Ресерчеры Volexity обнаружили, что Lazarus Group использует поддельные криптовалютные приложения в качестве приманки для доставки ранее недокументированной версии вредоносного ПО AppleJeus.
Согласно данным Volexity, вредоносное ПО реализует новую технику боковой загрузки DLL для заражения целей, которая позже также была замечена как часть фишинговой кампании Lazarus посредством вредоносных документов Microsoft Office.
Замеченная активность связана с кампанией, которая, вероятно, нацелена на пользователей криптовалюты и финансовые организации с июня 2022 года.
Как известно, АРТ реализует трехсторонний подход, концентрируясь на сборе разведданных, проведении атак и получении доходов в интересах страны, потенциально похищая сотни миллионов долларов.
Ранее в апреле CISA предупреждало о кластере активности, получившем название TraderTraitor, который нацелен на биржи криптовалют и торговые компании с помощью троянизированных криптографических приложений для Windows и macOS.
В то время как атаки TraderTraitor завершались развертыванием трояна удаленного доступа Manuscrypt, новая активность задействует мошеннический веб-сайт для торговли криптовалютами под названием BloxHolder, выступая аналогом автоматизированной платформы для торговли криптовалютой HaasOnline.
Через веб-сайт распространялся установщик Windows MSI размером 12,7 МБ, который выдавал себя за приложение BloxHolder. На самом деле это была вредоносная программа AppleJeus, связанная с приложением QTBitcoinTrader.
AppleJeus, впервые задокументированный Лабораторией Касперского еще в 2018 году, предназначен для сбора информации о зараженной системе (например, MAC-адреса, имени компьютера и версии операционной системы) и загрузки шелл-кода с сервера управления (C2).
В октябре 2022 года цепочка атак претерпела небольшое изменение: злоумышленник перешел от файлов установщика MSI к «заряженному» документу Microsoft Excel.
Документ размером 214 КБ назывался «Сравнение комиссий OKX Binance и Huobi VIP.xls» и содержал макрос, который создает три файла на компьютере цели.
Volexity не удалось получить окончательную полезную нагрузку этой более поздней цепочки заражения, но они заметили сходство в механизме загрузки неопубликованных DLL, найденном в ранее использовавшихся атаках установщика MSI.
Одним из новых элементов недавних кампаний является цепочка загрузки неопубликованных DLL для загрузки вредоносного ПО из доверенного процесса, избегая обнаружения AV. По словам Volexy, идея такого переключения, вероятно, уменьшит обнаружения.
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.
Таким образом, Lazarus Group не меняют курс и продолжает предпринимать действия по нацеливанию на пользователей криптовалюты, даже несмотря на пристальное внимание к их кампаниям и тактике.
Согласно данным Volexity, вредоносное ПО реализует новую технику боковой загрузки DLL для заражения целей, которая позже также была замечена как часть фишинговой кампании Lazarus посредством вредоносных документов Microsoft Office.
Замеченная активность связана с кампанией, которая, вероятно, нацелена на пользователей криптовалюты и финансовые организации с июня 2022 года.
Как известно, АРТ реализует трехсторонний подход, концентрируясь на сборе разведданных, проведении атак и получении доходов в интересах страны, потенциально похищая сотни миллионов долларов.
Ранее в апреле CISA предупреждало о кластере активности, получившем название TraderTraitor, который нацелен на биржи криптовалют и торговые компании с помощью троянизированных криптографических приложений для Windows и macOS.
В то время как атаки TraderTraitor завершались развертыванием трояна удаленного доступа Manuscrypt, новая активность задействует мошеннический веб-сайт для торговли криптовалютами под названием BloxHolder, выступая аналогом автоматизированной платформы для торговли криптовалютой HaasOnline.
Через веб-сайт распространялся установщик Windows MSI размером 12,7 МБ, который выдавал себя за приложение BloxHolder. На самом деле это была вредоносная программа AppleJeus, связанная с приложением QTBitcoinTrader.
AppleJeus, впервые задокументированный Лабораторией Касперского еще в 2018 году, предназначен для сбора информации о зараженной системе (например, MAC-адреса, имени компьютера и версии операционной системы) и загрузки шелл-кода с сервера управления (C2).
В октябре 2022 года цепочка атак претерпела небольшое изменение: злоумышленник перешел от файлов установщика MSI к «заряженному» документу Microsoft Excel.
Документ размером 214 КБ назывался «Сравнение комиссий OKX Binance и Huobi VIP.xls» и содержал макрос, который создает три файла на компьютере цели.
Volexity не удалось получить окончательную полезную нагрузку этой более поздней цепочки заражения, но они заметили сходство в механизме загрузки неопубликованных DLL, найденном в ранее использовавшихся атаках установщика MSI.
Одним из новых элементов недавних кампаний является цепочка загрузки неопубликованных DLL для загрузки вредоносного ПО из доверенного процесса, избегая обнаружения AV. По словам Volexy, идея такого переключения, вероятно, уменьшит обнаружения.
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.
Таким образом, Lazarus Group не меняют курс и продолжает предпринимать действия по нацеливанию на пользователей криптовалюты, даже несмотря на пристальное внимание к их кампаниям и тактике.
Volexity
₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware
Over the last few months, Volexity has observed new activity tied to a North Korean threat actor it tracks that is widely referred to as the Lazarus Group. This activity […]
Старый безобидный ping может позволить злоумышленникам захватить систему FreeBSD.
Специалистами по сопровождению операционной системы FreeBSD в утилите ping обнаружена критическая ошибка переполнения буфера, отслеживаемая как CVE-2022-23093.
Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке с помощью ping внешнего хоста, подконтрольного злоумышленнику. Исправление уже предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10.
Уязвимость связана с переполнением буфера в коде, используемом в утилите ping для разбора ICMP-сообщений, приходящих в ответ на проверочный запрос.
Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышенными привилегиями, так как утилита поставляется с флагом setuid root, а обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета.
Собственно, выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.
Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера.
В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке.
В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода.
Опасность проблемы смягчает то, что в момент проявления ошибки, процесс находится в состоянии изоляции системных вызовов (capability mode), что затрудняет получение доступа к остальной системе после эксплуатации уязвимости.
Тем не менее, исследователи рекомендуют обновить уязвимые системы до поддерживаемой стабильной версии FreeBSD.
Также нет сведений подвержены ли другие BSD-системы выявленной уязвимости, так как отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось.
Специалистами по сопровождению операционной системы FreeBSD в утилите ping обнаружена критическая ошибка переполнения буфера, отслеживаемая как CVE-2022-23093.
Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке с помощью ping внешнего хоста, подконтрольного злоумышленнику. Исправление уже предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10.
Уязвимость связана с переполнением буфера в коде, используемом в утилите ping для разбора ICMP-сообщений, приходящих в ответ на проверочный запрос.
Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышенными привилегиями, так как утилита поставляется с флагом setuid root, а обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета.
Собственно, выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.
Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера.
В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке.
В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода.
Опасность проблемы смягчает то, что в момент проявления ошибки, процесс находится в состоянии изоляции системных вызовов (capability mode), что затрудняет получение доступа к остальной системе после эксплуатации уязвимости.
Тем не менее, исследователи рекомендуют обновить уязвимые системы до поддерживаемой стабильной версии FreeBSD.
Также нет сведений подвержены ли другие BSD-системы выявленной уязвимости, так как отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось.
Forwarded from Social Engineering
👁 OSINT: Подборка полезных инструментов и ресурсов. V2.
• Подборка является продолжением поста от 20.10.2021 (самом популярном посте в S.E. (136K просмотров и 8К репостов)).
Общение:
• Telegram форум для обучения, тренировок и общения.
Коллекции инструментов и ресурсов:
• DarkNet OSINT.
• Awesome OSINT.
• OSINT collection от SANS.
• 22 Best OSINT Blogs and Websites.
• Поиск геолокации нашей цели V1.
• Поиск геолокации нашей цели V2.
• Инструменты для OSINT в Telegram.
• OSINT коллекция от Cyber Detective.
• 4000+ ресурсов и инструментов для OSINT.
• Сотни инструментов для онлайн разведки.
• Подборка инструментов для сегмента onion.
• Коллекция инструментов от Майкла Баззела.
• Сотни инструментов и ресурсов на любой вкус.
• Блоги, подкасты, новостные ресурсы, различные каналы.
• Подборка поисковиков, обеспечивающих конфиденциальность.
Поиск информации по по различным критериям:
• Поиск информации по фото лица.
• Находим имя цели по номеру телефона.
• Поиск информации по номеру телефона.
• Поиск информации с помощью документов.
• Поиск информации о цели, зная Email адрес.
• Поиск информации по ip адресу и не только.
• Поиск цели по ip, MAC и Физическому адресу.
• OSINT по номеру кошелька + подборка поисковиков.
• Поиск информации о цели, имея данные о транспорте.
Курсы и видеоматериал:
• Заметки Осинтера.
• Google maps gameplay.
• Подкасты OSINT mindset.
• Курс: Зеркало интернета.
• Лекция по основам OSINT.
• Видео: 20 полезных приемов OSINT.
• Видео: OSINT tools to track you down.
Статьи и руководства:
• OSINT в Telegram v1.
• OSINT в Telegram v2.
• Идентификация ориентиров.
• Поиск корпоративной почты.
• Maltego. Бесплатные дополнения.
