Ни для кого не секрет, что Швейцарский мессенджер Threema весьма популярен и используется преимущественно более 10 лет как безопасная альтернатива WhatsApp.
После того как Facebook (*признана в РФ экстремистской) приобрела WhatsApp и поменяла политику конфиденциальности, внимание пользователей к швейцарскому мессенджеру еще более усилилось.
Использующий Threema канцлер Германии Олаф Шольц не даст соврать.
Как оказалось, обещание максимальной безопасности, несопоставимой по уровню ни с одним другим мессенджером-конкурентом, в реальности и остается только лозунгом, не выдержавшим проверки в реальной жизни.
Даже не смотря на то, что мессенджер в 2019 году получил широкое признание, а федеральная администрация Швейцарии одобрила использование Threema для контента с классификацией «конфиденциально».
Именно к такому выводу пришла исследовательская группа под руководством профессора Кеннета Патерсона из ETH (швейцарского государственного исследовательского университета).
Как выяснилось, в концепции шифрования Threema присутствуют фундаментальные недостатки. Более того, методы шифрования технологически отстают на несколько лет.
Группа исследователей опубликовала подробное описанием 7 уязвимостей в криптографических протоколах Threema.
Их эксплуатация могла позволить злоумышленникам клонировать учетные записи, читать переписку, красть закрытые ключи и контакты, а также воспроизводить компрометирующие материалы в целях дальнейшего шантажа.
Со швейцарской точностью Threema немедленно отреагировала и выпустила новый протокол под названием Ibex, который делает ряд проблем устаревшими и не актуальными, а остальные обнаруженные недостатки исправила в течение нескольких недель.
В своем блоге разработчики занизили число ошибок, указанных в исследовании, пояснив что уязвимости были обнаружены в протоколе, который Threema больше не использует.
Кроме того, отметили, что обнаруженные ошибки могут быть интересными с теоретической точки зрения, ни одна из них не оказала существенного влияния в реальном мире.
Однако, это не отменяет их существования.
После того как Facebook (*признана в РФ экстремистской) приобрела WhatsApp и поменяла политику конфиденциальности, внимание пользователей к швейцарскому мессенджеру еще более усилилось.
Использующий Threema канцлер Германии Олаф Шольц не даст соврать.
Как оказалось, обещание максимальной безопасности, несопоставимой по уровню ни с одним другим мессенджером-конкурентом, в реальности и остается только лозунгом, не выдержавшим проверки в реальной жизни.
Даже не смотря на то, что мессенджер в 2019 году получил широкое признание, а федеральная администрация Швейцарии одобрила использование Threema для контента с классификацией «конфиденциально».
Именно к такому выводу пришла исследовательская группа под руководством профессора Кеннета Патерсона из ETH (швейцарского государственного исследовательского университета).
Как выяснилось, в концепции шифрования Threema присутствуют фундаментальные недостатки. Более того, методы шифрования технологически отстают на несколько лет.
Группа исследователей опубликовала подробное описанием 7 уязвимостей в криптографических протоколах Threema.
Их эксплуатация могла позволить злоумышленникам клонировать учетные записи, читать переписку, красть закрытые ключи и контакты, а также воспроизводить компрометирующие материалы в целях дальнейшего шантажа.
Со швейцарской точностью Threema немедленно отреагировала и выпустила новый протокол под названием Ibex, который делает ряд проблем устаревшими и не актуальными, а остальные обнаруженные недостатки исправила в течение нескольких недель.
В своем блоге разработчики занизили число ошибок, указанных в исследовании, пояснив что уязвимости были обнаружены в протоколе, который Threema больше не использует.
Кроме того, отметили, что обнаруженные ошибки могут быть интересными с теоретической точки зрения, ни одна из них не оказала существенного влияния в реальном мире.
Однако, это не отменяет их существования.
Threema
Statement on ETH Findings
This is a statement on the NZZ news article from January 9, 2023 about alleged weaknesses in Threema's encryption. But these are completely impractical and theoretical.
ESET сообщает о новой кампании StrongPity, в рамках которой APT распространяет поддельное приложение Shagle, которое представляет собой троянскую версию Telegram для Android с добавлением бэкдора.
Shagle — это платформа для проведения случайных видеочатов, позволяющая незнакомцам общаться по зашифрованному каналу связи. Тем не менее, платформа полностью веб-ориентирована и не имеет мобильного приложения.
Ресерчеры выяснили, что с 2021 года StrongPity запустили поддельный веб-сайт Shagle, обманом заставляя жертв загружать вредоносное приложение для Android, которое после установки вести шпионаж за целями, включая перехват телефонных звонков, SMS и копирование списка контактов.
Однако первое подтвержденное обнаружение APK приложения в дикой природе произошло в июле 2022 года.
На основании сходства кода с прошлыми полезными нагрузками активность StrongPity приписывается APT-группе, также известной как Promethium или APT-C-41, ранее замеченной в распространении троянских установщиков Notepad++ и вредоносных версий WinRAR и TrueCrypt.
Кроме того, приложение для Android подписано тем же сертификатом, который APT использовала для подписи имитирующего сирийское приложение электронного правительства для Android в ходе кампании 2021 года.
Вредоносное приложение для Android, распространяемое StrongPity, вероятно, через адресную фишинговую рассылку, представляет собой стандартное приложение Telegram версии 7.5.0 (февраль 2022 г.) в виде APK-файла video.apk, модифицированное для Shagle.
При этом если у жертвы уже установлено легитимно приложение Telegram на телефоне, то инсталляция версии с бэкдором не запустится.
После установки вредоносное ПО запрашивает доступ к службе спецвозможностей, а затем получает файл, зашифрованный с помощью AES, с C2 злоумышленника.
Файл включает 11 бинарных модулей, извлекаемых на устройство и используемых бэкдором для выполнения различных функций: от записи телефонных переговоров (libarm.jar) до контроля за перепиской в Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и др.(phone.jar).
Собранные данные хранятся в каталоге приложения, шифруются с помощью AES и в конечном итоге отправляются обратно на С2 злоумышленника.
На «рутированных» устройствах вредоносная ПО автоматически предоставляет себе разрешение на изменение настроек безопасности, запись в файловую систему, перезагрузку и другие ключевые функции.
Согласно ESET, к настоящему времени API в захваченных образцах уже отвалился из-за чрезмерного использования, указывает на то, что StrongPity успешно развернул вредоносное ПО на целевых жертвах.
Таким образом, учитывая, что StrongPity активна с 2012 года, злоумышленник продолжает использовать проверенную тактику даже спустя десятилетие.
Shagle — это платформа для проведения случайных видеочатов, позволяющая незнакомцам общаться по зашифрованному каналу связи. Тем не менее, платформа полностью веб-ориентирована и не имеет мобильного приложения.
Ресерчеры выяснили, что с 2021 года StrongPity запустили поддельный веб-сайт Shagle, обманом заставляя жертв загружать вредоносное приложение для Android, которое после установки вести шпионаж за целями, включая перехват телефонных звонков, SMS и копирование списка контактов.
Однако первое подтвержденное обнаружение APK приложения в дикой природе произошло в июле 2022 года.
На основании сходства кода с прошлыми полезными нагрузками активность StrongPity приписывается APT-группе, также известной как Promethium или APT-C-41, ранее замеченной в распространении троянских установщиков Notepad++ и вредоносных версий WinRAR и TrueCrypt.
Кроме того, приложение для Android подписано тем же сертификатом, который APT использовала для подписи имитирующего сирийское приложение электронного правительства для Android в ходе кампании 2021 года.
Вредоносное приложение для Android, распространяемое StrongPity, вероятно, через адресную фишинговую рассылку, представляет собой стандартное приложение Telegram версии 7.5.0 (февраль 2022 г.) в виде APK-файла video.apk, модифицированное для Shagle.
При этом если у жертвы уже установлено легитимно приложение Telegram на телефоне, то инсталляция версии с бэкдором не запустится.
После установки вредоносное ПО запрашивает доступ к службе спецвозможностей, а затем получает файл, зашифрованный с помощью AES, с C2 злоумышленника.
Файл включает 11 бинарных модулей, извлекаемых на устройство и используемых бэкдором для выполнения различных функций: от записи телефонных переговоров (libarm.jar) до контроля за перепиской в Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и др.(phone.jar).
