Индийская CloudSEK сообщает о взломе ее сервера Confluence, который злоумышленник смог взломать, используя украденные учетные данные для одной из учетных записей Jira персонала.

В результате таргетированной атаки из вики Confluence была украдена корпоративная, в том числе скрины панелей решений, имена клиентов и заказы на продукты.

При это, по данным CloudSEK, злоумышленникам не удалось скомпрометировать базы данных.

Используя украденные учетные данные Jira, злоумышленник смог получить доступ к учебным и внутренним документам, страницам Confluence и сценариям автоматизации с открытым исходным кодом, прикрепленным к Jira.

Позже ресерчеры обнаружили, что корпоративные данные CloudSek для доступа к ее сетям, Xvigil, кодовой базе, электронной почте, JIRA и учетным записям в социальных сетях реализуются в даркнете неким sedut.

Хакеры также слили изображения с информацией об именах пользователей и паролях для учетных записей, используемых для анализа хакерских форумов Breached и XSS, инструкции о том, как использовать различные сканеры веб-сайтов, а также скриншоты, отображающие схему баз mySQL и XVigil/PX, панель инструментов CloudSEK и заказы клиентов.

Делец предлагает приобрести базу данных CloudSEK за 10 000 долларов, а кодовую базу и документацию по продукту для сотрудников и инженеров - по 8 000 долларов за единицу.

По предварительной версии, за атакой на CloudSEK может стоять другая инфосек-компания, на которую исследователи вышли в ходе расследования инцидента, название которой пока остается в тайне.

Однако сообщается, что актор специализируется на мониторинге даркнета и имеет неоднозначную репутацию в отрасли. Атрибутировать своего обидчика CloudSEK смогла по индикаторам и ТТР, которые они уже наблюдали в прошлом.

Будем следить за развитием ситуации.

Специалисты из группы анализа угроз Google (TAG) сообщили об уязвимости нулевого дня в Internet Explorer, которая активно использовалась в октябре 2022 года северокорейскими хакерами, известными как APT37.

Атака была нацелена преимущественно на южнокорейских соседей и реализовывалась путем внедрения вредоносного ПО в документах, ссылающихся на недавний массовый инцидент в Итхэвоне (трагедия во время празднования Хэллоуина в Сеуле).

Несмотря на то, что браузер Internet Explorer был официально закрыт еще в июне этого года, и с тех пор его заменил Microsoft Edge, Office по-прежнему использует движок IE для выполнения JavaScript, который и делает возможной атаку на компьютеры с Windows 7–11 и Windows Server 2008–2022, на которых не были установлены новые обновления безопасности от ноября 2022 года.

Специалистам TAG стало известно об уязвимости, когда 31 октября 2022 года на VirusTotal были загружены вредоносные документы Microsoft Office под названием «221031 Seoul Yongsan Itaewon accident response situation (06:00).docx».

В документе использовалась 0-day уязвимость, отслеживаемая как CVE-2022-41128 (оценка CVSS 8,8), обнаруженная в «jnoscript9.dll» движка JavaScript Internet Explorer, который можно было использовать для доставки вредоносного ПО или выполнения произвольного кода при отображении веб-сайта, контролируемого злоумышленником.

TAG приписала эту атаку группе APT37, которая ранее уже использовала аналогичные эксплойты нулевого дня для Internet Explorer в целевых атаках на северокорейских перебежчиков, политиков, журналистов, правозащитников и южнокорейских пользователей IE.

Пока TAG не удалось изучить окончательную полезную нагрузку для этой кампании, но специалисты отмечают, что ранее они наблюдали, как APT37 использовала аналогичные эксплойты для доставки вредоносных программ, таких как Rokrat, Bluelight и Dolphin.

Сообщение об уязвимости поступило в течение нескольких часов после ее обнаружения 31 октября и уже 8 ноября она была исправлена и выпущены соответствующие обновления.

Во второй день хакерского конкурса Pwn2Own Toronto 2022, организуемого Zero Day Initiative, участники заработали в общей сложности более 280 000 долларов за взлом интеллектуальных динамиков, смартфонов, принтеров, маршрутизаторов и устройств NAS.

Значительная часть суммы была получена за демонстрацию уязвимостей, нацеленных на умные колонки Sonos One.

Команда из Qrious Secure заработала на этом 60 000 долларов, а участники Star Labs - 22 500 долларов за эксплойт, который включал одну новую и одну ранее известную уязвимость.

В новой категории Pwn2Own под названием SOHO Smashup моделируется сценарий небольшого офиса/домашнего офиса SOHO, целью которого является взлом маршрутизатора на интерфейсе WAN, а затем переход к локальной сети, где взламывается второе устройство, например устройство NAS, умная колонка или принтер.

Команда Bugscale получила 37 500 долларов за эксплойт SOHO Smashup, нацеленный на маршрутизатор Synology и принтер HP. Они смогли проэксплуатировать новые и уже известные ошибки.

