NCC Group опубликовала технические подробности и PoC-эксплойт для двух уязвимостей Samsung Galaxy App Store.

Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.

Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.

Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).

Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.

Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.

NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.

PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.

Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.

Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.

PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.

NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.

В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.

Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.

Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.

Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.

Rapid7 сообщает о начале эксплуатации недавно исправленной критической CVE-2022-47966 в Zoho ManageEngine еще до того, как Horizon3.ai выпустила свой PoC-эксплойт.

Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.

Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.

Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.

В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.

К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.

Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.

Разработчику видеоигр из Лос-Анджелеса не до игр.

Riot Games  — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.

Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.

Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.

Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.

Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.

Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.

Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.

Канадский дистрибьютор спиртных напитков Liquor Control Board of Ontario (LCBO) подвергся атаке Magecart, что привело к компрометации личных данных пользователей.

LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.

На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.

Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.

По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.

В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.

LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.

Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.

Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.

Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.

Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.

Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.

Apple выпустила исправления для устранения многочисленных серьезных уязвимостей безопасности для флагманских платформ iOS и macOS.

Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.

Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.

Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.

Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.

При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.

Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.

Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.

После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.

В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.

Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).

iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.

Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.

Секретные документы Бюро национальной безопасности Тайваня (NSB) можно приобрести на breached за 150 000 долларов.

Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.

По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.

При этом сообщается, что последняя партия уже продана.

Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.

Будем следить за ситуацией.

͏Две новости сделали наш день.

Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.

Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.

В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна: нет ног - нет варенья нет детей - нет расстрелов.

Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".

Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.

Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!

Исследователи Tacito Security выпустили PoC-эксплойт для уязвимости, получившей наименование iTLB multihit.

Ошибка затрагивает достаточно широкую линейку процессоров Intel и связана с буфером ассоциативной трансляции (TLB), специализированным кэшем ЦП, используемым для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.

Ошибка может привести к DoS-атаке, поскольку позволяет коду, работающему на виртуальной машине, вызывать сбой облачных серверов при разбивке больших сегментов памяти.

Исследователи Tacito обнаружили ошибку в 2017 году, но не сообщали о ней в Intel.

Два года спустя производитель неизвестным им образом обнаружил ту же самую проблему, присвоив ей CVE-2018-12207.

Однако специалистам Intel не удалось исправить уязвимость через обновления прошивки.

Вместо этого поставщики ОС и гипервизоров выпустили исправления на уровне ПО, реализовав меры по смягчению.

Тем не менее, ресерчеры Tacito после тестов наиболее популярных решений, пришли к выводу, что большинство поставщиков решили не включать их по умолчанию.

Решение было обусловлено негативным влиянием на производительность и использование памяти и оставило фактически большинство гипервизоров уязвимыми для атаки iTLB multihit.

В последние годы использование Cobalt Strike и Metasploit в качестве инструментов атак на различные виды систем стали очень популярны среди злоумышленников.

Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.

Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.

Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.

Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.

Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.

Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.

Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.

Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.

С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.

Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.

Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.

Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.

Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.

В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.

⚡️BREAKING: Microsoft 365 упал и лежит. Сами подтвердить не можем, потому как их богопротивной продукцией не пользуемся. Но не верить всему Twitter у нас оснований нету.

VMware выпустила исправления для устранения уязвимостей vRealize Log Insight, которые могут позволить злоумышленникам получить удаленное выполнение кода на неисправленных устройствах.

vRealize Log Insight (VMware Aria Operations for Logs) — это инструмент для анализа и управления журналами инфраструктуры и приложений в средах VMware.

Первая критическая CVE-2022-31703 описывается как уязвимость обхода каталога, которую злоумышленники могут использовать для внедрения файлов в ОС устройств для RCE.

Вторая CVE-2022-31704 представляет собой уязвимость управления доступом, которой также можно злоупотреблять для удаленного выполнения кода на уязвимых устройствах путем внедрения вредоносных файлов.

Обе уязвимости имеют оценку CVSS 9,8/10 и могут быть использованы злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности, не требующих вмешательства пользователя.

