T-Mobile раскрыла новую утечку данных после того, как злоумышленники похитили конфиденциальную учетную информацию 37 миллионов клиентов через один из интерфейсов API.

Как удалось выяснить T-Mobile, хакеры приступили к краже данных еще 25 ноября 2022 года. Обнаружив вредоносную активность 5 января 2023 года, оператор отключил злоумышленнику доступ к уязвимому API.

Компания пояснила, что задействованный в инциденте API не открывал злоумышленникам доступа к водительским удостоверениям клиентов, номерам социального страхования, налоговым идентификаторам, паролям, PIN-кодам, платежной информации (PCI) или другой финансовой информации.

Уязвимый API позволял хакерам извлечь данные об учетной записи клиента, включая имя, платежный адрес, адрес электронной почты, номер телефона, дату рождения, номер учетной записи T-Mobile и функционал тарифного плана.

Предварительный результат расследования указывает на то, что злоумышленникам удалось собрать в разной степени ограниченный набор личных данных 37 миллионов клиентов с постоплатой и предоплатой.

В настоящее время вредоносная активность полностью локализована, доказательств того, что злоумышленник смог взломать или скомпрометировать системы или сеть T-Mobile, не получено.

T-Mobile уведомила об инциденте компетентные ведомства и ведет активную работу с правоохранителями над расследованием нарушения.

Вообще же, когда речь идет крупных технологических IT-гигантах, не стоит полагаться на то, что снаряд в одну воронку не падает дважды.

Начиная с 2018 года T-Mobile становилась фигурантом семи серьезных киберинцедентов.

Последними в апреле 2022 года сеть оператора навещали Lapsus$, использовав скомпрометированные учетные данные.

Как мы предупреждали, исследователи Horizon3 раскрыли PoC-эксплойт и представили технический анализ для критической RCE-уязвимости CVE-2022-47966 в продуктах Zoho ManageEngine.

Уязвимость позволяет злоумышленнику реализовать RCE, отправив запрос HTTP POST, содержащий вредоносный ответ SAML.

POC злоупотребляет ей для запуска команды с помощью метода Java Runtime.exec.

Эксплойт был успешно протестирован на ServiceDesk Plus и Endpoint Central, и как полагают в Horizon3, POC будет работать без изменений во многих продуктах ManageEngine, которые используют часть своей кодовой базы с ServiceDesk Plus или EndpointCentral.

Несмотря на то, что сообщений об атаках с использованием этой уязвимости не поступало и попыток ее использования в реальных условиях не фиксировалось, злоумышленники, вероятно, быстро перейдут к разработке собственных RCE-эксплойтов на основе PoC-кода Horizon3.

Ведь как известно, в последние годы финансово мотивированные и АРТ группировки активно атаковали серверы Zoho ManageEngine в ходе своих кампаний.

Cisco объявила об исправлениях для серьезной SQL-уязвимости в Unified Communications Manager (CM) и Unified Communications Manager Session Management Edition (CM SME).

Разработанные как корпоративные платформы управления вызовами и сеансами Cisco Unified CM и Unified CM SME обеспечивают совместимость таких приложений, как Webex, Jabber и других, а также обеспечивают их общую доступность и безопасность.

CVE-2023-20010 с оценкой CVSS 8,1 обусловлена тем, что вводимые пользователем данные неправильно проверяются в веб-интерфейсе управления платформами.

Ошибка позволяет удаленному злоумышленнику, прошедшему проверку подлинности, запустить атаку SQL-инъекцией на уязвимую систему.

Злоумышленник может воспользоваться этой уязвимостью, войдя в приложение как пользователь с низким уровнем привилегий и отправив созданные SQL-запросы в уязвимую систему.

Успешный эксплойт может позволить злоумышленнику прочитать или изменить любые данные в базовой базе данных или повысить свои привилегии.

Ошибка влияет на Cisco Unified CM и Unified CM SME версий 11.5(1), 12.5(1) и 14, была устранен в версии 12.5(1)SU7.

Патч также будет включен в версию 14SU3, выпуск которой запланирован на март 2023 года.

Cisco также проинформировала клиентов об уязвимости обхода фильтрации URL-адресов средней степени серьезности в ПО AsyncOS для Email Security Appliance (ESA).

Удаленный злоумышленник, не прошедший проверку подлинности, может использовать ошибку через URL-адреса.

На этой неделе Cisco также объявила об исправлениях трех ошибок средней степени серьезности в Expressway Series и TelePresence Video Communication Server (VCS).

Затрагивая API и веб-интерфейсы управления этих продуктов, уязвимости могут быть использованы удаленным злоумышленником, прошедшим проверку подлинности, для записи файлов или доступа к конфиденциальным данным на уязвимом устройстве.