Еще одну серьезную награду в 40 000 долларов получил исследователь Лука Моро, который взломал WD My Cloud Pro в категории NAS.

Interrupt Labs заработала 25 000 долларов за очередной взлом телефона Samsung Galaxy S22, который дважды ломали в первый день соревнований.

В числе взломанных в ходе второго дня Pwn2Own устройств, за которые участники заработали от 1250 до 10 000 долларов, оказались также принтеры HP, Lexmark и Canon, а также маршрутизаторы Netgear, Synology и TP-Link.

ZDI объявила, что за первые два дня было выплачено в общей сложности 681 000 долларов за отработку 43 новых и уникальных уязвимостей.

Cisco сообщила об уязвимости высокой степени серьезности, затрагивающей последнее поколение IP-телефонов и подвергающей их RCE и DoS-атакам.

Команда PSIRT компании также предупреждает клиентов о том, что PoC для уязвимости публично доступен, а сама ошибка публично обсуждалась.

Однако в Cisco PSIRT не наблюдала еще каких-либо попыток использовать ее в реальных атаках.

Cisco пока не выпустила обновления для устранения этой ошибки и заявляет, что исправление будет доступно в январе 2023 года. 

CVE-2022-20968 вызвана недостаточной проверкой входных данных для полученных пакетов Cisco Discovery Protocol, которую злоумышленники, не прошедшие проверку подлинности, могут использовать для запуска переполнения стека.

Об ошибке сообщил ресерчер Цянь Чен из Codesafe Team of Legendsec в QI-ANXIN Group.

Уязвимыми считаются IP-телефоны Cisco с микропрограммой серий 7800 и 8800 версии 14.2 и более ранней.

Несмотря на то, что обновления или обходной путь еще не доступны, Cisco предоставляет рекомендации по смягчению последствий для администраторов, которые хотят защитить уязвимые устройства в своей среде от потенциальных атак.

Предлагается отключить протокол обнаружения Cisco на затронутых IP-телефонах серий 7800 и 8800, которые также поддерживают протокол обнаружения канального уровня (LLDP).

Тем не менее Cisco предупредила, что клиенты не должны развертывать какие-либо обходные пути или меры по смягчению последствий, прежде чем сначала не оценят их применимость к своей среде и потенциальное влияние на нее.

Ресерчеры из Университета Бен-Гуриона и Лаборатории наступательно-оборонительных кибер-исследований в исследовательской статье представили новый канал COVert для эксфильтрации данных с компьютеров в сетях с воздушным зазором.

COVID-bit — это новейшая технология, разработанная в этом году после SATAn, GAIROSCOPE и ETHERLED, которые предназначены для преодоления воздушных зазоров и сбора конфиденциальных данных.

Инновационный метод эксфильтрации данных использует ранее недокументированный скрытый канал для утечки из закрытых систем.

Информация может быть перехвачена находящимся поблизости инсайдером или шпионом с мобильным телефоном или ноутбуком на расстоянии 2 м.

Сети с воздушным зазором, несмотря на их высокий уровень изоляции, могут быть скомпрометированы различным образом, включая загаданные USB-носители, атаки на цепочку поставок и даже инсайдерами.

Однако эксфильтрация данных после взлома сети представляет собой проблему из-за отсутствия подключения к Интернету, что требует от злоумышленников разработки специальных методов для отправки информации.

COVID-bit использует вредоносное ПО, установленное на машине для генерации электромагнитного излучения компонента, называемого импульсным источником питания SMPS, в диапазоне частот 0–60 кГц, которое затем посредством частотной манипуляцией FSK кодируется, передается и улавливается незаметным приемным устройством, находящимся в непосредственной близости.

Все благодаря динамическому энергопотреблению современных компьютеров и управлению мгновенными нагрузками на ядра ЦП.

Регулируя рабочую нагрузку ЦП, можно управлять его энергопотреблением и, следовательно, контролировать мгновенную частоту переключения SMPS.

Электромагнитное излучение, создаваемое этим преднамеренным процессом, можно принимать на расстоянии с помощью соответствующих антенн, которые стоят всего 1 доллар и могут быть подключены к 3,5-мм аудиоразъему телефона для захвата низкочастотных сигналов с полосой пропускания 1000 бит/с.

Атака уклончива еще и потому, что вредоносный код не требует повышенных привилегий и может быть выполнен из виртуальной машины.

Оценка передачи данных показывает, что нажатия клавиш могут быть эксфильтрированы почти в реальном времени.

Меры противодействия предполагаемому скрытому каналу включают в себя проведение динамического анализа кодов операций для выявления угроз, инициирование случайных рабочих нагрузок на процессоры ЦП при обнаружении аномальной активности, а также мониторинг или глушение сигналов в диапазоне 0–60 кГц.

Как COVID-bit работает на практике можно увидеть на видео.