VMware также устранила уязвимость десериализации (CVE-2022-31710), которую можно использовать для вызова состояния DoS, а также ошибку раскрытия информации (CVE-2022-31711), которую можно использовать для доступа к конфиденциальной информации о сеансе или приложении.

Ошибки были устранены с выпуском VMware vRealize Log Insight 8.10.2. При этом ни одна из ошибок не была помечена как эксплуатируемая в дикой природе.

Кроме того, VMware предоставила подробные инструкции по обновлению до последней версии vRealize Log Insight (здесь) и поделилась временным исправлением.

Для его применения следует на каждом узле vRealize Log Insight в своем кластере выполнить под root через SSH сценарий (предоставленный VMware здесь), после чего следует убедиться в успешной реализации обходного сценария, регистрируя каждый узел и сообщение о его инсталляции.

Специалистами из Palo Alto Networks зафиксирован всплеск кибератак, нацеленных на RCE-уязвимость в Realtek Jungle SDK.

Речь идет об ошибке CVE-2021-35394, которую обнародовали еще в августе 2021 года.

Бага затрагивает сотни типов устройств, использующих чипы Realtek RTL8xxx, включая маршрутизаторы, домашние шлюзы, IP-камеры и повторители Wi-Fi от 66 различных производителей, среди которых Asus, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE и Zyxel.

Недостаток достаточно серьезный и позволяет злоумышленникам, не прошедшим аутентификацию, выполнять код на уязвимых устройствах, получая над ними полный контроль.

Первые реальные атаки, нацеленные на CVE-2021-35394, наблюдались через несколько дней после того, как подробности об ошибке были обнародованы, и еще тогда атакам подвергалось около миллиона устройств.

В новом отчете Palo Alto Networks предупреждает об очередном увеличении числа атак, пытающихся использовать дефект безопасности.

Только по состоянию на декабрь 2022 года специалисты наблюдали 134 миллиона попыток эксплуатации с использованием этой уязвимости и около 97% этих атак произошли после начала августа 2022 года.

Причем на данный момент атаки до сих пор продолжаются. Анализ наблюдаемых попыток эксплойта показывал, что 30 регионов были источником атак.

США лидировали с 48,3%, за ними следуют Вьетнам с 17,8% и Россия с 14,6%.

Со слов специалистов, в большинстве своем конечной целью злоумышленников было распространение вредоносных ПО, нацеленных на уязвимость в крупномасштабных атаках, направленных на устройства IoT, что, в очередной раз, подчеркивает необходимость для организаций обеспечить надлежащую защиту этих устройств.

Большинство наблюдаемых вредоносных полезных нагрузок представляют собой варианты вредоносных программ Mirai, Gafgyt и Mozi.

Поиск в Shodan, проведенный исследователями, выявил существование более 80 различных моделей устройств IoT от 14 уникальных поставщиков, у которых открыт порт 9034.

Изучая эксплуатацию уязвимостей, исследователи обнаружили, что наибольшей популярностью пользуются устройства D-Link (31 модель), за ними следуют LG, Belkin и Zyxel (по 8, 6 и 6 каждая).

По данным Palo Alto Networks, несмотря на то, что пострадавшие поставщики уже давно выпустили обновления ПО для решения проблемы или рекомендации по ее устранению, многие организации до сих пор продолжают игнорировать угрозу.

Опубликованы технические подробности об уязвимости графического процессора Arm Mali, приводящей к RCE в ядре и рутированию устройств Pixel 6 с помощью вредоносного приложения, установленного на целевом устройстве.

Отслеживаемая как CVE-2022-38181 имеет оценку CVSS 8,8 и представляет собой ошибку использования после освобождения, которая влияет на версии драйвера Arm Mali до r40p0 (выпущенной 7 октября 2022 г.).