Собранные данные хранятся в каталоге приложения, шифруются с помощью AES и в конечном итоге отправляются обратно на С2 злоумышленника.
На «рутированных» устройствах вредоносная ПО автоматически предоставляет себе разрешение на изменение настроек безопасности, запись в файловую систему, перезагрузку и другие ключевые функции.
Согласно ESET, к настоящему времени API в захваченных образцах уже отвалился из-за чрезмерного использования, указывает на то, что StrongPity успешно развернул вредоносное ПО на целевых жертвах.
Таким образом, учитывая, что StrongPity активна с 2012 года, злоумышленник продолжает использовать проверенную тактику даже спустя десятилетие.
WeLiveSecurity
StrongPity espionage campaign targeting Android users
ESET researchers uncover an active StrongPity campaign that spreads a trojanized version of the Android Telegram app posing as the Shagle video chat app.
Не менее 29 уязвимостей безопасности исправили разработчики Adobe в линейке своих корпоративных продуктов, выпустив первую партию исправлений безопасности на 2023 год.
Самое заметное обновление для широко распространенного ПО Adobe Acrobat и Reader устраняет критические недостатки, которые подвергают пользователей Windows и macOS атакам с RCE.
Согласно Adobe PSIRT, проблемы безопасности также затрагивают Acrobat DC, Acrobat Reader DC, Acrobat 2020 и Acrobat Reader 2020. Успешная эксплуатация может привести RCE, DoS, повышению привилегий и утечке памяти.
Компания задокументировала 15 наиболее серьезных недостатков безопасности в программах Acrobat и Reader и призывает пользователей немедленно установить доступные обновления.
Adobe также выпустила исправления критических ошибок в продукте Adobe InDesign, предупредив, что успешная эксплуатация может привести к RCE, DoS и утечкам памяти. При этом шесть задокументированных уязвимостей затрагивают пользователей на платформах Windows и macOS.
Кроме того, январский патч включает исправления серьезных ошибок в Adobe InCopy и Adobe Dimension. Эти недостатки могут подвергать пользователей Windows и macOS выполнению произвольного кода и утечкам памяти.
Adobe отмечает, что ей не известно о каких-либо эксплойтах для каких-либо из исправленных уязвимостей.
Самое заметное обновление для широко распространенного ПО Adobe Acrobat и Reader устраняет критические недостатки, которые подвергают пользователей Windows и macOS атакам с RCE.
Согласно Adobe PSIRT, проблемы безопасности также затрагивают Acrobat DC, Acrobat Reader DC, Acrobat 2020 и Acrobat Reader 2020. Успешная эксплуатация может привести RCE, DoS, повышению привилегий и утечке памяти.
Компания задокументировала 15 наиболее серьезных недостатков безопасности в программах Acrobat и Reader и призывает пользователей немедленно установить доступные обновления.
Adobe также выпустила исправления критических ошибок в продукте Adobe InDesign, предупредив, что успешная эксплуатация может привести к RCE, DoS и утечкам памяти. При этом шесть задокументированных уязвимостей затрагивают пользователей на платформах Windows и macOS.
Кроме того, январский патч включает исправления серьезных ошибок в Adobe InCopy и Adobe Dimension. Эти недостатки могут подвергать пользователей Windows и macOS выполнению произвольного кода и утечкам памяти.
Adobe отмечает, что ей не известно о каких-либо эксплойтах для каких-либо из исправленных уязвимостей.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB23-01
Forwarded from SecurityLab.ru
— Недавно стало известно о том, что новая нейросеть VALL-E от корпорации Microsoft способна подделывать голос конкретного человека вплоть до интонаций.
— Для системы достаточно записи продолжительностью три секунды, чтобы получить высококачественную подделку.
— Согласно заявлению Microsoft, VALL-E не будет распространятся в открытом доступе по соображениям безопасности, чтобы нейросетью не воспользовались мошенники.
https://www.securitylab.ru/news/535565.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Нейросеть от Microsoft способна подделать голос любого человека
Для создания образца голоса, нейросети хватит всего трехсекундного образца.
Group-IB расчехлила Dark Pink APT, причастную к атакам на правительственные учреждения и военные объекты в Азиатско-Тихоокеанском регионе с помощью специального вредоносного ПО для кражи информации.
Ранее АРТ уже попадала в поле зрения китайских ресерчеров из Anheng Hunting Labs, которые отслеживают группировку как Saaiwc Group. В отчете описываются некоторые цепочки атак, одна из которых реализована на использовании шаблона Microsoft Office с вредоносным макросов для эксплуатации старой и опасной CVE-2017-0199.
Group-IB отметила, что Dark Pink свойственны уникальные TTP, а обнаруженный в атаках пользовательский набор инструментов может использоваться для кражи информации и распространения вредоносных ПО через USB-накопители.
Злоумышленник использует неопубликованную загрузку DLL и методы запуска по событию для извлечения полезных нагрузок в системах жертв.
Цель злоумышленника — кража информации из браузеров, получение доступа к мессенджерам, эксфильтрация документов и перехват акустической информации с микрофона зараженного устройства.
Как полагают ресерчеры, за период с июня по декабрь 2022 года Dark Pink удалось реализовать не менее семи успешных атак.
Типичный первоначальный вектор атак Dark Pink — фишинговые электронные письма по теме приема на работу, которые обманным путем заставляли жертву загружать вредоносный файл образа ISO.
Но были выявлены и другие варианты цепочки атак. В частности, актор также применял ISO-файл с документ-приманкой, подписанным исполняемым файлом и вредоносным DLL, что приводило к развертыванию одного из двух пользовательских стиллеров посредством боковой загрузки DLL.
Cucky и Ctealer — это специальные ПО для кражи информации, написанные на .NET и C++ соответственно, нацеленные на извлечение паролей, истории просмотров, сохраненных логиной и файлов cookie из всех известных веб-браузеров.
На следующем этапе сбрасывался имплантант реестра под названием TelePowerBot, который запускается через скрипт при загрузке системы и подключается к каналу Telegram, откуда он получает команды PowerShell для выполнения.
Как правило, команды позволяют запускать простые консольные инструменты или сложные сценарии PowerShell, обеспечивающие боковое перемещение через съемные USB-накопители.
Другой вариант включал документ Microsoft Office (.DOC) внутри файла ISO, при открытии которого с GitHub извлекался шаблон с вредоносным макросом, который реализовывал загрузку TelePowerBot и внесение изменений в реестр Windows.
Третья цепочка атак, практиковавшаяся в декабре 2022 года, была идентична первой. Однако вместо TelePowerBot загружалось другое специальное вредоносное ПО, которое исследователи называют KamiKakaBot, предназначенный для выполнения команд.
KamiKakaBot — это .NET-версия TelePowerBot, которая также обладает возможностями кражи информации, нацеленной на данные, хранящиеся в браузерах на основе Chrome и Firefox.
Помимо названных инструментов Dark Pink также использовали скрипт для записи звука через микрофон в минутном интервале. Данные сохраняются в виде ZIP-архива во временной папке Windows, после чего передаются через Telegram-бот.
Кроме того, злоумышленник использовал специальную утилиту ZMsg для эксфильтрации информации из мессенджеров, которая крадет переписку из Viber, Telegram и Zalo.
Результаты анализа активности Dark Pink позволили с высокой вероятностью Group-IB констатировать успех семи атак, однако исследователи полагают, что их могло быть значительно больше.
Ранее АРТ уже попадала в поле зрения китайских ресерчеров из Anheng Hunting Labs, которые отслеживают группировку как Saaiwc Group. В отчете описываются некоторые цепочки атак, одна из которых реализована на использовании шаблона Microsoft Office с вредоносным макросов для эксплуатации старой и опасной CVE-2017-0199.
Group-IB отметила, что Dark Pink свойственны уникальные TTP, а обнаруженный в атаках пользовательский набор инструментов может использоваться для кражи информации и распространения вредоносных ПО через USB-накопители.
Злоумышленник использует неопубликованную загрузку DLL и методы запуска по событию для извлечения полезных нагрузок в системах жертв.
Цель злоумышленника — кража информации из браузеров, получение доступа к мессенджерам, эксфильтрация документов и перехват акустической информации с микрофона зараженного устройства.