Специалисты Claroty разработали универсальный метод SQL-инъекций, который позволяет обходить брандмауэры веб-приложений WAF.

Суть проблемы заключалась в том, что поставщики WAF не смогли добавить поддержку JSON внутри операторов SQL, что позволило потенциальным злоумышленникам легко скрывать свои вредоносные полезные нагрузки.

Было установлено, что метод обхода, обнаруженный исследователями Team82, работает против WAF, продаваемых пятью поставщиками, включая Palo Alto Networks, Amazon Web Services (AWS), Cloudflare, F5 и Imperva.

Злоумышленники, использующие этот новый метод, могут получить доступ к серверной базе данных и использовать дополнительные уязвимости и эксплойты для кражи информации либо через прямой доступ к серверу, либо через облако.

Данная уязвимость особенно критична для платформ OT и IoT, которые перешли на облачные системы управления и мониторинга.

WAF призваны, чтобы обеспечивать дополнительную защиту в облаке, однако злоумышленник, способный обойти эту защиту, имеет расширенный доступ ко всем системам.

Указанные поставщики уже выпустили соответствующие исправления, поэтому клиентам следует обновить свои межсетевые экраны.

Однако этот метод может работать против решений от других поставщиков, поэтому пользователям рекомендуется озаботиться и спросить своих поставщиков, способны ли они обнаруживать и блокировать такие атаки.

͏Завершился очередной этап Pwn2Own Toronto 2022.

На этот раз конкурс проходил в течение четырех дней (1, 2, 3, 4). В нем приняли участие 36 разных команд, представляющих более 14 стран.

За третий день Pwn2Own участники заработали более 250 000 долларов, продемонстрировав атаки с использованием 0-day на устройства NAS, принтеры, умные колонки, маршрутизаторы и смартфоны.

NCC EDG получила самую большую награду дня за успешное выполнение атаки с использованием 2 эксплойтов (внедрение команд, путаница типов) в отношении принтеров Ubiquiti и Lexmark в категории SOHO SMASHUP. Команда заработала 50 тысяч долларов.

Team Viettel успешно провела атаку OS Command Injection на WD My Cloud Pro Series PR4100 в категории NAS, заработав 20 тысяч долларов.

STAR Labs атаковала маршрутизатор Synology и принтер Canon. Эксперты использовали эксплойты, которые были замечены ранее в соревновании, поэтому им упало лишь по 25 тысяч долларов.

Pentest Limited провела атаку неправильной проверки ввода на Samsung Galaxy S22 в категории мобильных телефонов. Они заработали 25 тысяч долларов.

На четвертый день соревнований исследователь Крис Анастасио продемонстрировал переполнение буфера динамической памяти на принтере Lexmark. Он заработал 10 000 долларов.

ANHTUD использовал еще одно переполнение динамической памяти для взлома принтера Canon, заработав 10 тысяч долларов.

Команда namnp взломала принтер Canon, выдав удивленного Пикачу на дисплее устройства. Команда заработала 10 000 долларов.

По результатам хакасского конкурса победу одержала китайская DEVCORE, представив успешные эксплойты для умных динамиков Sonos One, маршрутизаторов Mikrotik и принтеров Canon, HP и Lexmark. В общей сложности хакеры совали куш в размере 142 500 долларов.

В целом за четыре дня участники заработали в общей сложности 989 750 долларов США за 63 уникальных эксплойта нулевого дня.

Исследователь Джейкоб Бейнс из VulnCheck обнаружил, что ранее раскрытой уязвимости CVE-2022-28958 в маршрутизаторах D-Link на самом деле в реальности не существует, а какая-либо эксплуатация никогда не проводилась.

Тем не менее, она фигурирует в списке MITRE, а 8 сентября 2022 года CVE-2022-28958 была добавлена в каталог известных эксплуатируемых уязвимостей CISA.

Незадолго до этого в отчете исследователей также утверждалось, что уязвимость использовалась операторами Moobot, аналог Mirai.

Еще ранее 6 апреля 2022 года пользователь GitHub shijn0925 опубликовал четыре уязвимости, затрагивающие вышедший из эксплуатации SOHO-маршрутизатор D-Link DIR-816L, который используется более чем 6000 пользователями (согласно Shodan).

Среди них: CVE-2022-28955, CVE-2022-28956, CVE-2022-28958, а также одна - неприсвоенная.

При этом первая - связана с отсутствуем проверки подлинности, вторая - хоть и реальная проблема безопасности, но является дубликатом четырех других CVE: CVE-2020-15894, CVE-2020-9376, CVE-2019-17506 и CVE-2018-7034.

Проанализировав оригинальное раскрытие информации от shijin0925, ресерчер пришел к выводу, что PoC ни коем образом не влияет на систему.

Эксплойт не затрагивает конечную точку, где предположительно находится уязвимый код, а конечная точка, которой он достигает, ничего не делает с предоставленными параметрами.