Проблема, как объясняет исследователь GitHub Security Lab Ман Юэ Мо, связана с особым типом памяти графического процессора: JIT-памятью и специальной функцией для отправки цепочек заданий на графический процессор.

Благодаря CVE-2022-38181 вредоносный код может использоваться для добавления области JIT-памяти в список вытеснения, а затем создавать нехватку памяти, чтобы вызвать уязвимое вытеснение, в результате чего область JIT освобождается без освобождения указателя.

Исследователь обнаружил, что освобожденную область JIT можно заменить поддельным объектом, который можно использовать для потенциального освобождения произвольных страниц, а затем использовать их для получения доступа к произвольной памяти для чтения и записи.

Злоумышленнику потребуется сопоставить код ядра с адресным пространством графического процессора, чтобы получить выполнение произвольного кода ядра, который затем можно использовать для перезаписи учетных данных нашего процесса для получения root и отключения SELinux.

Ман Юэ Мо сообщил об уязвимости команде безопасности Android в июле 2022 года вместе с PoC. Первоначально недостаток был отмечен как имеющий высокую степень серьезности, но затем отчет был перенаправлен команде Arm.

По словам исследователя, после октябрьского патча Arm в 2022 году Google включила исправление этой уязвимости в обновление безопасности для устройств Pixel от января 2023 года, но без упоминания идентификатора CVE или исходных данных об ошибке.

Riot Games подтвердили, что хакеры слили исходники для League of Legends и Teamfight Tactics, а также получили письмо с требованием выкупа, в котором злоумышленники угрожали опубликовать исходных код в сети, если разработчик не заплатит.

Еще на прошлой неделе калифорнийский разработчик признал, что взлом повлиял на работу и предстоящие обновления, а сейчас Riot обеспокоен появлением новых читов в результате утечки исходного кода в сеть.

Однако в компании заявили, что не намерены платить выкуп не смотря на то, что атака нарушила среду сборки и может вызвать проблемы в будущем.

В компании по-прежнему, уверены, что никакие данные игроков или личная информация не была скомпрометирована.

В настоящее время Riot активно работает с правоохранителями органами и внешними специалистами для расследовании этого инцидента в намерениях выявить предполагаемых злоумышленников, а также внимательно следит за утечкой исходного кода, если он вдруг все же появится в сети.

Будем посмотреть.

GoTo опубликовала обновленную информацию об инциденте, предупреждая клиентов о том, что злоумышленники, взломавшие его среду разработки в ноябре 2022 года, украли зашифрованные резервные копии, содержащие информацию о клиенте и ключ шифрования для части этих данных.

GoTo предоставляет облачную платформу для удаленной работы, совместной работы и коммуникаций, а также решения для удаленного управления ИТ и техподдержки.

В ноябре 2022 года компания сообщала о нарушении в своей среде разработки и службе облачного хранения, используемой в том числе и дочерней компанией LastPass.

В то время оценить влияние на клиентский кластер оперативно не удалось.

Однако после привлечения к расследованию Mandiant позволило выяснить, что инцидент затронул также и клиентов GoTo.

Согласно уведомлению об инциденте GoTo, в результате атаки актор добрался до резервных копий продуктов Central и Pro, хранящихся в стороннем облачном хранилище, которые включают: имена пользователей для учетных записей, пароли учетных (хешированные), сведения о развертывании и многофакторной аутентификации, сценарии One-to-Many, данные о лицензировании и покупках.

В связи с кражей ключей шифрования, GoTo пришлось сбросить пароли Central и Pro для затронутых клиентов, а также перенести их учетные записи на расширенную платформу управления идентификацией.

Компания не раскрывает тип шифрования, используемый для резервных копий, заверяя также о невозможности проведения MITM-атак на клиентов в силу наличия шифрования TLS 1.2 и использования технологий одноранговой связи.

GoTo отметила, что у нее до сих пор нет доказательств того, что злоумышленники получали доступ к ее производственным системам.