• Поиск информации по электронной почте.
• Поиск цели по username посредством maigret.
• Поиск данных о корпорациях и их владельцах.
• Руководство по GPS метаданным в фотографиях.
• Практическое руководство по online разведке.
• Извлекаем информацию о цели из социальных сетей.
• Конкурсы и задачи по OSINT и геолокации. Качаем скилл.
• Counter-OSINT: руководство по приватности и защите своих данных в сети.
• Расширенное руководство по верификации видеоматериалов.
Инструменты для поиска информации:
• Big Bro.
• MOSINT.
• Trape V2.
• Snoop Project.
• Виртуалки и дистрибутивы.
• Подборка бесплатных дополнений Maltego.
• Полезные инструменты для OSINT от Bellingcat.
• GitHub дорки.
• Дорки Shodan.
• Полезные блок-схемы.
• Ресурсы для поиска Google дорков.
• Полезные расширения для firefox.
• 30 полезных расширений для Google Chrome.
❗️Список не претендует на полноту. @S.E. #OSINT
🖖🏻 Приветствую тебя user_name.
• Подборка полезных инструментов, ресурсов, статей и другой необходимой информации по теме OSINT.• Подборка является продолжением поста от 20.10.2021 (самом популярном посте в S.E. (136K просмотров и 8К репостов)).
Общение:
• Telegram форум для обучения, тренировок и общения.
Коллекции инструментов и ресурсов:
• DarkNet OSINT.
• Awesome OSINT.
• OSINT collection от SANS.
• 22 Best OSINT Blogs and Websites.
• Поиск геолокации нашей цели V1.
• Поиск геолокации нашей цели V2.
• Инструменты для OSINT в Telegram.
• OSINT коллекция от Cyber Detective.
• 4000+ ресурсов и инструментов для OSINT.
• Сотни инструментов для онлайн разведки.
• Подборка инструментов для сегмента onion.
• Коллекция инструментов от Майкла Баззела.
• Сотни инструментов и ресурсов на любой вкус.
• Блоги, подкасты, новостные ресурсы, различные каналы.
• Подборка поисковиков, обеспечивающих конфиденциальность.
Поиск информации по по различным критериям:
• Поиск информации по фото лица.
• Находим имя цели по номеру телефона.
• Поиск информации по номеру телефона.
• Поиск информации с помощью документов.
• Поиск информации о цели, зная Email адрес.
• Поиск информации по ip адресу и не только.
• Поиск цели по ip, MAC и Физическому адресу.
• OSINT по номеру кошелька + подборка поисковиков.
• Поиск информации о цели, имея данные о транспорте.
Курсы и видеоматериал:
• Заметки Осинтера.
• Google maps gameplay.
• Подкасты OSINT mindset.
• Курс: Зеркало интернета.
• Лекция по основам OSINT.
• Видео: 20 полезных приемов OSINT.
• Видео: OSINT tools to track you down.
Статьи и руководства:
• OSINT в Telegram v1.
• OSINT в Telegram v2.
• Идентификация ориентиров.
• Поиск корпоративной почты.
• Maltego. Бесплатные дополнения.
• Поиск информации по электронной почте.
• Поиск цели по username посредством maigret.
• Поиск данных о корпорациях и их владельцах.
• Руководство по GPS метаданным в фотографиях.
• Практическое руководство по online разведке.
• Извлекаем информацию о цели из социальных сетей.
• Конкурсы и задачи по OSINT и геолокации. Качаем скилл.
• Counter-OSINT: руководство по приватности и защите своих данных в сети.
• Расширенное руководство по верификации видеоматериалов.
Инструменты для поиска информации:
• Big Bro.
• MOSINT.
• Trape V2.
• Snoop Project.
• Виртуалки и дистрибутивы.
• Подборка бесплатных дополнений Maltego.
• Полезные инструменты для OSINT от Bellingcat.
• GitHub дорки.
• Дорки Shodan.
• Полезные блок-схемы.
• Ресурсы для поиска Google дорков.
• Полезные расширения для firefox.
• 30 полезных расширений для Google Chrome.
❗️Список не претендует на полноту. @S.E. #OSINT
Серьезные недостатки AMI MegaRAC затрагивают серверы AMD, ARM, HPE, Dell и других производителей.
Три уязвимости в ПО MegaRAC Baseboard Management Controller (BMC) от разработчика American Megatrends влияют на серверное оборудование, используемое многими поставщиками облачных услуг и ЦОДов.
Уязвимости обнаружены Eclypsium в августе 2022 года и могут позволить злоумышленникам при определенных условиях выполнить код, обойти аутентификацию и произвести идентификацию пользователей.
Исследователи обнаружили недостатки после изучения просочившегося проприетарного кода American Megatrends, в частности, прошивки MegaRAC BMC.
MegaRAC BMC — это решение для полного «внеполосного» и «автоматического» удаленного управления системой, позволяющее администраторам удаленно устранять неполадки серверов, как если бы они стояли перед устройством.
Прошивка MegaRAC BMC используется как минимум 15 производителями серверов, включая AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Среди обнаруженных Eclypsium уязвимостей:
- CVE-2022-40259 (RCE-ошибка в API Redfish из-за неправильного предоставления команд пользователю, CVSS v3.1: 9,9)
- CVE-2022-40242 (учетные данные по умолчанию для пользователя sysadmin, позволяющие злоумышленникам установить административную оболочку, CVSS v3.1: 8,3)
- CVE-2022-2827 (ошибка манипулирования запросами, позволяющая злоумышленнику устанавливать имена пользователей, CVSS v3.1: 7,5).
Самая серьезная из трех уязвимостей, CVE-2022-40259, требует предварительного доступа по крайней мере к учетной записи с низким уровнем привилегий для выполнения обратного вызова API.
Для эксплуатации CVE-2022-40242 единственным условием для злоумышленника является наличие удаленного доступа к устройству.
Третий недостаток не оказывает существенного прямого влияния на безопасность, но открывает возможность для брута паролей или атак с подстановкой учетных данных.
При этом стандартизация хостинговых и облачных провайдеров на серверных компонентах делает уязвимыми для выявленных ошибок многие сотни тысяч, а возможно, и миллионы систем.
Системным администраторам рекомендуется отключить параметры удаленного администрирования и, по возможности, добавить этапы удаленной аутентификации.
Кроме того, администраторы должны свести к минимуму внешнее воздействие интерфейсов управления серверами, таких как Redfish, и убедиться, что на всех системах установлены последние доступные обновления встроенного ПО.
Три уязвимости в ПО MegaRAC Baseboard Management Controller (BMC) от разработчика American Megatrends влияют на серверное оборудование, используемое многими поставщиками облачных услуг и ЦОДов.
Уязвимости обнаружены Eclypsium в августе 2022 года и могут позволить злоумышленникам при определенных условиях выполнить код, обойти аутентификацию и произвести идентификацию пользователей.
Исследователи обнаружили недостатки после изучения просочившегося проприетарного кода American Megatrends, в частности, прошивки MegaRAC BMC.
MegaRAC BMC — это решение для полного «внеполосного» и «автоматического» удаленного управления системой, позволяющее администраторам удаленно устранять неполадки серверов, как если бы они стояли перед устройством.
Прошивка MegaRAC BMC используется как минимум 15 производителями серверов, включая AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Среди обнаруженных Eclypsium уязвимостей:
- CVE-2022-40259 (RCE-ошибка в API Redfish из-за неправильного предоставления команд пользователю, CVSS v3.1: 9,9)
- CVE-2022-40242 (учетные данные по умолчанию для пользователя sysadmin, позволяющие злоумышленникам установить административную оболочку, CVSS v3.1: 8,3)
- CVE-2022-2827 (ошибка манипулирования запросами, позволяющая злоумышленнику устанавливать имена пользователей, CVSS v3.1: 7,5).
Самая серьезная из трех уязвимостей, CVE-2022-40259, требует предварительного доступа по крайней мере к учетной записи с низким уровнем привилегий для выполнения обратного вызова API.
Для эксплуатации CVE-2022-40242 единственным условием для злоумышленника является наличие удаленного доступа к устройству.
Третий недостаток не оказывает существенного прямого влияния на безопасность, но открывает возможность для брута паролей или атак с подстановкой учетных данных.
При этом стандартизация хостинговых и облачных провайдеров на серверных компонентах делает уязвимыми для выявленных ошибок многие сотни тысяч, а возможно, и миллионы систем.
Системным администраторам рекомендуется отключить параметры удаленного администрирования и, по возможности, добавить этапы удаленной аутентификации.
Кроме того, администраторы должны свести к минимуму внешнее воздействие интерфейсов управления серверами, таких как Redfish, и убедиться, что на всех системах установлены последние доступные обновления встроенного ПО.
Eclypsium | Supply Chain Security for the Modern Enterprise
Supply Chain Vulnerabilities Put Server Ecosystem At Risk - Eclypsium | Supply Chain Security for the Modern Enterprise
Eclypsium Research has discovered and reported 5 vulnerabilities in AMI MegaRAC Baseboard Management Controller (BMC) software. MegaRAC BMC is widely used by many leading server manufacturers to provide “lights-out” management capabilities for their server…
Очередная громкая атака банды-вымогателей на медицинское учреждения Франции.
В этот раз хакеры посеяли панику в медцентре Версаля, которому пришлось приостановить операции и перевезти часть пациентов в другое место.