В результате поиска артефактов эксплуатации на устройствах, подключенных к Интернету, ресерчеру так и не удалось найти ни одного маршрутизатора, отвечающего критериям компрометации. При этом в Greynoise также не увидел чтобы HTTP-запросы попадали в их приманки.

Вероятно, разработчики Moobot скопировали ошибку исследователя, что можно через Wireshark увидеть на изображении в блоге Unit 42 с отображением реализации CVE-2022-28958 в Moobot.

Таким образом, CVE-2022-28958 не является реальной уязвимостью, а масштабная эксплуатация никогда не фиксировалась.

Кстати, привет сотрудникам CISA уже передали.

Trend Micro представили заключительную часть своего обзора на исследование по теме «Риски безопасности, с которыми сталкиваются станки с ЧПУ в индустрии 4.0».

В этой части ресерчеры акцентировали внимание на контрмеры, которые предприятия могут предпринять для защиты своих машин.

Ресерчеры обнаружили, что только два из четырех проанализированных поставщиков поддерживают аутентификацию.

Ни в одном из них по умолчанию не включена аутентификация, что делает машины уязвимыми для атак злоумышленников.

Включение проверки подлинности необходимо для защиты функций Industry 4.0 от злоупотреблений.

Системы контроля доступа к ресурсам важны для снижения воздействия атак.

Многие технологии разрешают доступ ко всем ресурсам контроллера, что может быть опасно.

Правильный подход заключается в принятии систем управления доступом к ресурсам, которые предоставляют ограниченный доступ.

Это поможет обеспечить доступ к ресурсам контроллера только авторизованным пользователям и защитить эти ресурсы от несанкционированного доступа.

Что касается интеграторов и конечных пользователей, Trend Micro предлагает следующие контрмеры:

⁃ Контекстно-зависимые промышленные системы предотвращения и обнаружения вторжений (IPS/IDS). Эти устройства, популярность которых в последнее время резко возросла в каталогах поставщиков систем безопасности, оснащены сетевыми механизмами, которые могут перехватывать в реальном времени трафик, связанный с промышленными протоколами, для обнаруживать атаки.

⁃ Сегментация сети: правильная архитектура сети имеет большое значение. Как показало исследование, все протестированные машины имеют интерфейсы, которые могут быть использованы злоумышленниками.

⁃ Правильное исправление: современные станки с ЧПУ оснащены полноценными операционными системами и сложным программным обеспечением, которое неизбежно может содержать уязвимости в системе безопасности. Это действительно имело место с машинами, которые они тестировали.

Исследователи связались с поставщиками уязвимых решений, параллельно занимаясь контроллерами: первый контакт был в ноябре 2021 года, а последний — в марте 2022 года.

На момент написания статьи все четыре поставщика решили улучшить либо свою документацию, либо активизировать обмен информацией с производителями машин, чтобы в конечном итоге предложить конечным пользователям более безопасные решения.

На конференции Black Hat Europe 2022 на прошлой неделе исследователи из Deep Instinct раскрыли подробности о Dirty Vanity, новой технике внедрения кода.

Метод эффективно обходит существующие средства обнаружения и предотвращения инъекций, открывая более широкий спектр атак, которые бросают вызов общепринятым концепциям EDR TTP.

Метод реализует злоупотребление менее известным механизмом разветвления, встроенным в операционные системыобности о 

Ресерчеры подробно объясняют, как работает новая техника, рассматривают его влияние на современные методы обнаружения.

В докладе также рассмотрены общие способы его активации, законное использование и известное злонамеренное использование для дампа учетных данных LSASS.

PoC доступен (здесь).

В рядах банд-вымогателей очередные разборки.

На форумах обсуждается инцидент, связанный с раскрытием участников банды-вымогателей URSNIF, и это уже четвертое крупное разоблачение киберпреступных операции в этом году. Аналогичным образом утекли конфиденциальные сведения связанные с операциями ransomware Conti, Yanluowang и трояна TrickBot.

На прошлой неделе, некто под учетной записью URSNIFleak, утверждающий, что он бывший участник операции по созданию вредоносного ПО URSNIF, раскрыл реальные личности трех членов банды в серии твитов.

Также были опубликованы фрагменты чатов переписки банды и скриншоты исходного кода некоторых вредоносных программ URSNIF. Причем личные сообщения содержали обсуждения щепетильных тем, связанных с отмыванием денег и ситуация на Украине.

Если в случае с Conti мотив слива был вызван как раз таки антироссийскими настроениями, то в случае с URSNIF все гораздо эпичнее и приземленнее — банальная месть и попытка шантажа самих представителей банды-вымогателей.

И шантаж сработал, после того как слили информацию о членах низшего звена, стало понятно, что настрой серьезный. Аккаунт URSNIFleak перестал публиковать новый контент только тогда, когда лидер банды (псевдоним CAP) заплатил им за молчание.

