывать доступные исправления.
Одна из таких проблем затрагивает FortiTester и позволяет аутентифицированному злоумышленнику выполнять команды с помощью специально созданных аргументов для существующих команд.
FortiSIEM подвержен уязвимости, которая позволяет локальному злоумышленнику с доступом к командной строке выполнять операции на сервере Glassfish напрямую с помощью жестко заданного пароля.
Остальные уязвимости высокой серьезности сохраняются и отражают ошибки межсайтового скриптинга (XSS).
Они влияют на FortiADC, FortiDeceptor, FortiManager и FortiAnalyzer. Некоторые из них можно использовать удаленно без аутентификации.
Уязвимости средней и низкой степени серьезности были исправлены в FortiOS, FortiTester, FortiSOAR, FortiMail, FortiEDR CollectorWindows, FortiClient для Mac и FortiADC.
Их можно использовать для повышения привилегий, XSS-атак, получения конфиденциальной информации, DoS-атак, обхода защиты, изменения настроек и выполнения произвольных команд.
Клиентам не следует пренебрегать рекомендациями разработчика, как в случае с CVE-2022-40684 в FortiOS, FortiProxy и FortiSwitchManager.
Она изначально использовалась в целевых атаках, а впоследствии были замечены массовые попытки эксплуатации. Ведь пользователи не спешили развертывать доступные исправления.
Как стало известно, именно неудачное селфи подруги привело к аресту в Нидерландах украинца Марка Соколовского, предполагаемого автора Raccoon Stealer. Теперь софт товарища пытаются пристроить в дело его коллеги из Lockbit, о чем сообщили на XSS-форуме.
А между делом Lockbit успешно атаковали Тайваньские железные дороги, а также добавили Lincare в список жертв. Компания является крупнейшим поставщиков кислорода и услуг респираторной терапии, с доходом в 1 млрд. долл.
Команда Snatch добавила HENSOLDT France на DLS, которая является ведущей компанией в сфере оборонной промышленности, а Объединенное командование ВС Эквадора посетили Blackcat.
Одним из серьезных достижений Everest стала атака на крупнейшего оператора AT&T. Они взломали сеть и теперь продают к ней прямой доступ.
После двухмесячного перерыва LV пополнила свой DLS 10 новыми жертвами, одна из которых Grupo SIFU с доходом в 429 млн. дол. из Испании.
Вымогателей Yanluowang постигла участь Conti.
А между делом Lockbit успешно атаковали Тайваньские железные дороги, а также добавили Lincare в список жертв. Компания является крупнейшим поставщиков кислорода и услуг респираторной терапии, с доходом в 1 млрд. долл.
Команда Snatch добавила HENSOLDT France на DLS, которая является ведущей компанией в сфере оборонной промышленности, а Объединенное командование ВС Эквадора посетили Blackcat.
Одним из серьезных достижений Everest стала атака на крупнейшего оператора AT&T. Они взломали сеть и теперь продают к ней прямой доступ.
После двухмесячного перерыва LV пополнила свой DLS 10 новыми жертвами, одна из которых Grupo SIFU с доходом в 429 млн. дол. из Испании.
Вымогателей Yanluowang постигла участь Conti.
Forwarded from Social Engineering
🔖 S.E. Заметка. Полезные шпаргалки для ИБ специалистов.
• К слову, подсказки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачать свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.
• Basic Active Directory Domain Enumeration Cheat Sheet;
• Basic Active Directory Domain Enumeration Cheat Sheet2;
• Best of PowerShell;
• BloodHound Cheat Sheet;
• Burp Suite Cheat Sheet;
• Burp Suite Cheat Sheet2;
• Hacking Tools Cheat Sheet;
• Hacking Tools Cheat Sheet2;
• IPv4 Cheat Sheet;
• IPv4 Subnets;
• Incident Response;
• Incident Response2;
• John The Ripper;
• Kali Linux Cheat Sheet;
• Linux Command Line Cheat Sheet;
• Linux Commands with Denoscriptions;
• Linux Terminal Cheat Sheet;
• Log Parsing Cheat Sheet;
• Metasploit Cheat Sheet;
• Nessus and Nmap Cheat Sheet;
• Netcat Cheat Sheet;
• Network Topologies;
• Nikto Cheat Sheet;
• Nmap Cheat Sheet;
• Nmap Cheat Sheet2;
• Nmap Commands Cheat Sheet;
• OSI Layer Cheat Sheet;
• OSI Model Cheat Sheet;
• OSI Model and Cyber Attacks;
• PowerShell Cheat Sheet;
• SQLMap;
• SSH Common Commands;
• SSL TLS Handshake;
• Social Engineering Red Flags;
• TCP IP Cheat Sheet;
• TCP and UDP Common Ports;
• Windows Command Line;
• Wireshark Cheat Sheet;
• computer networking cheat sheet;
• network ports cheat sheet;
@S.E. #CheatSheet #ИБ
🖖🏻 Приветствую тебя user_name.• Добро пожаловать в рубрику "добавь в избранное". Сегодня будет неплохая подборка подсказок (в картинках) для начинающих #ИБ специалистов.
• К слову, подсказки являются отличным помощником при работе с определенным софтом или системой. С их помощью, ты сможешь прокачать свои навыки в определенной сфере и сократить время на выполнение задач для получения нужного результата.
• Basic Active Directory Domain Enumeration Cheat Sheet;
• Basic Active Directory Domain Enumeration Cheat Sheet2;
• Best of PowerShell;
• BloodHound Cheat Sheet;
• Burp Suite Cheat Sheet;
• Burp Suite Cheat Sheet2;
• Hacking Tools Cheat Sheet;
• Hacking Tools Cheat Sheet2;
• IPv4 Cheat Sheet;
• IPv4 Subnets;
• Incident Response;
• Incident Response2;
• John The Ripper;
• Kali Linux Cheat Sheet;
• Linux Command Line Cheat Sheet;
• Linux Commands with Denoscriptions;
• Linux Terminal Cheat Sheet;
• Log Parsing Cheat Sheet;
• Metasploit Cheat Sheet;
• Nessus and Nmap Cheat Sheet;
• Netcat Cheat Sheet;
• Network Topologies;
• Nikto Cheat Sheet;
• Nmap Cheat Sheet;
• Nmap Cheat Sheet2;
• Nmap Commands Cheat Sheet;
• OSI Layer Cheat Sheet;
• OSI Model Cheat Sheet;
• OSI Model and Cyber Attacks;
• PowerShell Cheat Sheet;
• SQLMap;
• SSH Common Commands;
• SSL TLS Handshake;
• Social Engineering Red Flags;
• TCP IP Cheat Sheet;
• TCP and UDP Common Ports;
• Windows Command Line;
• Wireshark Cheat Sheet;
• computer networking cheat sheet;
• network ports cheat sheet;
@S.E. #CheatSheet #ИБ
Глобальная исследовательская и аналитическая группа GReAT Лаборатории Касперского уже более пяти лет публикует ежеквартальные отчеты об активности APT, которые считаются одними из самых авторитетных и емких в отрасли.
⚡️Последний отчет за третий квартал 2022 года теперь впервые также доступен и в формате видео 👇👇👇
⚡️Последний отчет за третий квартал 2022 года теперь впервые также доступен и в формате видео 👇👇👇