В Министерстве здравоохранения Франции сообщили, что медицинский центр Версаля, включающий две больницы и дом престарелых, в настоящее время полностью лишен каких-либо компьютерных систем.
Министр здравоохранения Франсуа Браун заявил, что атака привела к полной реорганизации больницы, так как в реанимации потребовался дополнительный персонал, поскольку некоторое критически важное оборудование объединённое в сеть требует более тщательного наблюдения, а оно в настоящее время попросту отключено.
Злоумышленники потребовали выкуп, сумма которого пока не разглашается, но официальные лица уже ответили отказом, ввиду того, что во Франции действует закон запрещающий государственным учреждениям платить выкуп.
Конфиденциальные данные персонала и пациентов уже размещены на сайте злоумышленников и французская полиция назвала группу вымогателей LockBit виновниками атаки.
По словам министра здравоохранения последние несколько месяцев во Франции регулярно происходили атаки на поставщиков медицинских услуг и медицинские учреждения, но большинство этих атак было предотвращено.
Тем не менее, в августе больница на окраине Парижа Centre Hospitalier Sud Francilien, подверглась атаке ransomware, восстановление после которой заняло несколько недель.
В этот раз хакеры посеяли панику в медцентре Версаля, которому пришлось приостановить операции и перевезти часть пациентов в другое место.
В Министерстве здравоохранения Франции сообщили, что медицинский центр Версаля, включающий две больницы и дом престарелых, в настоящее время полностью лишен каких-либо компьютерных систем.
Министр здравоохранения Франсуа Браун заявил, что атака привела к полной реорганизации больницы, так как в реанимации потребовался дополнительный персонал, поскольку некоторое критически важное оборудование объединённое в сеть требует более тщательного наблюдения, а оно в настоящее время попросту отключено.
Злоумышленники потребовали выкуп, сумма которого пока не разглашается, но официальные лица уже ответили отказом, ввиду того, что во Франции действует закон запрещающий государственным учреждениям платить выкуп.
Конфиденциальные данные персонала и пациентов уже размещены на сайте злоумышленников и французская полиция назвала группу вымогателей LockBit виновниками атаки.
По словам министра здравоохранения последние несколько месяцев во Франции регулярно происходили атаки на поставщиков медицинских услуг и медицинские учреждения, но большинство этих атак было предотвращено.
Тем не менее, в августе больница на окраине Парижа Centre Hospitalier Sud Francilien, подверглась атаке ransomware, восстановление после которой заняло несколько недель.
Franceinfo
INFO FRANCEINFO. L'hôpital André-Mignot du centre hospitalier de Versailles victime d'une cyberattaque
L'accueil des patients est limité et une cellule de crise a été ouverte. Par mesure de sécurité, le système informatique est coupé. L'établissement va déposer plainte, a annoncé le ministre de la Transition numérique.
Crowdstrike раскрыли кампанию, в рамках которой финансово мотивированный злоумышленник взламывает поставщиков телекоммуникационных услуг и фирм, занимающихся аутсорсингом бизнес-процессов, активно противодействуя решениям безопасности и защитным мерам для уклонения от обнаружения и обеспечения устойчивости доступа.
Исследователи смогли выявить пять различных вторжений, начавшихся с июня 2022 года. Активность приписывается группе Scattered Spider.
Конечная цель кампании — взлом телекоммуникационных сетей и получение доступа к информации об абонентах для манипуляции с SIM-картами, включая их подмену.
Первоначальный доступ к корпоративным сетям реализуется посредством различных тактик социнженерии.
Они включают в себя звонки сотрудникам от имени ИТ-специалистов для сбора учетных данных или использование сообщений Telegram и SMS для перенаправления целей на специально созданные фишинговые сайты.
В ряде случаев злоумышленники использовали CVE-2021-35464, уязвимость в сервере ForgeRock AM, исправленную в октябре 2021 года, для запуска кода и повышения своих привилегий на AWS.
Как только хакеры получали доступ к системе, они добавляли свои устройства в список доверенных для последующего обхода MFA, используя скомпрометированную учетную запись.
Crowdstrike заметили задействование хакерами в своих кампаниях различных утилит и инструментов RMM, включая такие как: AnyDesk, BeAnywhere, Domotz, DWservice, Fixme.it, Fleetdeck.io, Itarian Endpoint Manager, Level.io, Logmein, ManageEngine, N-Able, Pulseway, Rport, Rsocx, ScreenConnect, SSH RevShell and RDP Tunnelling via SSH, Teamviewer, TrendMicro Basecamp, Sorillus и ZeroTier.
Многие из вышеперечисленных программ являются легитимными и, как правило, не вызывают предупреждений в средствах безопасности.
Примечательно то, что злоумышленники пытались сохранить доступ к взломанной сети даже после обнаружения. Кроме того, устанавливали дополнительные механизмы устойчивости, например доступ к VPN и/или несколько инструментов RMM.
Во всех вторжениях хакеры использовали различные VPN и точки интернет-провайдеров для доступа к среде Google Workspace пострадавшей организации.
Для горизонтального перемещения злоумышленники извлекали различные типы развединформации, загружали списки пользователей из взломанных клиентов, злоупотребляли WMI, выполняли туннелирование SSH и репликацию домена.
Crowdstrike поделились обширным списком индикаторов компрометации (IoC) для обнаружения возможных вторжений.
Исследователи смогли выявить пять различных вторжений, начавшихся с июня 2022 года. Активность приписывается группе Scattered Spider.
Конечная цель кампании — взлом телекоммуникационных сетей и получение доступа к информации об абонентах для манипуляции с SIM-картами, включая их подмену.
Первоначальный доступ к корпоративным сетям реализуется посредством различных тактик социнженерии.
Они включают в себя звонки сотрудникам от имени ИТ-специалистов для сбора учетных данных или использование сообщений Telegram и SMS для перенаправления целей на специально созданные фишинговые сайты.
В ряде случаев злоумышленники использовали CVE-2021-35464, уязвимость в сервере ForgeRock AM, исправленную в октябре 2021 года, для запуска кода и повышения своих привилегий на AWS.
Как только хакеры получали доступ к системе, они добавляли свои устройства в список доверенных для последующего обхода MFA, используя скомпрометированную учетную запись.
Crowdstrike заметили задействование хакерами в своих кампаниях различных утилит и инструментов RMM, включая такие как: AnyDesk, BeAnywhere, Domotz, DWservice, Fixme.it, Fleetdeck.io, Itarian Endpoint Manager, Level.io, Logmein, ManageEngine, N-Able, Pulseway, Rport, Rsocx, ScreenConnect, SSH RevShell and RDP Tunnelling via SSH, Teamviewer, TrendMicro Basecamp, Sorillus и ZeroTier.
Многие из вышеперечисленных программ являются легитимными и, как правило, не вызывают предупреждений в средствах безопасности.
Примечательно то, что злоумышленники пытались сохранить доступ к взломанной сети даже после обнаружения. Кроме того, устанавливали дополнительные механизмы устойчивости, например доступ к VPN и/или несколько инструментов RMM.
Во всех вторжениях хакеры использовали различные VPN и точки интернет-провайдеров для доступа к среде Google Workspace пострадавшей организации.
Для горизонтального перемещения злоумышленники извлекали различные типы развединформации, загружали списки пользователей из взломанных клиентов, злоупотребляли WMI, выполняли туннелирование SSH и репликацию домена.
Crowdstrike поделились обширным списком индикаторов компрометации (IoC) для обнаружения возможных вторжений.
CrowdStrike.com
Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companies
CrowdStrike Services analyzes a recent intrusion campaign targeting telecom and business process outsourcing companies and shares how to defend against this attack.
Ресерчеры CloudSEK сообщают о бангладешской хакерской группы, получившей наименование Team Mysterious Bangladesh, которые атаковали системы Центрального совета высшего образования Индии (CBHE).
Хакеры смогли украсть личную информацию (PII), включая имена, номера Aadhaar, коды индийской финансовой системы (коды IFSC) и другие данные студентов с 2004 по 2022 год, которые были отрыты в паблик.
Доступ к панели администратора платформы CBHE Delhi позволяет отследить результаты успеваемости всех студентов с 2004 по 2022 год, в том числе удалить, добавить или отредактировать записи.
Таким образом, злоумышленники получили несанкционированный доступ к панели администратора, что позволило им полностью скомпрометировать все данные CBHE Delhi, изменив также наименование каталога домена.
CloudSEK заявил, что утечка информации может быть использована для получения начального доступа к инфраструктуре фирмы, а часто используемые или слабые пароли могут привести к брутфорс-атакам.
Эти данные также могут предоставить злоумышленникам подробную информацию, необходимую для выполнения изощренных атак программ-вымогателей, эксфильтрации данных и сохранения устойчивости.
Согласно CloudSEK, хакеры Team Mysterious известны тем, что используют несколько скриптов для распределенных атак типа DDoS, а также технику атаки HTTP-флудом, аналогичную DragonForce.
Помимо вторжения в CBHE, злоумышленник также проводил хактивисткие кампании, таргетированные на Иран.
Для защиты от подобных угроз, ресерчеры предлагают предприятиям исправлять уязвимые хосты и избегать хранения незашифрованных секретов в репозиториях .git.
Системные администраторы также должны отслеживать аномалии активности учетных записей пользователей, а также шерстить даркнет на предмет возможных тактик, используемых злоумышленниками.
