Flashpoint сообщает о новом инфостиллере под названием RisePro, который набирает популярность в даркнете и реализуется посредством PrivateLoader, сервиса загрузки вредоносных ПО с оплатой за установку.

Написанный на C++, RisePro собирает потенциально конфиденциальную информацию со взломанных машин, а затем эксфильтрует ее в виде журналов.

Flashpoint впервые обнаружила RisePro 13 декабря 2022 года после того, как аналитики столкнулись с наборами журналов, загруженных на подпольный рынок Russian Market.

Это магазин журналов, аналогичный другим рынкам журналов, таким как Genesis, в котором злоумышленники могут загружать и продавать журналы, собранные у похитителей. 

Согласно Flashpoint, вредоносное ПО, по-видимому, основано на Vidar Stealer, который уже неоднократно попадал в поле зрения ресерчеров.

Первоначально Vidar был форком стилера Arkei, который был полностью взломан и проанализирован исследователями еще в 2018 году.

Vidar известен тем, что загружает ряд зависимостей и параметров конфигурации со своего С2. В прошлом также было замечено несколько его клонов, в том числе Oski и Mars.

RisePro также был замечен за использованием зависимостей библиотек динамической компоновки (DLL), которые, как известно, используются похитителем Vidar.

Анализ вредоносного ПО предполагает, что это, скорее всего, клон Vidar. Тем не менее, RisePro демонстрирует сходство и с другими похитителями информации.

По словам Flashpoint, на русском рынке было представлено более 2000 журналов, предположительно полученных от RisePro, что может свидетельствовать о том, что похититель информации набирает популярность среди киберпреступников.

Ресерчеры также отмечают, что RisePro, похоже, распространялся PrivateLoader в течение всего прошлого года.

PrivateLoader позволяет злоумышленникам покупать возможность загружать вредоносную полезную нагрузку в зараженные системы. Услуги с оплатой за установку достаточно распространенная бизнес-моделью среди злоумышленников, управляющих ботнетами.

Flashpoint наблюдала рекламу услуг на теневых форумах и в Telegram, который обычно используется злоумышленниками для поддержки клиентов.

Индикаторы компрометации (IOC), домены C2 и структура управления RisePro URI представлены в отчете Flashpoint.

Исследователи Trend Micro обнаружили новую особенность вредоносной ПО Raspberry Robin, которая развертывает фальшивую полезную нагрузку , чтобы сбить с толку исследователей и избежать обнаружения в случае, когда она запускается в песочницах и инструментах отладки.

Подобная тактика была замечена в недавних атаках на поставщиков телекоммуникационных услуг и государственных систем.

Raspberry Robin — это похожий на червя дроппер вредоносных ПО. Его операторы реализуют первоначальный доступ к скомпрометированным сетям бандам вымогателей и киберпрестуникам. Как известно, Raspberry Robin был связан с FIN11 и Clop, а также с кампаниями Bumblebee, IcedID и TrueBot.

Вредоносное ПО достигает целевых систем через вредоносные USB-накопители, которые заражают устройство вредоносным ПО при подключение и двойном щелчке файла .LNK, который злоупотребляет исполняемым файлом Windows «MSIExec.exe» для загрузки вредоносного установщика MSI, который выполняет полезные нагрузки Raspberry Robin.

Вредоносная программа сильно запутана, чтобы скрыть свой код от антивирусных ПО и вирусных аналитиков, имеет несколько слоев, содержащих жестко запрограммированные значения для расшифровки следующего.

Однако, чтобы еще больше усложнить анализ, Raspberry Robin начал сбрасывать две разные полезные нагрузки в зависимости от того, как он запускается на устройстве.

Если вредоносная программа обнаруживает, что она работает в песочнице, то загрузчик сбрасывает фальшивую полезную нагрузку. В противном случае он запустит настоящую вредоносную программу Raspberry Robin.

Фейковая полезная нагрузка имеет два дополнительных уровня: шелл-код со встроенным PE-файлом и PE-файл с удаленным заголовком MZ и PE-подписью. После выполнения он пытается считать реестр Windows, чтобы найти маркеры заражения, а затем приступает к сбору основной информации о системе.

Затем поддельная полезная нагрузка пытается загрузить и запустить рекламное ПО с именем BrowserAssistant, чтобы ввести аналитика в заблуждение, указав на то, что это и есть последняя полезная нагрузка.