Уязвимы все выпуски Expressway Series и TelePresence VCS до 14.0.7.

Cisco заявляет, что ей неизвестно об использовании какой-либо из этих уязвимостей в реальных условиях.

Дополнительную информацию о недостатках можно найти в рекомендациях по безопасности.

Исследователи Лаборатории Касперского обнаружили обновление Roaming Mantis своего вредоносного ПО для Android, которое теперь включает функцию смены DNS, которая использовалась для проникновения в WiFi-маршрутизаторы и перехвата DNS.

Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).

Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.

Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.

Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.

Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.

В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.

Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.

После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.

XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.

DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.

Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.

После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.

Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.

Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.

Исследователи Mandiant установили, что недавняя уязвимость Fortinet экспулатировалась как 0-day для доставки вредоносного ПО в октябре 2022 года, почти за два месяца до выпуска исправлений.

Ресерчеры подозревают актора в связях с КНР, полагая, что инцидент продолжает практику китайских АРТ по использованию устройств, подключенных к Интернету, особенно тех, которые применяются для управляемой безопасности (например, брандмауэры, устройства IPS\IDS и т.д.).

Злоумышленник использовал уязвимость в Fortinet FortiOS SSL-VPN в атаках на неназванное европейское госучреждение и MSP-поставщика в Африке.

В ходе нападений актор задействовали сложный бэкдор, получивший наменование BOLDMOVE, версия которого для Linux специально разработана для работы на межсетевых экранах FortiGate.

Рассматриваемый вектор вторжения связан с эксплуатацией уязвимости переполненияем буфера в динамической памяти в FortiOS SSL-VPN (CVE-2022-42475), которая может привести к RCE без проверки подлинности с помощью специально созданных запросов.

Ранее в этом месяце Fortinet также сообщала, что попытках эксплуатации неустановленных АРТ этого недостатка в ходе атак на правительства и другие крупные организации с помощью универсального имплантата Linux, доставляющего дополнительные полезные нагрузки и выполняющего команды с С2.

Последние данные Mandiant показывают, что злоумышленнику удалось использовать уязвимость в качестве 0-day в своих интересах и взломать целевые сети для шпионских операций.

С помощью BOLDMOVE злоумышленники разработали не только эксплойт, но и вредоносное ПО, демонстрирующее глубокое понимание систем, служб, ведения журналов и недокументированных проприетарных форматов.

Утверждается, что вредоносное ПО, написанное на C, имеет варианты как для Windows, так и для Linux, причем последний способен считывать данные из формата файла, принадлежащего Fortinet.

Анализ метаданных версии бэкдора для Windows показывает, что они были скомпилированы еще в 2021 году, хотя образцы в дикой природе не обнаруживались.

BOLDMOVE предназначен для проведения анализа системы и способен получать команды от C2, который, в свою очередь, позволяет злоумышленникам выполнять операции с файлами, запускать удаленную оболочку и ретранслировать трафик через зараженный хост.

Расширенный образец вредоносного ПО для Linux поставляется с дополнительными функциями для отключения и управления функциями ведения журнала в попытке избежать обнаружения, что подтверждает и отчет Fortinet.

Новый банковский троян Hook всего за 5000 долларов в месяц открывает злоумышленникам возможности кражи учетных записей из более чем 450 приложений интернет-банкинга и криптокошельков.

Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.

Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.

Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.

В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.

Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.

Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.

Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.

Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства

В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.

Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.

Система управления корпоративным контентом (ECM) OpenText подвержена множеству уязвимостей, в том числе и критической RCE без проверки подлинности.

OpenText Extended ECM — это корпоративная платформа CMS, которая реализует управление и интеграцию с ведущими корпоративными приложениями, такими как SAP, Microsoft 365, Salesforce и SAP SuccessFactors.

Уязвимости OpenText Extended ECM были обнаружены исследователем Армином Стоком из Sec Consult.

Проблемы в основном затрагивают Content Server и описываются в трех различных бюллетенях.

По данным Sec Consult, OpenText была проинформирована об уязвимостях в октябре 2022 года, после чего разработчику удалось выпустить в январе 2023 года версию 22.4 с необходимыми исправлениями.

Одна из критических уязвимостей CVE-2022-45923 может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных запросов.

Вторая критическая CVE-2022-45927 влияет на внешний интерфейс Java компонента OpenText Content Server и может позволить злоумышленнику обойти аутентификацию.

Эксплуатация может в конечном итоге привести к удаленному выполнению кода.

Другие обнаруженные Sec Consult уязвимости (CVE-2022-45922, CVE-2022-45924, CVE-2022-45925, CVE-2022-45926 и CVE-2022-45928) могут быть использованы злоумышленниками, прошедшими проверку подлинности.