Последний отчет CloudSEK вышел примерно через два месяца после того, как Leakbase сообщила о взломе платформы Swachhata в Индии и краже с нее 16 миллионов пользовательских записей.
Хакеры смогли украсть личную информацию (PII), включая имена, номера Aadhaar, коды индийской финансовой системы (коды IFSC) и другие данные студентов с 2004 по 2022 год, которые были отрыты в паблик.
Доступ к панели администратора платформы CBHE Delhi позволяет отследить результаты успеваемости всех студентов с 2004 по 2022 год, в том числе удалить, добавить или отредактировать записи.
Таким образом, злоумышленники получили несанкционированный доступ к панели администратора, что позволило им полностью скомпрометировать все данные CBHE Delhi, изменив также наименование каталога домена.
CloudSEK заявил, что утечка информации может быть использована для получения начального доступа к инфраструктуре фирмы, а часто используемые или слабые пароли могут привести к брутфорс-атакам.
Эти данные также могут предоставить злоумышленникам подробную информацию, необходимую для выполнения изощренных атак программ-вымогателей, эксфильтрации данных и сохранения устойчивости.
Согласно CloudSEK, хакеры Team Mysterious известны тем, что используют несколько скриптов для распределенных атак типа DDoS, а также технику атаки HTTP-флудом, аналогичную DragonForce.
Помимо вторжения в CBHE, злоумышленник также проводил хактивисткие кампании, таргетированные на Иран.
Для защиты от подобных угроз, ресерчеры предлагают предприятиям исправлять уязвимые хосты и избегать хранения незашифрованных секретов в репозиториях .git.
Системные администраторы также должны отслеживать аномалии активности учетных записей пользователей, а также шерстить даркнет на предмет возможных тактик, используемых злоумышленниками.
Последний отчет CloudSEK вышел примерно через два месяца после того, как Leakbase сообщила о взломе платформы Swachhata в Индии и краже с нее 16 миллионов пользовательских записей.
Cloudsek
Indian Central Board of Higher Education Compromised by Team Mysterious Bangladesh | Threat Intelligence | CloudSEK
CloudSEK’s contextual AI digital risk platform XVigil, discovered a threat actor group named Team Mysterious Bangladesh who claimed to have compromised the CBHE Delhi, India. The group mentioned leaking information about students from 2004 to 2022.
Forwarded from SecurityLab.ru
Эксперты обнаружили крупнейший подпольный рынок в даркнете
— Исследователи ИБ-компании Resecurity обнаружили новый рынок в даркнете , ориентированный на разработчиков и операторов мобильных вредоносных программ.
— Торговая площадка под названием «InTheBox» работала в сети TOR по крайней мере с мая 2020 года, и с тех пор она превратилась из частного маркета в крупнейшую торговую площадку, предлагающая огромное количество уникальных инструментов и веб-инжекты.
— Эксперты Resecurity назвали InTheBox крупнейшим и наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства.
https://www.securitylab.ru/news/535144.php
— Исследователи ИБ-компании Resecurity обнаружили новый рынок в даркнете , ориентированный на разработчиков и операторов мобильных вредоносных программ.
— Торговая площадка под названием «InTheBox» работала в сети TOR по крайней мере с мая 2020 года, и с тех пор она превратилась из частного маркета в крупнейшую торговую площадку, предлагающая огромное количество уникальных инструментов и веб-инжекты.
— Эксперты Resecurity назвали InTheBox крупнейшим и наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства.
https://www.securitylab.ru/news/535144.php
SecurityLab.ru
Эксперты обнаружили крупнейший подпольный рынок в даркнете
InTheBox продает ПО для атак на более 300 финансовых систем и соцсетей в 43 странах.
Sophos проинформировала клиентов о том, что в Sophos Firewall версии 19.5 исправлено несколько уязвимостей, в том числе те, которые могут привести к RCE.
В дополнение к улучшениям отказоустойчивости и повышению производительности последняя версия Sophos Firewall содержит исправления для семи уязвимостей.
Согласно бюллетеню, одной из исправленных уязвимостей в версии 19.5 является CVE-2022-3236, которая имеет критическую оценку серьезности.
Однако недостаток нельзя назвать новым. Компания впервые сообщила клиентам о его существовании в сентябре, когда предупредила, что CVE-2022-3236 использовалась в атаках, направленных на ограниченный круг организаций, в основном расположенных в Южной Азии.
Три уязвимости, исправленные в Sophos Firewall 19.5, имеют высокий рейтинг серьезности, включая CVE-2022-3226, проблему внедрения команд ОС, которую может использовать злоумышленник с правами администратора для выполнения кода через загрузку конфигурации SSL VPN.
CVE-2022-3713 позволяет злоумышленнику выполнить код в контроллере Wi-Fi, а третья серьезная проблема CVE-2022-3696 - в административном веб-интерфейсе, но доступна хакеру с правами администратора.
Остальные три уязвимости имеют среднюю или низкую серьезность. Они включают проблему XSS, которая позволяет повысить привилегии, и две уязвимости SQL-инъекций, которые раскрывают неконфиденциальное содержимое базы данных конфигурации.
Некоторые из этих баг были обнаружены самой Sophos, в то время как другие были раскрыты внешними исследователями в рамках Bug Bounty.
Злоумышленники достаточно часто используют уязвимости в продуктах Sophos, и имеют значительное число целей для атак, учитывая их доступность в Интернете.
В дополнение к улучшениям отказоустойчивости и повышению производительности последняя версия Sophos Firewall содержит исправления для семи уязвимостей.
Согласно бюллетеню, одной из исправленных уязвимостей в версии 19.5 является CVE-2022-3236, которая имеет критическую оценку серьезности.
Однако недостаток нельзя назвать новым. Компания впервые сообщила клиентам о его существовании в сентябре, когда предупредила, что CVE-2022-3236 использовалась в атаках, направленных на ограниченный круг организаций, в основном расположенных в Южной Азии.
Три уязвимости, исправленные в Sophos Firewall 19.5, имеют высокий рейтинг серьезности, включая CVE-2022-3226, проблему внедрения команд ОС, которую может использовать злоумышленник с правами администратора для выполнения кода через загрузку конфигурации SSL VPN.
CVE-2022-3713 позволяет злоумышленнику выполнить код в контроллере Wi-Fi, а третья серьезная проблема CVE-2022-3696 - в административном веб-интерфейсе, но доступна хакеру с правами администратора.
Остальные три уязвимости имеют среднюю или низкую серьезность. Они включают проблему XSS, которая позволяет повысить привилегии, и две уязвимости SQL-инъекций, которые раскрывают неконфиденциальное содержимое базы данных конфигурации.
Некоторые из этих баг были обнаружены самой Sophos, в то время как другие были раскрыты внешними исследователями в рамках Bug Bounty.
Злоумышленники достаточно часто используют уязвимости в продуктах Sophos, и имеют значительное число целей для атак, учитывая их доступность в Интернете.
Sophos
Sophos Firewall v19.5
We are pleased to announce that Sophos Firewall OS v19.5 is now released and generally available. This update to Sophos Firewall brings a number of exciting enhancements and top requested features.
What's New:
<a href="https://vimeo.com/768187447">http…
What's New:
<a href="https://vimeo.com/768187447">http…
На прошлой неделе Netgear выпустила исправления для проблемы, связанной с неправильной конфигурацией в маршрутизаторах Nighthawk RAX30 (AX2400), которые могли позволить удаленному злоумышленнику взаимодействовать со службами, предназначенными только для клиентов в локальной сети.
Ошибка возникала из-за того, что в интерфейсе WAN этих устройств по умолчанию был включен IPv6, но не применялись ограничения доступа к трафику IPv6, которые в противном случае применялись бы к трафику IPv4.
В результате службы, работающие на маршрутизаторе, которые могут непреднамеренно прослушивать IPv6, включая SSH и Telnet на портах 22 и 23, могут быть доступны из Интернета.
Исследователи Tenable выявили проблему при подготовке цепочки эксплойтов на Pwn2Own Toronto 2022, который стартовал на этой неделе, но Netgear выпустила исправление за день до крайнего срока подачи, разорвав цепочку и сделав эксплойт бесполезным.
До патча злоумышленник мог взаимодействовать с этими сервисами через WAN-порт.
Однако после исправления для предотвращения доступа были применены соответствующие правила ip6tables.
Кроме того, IPv6 теперь отображается отключенным по умолчанию на вновь настроенных устройствах.
Исправление было включено в прошивку RAX30 версии 1.0.9.90, и пользователям рекомендуется обновить ее как можно скорее.
Согласно Tenable, требуется ручная проверка обновлений, поскольку устройство не находит обновлений выше версии прошивки 1.0.6.74.
Tenable воздержалась от предоставления дополнительных технических подробностей об этой уязвимости.
В своем бюллетене Netgear также сообщает лишь об устранении уязвимости в системе безопасности.
Ошибка возникала из-за того, что в интерфейсе WAN этих устройств по умолчанию был включен IPv6, но не применялись ограничения доступа к трафику IPv6, которые в противном случае применялись бы к трафику IPv4.
В результате службы, работающие на маршрутизаторе, которые могут непреднамеренно прослушивать IPv6, включая SSH и Telnet на портах 22 и 23, могут быть доступны из Интернета.