Однако в реальных системах загружается фактическая полезная нагрузка вредоносного ПО Raspberry Robin, которая имеет встроенный клиент Tor для внутренней связи. При этом фактическая полезная нагрузка упакована десятью уровнями обфускации, что значительно усложняет ее анализ.

При запуске он проверяет, является ли пользователь администратором, и если это не так, он использует технику повышения привилегий ucmDccwCOMMethod в UACMe для получения административных привилегий, злоупотребляя встроенным бэкдором Windows AutoElevate.

Вредоносное ПО также изменяет реестр для сохранения между перезагрузками, используя два разных метода для каждого случая (административный или наоборот).

После чего вредоносная ПО пытается подключиться к жестко заданным адресам Tor и устанавливает канал обмена информацией со своими операторами. Клиентский процесс Tor использует имена, имитирующие стандартные системные файлы Windows, такие как «dllhost.exe», «regsvr32.exe» и «rundll32.exe».

Примечательно, что основная процедура выполняется в сеансе 0, специализированном сеансе Windows, зарезервированном исключительно для служб и приложений, которые не нуждаются или не должны взаимодействовать с пользователем.

В рамках процесса заражения Raspberry Robin также копирует себя на любые подключенные USB-накопители для заражения других систем.

Следует отметить, что аналитики Trend Micro заметили также сходство недавних дополнений в TTP Raspberry Robin с LockBit, подозревая возможную связь двух проектов. Прежде всего, оба используют метод калибровки ICM для повышения привилегий и инструмент TreadHideFromDebugger для предотвращения отладки.

В целом, Trend Micro полагают, что текущая кампания Raspberry Robin является скорее попыткой оценки эффективности новых механизмов, чем начальным этапом реальных атак.

͏Немецкий гигант в сфере промышленного машиностроения и производства стали Thyssenkrupp подвергся кибератаке.

Служба ИБ компании обнаружила инцидент на ранней стадии, и злоумышленникам не удалось нанести значительного ущерба, пострадали лишь некоторые IT-сегменты ThyssenKrupp, включая общий корпоративный и отдел материаловедения.

Кроме того, компания не получила нет никаких свидетельств того, что данные были украдены или изменены.

Возможность того, что другие сегменты и бизнес-единицы стали объектом атаки в настоящее время может быть исключена.

Оперативно была создана кризисная группа, которая работает над расследованием инцидента и устранением его последствий.

Компания сообщила журналистам, что за атакой стоит организованная преступность, но не уточнила была ли это атака со стороны вымогателей.

Однако все указывает именно на ransomware, ведь за последние несколько лет Thyssenkrupp также стала мишенью нескольких групп вымогателей, в том числе Netwalker.

А в 2016 году на компанию напали хакеры, предположительно, находящиеся в Юго-Восточной Азии, с целью кражи промышленных секретов.

Более того, в этом году крупный немецкий бизнес уже успел хорошо познакомиться с основными игроками ransomware-индустрии.

В список жертв попали: ветрянные гиганты Deutsche Windtechnik и Nordex Group, производитель меди Aurubis и гигант автомобилестроения Continental.

Пользователи сотен банковских приложений, криптовалютных кошельков и криптобирж стали мишенью мобильного банковского трояна Godfather для Android.

По данным Group-IB, малварь активно распространяется как минимум с июня 2021 года и по состоянию на октябрь 2022 года троян был нацелен на 215 международных банков, 94 криптокошелька и 110 криптовалютных бирж.

Не будем фантазировать о национальной принадлежности создателей вредоносного ПО, но большинство из этих организаций находятся в США, Турции, Испании, Канаде, Германии, Франции и Великобритании и ни одна из них не присутствует в бывших странах СНГ.

Сама вредоносная программа распространяется под видом легитимных приложений в Google Play, а полезная нагрузка эмулирует работу Google Protect.

Godfather основан на старом образце вредоносного банковского троянца, известного как Anubis, который был модернизирован, чтобы изменить протокол связи с C2, алгоритм шифрования трафика и другие функции.

Ряд функций вовсе выпилили, например шифрование файлов, запись звука и получение информации GPS.

Однако точный способ заражения пользовательских устройств доподлинно не подтверждён, хотя изучение инфраструктуры управления и контроля злоумышленника показывает, что троянские дроппер-приложения являются одним из потенциальных векторов распространения.