Как полагают ресерчеры, за период с июня по декабрь 2022 года Dark Pink удалось реализовать не менее семи успешных атак.
Типичный первоначальный вектор атак Dark Pink — фишинговые электронные письма по теме приема на работу, которые обманным путем заставляли жертву загружать вредоносный файл образа ISO.
Но были выявлены и другие варианты цепочки атак. В частности, актор также применял ISO-файл с документ-приманкой, подписанным исполняемым файлом и вредоносным DLL, что приводило к развертыванию одного из двух пользовательских стиллеров посредством боковой загрузки DLL.
Cucky и Ctealer — это специальные ПО для кражи информации, написанные на .NET и C++ соответственно, нацеленные на извлечение паролей, истории просмотров, сохраненных логиной и файлов cookie из всех известных веб-браузеров.
На следующем этапе сбрасывался имплантант реестра под названием TelePowerBot, который запускается через скрипт при загрузке системы и подключается к каналу Telegram, откуда он получает команды PowerShell для выполнения.
Как правило, команды позволяют запускать простые консольные инструменты или сложные сценарии PowerShell, обеспечивающие боковое перемещение через съемные USB-накопители.
Другой вариант включал документ Microsoft Office (.DOC) внутри файла ISO, при открытии которого с GitHub извлекался шаблон с вредоносным макросом, который реализовывал загрузку TelePowerBot и внесение изменений в реестр Windows.
Третья цепочка атак, практиковавшаяся в декабре 2022 года, была идентична первой. Однако вместо TelePowerBot загружалось другое специальное вредоносное ПО, которое исследователи называют KamiKakaBot, предназначенный для выполнения команд.
KamiKakaBot — это .NET-версия TelePowerBot, которая также обладает возможностями кражи информации, нацеленной на данные, хранящиеся в браузерах на основе Chrome и Firefox.
Помимо названных инструментов Dark Pink также использовали скрипт для записи звука через микрофон в минутном интервале. Данные сохраняются в виде ZIP-архива во временной папке Windows, после чего передаются через Telegram-бот.
Кроме того, злоумышленник использовал специальную утилиту ZMsg для эксфильтрации информации из мессенджеров, которая крадет переписку из Viber, Telegram и Zalo.
Результаты анализа активности Dark Pink позволили с высокой вероятностью Group-IB констатировать успех семи атак, однако исследователи полагают, что их могло быть значительно больше.
Group-IB
Dark Pink: New APT group targets governmental, military organizations in APAC, Europe
Group-IB, one of the global cybersecurity leaders, has today published its findings into Dark Pink, an ongoing advanced persistent threat (APT) campaign launched against high-profile targets in Cambodia, Indonesia, Malaysia, Philippines, Vietnam, and Bosnia…
Google объявила о выпуске Chrome 109 в стабильном канале с исправлениями 17 уязвимостей, в том числе 14 ошибок, о которых сообщили внешние исследователи.
Большинство из них относятся к недостаткам средней и низкой степени серьезности, и только две представляют собой ошибки высокой степени серьезности.
К ним относятся проблема использования после освобождения в обзорном режиме (CVE-2023-0128) и ошибка переполнения буфера кучи в сетевой службе (CVE-2023-0129).
Первую 16 августа 2022 года обнаружил ресерчер Халил Жани, о второй сообщил Asnine 7 ноября 2022 года.
Google заявляет, что выплатила им вознаграждение за обнаружение этих уязвимостей в размере 4000 и 2000 долларов соответственно.
В последней версии браузера было устранено в общей сложности восемь ошибок средней степени серьезности, пять из которых представляют собой проблемы реализации в компонентах Chrome, таких как API, песочница Iframe и запросы разрешений.
Оставшиеся проблемы включают две уязвимости использования после освобождения в корзине и ошибку переполнения буфера кучи в Platform Apps.
Chrome 109 также включает исправления четырех уязвимостей низкой степени серьезности, о которых сообщалось извне.
Google отмечает, что самая высокая награда за обнаружение ошибок была выплачена за одну из проблем с низким уровнем серьезности - CVE-2023-0138, ошибку переполнения буфера кучи в компоненте libphonenumber.
Исследователь получил вознаграждение в размере 8000 долларов, при этом самая высокая награда за ошибку средней серьезности составила 5000 долларов.
В общей сложности Google выплатила 39 000 долларов США исследователям, сообщившим об ошибках, но окончательная сумма может быть выше, поскольку компании еще предстоит определить вознаграждение за одну из проблем средней серьезности.
Chrome в настоящее время доступен в последней версии 109.0.5414.74 для Linux, 109.0.5414.74/.75 для Windows и 109.0.5414.87 для macOS.
Разработчик не упомянул об использовании какой-либо из этих уязвимостей в вредоносных атаках.
Большинство из них относятся к недостаткам средней и низкой степени серьезности, и только две представляют собой ошибки высокой степени серьезности.
К ним относятся проблема использования после освобождения в обзорном режиме (CVE-2023-0128) и ошибка переполнения буфера кучи в сетевой службе (CVE-2023-0129).
Первую 16 августа 2022 года обнаружил ресерчер Халил Жани, о второй сообщил Asnine 7 ноября 2022 года.
Google заявляет, что выплатила им вознаграждение за обнаружение этих уязвимостей в размере 4000 и 2000 долларов соответственно.
В последней версии браузера было устранено в общей сложности восемь ошибок средней степени серьезности, пять из которых представляют собой проблемы реализации в компонентах Chrome, таких как API, песочница Iframe и запросы разрешений.
Оставшиеся проблемы включают две уязвимости использования после освобождения в корзине и ошибку переполнения буфера кучи в Platform Apps.
Chrome 109 также включает исправления четырех уязвимостей низкой степени серьезности, о которых сообщалось извне.
Google отмечает, что самая высокая награда за обнаружение ошибок была выплачена за одну из проблем с низким уровнем серьезности - CVE-2023-0138, ошибку переполнения буфера кучи в компоненте libphonenumber.
Исследователь получил вознаграждение в размере 8000 долларов, при этом самая высокая награда за ошибку средней серьезности составила 5000 долларов.
В общей сложности Google выплатила 39 000 долларов США исследователям, сообщившим об ошибках, но окончательная сумма может быть выше, поскольку компании еще предстоит определить вознаграждение за одну из проблем средней серьезности.
Chrome в настоящее время доступен в последней версии 109.0.5414.74 для Linux, 109.0.5414.74/.75 для Windows и 109.0.5414.87 для macOS.
Разработчик не упомянул об использовании какой-либо из этих уязвимостей в вредоносных атаках.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 109 to the stable channel for Windows, Mac and Linux . This will roll out ...
Исследователи Red Balloon Security обнаружили потенциально серьезную непропатченную уязвимость, затрагивающую многие модели ПЛК Siemens.
Имеющая средний рейтинг серьезности CVE-2022-38773 может позволить злоумышленнику обойти функции защищенной загрузки, изменять рабочий код и данные контроллера.
По мнению ресерчеров Red Balloon Security, ошибка обусловлена архитектурными проблемами, затрагивающими процессоры Siemens Simatic и Siplus S7-1500.
Специализированная система SoC Siemens не устанавливает RoT в процессе ранней загрузки, вызывая отсутствие асимметричных проверок подписи для всех этапов загрузчика и прошивки перед выполнением.
Неспособность установить Root of Trust на устройстве позволяет злоумышленникам загружать модифицированный загрузчик и прошивку - выполнять и обходить функции защиты от несанкционированного доступа и проверки целостности на устройстве.
Согласно Red Balloon, злоумышленник может расшифровать прошивку затронутых ПЛК и создать собственную загрузочную вредоносную прошивку на более чем 100 моделях устройств.
Для использования уязвимости требуется физический доступ к целевому ПЛК. Однако, как отметили исследователи, хакер может использовать другую RCE-уязвимость для развертывания вредоносной прошивки на устройстве.
Siemens проинформировала клиентов об уязвимости, порекомендовав принять меры, гарантирующие доступ к физическому оборудованию лишь доверенному персоналу.
При этом производитель отдельно уведомил клиентов о том, что уязвимость не может быть устранена с помощью обновления прошивки и к настоящему времени никаких исправлений не планируется.