Исследователи Tenable выявили проблему при подготовке цепочки эксплойтов на Pwn2Own Toronto 2022, который стартовал на этой неделе, но Netgear выпустила исправление за день до крайнего срока подачи, разорвав цепочку и сделав эксплойт бесполезным.
До патча злоумышленник мог взаимодействовать с этими сервисами через WAN-порт.
Однако после исправления для предотвращения доступа были применены соответствующие правила ip6tables.
Кроме того, IPv6 теперь отображается отключенным по умолчанию на вновь настроенных устройствах.
Исправление было включено в прошивку RAX30 версии 1.0.9.90, и пользователям рекомендуется обновить ее как можно скорее.
Согласно Tenable, требуется ручная проверка обновлений, поскольку устройство не находит обновлений выше версии прошивки 1.0.6.74.
Tenable воздержалась от предоставления дополнительных технических подробностей об этой уязвимости.
В своем бюллетене Netgear также сообщает лишь об устранении уязвимости в системе безопасности.
Tenable®
NETGEAR Nighthawk WiFi6 Router Network Misconfiguration
A network misconfiguration is present in versions prior to 1.0.9.90 of the NETGEAR RAX30 AX2400 series of routers. IPv6 is enabled for the WAN interface by default on these devices. While there are firewall restrictions in place that define access restrictions…
͏Fortinet FortiGuard Labs заметили новый ботнет на основе Go под названием Zerobot, который распространяется в дикой природе, используя почти два десятка уязвимостей в устройствах IoT и другом ПО.
Ботнет включает несколько модулей, поддерживая саморепликацию, в ходе атак на разные протоколы. Он также связывается со своим сервером управления и контроля, используя WebSocket.
Кампания началась после 18 ноября 2022 года и, в первую очередь, нацелена на ОС Linux для получения контроля над уязвимыми устройствами.
Zerobot получил свое название благодаря сценарию распространения, который используется для извлечения вредоносной полезной нагрузки после получения доступа к хосту в зависимости от его реализации микроархитектуры (например, zero.arm64).
Вредонос предназначен для широкого спектра архитектур ЦП, таких как i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x.
На сегодняшний день были обнаружены две версии Zerobot: одна, использовавшаяся до 24 ноября 2022 года, с базовыми функциями и обновленная версия, включающая самораспространяющийся модуль для взлома других конечных точек с использованием 21 эксплойта.
При этом два эксплойта с названием «ZERO_xxxxx» были взяты с 0day.today, на котором публикуются многочисленными эксплойты в «образовательных» целях.
Сюда входят уязвимости, затрагивающие маршрутизаторы TOTOLINK, брандмауэры Zyxel, F5 BIG-IP, камеры Hikvision, тепловизионные камеры FLIR AX8, NAS D-Link DNS-320 и Spring Framework, среди прочих.
Однако технический анализ основан на более новой версии.
Как выяснили ресерчеры, Zerobot сначала проверяет свое соединение с 1.1.1.1, сервером DNS-преобразователя от Cloudflare.
Затем он копирует себя на целевое устройство в зависимости от типа ОС жертвы. Для Windows он копирует себя в папку «Автозагрузка» с именем файла «FireWall.exe». В Linux есть три пути к файлам: «%HOME%», «/etc/init/» и «/lib/systemd/system/».
Затем он устанавливает модуль AntiKill, чтобы пользователи не могли нарушить работу программы Zerobot.
После инициализации на скомпрометированной машине устанавливает связь с C2 ws[:]//176[.]65[.]137[.]5/дескриптор, используя протокол WebSocket, и ожидает дальнейших инструкций, которые позволяют ему выполнять произвольные команды и запускать атаки для различных сетевых протоколов, таких как TCP, UDP, TLS, HTTP, и ИКМП.
В течение очень короткого времени он был обновлен за счет обфускации строк, модуля копирования файлов и модуля эксплойта для распространения, которые усложняют его обнаружение и дают ему больше возможностей для заражения большего количества устройств.
Пользователи должны помнить о новой угрозе, устанавливать исправления для всех уязвимых систем в их сети, и активно применять их по мере появления.
Ботнет включает несколько модулей, поддерживая саморепликацию, в ходе атак на разные протоколы. Он также связывается со своим сервером управления и контроля, используя WebSocket.
Кампания началась после 18 ноября 2022 года и, в первую очередь, нацелена на ОС Linux для получения контроля над уязвимыми устройствами.
Zerobot получил свое название благодаря сценарию распространения, который используется для извлечения вредоносной полезной нагрузки после получения доступа к хосту в зависимости от его реализации микроархитектуры (например, zero.arm64).
Вредонос предназначен для широкого спектра архитектур ЦП, таких как i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x.
На сегодняшний день были обнаружены две версии Zerobot: одна, использовавшаяся до 24 ноября 2022 года, с базовыми функциями и обновленная версия, включающая самораспространяющийся модуль для взлома других конечных точек с использованием 21 эксплойта.
При этом два эксплойта с названием «ZERO_xxxxx» были взяты с 0day.today, на котором публикуются многочисленными эксплойты в «образовательных» целях.
Сюда входят уязвимости, затрагивающие маршрутизаторы TOTOLINK, брандмауэры Zyxel, F5 BIG-IP, камеры Hikvision, тепловизионные камеры FLIR AX8, NAS D-Link DNS-320 и Spring Framework, среди прочих.
Однако технический анализ основан на более новой версии.
Как выяснили ресерчеры, Zerobot сначала проверяет свое соединение с 1.1.1.1, сервером DNS-преобразователя от Cloudflare.
Затем он копирует себя на целевое устройство в зависимости от типа ОС жертвы. Для Windows он копирует себя в папку «Автозагрузка» с именем файла «FireWall.exe». В Linux есть три пути к файлам: «%HOME%», «/etc/init/» и «/lib/systemd/system/».
Затем он устанавливает модуль AntiKill, чтобы пользователи не могли нарушить работу программы Zerobot.
После инициализации на скомпрометированной машине устанавливает связь с C2 ws[:]//176[.]65[.]137[.]5/дескриптор, используя протокол WebSocket, и ожидает дальнейших инструкций, которые позволяют ему выполнять произвольные команды и запускать атаки для различных сетевых протоколов, таких как TCP, UDP, TLS, HTTP, и ИКМП.
В течение очень короткого времени он был обновлен за счет обфускации строк, модуля копирования файлов и модуля эксплойта для распространения, которые усложняют его обнаружение и дают ему больше возможностей для заражения большего количества устройств.
Пользователи должны помнить о новой угрозе, устанавливать исправления для всех уязвимых систем в их сети, и активно применять их по мере появления.
Компания Google выпустила декабрьские обновления безопасности для Android, в котором исправлена 81 уязвимость, в том числе четыре критические, включая RCE, итого: 45 на уровне исправления 2022-12-01 и 36 - 2022-12-05.
Согласно бюллетеню по безопасности, самая серьезная из проблем — это критическая уязвимость системы безопасности в компоненте System, которая может привести к RCE через Bluetooth без дополнительных привилегий.
Среди четырех критических уязвимостей, влияющих на версии Android с 10 по 13: CVE-2022-20472 (RRCE-ошибка в Android Framework), CVE-2022-20473 (RCE-ошибка в Android Framework), CVE-2022-20411 (RCE-ошибка в системе Android), CVE-2022-20498 (ошибка раскрытия информации в системе Android).
Остальные исправленные уязвимости связаны с повышением привилегий, удаленным выполнением кода, раскрытием информации и отказом в обслуживании.
Ошибки EoP с высокой степенью серьезности обычно используются вредоносными программами, проникающими на устройство через путь с низким уровнем привилегий, например, путем установки вредоносного ПО, маскирующегося под безобидное приложение.
Тем не менее, применение доступного обновления имеет решающее значение, даже если ни одна из уязвимостей в настоящее время не сообщается как активно используемая.
При этом устройства Android 9 или более ранних версий обновления не получат. В этих случаях рекомендуется перейти на более новое устройство или установить собственное ПЗУ на основе более поздней версии Android, например LineageOS.
Владельцы устройств Google Pixel также получили важные обновления безопасности, устраняющие в общей сложности 16 критических ошибок в различных компонентах, которые позволяют злоумышленникам повышать привилегии или раскрывать информацию на целевых устройствах.
Согласно бюллетеню по безопасности, самая серьезная из проблем — это критическая уязвимость системы безопасности в компоненте System, которая может привести к RCE через Bluetooth без дополнительных привилегий.
Среди четырех критических уязвимостей, влияющих на версии Android с 10 по 13: CVE-2022-20472 (RRCE-ошибка в Android Framework), CVE-2022-20473 (RCE-ошибка в Android Framework), CVE-2022-20411 (RCE-ошибка в системе Android), CVE-2022-20498 (ошибка раскрытия информации в системе Android).
Остальные исправленные уязвимости связаны с повышением привилегий, удаленным выполнением кода, раскрытием информации и отказом в обслуживании.
Ошибки EoP с высокой степенью серьезности обычно используются вредоносными программами, проникающими на устройство через путь с низким уровнем привилегий, например, путем установки вредоносного ПО, маскирующегося под безобидное приложение.
Тем не менее, применение доступного обновления имеет решающее значение, даже если ни одна из уязвимостей в настоящее время не сообщается как активно используемая.
При этом устройства Android 9 или более ранних версий обновления не получат. В этих случаях рекомендуется перейти на более новое устройство или установить собственное ПЗУ на основе более поздней версии Android, например LineageOS.