Когда пользователь взаимодействует с фиктивным уведомлением или пытается открыть одно из приложений, на которые нацелен Godfather, малварь показывает ему оверлей (веб-фейк), который собирает имена пользователей, пароли, а также коды двухфакторной аутентификации из SMS.

Вредоносное ПО также может запускать кейлоггер и при необходимости записывать экран устройства, чтобы получить ту же информацию.

Кроме того, что Godfather распространяется по модели «вредоносное ПО как услуга», вызывает опасение и тот факт, что имитируя Google Protect малварь может легко оставаться незамеченной на зараженных устройствах, а обычные обыватели будут считать, что защищены сервисом Android, но на самом деле злоумышленники будут иметь доступ к их банковским и иным финансовым приложениям.

Масштаб бедствия пока оценить сложно, но буквально вчера Cyble опубликовала отчет, в котором подчеркивается рост активности Godfather, продвигая приложение, имитирующее популярный музыкальный инструмент в Турции, загруженный 10 миллионов раз через Google Play.

͏Ведущий поставщик решений для управления идентификацией и доступом (IAM) Okta сообщает о взломе ее репозиториев GitHub.

Согласно просочившемуся в паблик внутрикорпоративному уведомлению, в ходе киберинцидента злоумышленникам удалось выкрасть исходный код Okta.

Как сообщается, ранее в этом месяце GitHub предупреждал Okta о подозрительном доступе к репозиториям кода Okta Workforce Identity Cloud (WIC). При этом продукт Auth0 Customer Identity Cloud не был затронут.

По словам представителей компании, несмотря на кражу исходного кода Okta, злоумышленники не получили несанкционированного доступа к корпоративным или клиентским средам. Инцидент не повлиял на возможности обслуживать клиентов.

После получения информации о возможном подозрительном доступе, Okta оперативно ввела временные ограничения на доступ к репозиториям GitHub и приостановила все интеграции со сторонними приложениями, уведомив также правоохранительные органы.

Кроме того, специалисты проверили все недавние обращения к репозиториям, последние фиксации и целостность кода.

Вообще же черная полоса для Okta началась еще в январе, когда Lapsus$ взломали ее и получили доступ к административным консолям Okta и данным клиентов, после чего последовала серия публикаций украденных данных в Telegram.

Затем в сентябре неизвестным образом были скомпрометированы репозитории исходного кода ее дочерней компании Auth0.

Но самое главное в этой истории то, что она, по всей видимости, на этом не закончится. Будем как обычно посмотреть.

Китайская Hikvision исправила критическую уязвимость в линейке своих беспроводных мостов. 

Критическая уязвимость CVE-2022-28173 в системе контроля доступа затрагивает два беспроводных моста Hikvision и может привести к удаленному взлому системы видеонаблюдения.

Проблему обнаружили Соувик Кандар и Арко Дхар из индийской CCTV и IoT Redinent Innovations, о чем было сообщено поставщику в сентябре через CERT India.

16 декабря былы выпущены исправления для продуктов DS-3WF0AC-2NT и DS-3WF01C-2N/O.

Согласно бюллетеню Redinent, ошибка вызвана неправильной обработкой параметров веб-интерфейсом управления продуктом.

Злоумышленник может использовать уязвимость, чтобы получить доступ администратора к интерфейсу управления, отправив специально созданный запрос с полезной нагрузкой, не превышающей 200 байт.

После эксплуатации сеанс администрирования сохраняется с полным доступом ко всем функциям интерфейса моста.

Арко Дхар из Redinent сообщил также, что CVE-2022-28173 может быть использована из локальной сети инсайдером или злоумышленником, получившим доступ к сети организации, а также напрямую из Интернета, если уязвимое устройство находится в сети, которых, по данным Shodan и Censys, достаточно много.

После того, как злоумышленник успешно воспользуется уязвимостью, он сможет перехватить сетевой трафик или взломать всю систему видеонаблюдения.

Обычно эти устройства используются для передачи видеопотоков с камер внутри лифта или иного помещения в командный центр или на пульт управления безопасностью.

Злоумышленник может отключить или отключить видеопоток в рамках запланированного преступного инцидента — например, скоординированного ограбления или кражи — или шпионить за людьми.

Ресерчеры Trend Micro рассказали, как им удалось проэксплуатировать CVE-2022-22583 и разработать другой вариант обхода защиты целостности системы SIP - CVE-2022-32800 в инфраструктуре PackageKit в macOS.