Расследование инцидента все еще продолжается, а GoTo пообещала сообщать все важные выводы.

🔎 Scanners Box. Сканеры на любой вкус и цвет.

🖖🏻 Приветствую тебя user_name.

• Универсальных инструментов не существует, и сканеры уязвимостей не стали исключением из этого правила. Сканеры бывают со свободной лицензией и коммерческие. Как ты уже успел догадаться, наш канал нацелен на освещение опенсорсного софта и публикации материала на безвозмездной основе, именно поэтому, сегодня я поделюсь с тобой отличным ресурсом где собраны различные сканеры под любую потребность.

• Проект Scanners Box (scanbox), является актуальным и полезным набором различных сканеров, который включает в себя более 10 различных категорий: от стандартных сканеров для #Red_Team и #Blue_Team специалистов, до сканеров анализа кода в мобильных приложениях.

🧷 Обязательно ознакомьтесь с данной подборкой и добавьте в избранное, непременно пригодится: https://github.com/We5ter/Scanners-Box

S.E. ▪️ S.E.Relax ▪️ infosec.work▪️ #ИБ

В уязвимость CryptoAPI вдохнули вторую жизнь и большинство систем и приложений центров обработки данных на базе Windows до сих пор остаются уязвимыми.

Речь идет о баге CVE-2022-34689, которую в прошлом году раскрыли АНБ и британский NCSC, после того ка без лишней шумихи ее исправила в Microsoft.

Закрытая в августе 2022 года бага, хоть и была помечена как критическая, но получила от Microsoft оценку CVSS всего 7,5 из 10.

Все дело в том, что проблема может и использовалась специально обученными акторами, но достаточно тихо и локально.

Однако масла в огонь подлили специалисты из Akamai, опубликовав PoC-эксплойт, что не на шутку взбудоражило Microsoft, которой теперь придется свои выводы пересмотреть.

Напомним, CryptoAPI помогает разработчикам защищать приложения для Windows с помощью криптографии, а API можно использовать, например, для проверки сертификатов и идентификации.

Сама же уязвимость, может быть использована злоумышленниками для цифровой подписи вредоносных исполняемых файлов таким образом, чтобы Windows и приложения считали, что файлы получены из надежных и легитимных источников и могут быть открыты или установлены.

Демонстрация PoC работает со старой версией Chrome для Windows, которая использует CryptoAPI для проверки сертификатов. При реализации MITM-атаки можно заставить браузер думать, что он общается с легитимным сервером для веб-сайта HTTPS, но на самом деле используется злонамеренная подделка.

Akamai утверждает, что подавляющее большинство общедоступных серверов на базе Windows в ЦОДах по всему миру, которые она изучила, не были исправлены, но отмечает, что для того, чтобы ошибка была использована на практике, на устройстве должно быть запущено приложение или служба, использующая CryptoAPI таким образом, чтобы была возможность его спуфинга.

На данный момент специалистами обнаружено, что старые версии Chrome (v48 и более ранние) и приложения на основе Chromium могут быть взломаны.

Широко востребованный среди хакеров продукт Google с точки зрения эксплуатации - Chrome, получил очередные обновления.

В Chrome 109 были устранены шесть дыр в безопасности, в том числе четыре, о которых сообщили в Google внешние исследователи, за что получили 25 000 долларов.

Две из них — это серьезные ошибки использования после освобождения, влияющие на компоненты WebTransport и WebRTC, открытие которых приписывается исследователям Чичу Киму и Кэссиди Киму, заработавших в общей сложности 19 000 долларов.

Уязвимостям были присвоены CVE-2023-0471 и CVE-2023-0472 соответственно.

Ошибки подобного типа в Chrome можно использовать для RCE и выхода из песочницы, но во многих случаях их следует комбинировать с другими багами.

Вышедший патч Chrome также решает проблему средней степени серьезности CVE-2023-0473, связанную с путаницей в ServiceWorker AP, о которой сообщила лаборатория КунЛун.