Свой последний твит перед удалением аккаунта недовольный хакер закончил репликой: «Я только что заработал больше денег за одну неделю, чем за годы. Платите работникам правильно и у них не будет причин сливать дерьмо».

Вероятно, раздор произошел на почве не самых успешных операций по вымогательству, как надеялась на то банда.

Fortinet выпустила экстренное исправление для исправления серьезной уязвимости CVE-2022-42475 в продукте FortiOS SSL-VPN, предупредив, что она уже эксплуатируется в дикой природе.

Уязвимость была впервые обнаружена фирмой по кибербезопасности Olympe Cyberdefense и представляет собой ошибку переполнения буфера кучи в FortiOS sslvpnd.

Согласно сообщению PSIRT Fortinet, уязвимость имеет оценку серьезности CVSS 9,3.

В рекомендациях Fortinet ошибка описывается как повреждение памяти, которое позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, запускать вредоносный код или выполнять команды в целевой системе с помощью специально созданных запросов.

Fortinet отметила осведомленность в злоупотреблении ошибкой в реальных атаках, рекомендуя немедленно проверить ваши системы на соответствие признакам компрометации.

Последняя угроза нулевого дня для FortiOS появилась вслед за задокументированными APT-атаками, старгетированными на решения компании Fortinet.

Fortinet по-тихому решила эту проблему, выпустив 28 ноября FortiOS 7.2.3, и умолчав информацию о том, что она используется как 0-day.

Однако позже 7 декабря компания выпустила частное уведомление TLP:Amber для клиентов с дополнительной информацией об ошибке, а уже на днях выпустила бюллетень по безопасности с предупреждением об активной эксплуатации.

Хотя Fortinet не предоставила никакой информации о том, как используется уязвимость, но поделилась IOC, связанными с атаками.

Если сразу применить исправления не удается, Olympe Cyberdefense предлагает клиентам отслеживать журналы, отключать функции VPN-SSL и создавать правила доступа для ограничения подключений с определенных IP-адресов.

Клиентам необходимо внимательно отнестись к интеграции исправления, ведь первые сканирования, по данным Grey Noise, осуществлялись еще в октябре.

Google привлекла британскую NCC Group для проведения аудита безопасности службы Google One VPN.

VPN от Google One — это сервис безопасности подключения и конфиденциальности для конечных пользователей, реализуемых различными клиентами для наиболее широко используемых операционных систем, которые обеспечивают как зашифрованный транзит, так и диссоциацию IP-адресов.

По результатам аудита NCC Group обнаружила 24 уязвимости в настольных и мобильных приложениях, библиотеках и архитектуре VPN, включая Security Design and Architecture, VPN Library Code, Windows Application Security, MacOS Application, Android Application и iOS Application.

Пожалуй, это все что нужно знать о безопасности продуктов Google.

- Партнёрский пост -

Лаборатория Касперского представила первый отечественный сервис для выявления закладок в компонентах и ПО с открытым исходным кодом из популярных репозиториев — Kaspersky Open Source Software Threats Data Feed.

С этим сервисом компании смогут минимизировать риски использования Open Source — благодаря актуальным данным о пакетах с уязвимостями, вредоносным кодом и недекларированными возможностями.

На данный момент в Kaspersky Open Source Software Threats Data Feed уже содержится информация примерно о 3000 уязвимых и вредоносных пакетов, размещённых в популярных репозиториях.

Причём в десятках пакетов были зафиксированы недекларированные возможности, в том числе отображение нежелательной информации политической направленности.

Некоторые из скомпрометированных компонентов были загружены пользователями десятки тысяч раз.

По данным Лаборатории Касперского, среди уязвимостей, обнаруженных в Open Source пакетах, около 35% имеют высокий уровень опасности (High), и около 10% — критический (Critical).

Разработчики часто используют готовые пакеты с открытым исходным кодом при выполнении своих задач. Это позволяет им фокусироваться на комплексных проектах и индивидуальных требованиях к ПО, экономить время и ресурсы при создании стандартных функций.

Существует несколько крупных репозиториев, где специалисты могут найти подходящий под свой проект компонент. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код.

Более того, иногда создатели пакета намеренно приводят исполняемый код программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и внесение изменений при декомпиляции.

С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ).

Фид предоставляется в формате JSON и предназначен для ручного либо автоматизированного сопоставления названий, версий или идентификаторов (CPE) open source пакетов, используемых в разработке, с open source пакетами, содержащимися в фиде – для принятия решения об обновлении соответствующих пакетов либо отказе от их использования.

«Использование готовых пакетов при разработке — это общепринятая практика. Она позволяет экономить много времени при создании ПО.

Однако важно помнить о возникающих рисках атак на цепочку поставок, которые особенно возросли в 2022 году, когда были обнаружены сотни скомпрометированных и вредоносных пакетов в популярных репозиториях.

Чтобы снизить риски подключения уязвимых или даже вредоносных пакетов, мы предлагаем проверять их сторонние компоненты с помощью нашего решения», — комментирует Денис Паринов, эксперт по кибербезопасности Лаборатории Касперского.