CVE-2022-22583 была обнаружена исследователями Роном Хассом из Perception Point и Микки Джином из Trend Micro, и исправлена
Apple 26 января 2022 года.

После того, как Perception Point опубликовала в блоге подробности об уязвимости, Trend Micro стало понятно, что в своем исследовании ресерчеры использовали принципиально иной метод эксплуатации, что позволило им также обнаружить новую уязвимость CVE-2022-32800 после более глубокого изучения CVE-2022-22583.

Проблемы безопасности удалось обнаружить с помощью мониторинга процессов, которые были созданы привилегированной службой «system_installd» после установки подписанного Apple файла пакета установки программного обеспечения (PKG) в корневой том.

Поскольку служба «system_installd» имеет специальное право «com.apple.rootless.install.heritable», все сценарии будут выполняться в контексте обхода SIP.

Оба скрипта находятся внутри каталога «/tmp/PKInstallSandbox.l57ygT», который был создан функцией «-[PKInstallSandbox prepareForCommitReturningError:]».

Ей активируется другая функция «-[PKInstallSandbox _createDirectory:uniquifying:error:], которая вызывает API «mkdtemp» для создания папки без каких-либо ограничений, которой можно манипулировать с использованием двух эксплойтов.

Первый использует трюк с монтированием. Компания Perception Point подробно рассказала об этом в своем блоге. Эксплойт Trend Micro использует другой метод: символическую ссылку.

Несмотря на наличие root, создать файл в каталоге с ограниченным доступом «/Library/Apple» невозможно, потому что статус SIP включен.

Но с помощью программы-эксплойта ресерчерам удалось выполнять произвольные команды в контексте обхода SIP и успешно создавать файл в каталоге с ограниченным доступом.

Полное доказательство концепции этого эксплойта выложено на GitHub.

Уязвимость CVE-2022-32800 позволяет злоумышленнику перехватить файл «SandboxState», чтобы получить примитив обхода SIP.

Файл «SandboxState» хранится в «Пути к песочнице», который находится внутри «репозитория песочницы». В обычном сценарии «репозиторий песочницы» ограничен для пакетов, подписанных Apple.

Однако, если местом установки является том DMG (образ диска), «репозиторий песочницы» вообще не ограничен. То же самое верно и для файла «SandboxState».

Существуют разные способы использования проблемы. Полное доказательство концепции этого эксплойта можно найти на GitHub, а видео демонстрации можно посмотреть здесь.

Для успешной защиты систем от уязвимостей пользователи должны регулярно обновлять свои операционные системы.

Что касается обсуждаемых уязвимостей, CVE-2022-22583 была исправлена в январе 2022 года, а CVE-2022-32800 — в июле 2022 года.

Ресерчеры швейцарской Modzero обнаружили серьезные уязвимости в менеджере паролей Passwordstate австралийского разработчика Click Studios.

Они могут позволить злоумышленнику, не прошедшему проверку подлинности, извлечь пароли пользователей.

Исследователи обнаружили в Passwordstate семь типов уязвимостей, в том числе проблемы, связанные с обходом аутентификации и авторизации, неправильной защитой паролей, жестко закодированными учетными данными и уязвимостью XSS.

Ошибке обхода аутентификации API, отслеживаемой как CVE-2022-3875, был присвоен критический уровень серьезности.

Другие уязвимости получили средние или низкие оценки серьезности, но тем не менее могут представлять значительный риск в сочетании с другими багами.

Исследователи Modzero также продемонстрировали, как злоумышленник, знающий только имя целевого пользователя, может подделать токен API для этого его имени, просмотреть все списки паролей, добавить полезную нагрузку XSS в учетную запись жертвы с помощью ввода нового пароля, реализовать обратную оболочку и выгрузить сохраненные пароли в скомпрометированном Passwordstate.

Учитывая широкую востребованность продукта, в том числе и компаниями из Fortune 500, Passwordstate достаточно часто попадает под прицел хакеров.

В апреле 2021 года компания производила сброс всех паролей пользователей после того, как в результате атаки на цепочку поставок распространялось вредоносное обновление.

Проблемы были исправлены в начале ноября с выпуском версии 9.6 сборки 9653.

Дополнительные технические подробности доступны в отчете, опубликованном Modzero на этой неделе.

Corsair подтвердила ошибку в прошивке клавиатур K100, которая является причиной автоматического ввода ранее введенного текста в приложения спустя несколько дней.