Другая ошибка после освобождения (CVE-2023-0474) аналогичного уровня в затрагивает GuestView.

Полный список изменений в вышедшей сборке желающие могут просмотреть в журнале.

Ни одна из этих уязвимостей, по клятвенным заверениям Google, не использовалась в реальных условиях.

Но несмотря на политику прозрачности, при этом сама компания не раз признавала, что это "не означает, что эксплуатация не происходила".

Еще в прошлом году технологический гигант признал, что злоумышленники используют все больше уязвимостей в Chrome, что стало целой тенденцией.

Правда, статистика немного не соответствует ей: количество уязвимостей Chrome Zero-Day достигло 14 в 2021 году, по сравнению с 8 - в 2020 году и 2 - в 2019 году, а в 2022 снизилось до 8.

Но это уже не про инофосек, а скорее к вопросу о лучших бизнес-практиках по управлению репутацией.

͏Пока весь инфосек-истеблишмент подбадривает Яндекс, ссылаясь на то, что Shit Happens, акции российского технологического гиганта уверенно удерживают котировки, теряя всего лишь полпроцента.

Больнее было после публикации прощального письма Аркадия Воложа, когда акции в ходе торгов на Мосбирже упали на 1,16%, до ₽1791 за штуку, нежели после публикация 44.7 ГБ гигабайт исходного кода более 80 основных проектов на BreachForums.

А в даркнет тем временем обсуждаются совсем другие дела.

Ransomware-синдикат Hive лишился своей инфраструктуры в результате операции спецслужб под крышей Европола.

Теперь DLS вымогателей указывает на одну жертву полицейского произвола.

Знатоки творчества Hive в четверг были расстроены, обнаружив на сайте банды объявление о конфискации Tor-ресурса.

Причем в исполнении на двух языках, включая и русский.

Сами хакеры пока не комментировали ситуацию: либо некогда, либо уже получится только в суде.

Вероятно, в перспективе сайты американской юстиции могут пополниться именами из числа маститых вымогателей, а их коллеги по цеху - высвободившимися кадровыми ресурсами, возможно, даже под новым брендом.

Но это уже совсем другая история.

Ресерчеры SentinelOne сообщают о ранее неизвестной хакерской группе DragonSpark, которая использует интерпретатор исходного кода Golang в ходе шпионских атак на организаций в Восточной Азии.

Как выяснили SentinelLabs, китайскоязычный злоумышленник взламывает веб-серверы и базы данных MySQL, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей.

Группа использует малоизвестный инструмент с открытым исходным кодом SparkRAT, который может работать в Windows, macOS, Linux и предлагает многофункциональные функции удаленного доступа, поддерживая 26 команд.

Связь с C2 реализуется через протокол WebSocket. SparkRAT может автоматически обновляться, добавляя новый функционал.

Помимо него DragonSpark также задействует SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной среде.

Особенностью кампании является использование интерпретации исходного кода Golang для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. В детали вдаваться не будем - метод подробно описан в отчете исследователей.

Но на самом деле примечательно другое: ТТР DragonSpark не имеет каких-либо совпадений с другими китайскоязычными хакерскими группами.

Даже несмотря на то, что операции были впервые обнаружены в сентябре 2022 года с использованием вредоносного ПО Zegost, исторически связанного с китайскими APT, ориентированными на шпионаж. Но связать с ними DragonSpark ресерчерам не удалось.

В то же время и установленная DragonSpark на скомпрометированных серверах оболочка China Chopper - широко используется злоумышленниками по всему миру. Как и все другие используемые группой инструменты с открытым исходным кодом, которые были разработаны китайскими авторами.

Все же учитывая, что злоумышленник использует скомпрометированную инфраструктуру в Китае, Тайване и Сингапуре, за активностью DragonSpark, по всей видимости, в реальности могут стоять американские или сингапурские АРТ.

Но об этом в SentinelOne точно не расскажут.