Владельцы устройств Google Pixel также получили важные обновления безопасности, устраняющие в общей сложности 16 критических ошибок в различных компонентах, которые позволяют злоумышленникам повышать привилегии или раскрывать информацию на целевых устройствах.
Исследователи Bitdefender в новом отчете сообщают о вредоносной кампании, нацеленной на Ближний Восток, вероятно, связанной с китайской АРТ BackdoorDiplomacy.
Шпионская деятельность в регионе началась 19 августа 2021 года в результате успешной эксплуатации уязвимостей ProxyShell в Microsoft Exchange Server.
В первоначальной компрометации использовались двоичные файлы, уязвимые для методов боковой загрузки, после чего применялось сочетание легитимных и специализированных инструментов для проведения разведки, сбора данных, бокового перемещения и уклонения от обнаружения.
Атрибуты файлов вредоносных инструментов показали, что первыми инструментами, развернутыми злоумышленниками, были прокси-инструмент NPS и бэкдор IRAFAU.
Начиная с февраля 2022 года злоумышленники перешли на другой инструмент - бэкдор Quarian, наряду со многими другими сканерами и инструментами прокси и туннелирования.
BackdoorDiplomacy впервые была задокументирована ESET в июне 2021 года, при этом вторжения в основном были старгетированы на дипучреждения и телеком-компании в Африке и на Ближнем Востоке для развертывания Quarian (он же Turian или Whitebird).
О разведмотивах атак свидетельствует использование кейлоггеров и скриптов PowerShell, предназначенных для сбора содержимого электронной почты
IRAFAU, который является первым вредоносным компонентом, доставленным после того, как он закрепился, используется для обнаружения информации и горизонтального перемещения. Далее следует загрузка и выгрузка файлов на C2, запуск удаленной оболочки и выполнение произвольных файлов.
Второй бэкдор, использованный в операции, представляет собой обновленную версию Quarian, которая обладает более широким набором возможностей для управления скомпрометированным хостом.
Также используется инструмент под названием Impersoni-fake-ator, встроенный в законные утилиты, такие как DebugView и Putty, и предназначенный для сбора системных метаданных и выполнения расшифрованной полезной нагрузки, полученной с сервера C2.
Вторжение также характеризуется использованием ПО с открытым исходным кодом - ToRat, инструмента удаленного администрирования Golang и AsyncRAT, последний из которых, вероятно, сбрасывается через Quarian.
Атрибуция атак BackdoorDiplomacy строится на схожести в инфраструктуре C2, которая, как было установлено, использовалась АРТ в предыдущих кампаниях.
Шпионская деятельность в регионе началась 19 августа 2021 года в результате успешной эксплуатации уязвимостей ProxyShell в Microsoft Exchange Server.
В первоначальной компрометации использовались двоичные файлы, уязвимые для методов боковой загрузки, после чего применялось сочетание легитимных и специализированных инструментов для проведения разведки, сбора данных, бокового перемещения и уклонения от обнаружения.
Атрибуты файлов вредоносных инструментов показали, что первыми инструментами, развернутыми злоумышленниками, были прокси-инструмент NPS и бэкдор IRAFAU.
Начиная с февраля 2022 года злоумышленники перешли на другой инструмент - бэкдор Quarian, наряду со многими другими сканерами и инструментами прокси и туннелирования.
BackdoorDiplomacy впервые была задокументирована ESET в июне 2021 года, при этом вторжения в основном были старгетированы на дипучреждения и телеком-компании в Африке и на Ближнем Востоке для развертывания Quarian (он же Turian или Whitebird).
О разведмотивах атак свидетельствует использование кейлоггеров и скриптов PowerShell, предназначенных для сбора содержимого электронной почты
IRAFAU, который является первым вредоносным компонентом, доставленным после того, как он закрепился, используется для обнаружения информации и горизонтального перемещения. Далее следует загрузка и выгрузка файлов на C2, запуск удаленной оболочки и выполнение произвольных файлов.
Второй бэкдор, использованный в операции, представляет собой обновленную версию Quarian, которая обладает более широким набором возможностей для управления скомпрометированным хостом.
Также используется инструмент под названием Impersoni-fake-ator, встроенный в законные утилиты, такие как DebugView и Putty, и предназначенный для сбора системных метаданных и выполнения расшифрованной полезной нагрузки, полученной с сервера C2.
Вторжение также характеризуется использованием ПО с открытым исходным кодом - ToRat, инструмента удаленного администрирования Golang и AsyncRAT, последний из которых, вероятно, сбрасывается через Quarian.
Атрибуция атак BackdoorDiplomacy строится на схожести в инфраструктуре C2, которая, как было установлено, использовалась АРТ в предыдущих кампаниях.
Bitdefender Labs
BackdoorDiplomacy Wields New Tools in Fresh Middle East Campaign
Bitdefender researchers have uncovered a new cyber-espionage campaign targeting a telecommunications firm in the Middle East.
Бельгийский Антверпен фактически парализовало после ransomware-атаки на IT-провайдера.
Городские службы Антверпена работают над восстановлением цифровых услуг, включая службы, используемые гражданами, муниципальными органами и силовыми ведомствами, которые работают с перерывами.
Несмотря на то, что расследование продолжается, вся доступная информация указывает на атаку вымогателей, кого конкретно - еще непонятно. De Standaard также подтверждает версию с ransomware.
По данным Het Laatste Nieuws (HLN), хакеры смогли нарушить работу служб Антверпена после взлома серверов Digipolis, цифрового партнера города, который предоставляет административное ПО.
Издание также отмечает, что пострадали почти все станции Windows, обрушилась телефонная связь, а также городская служба электронной почты и бронирования услуг.
Кроме того, среди других служб, пострадавших в ходе взлома, оказалась Antwerp Healthcare Company (Zorgbedrijf Antwerpen), в результате чего нарушилась работа ПО по мониторингу распределения лекарств среди пожилых граждан, что вынудило персонал перейти к традиционным бумажным рецептам.
Пока неясно точное время восстановления ИТ-систем Антверпена, однако мэр города полагает, что воздействие может продлиться до конца декабря.
Кто из вымогателей стоит за нападением еще предстоит выяснить, но чуть более недели назад Ragnar Locker отметилась атакой на полицию Звейндрехта, муниципалитета в провинции Антверпена. Связанная с атакой утечка, по оценкам бельгийских СМИ, тогда стала одной из крупнейших в стране.
Городские службы Антверпена работают над восстановлением цифровых услуг, включая службы, используемые гражданами, муниципальными органами и силовыми ведомствами, которые работают с перерывами.
Несмотря на то, что расследование продолжается, вся доступная информация указывает на атаку вымогателей, кого конкретно - еще непонятно. De Standaard также подтверждает версию с ransomware.
По данным Het Laatste Nieuws (HLN), хакеры смогли нарушить работу служб Антверпена после взлома серверов Digipolis, цифрового партнера города, который предоставляет административное ПО.
Издание также отмечает, что пострадали почти все станции Windows, обрушилась телефонная связь, а также городская служба электронной почты и бронирования услуг.
Кроме того, среди других служб, пострадавших в ходе взлома, оказалась Antwerp Healthcare Company (Zorgbedrijf Antwerpen), в результате чего нарушилась работа ПО по мониторингу распределения лекарств среди пожилых граждан, что вынудило персонал перейти к традиционным бумажным рецептам.
Пока неясно точное время восстановления ИТ-систем Антверпена, однако мэр города полагает, что воздействие может продлиться до конца декабря.
Кто из вымогателей стоит за нападением еще предстоит выяснить, но чуть более недели назад Ragnar Locker отметилась атакой на полицию Звейндрехта, муниципалитета в провинции Антверпена. Связанная с атакой утечка, по оценкам бельгийских СМИ, тогда стала одной из крупнейших в стране.
De Standaard
Opnieuw naar pen en papier: cyberaanval treft ook Antwerpse rusthuizen
In de nacht van maandag op dinsdag hebben hackers de computersystemen van de stad Antwerpen aangevallen met ransomware. Die zijn daardoor geblokkeerd, wat gevolgen heeft voor de dienstverlening. Onder meer de stedelijke woonzorgcentra ondervinden hinder.
Несколько правительственных ведомств Новой Зеландии пострадали от атаки программы-вымогателя на ИТ-провайдера - Mercury IT, широко используемого поставщика управляемых услуг (MSP).
Атака нарушила работу десятков организаций в стране, включая несколько государственных ведомств и органов государственной власти, включая Министерство юстиции и Te Whatu Ora (Здравоохранение Новой Зеландии).
Комиссар по вопросам конфиденциальности Новой Зеландии подтвердил киберинцидент, связанный с атакой ransomware.
В настоящее время ведется срочная работа по установлению масштабов инцидента и круга пострадавших организаций, характер возможной утечки данных. Также начато расследование.
Тем временем в заявлении Министерства юстиции сообщается, что атака ограничила доступ чиновникам к 14 500 файлам, касающимся перевозки тел умерших людей, и примерно 4000 вскрытий, проведенных с марта 2020 года по ноябрь.
В заявлении Министерства здравоохранения страны указывается об утрате доступа к информации, связанной с работой кардиологических служб, В частности, около 8500 записей об услугах по уходу за близкими и более 5500 записей из реестра сердечных и наследственных заболеваний также отсутствуют.