Впервые о странном поведении девайсов упоминалось на форуме Corsair еще в августе 2022 года.

Признание компании последовало после того, как пользователи начала массово жаловаться на K100, ссылаясь на то, что их клавиатуры сами набирают текст в случайные моменты.

Некоторые пользователи даже тестировали свои клавиатуры K100 в безопасном режиме для исключения версии о возможном вредоносном ПО, но все равно сталкивались со случайным вводом слов.

После чего все же было установлено, что источник проблемы находится в самом оборудовании.

Но больше всего пользователей встревожила даже не возможная вредоносная кампания, а наличие незадекларированных функций.

Производитель Corsair в заявлении Ars Technica сразу же поспешил заверить, что их клавиатуры не имеют возможности регистрации ввода данных пользователем.

При этом в качестве причины зафиксированных сбоев компания отметила проблему функции записи макросов, из-за которой она включается по ошибке и начинает записывать нажатия клавиш и движения мыши.

Затем эти макросы затем запускаются позже, в результате чего сохраненный текст вводится снова.

Тем не менее, представитель Corsair продолжают работать над выяснением точной природы проблемы, а последнее обновление прошивки, доступное для устройств K100 (версия 1.11.39) не то, чтобы не решает проблему, а вовсе приводит к случайным зависаниям.

Все, что остается простым пользователям Corsair - периодически сбрасывать девайсы до заводских настроек.

И главное - ожидать когда, ответственные за макрос службы отладят софт и данные будут уходить не на экран, а сразу по нужному адресу в Ленгли, не беспокоя пользователей.

Washington Post раскрывает коварное коварство русских экспатов, которые публично отреклись от России и всего с ней связанного, но продолжают в сердце носить красное знамя и грезить захватом Потомака дабы потом ловить в нем налима и стирать портянки.

В этот раз досталось Галицкому и его Almaz Capital, а также Сергею Белоусову с его, как вы догадались, Acronis и Runa Capital.

Что таки Белоусов не делал - сингапурское гражданство получил, имя на Серг Белл поменял, спецоперацию осудил. Все равно в глазах возмущенной либеральной общественности он является тайным проводником намерений Кремля завладеть тайными технологическими секретами просвещенного запада.

Кстати, Белоусов распространяет порочную практику на смену имени и на своих сотрудников, не шутим. Но в конце сказки таких хитровыдуманных персонажей все равно настигает "смерть через мабуту".

Кстати, уважаемой сингапурской инфосек компании Group-IB стоит взять на заметку, поскольку в один прекрасный момент она может превратиться в форпост Мордора в Ривенделле. Хотя у них и в России не очень. По понятным, впрочем, причинам.

Белоусову же можем посоветовать забить на лбу портрет Айн Рэнд и стать королевой гендерквира. Глядишь поможет.

Под раздачу ransomware попала одна из самых известных в мире газет The Guardian, которой в результате атаки пришлось отправить своих сотрудников домой.

Инцидент произошел вечером во вторник и затронул часть технологической инфраструктуры компании, в связи с чем сотрудникам было приказано работать из дома до конца недели, так как онлайн-издание газеты, судя по всему не пострадало.

В официальном заявлении генерального директора Guardian Media Group Анны Бейтсон говорится, что за последние 24 часа произошел серьезный инцидент, затронувший ИТ-системы и ряд бизнес-служб.

Пока неясно, какие данные злоумышленники могли получить или украсть, но раскрытие хранящейся конфиденциальной информации, наряду с потенциально раскрытыми источниками, может привести к серьезному нарушению защиты данных.

Издание продолжает публиковать информацию на своем веб-сайте и в приложениях, а уже завтра должны возобновиться публикации в печатном виде.

Технические детали и подробности отсутствуют, так как в настоящее время ведется активная работа над всеми аспектами этого инцидента.

Trend Micro сообщают, что за Royal ransomware стоят опытные злоумышленнике, которые раньше входили в команду Conti Team One.

По данным ресечреров, Royal — это модифицированная версия программы-вымогателя Zeon, появившейся ранее в этом году и связанной с Conti Team One, одной из групп, занимающихся распространением Conti ransomware.

В апреле этого года Conti свернули свою активность после большой утечки внутренних данных, которая была инициирована одним из участников на фоне разногласий из-за ситуации на Украине.