Все они оцениваются как серьезные и могут быть использованы для удаления произвольных файлов на сервере, повышения привилегий, получения потенциально ценной информации, запуска атак с подделкой запросов на стороне сервера (SSRF) и выполнения произвольного кода.

PoC доступен для всех проблем, за исключением критических недостатков, чтобы предотвратить их возможное злонамеренное использование.

NCC Group опубликовала технические подробности и PoC-эксплойт для двух уязвимостей Samsung Galaxy App Store.

Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.

Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.

Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).

Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.

Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.

NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.

PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.

Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.

Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.

PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.

NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.

В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.

Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.

Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.

Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.

Rapid7 сообщает о начале эксплуатации недавно исправленной критической CVE-2022-47966 в Zoho ManageEngine еще до того, как Horizon3.ai выпустила свой PoC-эксплойт.

Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.

Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.

Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.

В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.

К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.

Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.

Разработчику видеоигр из Лос-Анджелеса не до игр.

Riot Games  — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.

Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.

Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.

Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.

Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.

Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.

Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.

Канадский дистрибьютор спиртных напитков Liquor Control Board of Ontario (LCBO) подвергся атаке Magecart, что привело к компрометации личных данных пользователей.

LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.

На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.

Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.

По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.

В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.

LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.

Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.

Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.

Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.

Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.

Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.

Apple выпустила исправления для устранения многочисленных серьезных уязвимостей безопасности для флагманских платформ iOS и macOS.

Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.

Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.

Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.

Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.

При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.

Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.

Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.

После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.

В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.

Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).

iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.

Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.

Секретные документы Бюро национальной безопасности Тайваня (NSB) можно приобрести на breached за 150 000 долларов.

Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.

По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.

При этом сообщается, что последняя партия уже продана.

Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.

Будем следить за ситуацией.

͏Две новости сделали наш день.

Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.

Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.

В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна: нет ног - нет варенья нет детей - нет расстрелов.

Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".

Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.

Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!

Исследователи Tacito Security выпустили PoC-эксплойт для уязвимости, получившей наименование iTLB multihit.

Ошибка затрагивает достаточно широкую линейку процессоров Intel и связана с буфером ассоциативной трансляции (TLB), специализированным кэшем ЦП, используемым для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.

Ошибка может привести к DoS-атаке, поскольку позволяет коду, работающему на виртуальной машине, вызывать сбой облачных серверов при разбивке больших сегментов памяти.

Исследователи Tacito обнаружили ошибку в 2017 году, но не сообщали о ней в Intel.

Два года спустя производитель неизвестным им образом обнаружил ту же самую проблему, присвоив ей CVE-2018-12207.

Однако специалистам Intel не удалось исправить уязвимость через обновления прошивки.

Вместо этого поставщики ОС и гипервизоров выпустили исправления на уровне ПО, реализовав меры по смягчению.

Тем не менее, ресерчеры Tacito после тестов наиболее популярных решений, пришли к выводу, что большинство поставщиков решили не включать их по умолчанию.

Решение было обусловлено негативным влиянием на производительность и использование памяти и оставило фактически большинство гипервизоров уязвимыми для атаки iTLB multihit.

В последние годы использование Cobalt Strike и Metasploit в качестве инструментов атак на различные виды систем стали очень популярны среди злоумышленников.

Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.

Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.

Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.

Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.

Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.

Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.

Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.

Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.

С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.

Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.

Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.

Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.

Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.

В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.

⚡️BREAKING: Microsoft 365 упал и лежит. Сами подтвердить не можем, потому как их богопротивной продукцией не пользуемся. Но не верить всему Twitter у нас оснований нету.

VMware выпустила исправления для устранения уязвимостей vRealize Log Insight, которые могут позволить злоумышленникам получить удаленное выполнение кода на неисправленных устройствах.

vRealize Log Insight (VMware Aria Operations for Logs) — это инструмент для анализа и управления журналами инфраструктуры и приложений в средах VMware.

Первая критическая CVE-2022-31703 описывается как уязвимость обхода каталога, которую злоумышленники могут использовать для внедрения файлов в ОС устройств для RCE.

Вторая CVE-2022-31704 представляет собой уязвимость управления доступом, которой также можно злоупотреблять для удаленного выполнения кода на уязвимых устройствах путем внедрения вредоносных файлов.

Обе уязвимости имеют оценку CVSS 9,8/10 и могут быть использованы злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности, не требующих вмешательства пользователя.

VMware также устранила уязвимость десериализации (CVE-2022-31710), которую можно использовать для вызова состояния DoS, а также ошибку раскрытия информации (CVE-2022-31711), которую можно использовать для доступа к конфиденциальной информации о сеансе или приложении.

Ошибки были устранены с выпуском VMware vRealize Log Insight 8.10.2. При этом ни одна из ошибок не была помечена как эксплуатируемая в дикой природе.