Выпущены новые аппаратные версии, устраняющие проблему на некоторых затронутых процессорах, оставшиеся - в находятся в стадии разработки.
Имеющая средний рейтинг серьезности CVE-2022-38773 может позволить злоумышленнику обойти функции защищенной загрузки, изменять рабочий код и данные контроллера.
По мнению ресерчеров Red Balloon Security, ошибка обусловлена архитектурными проблемами, затрагивающими процессоры Siemens Simatic и Siplus S7-1500.
Специализированная система SoC Siemens не устанавливает RoT в процессе ранней загрузки, вызывая отсутствие асимметричных проверок подписи для всех этапов загрузчика и прошивки перед выполнением.
Неспособность установить Root of Trust на устройстве позволяет злоумышленникам загружать модифицированный загрузчик и прошивку - выполнять и обходить функции защиты от несанкционированного доступа и проверки целостности на устройстве.
Согласно Red Balloon, злоумышленник может расшифровать прошивку затронутых ПЛК и создать собственную загрузочную вредоносную прошивку на более чем 100 моделях устройств.
Для использования уязвимости требуется физический доступ к целевому ПЛК. Однако, как отметили исследователи, хакер может использовать другую RCE-уязвимость для развертывания вредоносной прошивки на устройстве.
Siemens проинформировала клиентов об уязвимости, порекомендовав принять меры, гарантирующие доступ к физическому оборудованию лишь доверенному персоналу.
При этом производитель отдельно уведомил клиентов о том, что уязвимость не может быть устранена с помощью обновления прошивки и к настоящему времени никаких исправлений не планируется.
Выпущены новые аппаратные версии, устраняющие проблему на некоторых затронутых процессорах, оставшиеся - в находятся в стадии разработки.
Redballoonsecurity
Critical Architectural Vulnerabilities in Siemens SIMATIC S7-1500 Series Allow for Bypass of All Protected Boot Features – Red…
Recently, we improved the OFRAK Python package and dependency handling, resulting in the quicker installation of more functionality.
В своем последнем отчете Crowdstrike сообщают, как Scattered Spider пытались реализовать BYOVD с использованием старого драйвера Intel для обхода Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR и SentinelOne.
В ходе атаки Bring Your Own Vulnerable Driver финансово мотивированный злоумышленник разворачивал диагностические драйверы Intel Ethernet, который, как известно, уязвим для эксплойтов и позволяет получить наивысшие привилегий в Windows.
Новую тактику удалось обнаружить Crowdstrike сразу после выхода предыдущего отчета в деятельности отношении Scattered Spider в начале декабря прошлого года.
По данным ресерчеров, актор с июня 2022 года нацелен на телекоммуникационные и аутсорсинговые компании фирмы для получения доступа к сетям операторов мобильной связи.
К слову, атаки BYOVD для обеспечения своих вторжений с повышенными привилегиями Windows уже давно практикуют банда вымогателей BlackByte и северокорейская Lazarus.
Ресерчеры сообщают, что на этот раз Scattered Spider пытался эксплуатировать CVE-2015-2291 - уязвимость высокой степени серьезности в диагностическом драйвере Intel Ethernet, которая позволяет злоумышленнику выполнять произвольный код с привилегиями ядра, используя специально созданные вызовы.
Несмотря на то, что ошибка была исправлена еще в 2015 году, благодаря инсталляции более старой, все еще уязвимой, версии на взломанные устройства злоумышленники могут успешно применять уязвимость независимо от того, какие обновления были применены жертвой.
Используемый Scattered Spider образец представляет собой 64-битный драйвер ядра с 35 функциями, подписанный различными украденными в центрах подписи NVIDIA и Global Software LLC сертификатами. Он необходим для отключения средств защиты, закладывая основу для последующих этапов их работы в целевых сетях.
При запуске драйвер расшифровывает жестко закодированную строку целевых защитных решений и исправляет целевые драйверы с жестко запрограммированными смещениями.
Чтобы продукты безопасности конечных точек не блокировали вредоносную активность, драйвер повторяет загруженные модули ядра для компонента ПО безопасности и исправляет его в памяти.
Не взирая на то, что выявленная активность Scattered Spider направлена на конкретные цели, CrowdStrike рекомендует специалистам ИБ следует сканировать системы и применять исправления для всех известных уязвимостей в рамках усиления защиты от подобного рода угроз.
В ходе атаки Bring Your Own Vulnerable Driver финансово мотивированный злоумышленник разворачивал диагностические драйверы Intel Ethernet, который, как известно, уязвим для эксплойтов и позволяет получить наивысшие привилегий в Windows.
Новую тактику удалось обнаружить Crowdstrike сразу после выхода предыдущего отчета в деятельности отношении Scattered Spider в начале декабря прошлого года.
По данным ресерчеров, актор с июня 2022 года нацелен на телекоммуникационные и аутсорсинговые компании фирмы для получения доступа к сетям операторов мобильной связи.
К слову, атаки BYOVD для обеспечения своих вторжений с повышенными привилегиями Windows уже давно практикуют банда вымогателей BlackByte и северокорейская Lazarus.
Ресерчеры сообщают, что на этот раз Scattered Spider пытался эксплуатировать CVE-2015-2291 - уязвимость высокой степени серьезности в диагностическом драйвере Intel Ethernet, которая позволяет злоумышленнику выполнять произвольный код с привилегиями ядра, используя специально созданные вызовы.
Несмотря на то, что ошибка была исправлена еще в 2015 году, благодаря инсталляции более старой, все еще уязвимой, версии на взломанные устройства злоумышленники могут успешно применять уязвимость независимо от того, какие обновления были применены жертвой.
Используемый Scattered Spider образец представляет собой 64-битный драйвер ядра с 35 функциями, подписанный различными украденными в центрах подписи NVIDIA и Global Software LLC сертификатами. Он необходим для отключения средств защиты, закладывая основу для последующих этапов их работы в целевых сетях.
При запуске драйвер расшифровывает жестко закодированную строку целевых защитных решений и исправляет целевые драйверы с жестко запрограммированными смещениями.
Чтобы продукты безопасности конечных точек не блокировали вредоносную активность, драйвер повторяет загруженные модули ядра для компонента ПО безопасности и исправляет его в памяти.
Не взирая на то, что выявленная активность Scattered Spider направлена на конкретные цели, CrowdStrike рекомендует специалистам ИБ следует сканировать системы и применять исправления для всех известных уязвимостей в рамках усиления защиты от подобного рода угроз.
CrowdStrike.com
SCATTERED SPIDER Attempts to Avoid Detection with Bring-Your-Own-Driver Tactic
Learn how CrowdStrike detected SCATTERED SPIDER's attempt to deploy a malicious driver through a vulnerability (CVE-2015-2291) in the Intel Ethernet diagnostics driver.
Forwarded from Russian OSINT
Специалисты Withsecure (корпорация F-Secure) опубликовали исследование, где рассказывают о том, как искусственный интеллект может повлиять на технологии, используемые злоумышленниками в корыстных целях: spear phishing, cоздание фейковой истории компании (легендирование), мошенническая реклама и производство фейковых новостных статей.
https://labs.withsecure.com/content/dam/labs/docs/WithSecure-Creatively-malicious-prompt-engineering.pdf
🤔 GPT-3 может производить фейковые новости, как на конвейере. Западные исследователи протестировали создание фейков в отношении конфликта Россия-Украина, "Северный Поток" и многое другое.
*ChatGPT — это чат-бот с искусственным интеллектом, разработанный компанией OpenAI и способный работать в диалоговом режиме, поддерживаюший запросы на различных языках.
Please open Telegram to view this post
VIEW IN TELEGRAM
Критическая CVE-2022-44877 с оценкой серьезности 9,8 из 10, недавно исправленная в Control Web Panel (ранее известном как CentOS Web Panel), позволяющая злоумышленнику удаленно выполнять код без аутентификации, активно эксплуатируется в дикой природе.
Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.
Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.
Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.
В Shadowserver заявили, что «эксплуатация тривиальна».
По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.
GreyNoise заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.
При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.
В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.
Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.
Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.
Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.
В Shadowserver заявили, что «эксплуатация тривиальна».
По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.
GreyNoise заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.
При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.
В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.