Согласно аналитики, представленной исследователем Виталием Кремезом, за Conti стояли три группы хакеров, одна из которых переключилась на Quantum ransomware, другая использовала штаммы программ-вымогателей Black Basta, Karakurt и Blackbyte, а теперь и Royal, и третья развалилась в начале 2022 года.

Как сообщает Trend Micro, программа-вымогатель Royal использовалась в атаках, нацеленных в основном на организации в США и Бразилии. При этом обычно распространялось посредством фишинга для побуждения жертв к установке ПО для удаленного доступа.

Используя вредоносное ПО для удаленного доступа, операторы программы-вымогателя Royal затем загружали в скомпрометированную систему дополнительные инструменты, в том числе QakBot и Cobalt Strike для бокового перемещения, NetScan для идентификации систем, подключенных к сети, и PCHunter, PowerTool, GMER и Process Hacker для отключения продуктов безопасности.

Киберпреступники также использовали RClone для эксфильтрации данных жертв, AdFind для поиска активных каталогов, RDPEnable для подключения к удаленному рабочему столу и PsEXEC для запуска программы-вымогателя.

В ходе атаки Royal удаляет теневые копии в системе, чтобы предотвратить восстановление данных, и увеличивает скорость шифрования, запуская потоки на всех процессорах в системе и используя форму прерывистого шифрования.

После чего ransomware оставляет записку с требованием выкупа в каждом каталоге.

Расследования атак программ-вымогателей Royal показывает, что группа успешно реализует сочетание как старых, так и новых методов, что указывает на то, что бренд - явно не новичок в индустрии программ-вымогателей. 

Несмотря на «поздний» выход, в сентябре, группа уже эффективно отработала ряд компаний, а в ближайшее время ожидается, что их активность возрастет в ближайшие месяцы.

Ресерчеры Cisco Talos обнаружили 12 уязвимостей в OpenImageIO, которые могут привести к раскрытию конфиденциальной информации, DoS, переполнению буфера кучи и RCE.

OpenImageIO — это библиотека обработки изображений, полезная для преобразования и сравнения изображений.

Она используется в ПО для 3D-обработки AliceVision (включая Meshroom), а также Blender для чтения файлов Photoshop psd.

CVE-2022-41794, CVE-2022-38143, CVE-2022-41838, CVE-2022-41837, CVE-2022-41639 и CVE-2022-41981 был присвоен рейтинг CVSS 9.8, в связи с высоким приоритетом рисков выполнения произвольного кода. Уязвимости обусловлены механизмом обработки OpenImageIO файлов tif, psd, dds и др. файлов и типов метаданных.

CVE-2022-43597-CVE-2022-43598 касаются множественных уязвимостей, приводящих к повреждению памяти. Специально созданный объект ImageOutput может привести к RCE.

Также существуют множественные уязвимости выполнения кода, описанные в TALOS-2022-1656 (CVE-2022-43599-CVE-2022-43602). Злоумышленник может ввести вредоносные данные, чтобы активировать эти уязвимости.

Несколько уязвимостей могут вызвать отказ в обслуживании. Злоумышленник может предоставить вредоносные данные или файлы, чтобы активировать эти уязвимости (CVE-2022-41684, CVE-2022-41999, CVE-2022-43593, CVE-2022-43594-CVE-2022-43595, CVE-2022-43603).

Talos также обнаружила уязвимости раскрытия конфиденциальной информации с более низкой оценкой (CVE-2022-41977, CVE-2022-36354, CVE-2022-41649, CVE-2022-41988, CVE-2022-43592, CVE-2022-43596).

Пользователям рекомендуется как можно скорее обновить уязвимые продукты: Project OpenImageIO master-branch-9aeece7a, v2.3.19.0 и v2.4.4.2, ведь, согласно результатам исследований Talos, все предыдущие версии OpenImageIO подвержены уязвимостям.

͏Ведущая букмекерская компания BetMGM сообщила об утечке данных после киберинцидента, в ходе которого злоумышленник украл личную информацию клиентов.

Основанный в 2018 году BetMGM со штаб-квартирой в Нью-Джерси является одним из крупнейших операторов ставок на спорт.

Функционирует как совместное предприятие американской развлекательной компании MGM Resorts International и мировым букмекером Entain plc. Под брендом BetMGM также работают Borgata Casino, Party Casino и Party Poker.

Хакеры выкрали широкий спектр данных, включая имена, даты рождения, контактную информацию, номера соцстрахования, сведения об аккаунтах, а также информацию, связанную с транзакциями на платформе BetMGM.