Кроме того, VMware предоставила подробные инструкции по обновлению до последней версии vRealize Log Insight (здесь) и поделилась временным исправлением.

Для его применения следует на каждом узле vRealize Log Insight в своем кластере выполнить под root через SSH сценарий (предоставленный VMware здесь), после чего следует убедиться в успешной реализации обходного сценария, регистрируя каждый узел и сообщение о его инсталляции.

Специалистами из Palo Alto Networks зафиксирован всплеск кибератак, нацеленных на RCE-уязвимость в Realtek Jungle SDK.

Речь идет об ошибке CVE-2021-35394, которую обнародовали еще в августе 2021 года.

Бага затрагивает сотни типов устройств, использующих чипы Realtek RTL8xxx, включая маршрутизаторы, домашние шлюзы, IP-камеры и повторители Wi-Fi от 66 различных производителей, среди которых Asus, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE и Zyxel.

Недостаток достаточно серьезный и позволяет злоумышленникам, не прошедшим аутентификацию, выполнять код на уязвимых устройствах, получая над ними полный контроль.

Первые реальные атаки, нацеленные на CVE-2021-35394, наблюдались через несколько дней после того, как подробности об ошибке были обнародованы, и еще тогда атакам подвергалось около миллиона устройств.

В новом отчете Palo Alto Networks предупреждает об очередном увеличении числа атак, пытающихся использовать дефект безопасности.

Только по состоянию на декабрь 2022 года специалисты наблюдали 134 миллиона попыток эксплуатации с использованием этой уязвимости и около 97% этих атак произошли после начала августа 2022 года.

Причем на данный момент атаки до сих пор продолжаются. Анализ наблюдаемых попыток эксплойта показывал, что 30 регионов были источником атак.

США лидировали с 48,3%, за ними следуют Вьетнам с 17,8% и Россия с 14,6%.

Со слов специалистов, в большинстве своем конечной целью злоумышленников было распространение вредоносных ПО, нацеленных на уязвимость в крупномасштабных атаках, направленных на устройства IoT, что, в очередной раз, подчеркивает необходимость для организаций обеспечить надлежащую защиту этих устройств.

Большинство наблюдаемых вредоносных полезных нагрузок представляют собой варианты вредоносных программ Mirai, Gafgyt и Mozi.

Поиск в Shodan, проведенный исследователями, выявил существование более 80 различных моделей устройств IoT от 14 уникальных поставщиков, у которых открыт порт 9034.

Изучая эксплуатацию уязвимостей, исследователи обнаружили, что наибольшей популярностью пользуются устройства D-Link (31 модель), за ними следуют LG, Belkin и Zyxel (по 8, 6 и 6 каждая).

По данным Palo Alto Networks, несмотря на то, что пострадавшие поставщики уже давно выпустили обновления ПО для решения проблемы или рекомендации по ее устранению, многие организации до сих пор продолжают игнорировать угрозу.

Опубликованы технические подробности об уязвимости графического процессора Arm Mali, приводящей к RCE в ядре и рутированию устройств Pixel 6 с помощью вредоносного приложения, установленного на целевом устройстве.

Отслеживаемая как CVE-2022-38181 имеет оценку CVSS 8,8 и представляет собой ошибку использования после освобождения, которая влияет на версии драйвера Arm Mali до r40p0 (выпущенной 7 октября 2022 г.).

Проблема, как объясняет исследователь GitHub Security Lab Ман Юэ Мо, связана с особым типом памяти графического процессора: JIT-памятью и специальной функцией для отправки цепочек заданий на графический процессор.

Благодаря CVE-2022-38181 вредоносный код может использоваться для добавления области JIT-памяти в список вытеснения, а затем создавать нехватку памяти, чтобы вызвать уязвимое вытеснение, в результате чего область JIT освобождается без освобождения указателя.

Исследователь обнаружил, что освобожденную область JIT можно заменить поддельным объектом, который можно использовать для потенциального освобождения произвольных страниц, а затем использовать их для получения доступа к произвольной памяти для чтения и записи.

Злоумышленнику потребуется сопоставить код ядра с адресным пространством графического процессора, чтобы получить выполнение произвольного кода ядра, который затем можно использовать для перезаписи учетных данных нашего процесса для получения root и отключения SELinux.

Ман Юэ Мо сообщил об уязвимости команде безопасности Android в июле 2022 года вместе с PoC. Первоначально недостаток был отмечен как имеющий высокую степень серьезности, но затем отчет был перенаправлен команде Arm.

По словам исследователя, после октябрьского патча Arm в 2022 году Google включила исправление этой уязвимости в обновление безопасности для устройств Pixel от января 2023 года, но без упоминания идентификатора CVE или исходных данных об ошибке.