Помимо министерства пострадало также шесть других органов в сфере здравоохранения, в том числе совет оптометристов и продавцов оптики, совет хиропрактики, совет ортопедов, совет психологов, совет диетологов и совет по физиотерапии Новой Зеландии. Правда, пока неясно, какое влияние инцидент оказал на службы.
Кроме того, вымогатели через Mercury IT смогли также добраться и до BusinessNZ, а ранее также - до Accuro, некоммерческой страховой компании в Новой Зеландии, насчитывающей более 34 000 членов.
Атака нарушила работу десятков организаций в стране, включая несколько государственных ведомств и органов государственной власти, включая Министерство юстиции и Te Whatu Ora (Здравоохранение Новой Зеландии).
Комиссар по вопросам конфиденциальности Новой Зеландии подтвердил киберинцидент, связанный с атакой ransomware.
В настоящее время ведется срочная работа по установлению масштабов инцидента и круга пострадавших организаций, характер возможной утечки данных. Также начато расследование.
Тем временем в заявлении Министерства юстиции сообщается, что атака ограничила доступ чиновникам к 14 500 файлам, касающимся перевозки тел умерших людей, и примерно 4000 вскрытий, проведенных с марта 2020 года по ноябрь.
В заявлении Министерства здравоохранения страны указывается об утрате доступа к информации, связанной с работой кардиологических служб, В частности, около 8500 записей об услугах по уходу за близкими и более 5500 записей из реестра сердечных и наследственных заболеваний также отсутствуют.
Помимо министерства пострадало также шесть других органов в сфере здравоохранения, в том числе совет оптометристов и продавцов оптики, совет хиропрактики, совет ортопедов, совет психологов, совет диетологов и совет по физиотерапии Новой Зеландии. Правда, пока неясно, какое влияние инцидент оказал на службы.
Кроме того, вымогатели через Mercury IT смогли также добраться и до BusinessNZ, а ранее также - до Accuro, некоммерческой страховой компании в Новой Зеландии, насчитывающей более 34 000 членов.
Forwarded from Russian OSINT
— Основной работодатель в даркнете — команды
— Чаще других в даркнете ищут разработчиков —
— Разработчики возглавили список
— Медианные зарплаты, предлагаемые IT-специалистам, составили
— Самая высокая медианная зарплата (4000 USD) — в объявлениях о поиске специалистов по
👆Полная версия отчёта.
Please open Telegram to view this post
VIEW IN TELEGRAM
Техасский поставщик облачных технологий Rackspace подвергся атаке вымогателей.
Она нарушила работу и затронула Rackspace Hosted Exchange, который управляет почтовыми службами для клиентов. Подозрительная активность была обнаружена в пятницу на прошлой неделе во внутренних системах, что в последствии привело к сбою в работе Hosted Exchange Business.
Со слов поставщика, инцидент был связан только с бизнесом Hosted Exchange и другие продукты и услуги компании полностью функционируют. На данный момент поставщик не испытывает никакого влияния на остальную линейку продуктов и платформу Rackspace Email.
Детали и последствия атаки почти неизвестны и однозначно ответить, были ли украдены какие-либо конфиденциальные данные клиентов не представляется возможным, но в целях скорейшего расследования инцидента Rackspace уже наняла ведущих специалистов по кибербезопасности.
Также остается неясным, когда Rackspace восстановит доступ к сервису Hosted Exchange.
К настоящему времени компания помогает клиентам перейти на Microsoft 365 в качестве временного решения. Rackspace также предоставила клиентам архивы их почтовых ящиков, которые можно импортировать.
К сожалению сам инцидент это только пол беды, так как по оценкам компании, атака ransomware и последующий сбой могут привести к упущенной выгоде в размере 30 миллионов долларов для ее бизнеса. Кроме того, у компании могут быть дополнительные расходы, связанные с реакцией клиентов и общественности на инцидент.
В компании также отказались комментировать, какой штамм вируса-вымогателя поразил информационные системы и намерения платить выкуп в случае его требования.
Она нарушила работу и затронула Rackspace Hosted Exchange, который управляет почтовыми службами для клиентов. Подозрительная активность была обнаружена в пятницу на прошлой неделе во внутренних системах, что в последствии привело к сбою в работе Hosted Exchange Business.
Со слов поставщика, инцидент был связан только с бизнесом Hosted Exchange и другие продукты и услуги компании полностью функционируют. На данный момент поставщик не испытывает никакого влияния на остальную линейку продуктов и платформу Rackspace Email.
Детали и последствия атаки почти неизвестны и однозначно ответить, были ли украдены какие-либо конфиденциальные данные клиентов не представляется возможным, но в целях скорейшего расследования инцидента Rackspace уже наняла ведущих специалистов по кибербезопасности.
Также остается неясным, когда Rackspace восстановит доступ к сервису Hosted Exchange.
К настоящему времени компания помогает клиентам перейти на Microsoft 365 в качестве временного решения. Rackspace также предоставила клиентам архивы их почтовых ящиков, которые можно импортировать.
К сожалению сам инцидент это только пол беды, так как по оценкам компании, атака ransomware и последующий сбой могут привести к упущенной выгоде в размере 30 миллионов долларов для ее бизнеса. Кроме того, у компании могут быть дополнительные расходы, связанные с реакцией клиентов и общественности на инцидент.
В компании также отказались комментировать, какой штамм вируса-вымогателя поразил информационные системы и намерения платить выкуп в случае его требования.
Rackspace Technology
Rackspace Technology Hosted Exchange Environment Update
ransomware incident affecting its Hosted Exchange environment, which is causing service disruptions for the company’s Hosted Exchange customers. Alongside the Rackspace Technology internal security team, the company has engaged a leading cyber defense firm…
В этом году исполняется 10 лет конкурсу Pwn2Own от Trend Micro’s Zero Day Initiative (ZDI), очередной этап которого стартовал в Торонто - Pwn2Own Toronto 2022 и ориентирован на этот раз на потребителя.
В этом году Pwn2Own представлен призовым фондом в более 1 000 000 долларов США и 26 командами, которые старгетированы в общей сложности на 66 целей в семи категориях, среди которых мобильные телефоны, беспроводные маршрутизаторы, системы умного дома, принтеры, умные колонки, устройства NAS и the SOHO Smashup.
В связи с большим количеством заявок организаторы решили продлить конкурс до четырех дней и подвести итоги 9 декабря.
Знаковым событием проходящеготоры, системы попавшим в заголовки СМИ, стал успешный взлом Samsung Galaxy S22 с последней версией ОС Android и всеми доступными обновлениями, причем дважды.
Команда STAR Labs успешно провела атаку на устройство с неправильной проверкой ввода с третьей попытки, заработав 50 тысяч долларов.
25 тысяч долларов получил также другой участник - Chim, который продемонстрировал атаку с неправильной проверкой ввода на Samsung Galaxy S22.
DEVCORE становится первой командой, которая успешно использовала две разные атаки переполнения буфера на основе стека против маршрутизатора Mikrotik и принтера Canon в рамках новой категории «SOHO SMASHUP». Команда заработала 100 тысяч долларов.
Исследовательская группа Claroty объединила 3 ошибки (2x Missing Auth for Critical Function и Auth Bypass) против Synology DiskStation DS920+ в категории NAS. Они заработали 40 тысяч долларов.
Horizon3 провел атаку с внедрением команд, исполнив серенаду для публики с небольшой мелодией из популярной классики на Lexmark MC3224i в категории «Принтер». Они заработали 20 тысяч долларов.
Исследователи Interrupt Labs осуществили атаку переполнения буфера на основе стека с третьей и последней попытки на HP Color LaserJet Pro M479fdw в категории принтеров, получив за это 20 тысяч долларов.
В первый день соревнований хакеры также успешно продемонстрировали свои эксплойты в отношении маршрутизаторов разных производителей, включая Mikrotik, NETGEAR, TP-Link и Synology.
Все итоги первого дня представлены на сайте ZDI.
В этом году Pwn2Own представлен призовым фондом в более 1 000 000 долларов США и 26 командами, которые старгетированы в общей сложности на 66 целей в семи категориях, среди которых мобильные телефоны, беспроводные маршрутизаторы, системы умного дома, принтеры, умные колонки, устройства NAS и the SOHO Smashup.
В связи с большим количеством заявок организаторы решили продлить конкурс до четырех дней и подвести итоги 9 декабря.
Знаковым событием проходящеготоры, системы попавшим в заголовки СМИ, стал успешный взлом Samsung Galaxy S22 с последней версией ОС Android и всеми доступными обновлениями, причем дважды.
Команда STAR Labs успешно провела атаку на устройство с неправильной проверкой ввода с третьей попытки, заработав 50 тысяч долларов.
25 тысяч долларов получил также другой участник - Chim, который продемонстрировал атаку с неправильной проверкой ввода на Samsung Galaxy S22.
DEVCORE становится первой командой, которая успешно использовала две разные атаки переполнения буфера на основе стека против маршрутизатора Mikrotik и принтера Canon в рамках новой категории «SOHO SMASHUP». Команда заработала 100 тысяч долларов.
Исследовательская группа Claroty объединила 3 ошибки (2x Missing Auth for Critical Function и Auth Bypass) против Synology DiskStation DS920+ в категории NAS. Они заработали 40 тысяч долларов.