YouTube
Centos Web Panel 7 Unauthenticated Remote Code Execution - CVE-2022-44877
https://github.com/numanturle/CVE-2022-44877
Топовый двухдиапазонный игровой маршрутизатор Asus RT-AX82U подвержен трем критическим уязвимостям, которые можно использовать для обхода аутентификации, утечки информации или вызова состояния отказа в обслуживании (DoS).
Маршрутизатор можно настроить через HTTP-сервер, который работает в локальной сети, но также поддерживает удаленное управление и мониторинг.
Техническую информацию об уязвимостях опубликовали исследователи Cisco Talos, где наиболее серьезной является CVE-2022-35401 (оценка CVSS 9,0) - способ обхода аутентификации, который можно использовать с помощью серии созданных HTTP-запросов.
Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому устройству.
Проблема, кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим устройством IoT.
Эксплуатация возможна в случае если пользователь включить доступ к глобальной сети для HTTPS-сервера и сгенерировал код доступа, который позволяет удаленному веб-сайту подключаться к конечной точке на устройстве с проверкой токена каждые 2 минуты.
Как оказалось, алгоритм генерации токена подвержен атаке грубой силы, так как маршрутизатор поддерживал только 255 возможных кодов и проверка времени создания токена также была ошибочной, поскольку основывалась на времени безотказной работы устройства.
Оставшиеся две серьезные баги CVE-2022-38105 и CVE-2022-38393 представляют собой ошибки, влияющие на функциональность маршрутизатора и позволяющие настроить ячеистую сеть.
CVE-2022-38105 позволяет злоумышленнику отправлять созданные сетевые пакеты, чтобы вызвать повторяющиеся ошибки выхода за пределы и утечку данных, таких как адреса стека потоков.
Вторая проблема, существует из-за отсутствия проверки входных пакетов, что позволяет злоумышленнику вызвать потерю памяти и вызвать сбой в системе.
Три уязвимости были обнаружены в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230, о чем поставщику было сообщено еще в августе.
Понимаем, насколько редко доходят руки до установки патчей на маршрутизаторы, пользователям все же настойчиво рекомендуется обновить свои устройства до последней версии прошивки.
Маршрутизатор можно настроить через HTTP-сервер, который работает в локальной сети, но также поддерживает удаленное управление и мониторинг.
Техническую информацию об уязвимостях опубликовали исследователи Cisco Talos, где наиболее серьезной является CVE-2022-35401 (оценка CVSS 9,0) - способ обхода аутентификации, который можно использовать с помощью серии созданных HTTP-запросов.
Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому устройству.
Проблема, кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим устройством IoT.
Эксплуатация возможна в случае если пользователь включить доступ к глобальной сети для HTTPS-сервера и сгенерировал код доступа, который позволяет удаленному веб-сайту подключаться к конечной точке на устройстве с проверкой токена каждые 2 минуты.
Как оказалось, алгоритм генерации токена подвержен атаке грубой силы, так как маршрутизатор поддерживал только 255 возможных кодов и проверка времени создания токена также была ошибочной, поскольку основывалась на времени безотказной работы устройства.
Оставшиеся две серьезные баги CVE-2022-38105 и CVE-2022-38393 представляют собой ошибки, влияющие на функциональность маршрутизатора и позволяющие настроить ячеистую сеть.
CVE-2022-38105 позволяет злоумышленнику отправлять созданные сетевые пакеты, чтобы вызвать повторяющиеся ошибки выхода за пределы и утечку данных, таких как адреса стека потоков.
Вторая проблема, существует из-за отсутствия проверки входных пакетов, что позволяет злоумышленнику вызвать потерю памяти и вызвать сбой в системе.
Три уязвимости были обнаружены в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230, о чем поставщику было сообщено еще в августе.
Понимаем, насколько редко доходят руки до установки патчей на маршрутизаторы, пользователям все же настойчиво рекомендуется обновить свои устройства до последней версии прошивки.
Ресерчеры Deep Instinct обнаружили новую компанию с использованием троянов удаленного доступа (RAT) StrRAT и Ratty, операторы которых для ухода от обнаружения применяют файлы MSI/JAR и CAB/JAR.
Polyglot-файлы объединяют два или более форматов таким образом, чтобы их можно было безошибочно интерпретировать и запускать несколькими различными приложениями.
Злоумышленники добиваются уверенных успехов, даже учитывая, насколько стары и хорошо изучены обе RAT.
Уже несколько лет операторы ПО используют файлы-полиглоты, чтобы скрыть вредоносный код и обойти средства защиты. Такая техника применялась в недавнем времени и операторами вредоносной ПО StrelaStealer, нацеленной на учетные записи Outlook и Thunderbird.
И ничего удивительного, Deep Instinct в последней кампании наблюдали объединение форматов JAR и MSI в один файл, что фиксировалось еще в 2018 году.
Файлы JAR — это архивы, идентифицируемые по записи в конце, тогда как в MSI идентификатор типа файла с заголовком в начале файла, поэтому злоумышленники могут легко объединить два формата в один файл.
Двойной формат позволяет им выполняться как MSI в Windows, а также как файл JAR средой выполнения Java.
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусными инструментами. Это позволяет им скрыть вредоносный код и заставить AV просканировать MSI-часть файла, которая должна пройти проверку.
В новой кампании Deep Instinct заметили комбинации CAB/JAR вместо MSI, также связанные с упомянутыми семействами RAT. CAB-файлы также являются хорошим вариантом для многоязычных комбинаций с JAR, имея необходимый заголовок для интерпретации типа файла.
Polyglot, используемые в кампании, распространяются посредством Sendgrid и сервисов сокращения URL-адресов (Cutt.ly и Rebrand.ly), а извлеченные полезные нагрузки StrRAT и Ratty хранятся в Discord.
Что же касается обнаружения CAB/JAR, то уровень колеблется от 10% до 50% (6 положительных результатов из 59 антивирусных ядер на Virus Total, у варианта с MSI - 30).
Deep Instinct сообщает, что многие из задетектированных Polyglot как для StrRAT, так и для Ratty используют один и тот же C2 и размещаются у одной и той же болгарской хостинговой компании.
Таким образом, вполне, что оба штамма используются в рарках одной кампании, проводимой одним и тем же оператором.
Polyglot-файлы объединяют два или более форматов таким образом, чтобы их можно было безошибочно интерпретировать и запускать несколькими различными приложениями.
Злоумышленники добиваются уверенных успехов, даже учитывая, насколько стары и хорошо изучены обе RAT.
Уже несколько лет операторы ПО используют файлы-полиглоты, чтобы скрыть вредоносный код и обойти средства защиты. Такая техника применялась в недавнем времени и операторами вредоносной ПО StrelaStealer, нацеленной на учетные записи Outlook и Thunderbird.
И ничего удивительного, Deep Instinct в последней кампании наблюдали объединение форматов JAR и MSI в один файл, что фиксировалось еще в 2018 году.
Файлы JAR — это архивы, идентифицируемые по записи в конце, тогда как в MSI идентификатор типа файла с заголовком в начале файла, поэтому злоумышленники могут легко объединить два формата в один файл.
Двойной формат позволяет им выполняться как MSI в Windows, а также как файл JAR средой выполнения Java.
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусными инструментами. Это позволяет им скрыть вредоносный код и заставить AV просканировать MSI-часть файла, которая должна пройти проверку.
В новой кампании Deep Instinct заметили комбинации CAB/JAR вместо MSI, также связанные с упомянутыми семействами RAT. CAB-файлы также являются хорошим вариантом для многоязычных комбинаций с JAR, имея необходимый заголовок для интерпретации типа файла.
Polyglot, используемые в кампании, распространяются посредством Sendgrid и сервисов сокращения URL-адресов (Cutt.ly и Rebrand.ly), а извлеченные полезные нагрузки StrRAT и Ratty хранятся в Discord.
Что же касается обнаружения CAB/JAR, то уровень колеблется от 10% до 50% (6 положительных результатов из 59 антивирусных ядер на Virus Total, у варианта с MSI - 30).
Deep Instinct сообщает, что многие из задетектированных Polyglot как для StrRAT, так и для Ratty используют один и тот же C2 и размещаются у одной и той же болгарской хостинговой компании.
Таким образом, вполне, что оба штамма используются в рарках одной кампании, проводимой одним и тем же оператором.