Обнаружен ранее незадокументированный бэкдор Python, нацеленный на серверы VMware ESXi, который позволяет хакерам удаленно выполнять команды на скомпрометированной системе.

Новый малварь был найден на сервере VMware ESXi исследователями Juniper Networks. Однако ресерчерам не удалось точно определить, как сервер был скомпрометирован из-за ограниченного хранения журналов.

Исследователи полагают, что для могли использоваться CVE-2019-5544 и CVE-2020-3992 в службе ESXi OpenSLP.

Несмотря на то, что технически вредоносное ПО также способно атаковать системы Linux и Unix, аналитики по совокупности признаков считают, что оно было разработано именно под атаки на ESXi.

Новый бэкдор Python добавляет семь строк в «/etc/rc.local.d/local.sh» ESXi, которые сохраняются между перезагрузками и выполняются при запуске. Обычно этот файл бывает пуст.

Одна из строк запускает скрипт Python «/store/packages/vmtools.py» в каталоге, где хранятся образы дисков виртуальных машин, журналы и многое другое. При этом имя файла и его расположение /store/packages/vmtools.py реализованы так, чтобы не вызывать подозрений в отношении хоста виртуализации.

Следует отметить, что используемый в этой атаке сценарий Python является кросс-платформенным и может использоваться с небольшими изменениями или вовсе без них в Linux или других UNIX-подобных системах.

Скрипт запускает веб-сервер, который принимает от удаленных злоумышленников защищенные паролем POST-запросы, которые могут содержать полезную нагрузку команды в кодировке base-64 или запускать обратную оболочку на хосте.

Обратная оболочка заставляет скомпрометированный сервер инициировать соединение с автором, что помогает обойти ограничения брандмауэра или работает с ограниченным сетевым подключением.

Ресерчеры наблюдали, что злоумышленники осуществляли также изменение конфигурации обратного HTTP-прокси ESXi, чтобы разрешить удаленный доступ для связи с внедренным веб-сервером.

Поскольку для файла, используемого для установки этой новой конфигурации, «/etc/vmware/rhttpproxy/endpoints.conf», также создается резервная копия и восстанавливается после перезагрузки, любые изменения в нем сохраняются.

Пользователям рекомендуется проверить наличие файлов, упомянутых выше, и дополнительных строк в файле «local.sh», чтобы выявить возможные признаки компрометации.

Все файлы конфигурации, сохраняющиеся при перезагрузке, должны быть тщательно проверены на наличие подозрительных изменений и приведены к правильным настройкам.

Наконец, администраторам необходимо ограничить все входящие сетевые подключения доверенными хостами, а доступные обновления безопасности, которые устраняют эксплойты, используемые для первоначальной компрометации, должны применяться как можно скорее.

͏С завидной регулярностью Uber обновляет приваты хакерских форумов с очередной порцией утечек.

В этот раз Uber Technologies Inc. заявила, что расследует инцидент связанный со взломом стороннего поставщика, который, как сообщается, привел к утечке данных из компании.

По предварительным данным, всеобщим достоянием стало более 77 000 адресов электронной почты сотрудников, а также другие сведения, включая предполагаемый исходный код платформы управления мобильными устройствами, используемыми Uber и Uber Eats.

Утечка связана с инцидентом в Teqtivity - компании, которая предоставляет услуги по управлению ИТ-активами для Uber.

Сторонний поставщик также заявил, об инциденте с кибербезопасностью и пояснил, что не собирает и не хранит конфиденциальную информацию, такую как реквизиты банковских счетов или государственных идентификационных номеров.

Однако данные включают информацию об устройстве (серийный номер, марка и модель) и информацию о пользователе (полное имя, рабочий адрес электронной почты и местонахождение).

Teqtivity заявила, что данные клиентов были скомпрометированы из-за несанкционированного доступа к ее системам со стороны внешнего злоумышленника.

По данным компании, хакер смог получить доступ к серверу резервного копирования Teqtivity AWS, на котором хранились исходники и файлы данных, относящиеся к ее клиентам. Teqtivity также сообщила о расследовании компьютерного инцидента с привлечением правоохранительные структур.

По мнению Uber, каждый опубликованный пост на хакерском форуме относится к хакерской группе Lapsus$. Во всяком случае они несут ответственность за ряд громких атак, в том числе за сентябрьский инцидент, когда киберпреступники получили доступ к внутренней сети Uber и серверу Slack.

Однако пока Uber считает, что Lapsus$ не связана с этим конкретным взломом и не видела никакого вредоносного доступа к своим системам.

Тем не менее исследователи по безопасности говорят, что утекшие данные содержат достаточно информации для проведения целевых фишинговых атак в отношении сотрудников компании.

🔎 Качаем OSINT. Огромный список ресурсов и инструментов для поиска данных об авто.