Компания добавила, что обнаружила инцидент в ноябре 2022 года, но считает, что взлом произошел еще в мае 2022 года.

В рамках предварительного расследования BetMGM нет обнаружила доказательств того, что злоумышленниками был получен доступ к паролям клиентов или средствам на счетах.

На онлайн-операции BetMGM инцидент также не повлиял. Компания уведомляет своих клиентов, рекомендуя им следить за возможной подозрительной активностью, связанной с их личной информацией.

Несмотря на то, что букмекерская контора так и не раскрыла обстоятельств инцидента и не называет объем утечки, вероятный злоумышленник под именем etmgmhacked уже продает в даркнете базу данных казино, актуальную по состоянию на ноябрь 2022 года.

База включает всех клиентов казино BetMGM из Мичигана, Нью-Джерси, ON, PV и WV, или 1 569 310 записей о пользователях, сделавших когда-либо ставку на площадке.

Потенциальным заинтересантам предлагается набор записей из числа игроков BetMGM в Нью-Джерси и Пенсильвании, а также массив с информацией о клиентах из всех штатов.

Полагаем, что столь ценный массив сведений в отношении игрозависимых персоналий не залежится долго на прилавке и будет быстро монетизирован, а также непременно уйдет в работу по линии соответствующих служб.

Начиная с 19 декабря повалились жалобы от пользователей электронной почты Xfinity, которые начали получать сообщения об обновлении информации об их учетной записи.

При этом доступ к аккаунту был утрачен, так как пароли были изменены.

После восстановления доступа к своим учетным записям пользователи увидели, что их взломали, а в профиль был добавлен дополнительный адрес электронной почты с доменом yopmail[.]com.

Причем, на учетных записях пользователей была установлена двухфакторная аутентификация, но тем не менее злоумышленникам удалось ее обойти.

Волна гневных комментариев от ряда пользователей Xfinity, чьи учетные записи были скомпрометированы уже прошла на Reddit и Twitter, а также затронула и их собственный сайт.

После того, как злоумышленники получали доступ к учетной записи и им необходимо было ввести код двухфакторной аутентификации.

Для этого ими, предположительно, использовался приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2Fa.

После успешного входа злоумышленник сбрасывал пароль, а также менял дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж, таких как Coinbase и Gemini.

Xfinity пока официально никак не комментирует ситуацию, но, со слов одного из клиентов, который описал ситуацию на Reddit, корпорация знает о взломе, ведет расследование для выяснения источника атака и локализации последствий инцидента.

Пострадавшая в результате киберинцидента в августе 2022 года LastPass сообщила о более серьезных последствиях, нежели чем считалось ранее.

Как позже стало известно, злоумышленникам удалось получить доступ к внушительному объему личной информации ее клиентов, включая зашифрованные данные хранилища паролей.

Предварительное расследование указало тогда на компрометацию хакерами исходного кода и технической информации из среды разработки.

В LastPass отметили, что это позволило неустановленному актору скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища.

Оно реализовано в собственном двоичном формате, в котором содержатся как незашифрованные данные (URL-адреса веб-сайтов), так и полностью зашифрованные поля (имена пользователей и пароли веб-сайтов, защищенные заметки и др).

Зашифрованные поля защищены с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля пользователя с использованием так называемой архитектуры компании с нулевым разглашением. 

По факту была украдена почти вся основная информация об учетной записи клиента и связанные метаданные, включая наименование компаний, имена конечных пользователей, платежные адреса, электронная почта, номера телефонов и IP-адреса доступа к LastPass.

При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.

LastPass не разглашает общее число пострадавших пользователей, однако отметила об уведомлении менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.

Также компания призывает пользователей избегать повторного использования мастер-паролей на других сайтах.

В целом же, компания ожидает потенциальные атаки на клиентов посредством социнженерии и брута для последующего взлома мастер-пароля и расшифровки копии украденных данных хранилища.

Будем посмотреть.

Microsoft, как обычно, незаметно исправила важную уязвимость безопасности в службе Azure (ACS) после того, как исследователи из Mnemonic обнаружили, что проблемная функция допускает атаки в обход сети между арендаторами.

Как выяснили ресерчеры, уязвимость позволяет обойти периметр идентификации изолированных от Интернета экземпляров Azure Cognitive Search и предоставляет межклиентский доступ к плоскости данных экземпляров ACS из любого места, включая экземпляры без явного доступа к сети.