Deep Instinct
Malicious JARs and Polyglot files: “Who do you think you JAR?” | Deep Instinct
Throughout 2022, Deep Instinct observed various combinations of polyglot files with malicious JARs. The initial technique dates to around 2018 when it used signed MSI files to bypass Microsoft code signing verification. A year later, in 2019, Virus Total…
Forwarded from Social Engineering
🗞 The Privacy, Security, & OSINT Magazine.
• Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот».
• Журнал является бесплатным и содержит множество различных статей касательно безопасности в сети и OSINT. Приятного чтения.
📌 Скачать | Читать журнал: https://inteltechniques.com/issues/005.pdf
🧷 Описание и предыдущие выпуски: https://inteltechniques.com/magazine.html
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #OSINT
🖖🏻 Приветствую тебя user_name.
• В этом месяце в сети появился пятый выпуск журнала "UNREDACTED Magazine", автором которого является Michael Bazzell.• Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот».
• Журнал является бесплатным и содержит множество различных статей касательно безопасности в сети и OSINT. Приятного чтения.
📌 Скачать | Читать журнал: https://inteltechniques.com/issues/005.pdf
🧷 Описание и предыдущие выпуски: https://inteltechniques.com/magazine.html
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #OSINT
Большинство инсталляций Cacti в Интернете не исправлены и уязвимы для критической RCE-ошибки, которая активно эксплуатируется в ходе реальных атак.
Веб-инструмент для оперативного мониторинга и управления неисправностями с открытым исходным кодом Cacti представляет собой интерфейсное приложение для утилиты регистрации данных RRDtool.
В начале декабря 2022 года сопровождающие инструмента объявили об исправлениях для CVE-2022-46169 c оценкой CVSS 9,8, позволяющей злоумышленникам выполнять код на сервере без аутентификации, на котором работает Cacti.
Ошибка была исправлена 5 декабря, в тот же день, когда она была обнаружена исследователями SonarSource.
Через несколько дней после того, как 3 января SonarSource опубликовала технический анализ CVE-2022-46169 Shadowserver предупредила, что зафиксировала первые попытки эксплуатации для внедрения удаленных команд без аутентификации, нацеленные на уязвимость, включая последующую загрузку вредоносного ПО.
Ресерчеры Censys сообщили, что из 6400 обнаруженных ею хостов Cacti, доступных в Интернете, только на 26 была установлена пропатченная версия инструмента. Большинство уязвимых серверов находятся в Бразилии, Индонезии и США.
Поскольку эксплуатация этой уязвимости продолжается, пользователям рекомендуется как можно скорее обновить Cacti до исправленной версии.
Веб-инструмент для оперативного мониторинга и управления неисправностями с открытым исходным кодом Cacti представляет собой интерфейсное приложение для утилиты регистрации данных RRDtool.
В начале декабря 2022 года сопровождающие инструмента объявили об исправлениях для CVE-2022-46169 c оценкой CVSS 9,8, позволяющей злоумышленникам выполнять код на сервере без аутентификации, на котором работает Cacti.
Ошибка была исправлена 5 декабря, в тот же день, когда она была обнаружена исследователями SonarSource.
Через несколько дней после того, как 3 января SonarSource опубликовала технический анализ CVE-2022-46169 Shadowserver предупредила, что зафиксировала первые попытки эксплуатации для внедрения удаленных команд без аутентификации, нацеленные на уязвимость, включая последующую загрузку вредоносного ПО.
Ресерчеры Censys сообщили, что из 6400 обнаруженных ею хостов Cacti, доступных в Интернете, только на 26 была установлена пропатченная версия инструмента. Большинство уязвимых серверов находятся в Бразилии, Индонезии и США.
Поскольку эксплуатация этой уязвимости продолжается, пользователям рекомендуется как можно скорее обновить Cacti до исправленной версии.
GitHub
Unauthenticated Command Injection
### Summary
A command injection vulnerability allows an unauthenticated user to execute arbitrary code on a server running Cacti, if a specific data source was selected for any monitored device.
...
A command injection vulnerability allows an unauthenticated user to execute arbitrary code on a server running Cacti, if a specific data source was selected for any monitored device.
...
Предлагаем ознакомиться с самыми интересными проектами в Telegram в сфере информационной безопасности:
🤖 Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом.
💀 Этичный Хакер - канал c инструкциями по пентесту, OSINT, защите устройств и бесплатными курсами по информационной безопасности.
👨🏻💻 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🇷🇺 Russian OSINT — хакеры, IT-новости, информационные войны и кибербезопасность.
🤖 Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом.
💀 Этичный Хакер - канал c инструкциями по пентесту, OSINT, защите устройств и бесплатными курсами по информационной безопасности.
👨🏻💻 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🇷🇺 Russian OSINT — хакеры, IT-новости, информационные войны и кибербезопасность.
Juniper Networks выпустила первые рекомендации по безопасности в 2023 году, которые охватывают более 230 уязвимостей, исправленных в линейке решений сетевого гиганта.
Опубликованные компанией 32 рекомендации включают более 230 уязвимостей, около 200 из которых затрагивают сторонние компоненты.
3 бюллетеня имеют общий критический рейтинг серьезности, описывая уязвимости, затрагивающие сторонние компоненты. 12 рекомендаций имеют рейтинг высокой степени серьезности, а девять — средней.
Производитель исправил около 20 уязвимостей в ОС Junos. Все они могут использоваться для атак типа DoS, и большинство из них могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими сетевой доступ к целевому устройству.
Juniper Networks сообщает об отсутствии сведений в отношении эксплуатации какой-либо из этих уязвимостей в реальных атаках. Тем не менее, клиентам и пользователям следует ознакомиться с рекомендациями Juniper и принять необходимые меры.
Опубликованные компанией 32 рекомендации включают более 230 уязвимостей, около 200 из которых затрагивают сторонние компоненты.
3 бюллетеня имеют общий критический рейтинг серьезности, описывая уязвимости, затрагивающие сторонние компоненты. 12 рекомендаций имеют рейтинг высокой степени серьезности, а девять — средней.
Производитель исправил около 20 уязвимостей в ОС Junos. Все они могут использоваться для атак типа DoS, и большинство из них могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими сетевой доступ к целевому устройству.
Juniper Networks сообщает об отсутствии сведений в отношении эксплуатации какой-либо из этих уязвимостей в реальных атаках. Тем не менее, клиентам и пользователям следует ознакомиться с рекомендациями Juniper и принять необходимые меры.
CircleCi принудительно меняет токены GitHub OAuth для своих клиентов после киберинцидента.
Ранее в этом месяце CircleCi сообщала об инциденте с безопасностью, предупредив клиентов о необходимости ротации токенов.
В новом отчете об инциденте компания сообщает, что один из ее сотрудников стал жертвой целевой атаки с использованием стиллера, благодаря которому был скомпрометирован сеанс инженера с поддержкой 2FA.
Хакеры взломали CircleCi в декабре после того, как инженер заразился вредоносной ПО, которая перехватила файл cookie сеанса единого входа с 2FA, что позволило им в итоге получить доступ к внутренним системам компании.
Специалисты CircleCi впервые узнали о несанкционированном доступе к системам после обращения одного из клиентов, который заявил о компрометации его токен GitHub OAuth.
По состоянию на 4 января в результате расследования было установлено, что 16 декабря инженер был заражен вредоносной программой для кражи информации, которую антивирусное программное обеспечение компании не смогло обнаружить и вовремя нейтрализовать.
После чего украденный файл cookie корпоративного сеанса с пройденной 2FA позволил злоумышленнику войти в качестве целевого сотрудника в удаленном месте, а затем расширить доступ к производственным системам.
По словам CircleCi, используя привилегии инженера, 22 декабря хакер приступил к эксфильтрации данных из некоторых баз данных и хранилищ компании, включая переменные среды, токены и ключи клиентов.
Ему также удалось заполучить ключи шифрования из запущенных процессов, что позволило злоумышленнику расшифровать зашифрованные CircleCi данные.
Изучив все обстоятельства инцидента, компания начала экстренно оповещать клиентов, предупреждая об изменении всех токенов и секретов, начиная с 21 декабря 2022 года по 4 января 2023 года.
К настоящему времени CircleCi сменила все токены, связанные с клиентами, включая Project API, Personal API и GitHub OAuth.