🖖🏻 Приветствую тебя user_name.

• Единственный способ стать умнее — играть с более умным противником. — основы шахмат, 1883 г.

• Играть можно в разное. Например, кто быстрее найдет местоположение объекта с точность до 10 метров )). Такие задания являются весьма увлекательными и проходят в крупнейшем #OSINT форуме Telegram от Soxoj: https://news.1rj.ru/str/+GMxoDCvLO0k0MWRi

• Помимо интересных заданий, ты качаешь навыки поиска информации и изучаешь новые инструменты, которые помогают идентифицировать цель. Такие навыки очень полезны для Социальных Инженеров и всех кого интересует информационная безопасность.

• Сегодня поделюсь с тобой огромным списком инструментов, который будет очень полезен для поиска информации о транспортном средстве. Эти ресурсы помогут тебе победить в некоторых ежедневных заданиях, которые проходят на форуме, и прокачать навыки поиска информации, когда это действительно необходимо.

🧷 https://github.com/TheBurnsy/Vehicle-OSINT-Collection

S.E. ▪️ S.E.Relax ▪️ infosec.work

Ресерчеры CYFIRMA представили интересный обзор рынка услуг брокеров первичного доступа IAB.

IAB быстро развиваются как важный компонент киберпреступности и особенно цепочки поставок программ-вымогателей как услуги RaaS.

Пристальное внимание IAB к получению первоначального доступа в составе цепочек вынуждает их постоянно совершенствовать свой арсенал методов и открывать двери в самые защищенные крупные организации.

По результатам анализа были выделены основные тренды развития индустрии в этом году, главные из которых следует учитывать для понимания всей современной экосистемы киберпреступности.

Прежде чем опубликовать доступ к подпольному форуму, брокеры первоначального доступа используют ZoomInfo для сбора данных об организации-жертве, включая доходы, отрасль, которую она обслуживает, количество сотрудников и тип бизнеса.

Основными целевыми отраслями являются ИТ-услуги, производство, бизнес-услуги, BFSI, недвижимость, здравоохранение, транспорт.

IAB нацелены на организации по всему миру, основными целевыми странами являются США, Великобритания, Канада, Германия, Индия, Франция, Япония и Австралия.

Как выяснили ресерчеры, доступ к организациям в штатах реализуется по более высоким ценам.

Доступ к банковским доменам также стоит дороже по сравнению с иными категориями. В целом, продается IAB по цене от 10 000 до 160 000 долларов США (на основе аналитики последних сделок).

IAB обычно предоставляет злоумышленникам возможность проводить целевые атаки на основе возможности выбора из списка возможных вариантов и целей для доступа, размещенного на хакасских форумах.

Исследователи также заметили активное привлечение клиентуры посредством каналов в Telegram для торговли доступом.

Некоторые из IAB публикуют подробную информацию о том, какие данные доступны в системе, к которой они продают доступ, чтобы четко обозначить покупателю, чего ожидать от системы. При этом спрос на доступ к уровню домена выше, чем на уровень - пользователь.

IAB часто используют известные уязвимости в Fortinet и SonicWALL VPN, а также уязвимость VMware RCE, чтобы получить доступ к сетям жертв.

В объявлениях о продаже IAB отражают помимо прочих сведения об антивирусной защите в системе жертвы. Кроме того, некоторые из активных брокеров продвигают также услуги по обходу любых EDR и AV.

Получив первоначальный доступ к системам жертв, IAB опасаются потерять доступ и, следовательно, стремятся как можно скорее монетизировать доступ, что приводит к продаже доступа к сети любому действующему автору.

**Текст оформлен в соответствии с требованиями Приказа ФСБ России № 547, дабы не наносить ущерб информационной безопасности Российской Федерации.

Вчера вечером появилась новость о том, что в сеть утекла база известно какого электронного сервиса известно какого региона, в которой содержится 17 млн. строк известно какой информации в отношении известно кого и их родителей, в том числе ФИО, телефоны, электронная почта и СНИЛС.

Известно какое подразделение известно какого руководящего органа известно какого региона поспешило уведомить журналистов, что информация об утечке не соответствует действительности, а ее данные - это фейк.

Поскольку мы базу видели где-то в Интернете, то можем ответственно заявить, что она настоящая. Несколько знакомых пробились как надо. Сама редакция в базе отсутствует, поскольку мы тролли и чайлдфри. И живем в других регионах. Земли. И тролли.

Утечка стала очередной в ряду крупных сливов баз коммерческих, полукоммерческих-полугосударственных и государственных организаций известно какого государства.

Как такое стало возможно? А очень просто. В известно каком государстве годами клали огромный болт на вопросы информационной безопасности. Руководствовались простым принципом - нет инцидентов ИБ, так нафига вообще нужно ИБ.