Horizon3 провел атаку с внедрением команд, исполнив серенаду для публики с небольшой мелодией из популярной классики на Lexmark MC3224i в категории «Принтер». Они заработали 20 тысяч долларов.
Исследователи Interrupt Labs осуществили атаку переполнения буфера на основе стека с третьей и последней попытки на HP Color LaserJet Pro M479fdw в категории принтеров, получив за это 20 тысяч долларов.
В первый день соревнований хакеры также успешно продемонстрировали свои эксплойты в отношении маршрутизаторов разных производителей, включая Mikrotik, NETGEAR, TP-Link и Synology.
Все итоги первого дня представлены на сайте ZDI.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2022 - The Schedule
Welcome to Pwn2Own Toronto 2022! his year marks the 10th anniversary of our consumer-focused version of the contest, and we plan on celebrating by putting some amazing research on display. For this year’s event, we have 26 contestants and teams attempting…
На днях Лаборатория Касперского разместила статью "Безопасно ли использовать Avast в 2023 году?", в которой с разбегу наскочила на чешскую инфосек компанию. Мы, честно говоря, немного удивились.
Оказалось, что Касперские отзеркалили статью Avast "Безопасно ли использовать Касперского в 2023 году?", в которой те объясняют, что продукты ЛК плохие, потому что русские. Статья появилась аж в апреле 2022 года и с тех пор регулярно обновляется. В качестве примеров вредности KIS и прочих решений приводятся меры ряда правительств западных стран, которыми ограничивается функционирование ПО Касперских на их территории. На этом, собственно, все. "Покупайте продукты Avast, они более diversity и LGBTQ+ friendly".
Правда с фактурой у Касперских получилось сильно лучше - тут и взлом сети Avast хакерами в 2019, и слежка за пользователями, и скандал с продажей клиентских данных их дочкой Jumpshot (забыли еще про уязвимость в движке JavaScript в марте 2020 года).
Что можно сказать? Поведение Avast, безусловно, крысиное.
Была надежда, что кроме Гашека, Pz.38(t) и пива, чехи сделают еще что-нибудь хорошее. Например, Avast.
Зря надеялись, не сделали.
Оказалось, что Касперские отзеркалили статью Avast "Безопасно ли использовать Касперского в 2023 году?", в которой те объясняют, что продукты ЛК плохие, потому что русские. Статья появилась аж в апреле 2022 года и с тех пор регулярно обновляется. В качестве примеров вредности KIS и прочих решений приводятся меры ряда правительств западных стран, которыми ограничивается функционирование ПО Касперских на их территории. На этом, собственно, все. "Покупайте продукты Avast, они более diversity и LGBTQ+ friendly".
Правда с фактурой у Касперских получилось сильно лучше - тут и взлом сети Avast хакерами в 2019, и слежка за пользователями, и скандал с продажей клиентских данных их дочкой Jumpshot (забыли еще про уязвимость в движке JavaScript в марте 2020 года).
Что можно сказать? Поведение Avast, безусловно, крысиное.
Была надежда, что кроме Гашека, Pz.38(t) и пива, чехи сделают еще что-нибудь хорошее. Например, Avast.
Зря надеялись, не сделали.
www.kaspersky.ru
Безопасно ли использовать Avast в 2023 году?
Решения Avast имеют неплохую репутацию, но несколько инцидентов заставляют сомневаться в их надежности. Рассказываем, можно ли доверять продуктам Avast.
Cisco Talos сообщают об обнаружении уязвимости в PowerISO, приводящей к повреждению памяти.
Отлеживаемая как TALOS-2022-1644 (CVE-2022-41992) проблема повреждения памяти присутствует в функции синтаксического анализа формата файлов VHD в PowerISO 8.3.
Уязвимость возникает из-за того, что значение «число блоков» из записи CXSPARSE не проверяется должным образом, в связи с тем злоумышленник может управлять счетчиком циклов, что приводит к произвольной записи в память.
Специально созданный файл может привести к записи за пределами допустимого диапазона. Жертве необходимо открыть вредоносный файл, чтобы активировать эту уязвимость.
Cisco Talos совместно с PowerISO разработали решение для устранения уязвимости, после чего разработчик исправил проблему.
Правда разработчик не присвоил отдельного номера для исправленной. Поэтому пользователям необходимо убедиться, что они используют PowerISO версии 8.3 с самыми последними исправлениями ошибок.
Отлеживаемая как TALOS-2022-1644 (CVE-2022-41992) проблема повреждения памяти присутствует в функции синтаксического анализа формата файлов VHD в PowerISO 8.3.
Уязвимость возникает из-за того, что значение «число блоков» из записи CXSPARSE не проверяется должным образом, в связи с тем злоумышленник может управлять счетчиком циклов, что приводит к произвольной записи в память.
Специально созданный файл может привести к записи за пределами допустимого диапазона. Жертве необходимо открыть вредоносный файл, чтобы активировать эту уязвимость.
Cisco Talos совместно с PowerISO разработали решение для устранения уязвимости, после чего разработчик исправил проблему.
Правда разработчик не присвоил отдельного номера для исправленной. Поэтому пользователям необходимо убедиться, что они используют PowerISO версии 8.3 с самыми последними исправлениями ошибок.
Cisco Talos Blog
Vulnerability Spotlight: Memory corruption vulnerability discovered in PowerISO
Cisco Talos recently discovered a memory corruption vulnerability in PowerISO.
TALOS-2022-1644 (CVE-2022-41992) is a memory corruption vulnerability that exists in the VHD File Format parsing functionality of PowerISO 8.3. A specially crafted file can lead…
TALOS-2022-1644 (CVE-2022-41992) is a memory corruption vulnerability that exists in the VHD File Format parsing functionality of PowerISO 8.3. A specially crafted file can lead…
Индийская CloudSEK сообщает о взломе ее сервера Confluence, который злоумышленник смог взломать, используя украденные учетные данные для одной из учетных записей Jira персонала.
В результате таргетированной атаки из вики Confluence была украдена корпоративная, в том числе скрины панелей решений, имена клиентов и заказы на продукты.
При это, по данным CloudSEK, злоумышленникам не удалось скомпрометировать базы данных.
Используя украденные учетные данные Jira, злоумышленник смог получить доступ к учебным и внутренним документам, страницам Confluence и сценариям автоматизации с открытым исходным кодом, прикрепленным к Jira.
Позже ресерчеры обнаружили, что корпоративные данные CloudSek для доступа к ее сетям, Xvigil, кодовой базе, электронной почте, JIRA и учетным записям в социальных сетях реализуются в даркнете неким sedut.
Хакеры также слили изображения с информацией об именах пользователей и паролях для учетных записей, используемых для анализа хакерских форумов Breached и XSS, инструкции о том, как использовать различные сканеры веб-сайтов, а также скриншоты, отображающие схему баз mySQL и XVigil/PX, панель инструментов CloudSEK и заказы клиентов.
Делец предлагает приобрести базу данных CloudSEK за 10 000 долларов, а кодовую базу и документацию по продукту для сотрудников и инженеров - по 8 000 долларов за единицу.
По предварительной версии, за атакой на CloudSEK может стоять другая инфосек-компания, на которую исследователи вышли в ходе расследования инцидента, название которой пока остается в тайне.
Однако сообщается, что актор специализируется на мониторинге даркнета и имеет неоднозначную репутацию в отрасли. Атрибутировать своего обидчика CloudSEK смогла по индикаторам и ТТР, которые они уже наблюдали в прошлом.
Будем следить за развитием ситуации.
В результате таргетированной атаки из вики Confluence была украдена корпоративная, в том числе скрины панелей решений, имена клиентов и заказы на продукты.
При это, по данным CloudSEK, злоумышленникам не удалось скомпрометировать базы данных.
Используя украденные учетные данные Jira, злоумышленник смог получить доступ к учебным и внутренним документам, страницам Confluence и сценариям автоматизации с открытым исходным кодом, прикрепленным к Jira.
Позже ресерчеры обнаружили, что корпоративные данные CloudSek для доступа к ее сетям, Xvigil, кодовой базе, электронной почте, JIRA и учетным записям в социальных сетях реализуются в даркнете неким sedut.
Хакеры также слили изображения с информацией об именах пользователей и паролях для учетных записей, используемых для анализа хакерских форумов Breached и XSS, инструкции о том, как использовать различные сканеры веб-сайтов, а также скриншоты, отображающие схему баз mySQL и XVigil/PX, панель инструментов CloudSEK и заказы клиентов.
Делец предлагает приобрести базу данных CloudSEK за 10 000 долларов, а кодовую базу и документацию по продукту для сотрудников и инженеров - по 8 000 долларов за единицу.
По предварительной версии, за атакой на CloudSEK может стоять другая инфосек-компания, на которую исследователи вышли в ходе расследования инцидента, название которой пока остается в тайне.
Однако сообщается, что актор специализируется на мониторинге даркнета и имеет неоднозначную репутацию в отрасли. Атрибутировать своего обидчика CloudSEK смогла по индикаторам и ТТР, которые они уже наблюдали в прошлом.
Будем следить за развитием ситуации.
Cloudsek
[Updated] Cyber Security Incident at CloudSEK | CloudSEK
We have learned a lot from this attack and identified a serious security flaw within Atlassian products. Check it here GMT 4.30 PM Dec 6th. We are investigating a targeted cyber attack on CloudSEK. An employee's Jira password was compromised to get access…