Компания также находилась на контакте с Atlassian и AWS для уведомления клиентов о возможно скомпрометированных токенах Bitbucket и AWS.
CircleCi развернуты дополнительные средства обнаружения вредоносного ПО для кражи информации в используемых антивирусных решениях и системах управления мобильными устройствами MDM.
Кроме того, компания также ограничила доступ к производственным средам, сузив круг допущенных сотрудников и повысив безопасность реализации 2FA.
Инцидент в CircleCi — еще один пример того, как злоумышленники все чаще реализуют успешные тактики обхода MFA: Microsoft, Cisco, Uber, а теперь и CircleCi.
Ранее в этом месяце CircleCi сообщала об инциденте с безопасностью, предупредив клиентов о необходимости ротации токенов.
В новом отчете об инциденте компания сообщает, что один из ее сотрудников стал жертвой целевой атаки с использованием стиллера, благодаря которому был скомпрометирован сеанс инженера с поддержкой 2FA.
Хакеры взломали CircleCi в декабре после того, как инженер заразился вредоносной ПО, которая перехватила файл cookie сеанса единого входа с 2FA, что позволило им в итоге получить доступ к внутренним системам компании.
Специалисты CircleCi впервые узнали о несанкционированном доступе к системам после обращения одного из клиентов, который заявил о компрометации его токен GitHub OAuth.
По состоянию на 4 января в результате расследования было установлено, что 16 декабря инженер был заражен вредоносной программой для кражи информации, которую антивирусное программное обеспечение компании не смогло обнаружить и вовремя нейтрализовать.
После чего украденный файл cookie корпоративного сеанса с пройденной 2FA позволил злоумышленнику войти в качестве целевого сотрудника в удаленном месте, а затем расширить доступ к производственным системам.
По словам CircleCi, используя привилегии инженера, 22 декабря хакер приступил к эксфильтрации данных из некоторых баз данных и хранилищ компании, включая переменные среды, токены и ключи клиентов.
Ему также удалось заполучить ключи шифрования из запущенных процессов, что позволило злоумышленнику расшифровать зашифрованные CircleCi данные.
Изучив все обстоятельства инцидента, компания начала экстренно оповещать клиентов, предупреждая об изменении всех токенов и секретов, начиная с 21 декабря 2022 года по 4 января 2023 года.
К настоящему времени CircleCi сменила все токены, связанные с клиентами, включая Project API, Personal API и GitHub OAuth.
Компания также находилась на контакте с Atlassian и AWS для уведомления клиентов о возможно скомпрометированных токенах Bitbucket и AWS.
CircleCi развернуты дополнительные средства обнаружения вредоносного ПО для кражи информации в используемых антивирусных решениях и системах управления мобильными устройствами MDM.
Кроме того, компания также ограничила доступ к производственным средам, сузив круг допущенных сотрудников и повысив безопасность реализации 2FA.
Инцидент в CircleCi — еще один пример того, как злоумышленники все чаще реализуют успешные тактики обхода MFA: Microsoft, Cisco, Uber, а теперь и CircleCi.
CircleCI
CircleCI incident report for January 4, 2023 security incident - CircleCI
Read the complete incident report from CircleCI’s January 4, 2023 security alert.
Вдруг, откуда не возьмись, появилось ЦРУ.
Исследователи из команды Netlab китайского инфосек вендора Qihoo 360 на прошлой неделе выпустили отчет в отношении впервые выловленной в дикой природе модификации Hive.
Вспомним, что же такое Hive. Если в двух словах - этодемократический кибердилдо на службе у LGBTQ+ хактивистов, который они вставляют в непредназначенное для этого природой отверстие тоталитарных режимов с целью внедрения либерализма и прав меньшинств, разработанная ЦРУ (вероятнее всего его подразделением APT Lamberts) продвинутая вредоносная платформа, предназначенная для управления зараженными системами и безопасной эксфильтрации содержащейся в них информации.
В ноябре 2017 года Wikileaks, вслед за нашумевшей утечкой конфиденциально информации ЦРУ под названием Vault 7, устроили еще одну подобную утечку под логичным названием Vault 8. И в рамках Vault 8 товарищ Ассанж со своей командой опубликовали исходный код проекта Hive и соответствующую документацию.
Примечательно, что одним из поддельных сертификатов, которые ЦРУ генерила для Hive, был сертификат Лаборатории Касперского. Эдакая изощренная месть американского разведсообщества.
Теперь же, по прошествии 5 лет, китайские исследователи обнаружили RAT, который они назвали xdr33 и который был модифицирован из кода Hive, слитого в 2017 году.
При этом Netlab полагают, что выявленный вредонос не принадлежит ЦРУ, в частности по причине невысокой сложности модификации и используемой N-day уязвимости (действительно, когда это американцы разменивались свежими дырками - если 0-day закончатся, то всегда можно свежих понаделать в рамках очередного обновления ПО).
В принципе ничего сверхъестественного в этом нет, просто еще один попавший в паблик приватный хакерский инструмент американцев на службе у коммерческих хакеров.
А так-то да, у них в основном пони с эльфами и Маски с Бринами. Думают как бы еще всех нас осчастливить.
Исследователи из команды Netlab китайского инфосек вендора Qihoo 360 на прошлой неделе выпустили отчет в отношении впервые выловленной в дикой природе модификации Hive.
Вспомним, что же такое Hive. Если в двух словах - это
В ноябре 2017 года Wikileaks, вслед за нашумевшей утечкой конфиденциально информации ЦРУ под названием Vault 7, устроили еще одну подобную утечку под логичным названием Vault 8. И в рамках Vault 8 товарищ Ассанж со своей командой опубликовали исходный код проекта Hive и соответствующую документацию.
Примечательно, что одним из поддельных сертификатов, которые ЦРУ генерила для Hive, был сертификат Лаборатории Касперского. Эдакая изощренная месть американского разведсообщества.
Теперь же, по прошествии 5 лет, китайские исследователи обнаружили RAT, который они назвали xdr33 и который был модифицирован из кода Hive, слитого в 2017 году.
При этом Netlab полагают, что выявленный вредонос не принадлежит ЦРУ, в частности по причине невысокой сложности модификации и используемой N-day уязвимости (действительно, когда это американцы разменивались свежими дырками - если 0-day закончатся, то всегда можно свежих понаделать в рамках очередного обновления ПО).
В принципе ничего сверхъестественного в этом нет, просто еще один попавший в паблик приватный хакерский инструмент американцев на службе у коммерческих хакеров.
А так-то да, у них в основном пони с эльфами и Маски с Бринами. Думают как бы еще всех нас осчастливить.
360 Netlab Blog - Network Security Research Lab at 360
警惕:魔改后的CIA攻击套件Hive进入黑灰产领域
概述
2022年10月21日,360Netlab的蜜罐系统捕获了一个通过F5漏洞传播,VT 0检测的可疑ELF文件ee07a74d12c0bb3594965b51d0e45b6f,流量监控系统提示它和IP45.9.150.144产生了SSL流量,而且双方都使用了伪造的Kaspersky证书,这引起了我们的关注。经过分析,我们确认它由CIA被泄露的Hive项目server源码改编而来。这是我们首次捕获到在野的CIA HIVE攻击套件变种,基于其内嵌Bot端证书的CN=xdr33, 我们内部将其命名为x…
2022年10月21日,360Netlab的蜜罐系统捕获了一个通过F5漏洞传播,VT 0检测的可疑ELF文件ee07a74d12c0bb3594965b51d0e45b6f,流量监控系统提示它和IP45.9.150.144产生了SSL流量,而且双方都使用了伪造的Kaspersky证书,这引起了我们的关注。经过分析,我们确认它由CIA被泄露的Hive项目server源码改编而来。这是我们首次捕获到在野的CIA HIVE攻击套件变种,基于其内嵌Bot端证书的CN=xdr33, 我们内部将其命名为x…
Avast выпустила дешифратор для программы-вымогателя BianLian, которая доступна для публичного скачивания.
BianLian появились в августе 2022 года, выполняя целевые атаки в различных отраслях, прежде всего СМИ, производство и здравоохранение.
Ransomware примечательна тем, что шифрует файлы на высоких скоростях.
BianLian написана на Go и скомпилирована в виде 64-битного исполняемого файла Windows.