Ошибка затронула все экземпляры службы Azure с активированной функцией «разрешить доступ с портала».

Включив эту функцию, клиенты фактически разрешили межклиентский доступ к плоскости данных своих экземпляров ACS из любого места, независимо от фактических сетевых конфигураций последних.

Причем сюда вошли экземпляры, открытые исключительно на частных конечных точках, а также экземпляры без явного доступа к сети, даже без какой-либо частной, служебной или общедоступной конечной точки.

Простым нажатием кнопки клиенты могли включить уязвимую функцию, которая фактически сбрасывала весь сетевой периметр, настроенный вокруг их экземпляров ACS, без предоставления какого-либо реального периметра идентификации, позволяя любому создать действительный токен доступа для ARM.

Microsoft заплатила вознаграждение в размере 10 000 долларов и повысила уровень серьезности баги с умеренного до серьезного из-за простоты эксплуатации и создания риска эксплуатации для множества пользователей.

В какой-то момент в процессе раскрытия информации Microsof заявила, что исправление было отложено, потому что исправление требовало значительного изменения уровня дизайна.

Правда, по словам исследователя Эмильена Сокки, уязвимость, получившая наименование ACSESSED, все же была исправлена Microsoft без официального объявления в конце августа 2022 года, примерно через шесть месяцев после того, как о ней впервые сообщили.

Эксперты предупреждают о критической уязвимости ядра Linux в 10 баллов по шкале CVSS, которая затрагивает серверы SMB и может привести к RCE.

Критическая уязвимость ядра Linux делает уязвимыми для взлома SMB-серверы с включенным ksmbd (сервер ядра Linux, который реализует протокол SMB3 в пространстве ядра для обмена файлами по сети).

Проблема связана с неправильной обработкой команд SMB2_TREE_DISCONNECT, в виду отсутствия проверки существования объекта перед выполнением операций над объектом.

Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить произвольный код на уязвимых установках ядра Linux.

Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.

Уязвимость была обнаружена 26 июля 2022 года исследователями Арно Гатиньолом, Квентином Минстером, Флораном Соделем и Гийомом Тесье из команды Thales Group, и была публично раскрыта 22 декабря 2022 года.

Исследователь Шир Тамари из Wiz_IO отметил, что SMB-серверы, использующие Samba, не затронуты, добавив, что SMB-серверы, использующие ksmbd, уязвимы для доступа на чтение, что может привести к утечке памяти сервера (по аналогии с уязвимостью Heartbleed).

В силу новизны ksmbd большинство пользователей по-прежнему используют Samba.

Администраторам, использующим же ksmbd, рекомендуется обновить ядро Linux до выпущенной в августе версии 5.15.61 или более поздней.

Исследователь ReSolver обнаружил бэкдор в маршрутизаторах ZyXEL LTE3301-M209 LTE.

CVE-2022-40602 связана с жестко закодированными учетными данными по аналогии с аналогичными проблемами в Telnet в D-Link DWR-921. Он проанализировал ELF, сосредоточив внимание на функциях amit, которые содержали лазейку в маршрутизаторах D-Link.

Прошивка в основном представляет собой слияние 3 разделов, раздел LZMA — это ядро, по адресу 0x148CD6 — root-fs, а по адресу 0x90BD36 — содержимое www.

Внутри последних Squashfs есть файл, который содержит по адресу 0x10 целевые байты Zlib. Несмотря на то, что он не нашел учетных данных Telnet, но обнаружил что-то похожее на бэкдор в веб-интерфейсе.

12 сентября 2022 года он уведомил ZyXEL об уязвимости, отправив технические подробности. Через два дня ZyXEL подтвердила проблемы и отметила, что баги затрагивают только модель LTE3301-M209.

19 октября ошибке был присвоен CVE, а 22 ноября был опубликован бюллетень безопасности ZyXEL и выпущено исправление для прошивки. 

Zyxel PSIRT решила не раскрывать учетные данные, чтобы предотвратить массовую эксплуатацию в дикой природе.

Владельцам затронутых устройств необходимо как можно скорее обновить их до последней версии прошивки.

Еще раз вернемся к Zerobot, о котором изначально сообщали Fortinet две недели назад.

Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.

Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.

Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.

В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).

После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.

При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.

После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.

Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.

Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.

Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.

Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.