Финансирование по остаточному принципу (т.н. методика "информационная безопасность за мелкий прайс"), принудительный загон инфосека в вертикаль безопасности под отставных представителей известно каких структур, которые при слове SIEM думают, что их охранники обсуждают свой обед, и многое другое. Вопрос причин отсутствия инцидентов ИБ сложный и дискуссионный, тут обсуждать его не будем.

Параллельно с этим известно какие структуры известно какого государства, которые должны бы по идее отвечать за информационную безопасность этого самого известно какого государства, косплеили Уробороса. И немножко кушали друг друга.

Все то, что годами копилось у злоумышленников - пароли от админок, логи троянов, базы сливов учеток, сделанные в ходе атак на цепочки поставок закладки, наконец, - все это разом хлынуло на щупленькое тельце инфосека известно какого государства. И инфосек протёк.

Что делать в текущей (скаламбурили, да) ситуации - решительно непонятно. Боржоми пить уже поздно, но почки еще нужны.

Появившаяся сегодня информация о законодательной инициативе ввести оборотные штрафы за утечку персданных - мера абсолютно нужная, но запоздалая и определенно недостаточная. Хотя, лучше поздно, чем никогда.

͏Серьезный скандал разгорается в США, где хакеры накрыли медным тазом реализацию комплексной программы ФБР под названием InfraGard.

InfraGard представляет собой доверенную сеть обмена информацией о киберугрозах с крупнейшими представителями частного сектора из числа критически важных инфраструктур страны, в том числе работающих в атомной энергетике.

Как сообщает KrebsOnSecurity, хакерам удалось получить к ней доступ и выкрасть базу данных с информацией в отношении 80 000 участников программы, а 10 декабря 2022 года она была выставлена на продажу на хакерском форуме Breached по цене в 50 000 долларов зеленых.

Помимо продажи столь интересного актива хакеры через подставную учетную запись от имени гендиректора известной финансовой компании выстроили общение с участниками портала InfraGard.

Но бледные лица сотрудники ФБР имеют вовсе не поэтому, дело в том, что верифицировать аккаунт может лишь сама спецслужба.

Пока ФБР отмалчиваются и ведут расследование, журналистам удалось выйти на диллера базы, которым оказался селлер USDoD форума Breached с аватаркой Министерства обороны США, поведавший все самые смачные детали киберинцидента.

Оказалось, что доступ к InfraGard злоумышленники смогши получить, подав заявку на регистрацию новой учетки с использованием личных данных и номера соцстрахования главного исполнительного директора компании, которая соответствует условиям членства в программе ФБР.

В поданном в ноябре заявлении на вступление хакеры указали подконтрольный адрес электронной почты и реальный номер мобильного телефона генерального директора.

InfraGard по умолчанию требует многофакторной аутентификации, предоставляя выбор между получением кода через SMS или по электронной почте.

На удивление акторов вместо положенных 3 месяцев проверка закончилась в декабре, когда на указанный адрес пришел ответ о том, что заявка была одобрена.

При этом с настоящим директором компании ФБР так и не связалось.

Кроме того, USDoD сообщали журналистам, что смог добыть пользовательские данные InfraGard через API, встроенный в несколько ключевых компонентов веб-сайта - попросту спарсить.

В качестве гаранта сделки хакеры назначили Pompompurin, который по совместительству выступает и главным админом форума, и без того попивший достаточно много крови у спецслужбы.

Почти год назад Pompompurin воспользовался уязвимостью на портале ФБР и разослал от имени fbi[.]gov тысячи липовых электронных сообщений, предупреждающих получателей о фальшивых кибератаках в их адрес.

Как полагают ресерчеры, слитая в сеть база программы InfraGard может быть частью более крупной цели хакеров, особенно учитывая участие в теме помпурина.

Будем посмотреть.

Apple выпустила срочные обновления для исправления десятой за этот год 0-day, которая активно эксплуатируется в реальных атак на владельцев iPhone.

Уязвимость была раскрыта в бюллетенях по безопасности, выпущенных для iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 и macOS Ventura 13.1, при этом Apple предупредила, что уязвимость могла активно использоваться и в предыдущих версиях.

CVE-2022-42856 представляет собой проблему путаницы типов в механизме просмотра веб-браузера Apple Webkit.

Уязвимость была обнаружена Клементом Лесинем из группы анализа угроз Google и позволяет вредоносному веб-контенту приводить к RCE на уязвимом устройстве.

Выполнение произвольного кода может позволить вредоносному сайту выполнять команды в операционной системе, развертывать дополнительные вредоносные или шпионские программы или выполнять другие вредоносные действия.

Apple устранила уязвимость, улучшив обработку состояния для следующих устройств: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).

Пока же Apple не сообщает никаких подробностей об атаках. Вероятно, они будут представлены позже после того, как большинство пользователей обновят свои яблочные девайсы.

Несмотря на то, что эта 0-day, вероятно, использовалась в таргетирвоанных атаках, все же рекомендуется установить сегодняшние обновления безопасности как можно скорее.