В двоичном файле ransomware можно увидеть множество строк, в том числе сведения о структуре каталогов на компьютере автора.
Данные шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных достигает до 16 байтов, как того требует шифр AES CBC.
После выполнения BianLian производит поиск всех доступных дисков (от A: до Z:), на которых затем производит поиск и шифрацию всех файлов, расширение которых соответствует одному из 1013 расширений, жестко запрограммированных в бинарном файле программы.
При это ransomware не шифрует файл ни с начала, ни до конца. Вместо этого существует фиксированное смещение файла, жестко закодированное в двоичном файле, из которого происходит шифрование.
Смещение различается в зависимости от выборки, но ни одна из известных выборок не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение bianlian и записку с требованием выкупа Look at this instruction.txt в каждую папку на ПК.
Дешифратор может восстанавливать файлы, зашифрованные лишь известным вариантом BianLian.
Новым жертвам может потребоваться найти на жестком диске двоичный файл программы-вымогателя.
Однако, это будет проблематично, поскольку программа-вымогатель удаляет себя после шифрования.
Согласно телеметрии Avast, распространенные имена файла программы-вымогателя BianLian на компьютере жертвы включают: C:\Windows\TEMP\mativ.exe, C:\Windows\Temp\Areg.exe, C:\Users\%username%\Pictures\windows.exe и anabolic.exe.
При поиске двоичного файла рекомендуется обращать внимание на EXE-файл в папке, которая обычно не содержит исполняемых файлов, таких как %temp%, Documents или Pictures.
Также следует проверить хранилище антивируса. Типичный размер исполняемого файла BianLian составляет около 2 МБ.
Как отмечают Avast, обнаружение новых образцов позволит им соответствующим образом обновить дешифратор.
Инструкции по работе с дешифратором представлены здесь.
BianLian появились в августе 2022 года, выполняя целевые атаки в различных отраслях, прежде всего СМИ, производство и здравоохранение.
Ransomware примечательна тем, что шифрует файлы на высоких скоростях.
BianLian написана на Go и скомпилирована в виде 64-битного исполняемого файла Windows.
В двоичном файле ransomware можно увидеть множество строк, в том числе сведения о структуре каталогов на компьютере автора.
Данные шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных достигает до 16 байтов, как того требует шифр AES CBC.
После выполнения BianLian производит поиск всех доступных дисков (от A: до Z:), на которых затем производит поиск и шифрацию всех файлов, расширение которых соответствует одному из 1013 расширений, жестко запрограммированных в бинарном файле программы.
При это ransomware не шифрует файл ни с начала, ни до конца. Вместо этого существует фиксированное смещение файла, жестко закодированное в двоичном файле, из которого происходит шифрование.
Смещение различается в зависимости от выборки, но ни одна из известных выборок не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение bianlian и записку с требованием выкупа Look at this instruction.txt в каждую папку на ПК.
Дешифратор может восстанавливать файлы, зашифрованные лишь известным вариантом BianLian.
Новым жертвам может потребоваться найти на жестком диске двоичный файл программы-вымогателя.
Однако, это будет проблематично, поскольку программа-вымогатель удаляет себя после шифрования.
Согласно телеметрии Avast, распространенные имена файла программы-вымогателя BianLian на компьютере жертвы включают: C:\Windows\TEMP\mativ.exe, C:\Windows\Temp\Areg.exe, C:\Users\%username%\Pictures\windows.exe и anabolic.exe.
При поиске двоичного файла рекомендуется обращать внимание на EXE-файл в папке, которая обычно не содержит исполняемых файлов, таких как %temp%, Documents или Pictures.
Также следует проверить хранилище антивируса. Типичный размер исполняемого файла BianLian составляет около 2 МБ.
Как отмечают Avast, обнаружение новых образцов позволит им соответствующим образом обновить дешифратор.
Инструкции по работе с дешифратором представлены здесь.
Avast Threat Labs
Decrypted: BianLian Ransomware - Avast Threat Labs
The team at Avast has developed a decryptor for the BianLian ransomware and released it for public download. The BianLian ransomware emerged in August 2022, performing targeted attacks in various industries, such as the media and entertainment, manufacturing…
Популярные плагины WordPress уязвимы для серьезных или критических уязвимостей SQL-инъекций, для которых выпущены PoC-эксплойты.
Ошибки были обнаружены ресерчером Джошуа Мартинеллом из Tenable, который сообщил о них WordPress 19 декабря 2022 года вместе с PoC.
Разработчики плагинов выпустили обновления для решения проблем в последующие дни, поэтому все проблемы в последних версиях устранены.
Вчера исследователь раскрыл технические подробности и представил PoC для каждой уязвимости.
Первый подключаемый модуль - это Paid Memberships Pro, инструмент управления членством и подписками, используется более чем на 100 000 веб-сайтах.
Согласно Tenable, Проблема связана с параметром «код» в REST-роуте /pmpro/v1/order перед использованием его в операторе SQL.
Уязвимость с CVSSv3 9,8 отслеживается как CVE-2023-23488 и затрагивает все версии плагина старше 2.9.8, устранена 27 декабря 2022 г.
Вторая надстройка WordPress, уязвимая для SQL-инъекций, - Easy Digital Downloads, решение в области электронной коммерции, имеет более чем 50 000 активных установок.
Проблема связана с параметром «s» в «edd_download_search» перед его использованием в операторе SQL.
Уязвимость отслеживается как CVE-2023-23489 и получила рейтинг серьезности CVSSv3 9,8. Она затрагивает все версии ниже 3.1.0.4, выпущенные 5 января 2023 года.
Наконец, Tenable обнаружила серьезную CVE-2023-23490 в Survey Marker, плагине WordPress, используемом на 3000 веб-сайтах для опросов и исследований рынка.
Уязвимость получила оценку CVSS 8,8, поскольку требует аутентификации злоумышленника как минимум в качестве подписчика. Исправление доступно с 21 декабря 2022 г. с версией 3.1.2.
Tenable не сообщает, какое влияние уязвимости могут оказать в случае их эксплуатации в реальных атаках.
Однако, учитывая критичность ошибок, пользователям плагинов рекомендуется обновиться до последней версии.
Ошибки были обнаружены ресерчером Джошуа Мартинеллом из Tenable, который сообщил о них WordPress 19 декабря 2022 года вместе с PoC.
Разработчики плагинов выпустили обновления для решения проблем в последующие дни, поэтому все проблемы в последних версиях устранены.
Вчера исследователь раскрыл технические подробности и представил PoC для каждой уязвимости.
Первый подключаемый модуль - это Paid Memberships Pro, инструмент управления членством и подписками, используется более чем на 100 000 веб-сайтах.
Согласно Tenable, Проблема связана с параметром «код» в REST-роуте /pmpro/v1/order перед использованием его в операторе SQL.
Уязвимость с CVSSv3 9,8 отслеживается как CVE-2023-23488 и затрагивает все версии плагина старше 2.9.8, устранена 27 декабря 2022 г.
Вторая надстройка WordPress, уязвимая для SQL-инъекций, - Easy Digital Downloads, решение в области электронной коммерции, имеет более чем 50 000 активных установок.
Проблема связана с параметром «s» в «edd_download_search» перед его использованием в операторе SQL.
Уязвимость отслеживается как CVE-2023-23489 и получила рейтинг серьезности CVSSv3 9,8. Она затрагивает все версии ниже 3.1.0.4, выпущенные 5 января 2023 года.
Наконец, Tenable обнаружила серьезную CVE-2023-23490 в Survey Marker, плагине WordPress, используемом на 3000 веб-сайтах для опросов и исследований рынка.
Уязвимость получила оценку CVSS 8,8, поскольку требует аутентификации злоумышленника как минимум в качестве подписчика. Исправление доступно с 21 декабря 2022 г. с версией 3.1.2.
Tenable не сообщает, какое влияние уязвимости могут оказать в случае их эксплуатации в реальных атаках.
Однако, учитывая критичность ошибок, пользователям плагинов рекомендуется обновиться до последней версии.
WordPress.org
Paid Memberships Pro – Content Restriction, User Registration, & Paid Subnoscriptions
Build a membership site that grows with you: user registration, member profiles, 28 protected content types, free or paid subnoscriptions.