Иранская APT OilRig совершенствует свою стратегию и продолжает атаковать правительственные организации на Ближнем Востоке.

Деятельность OilRig, также известной как APT34, Cobalt Gypsy, Europium и Helix Kitten, была задокументирована в целевых фишинговых атаках на Ближнем Востоке еще в 2014 году.

Известно, что банда, связана с Министерством разведки и безопасности Ирана (MOIS) и использует в своих операциях широкий спектр инструментов.

Последние атаки в 2021 и 2022 годах включали такие бэкдоры, как Karkoff, Shark, Marlin и Saitama, для кражи информации.

Изменения в тактике кибершпионской деятельности группировки отметили исследователи из Trend Micro, которые установили, что хакеры стали использовать новый бэкдор для кражи данных, а также легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые учетные записи, контролируемые злоумышленниками.

Сама техника не является чем-то новаторским, однако OilRig применила ее впервые, что демонстирует эволюцию ее форм и методов обхода средств защиты.

Последние атаки связанны с применением нового дроппера на основе .NET, который имеет четыре отдельных файла для доставки, включая основной имплантат DevicesSrv.exe, отвечающий за кражу определенных файлов, представляющих интерес.

На втором этапе используется файл библиотеки динамической компоновки (DLL), который собирает информацию для входа в систему из локальных учетных записей и учетных записей домена.

Особенностью бэкдора .NET является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками адреса электронной почты Gmail и Proton Mail.

Причем если верить исследователям Trend Micro, злоумышленники отправляют эти электронные письма через правительственные серверы Exchange, используя фиктивные учетные записи с украденными паролями.

Растущее число вредоносных инструментов, связанных с OilRig, указывает на гибкость злоумышленника в создании новых вредоносных программ в зависимости от целевых сред и привилегий, которыми он обладает на этапе атаки.

Новизна второго и последнего этапа также указывает, что все изменения могут быть лишь небольшой частью более крупной кампании против правительственных организаций.

Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".

Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).

Charlie Hebdo не прокомментировал выводы Microsoft, но технологический гигант уже успел быстро назначить виноватого.

Как заключили эксперты, нападение является местью за инициативу Charlie Hebdo провести конкурс карикатур на правящего священнослужителя Ирана.

В результате кибератаки злоумышленник взломал базу данных журнала и получил личную информацию в отношении более 230 000 подписчиков издания.

Часть сведений была опубликована в качестве доказательства. Полный массив продается на нескольких даркнет-площадках за 340 000 долларов.

Утечка включают полные установочные данные, номера телефонов, адреса, а также электронную почту. Французская Le Monde уже подтвердила подлинность данных.

В основу атрибуции были положены шаблоны ФБР, на основе которых Microsoft удалось выделить отличительные элементы атаки:
- хактивистская личность,
- публичные заявления об атаке,
- утечка личных данных,
- использование фейковых аккаунтов в соцсетях «sockpuppet»,
- обращение к СМИ.

И еще один: более широкий набор разведданных, доступный только Microsoft DTAC (и приславшему этот набор с назначением виноватого подразделению АНБ или ЦРУ).

Предлагаем Microsoft DTAC новый универсальный набор TTPs, которые однозначно свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР:

- хакеры атаковали цель через Интернет;
- в ходе атаки они использовали один или несколько языков программирования;
- у хакерской атаки были негативные последствия.

Если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

"Когда увидел основу атрибуции и универсальный набор TTPs от Microsoft DTAC, которые свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР", - 🤣комментарий подписчика.

Буквально вчера мы рассказывали о 0-day, которая затрагивает открытые в Интернете консоли администрирования GoAnywhere MFT и уже активно эксплуатируется.

А сегодня исследователи выкатили технические подробности и код PoC-эксплойта. Со слов автора Флориана Хаузера из Code White, эксплойт реализует удаленное выполнение кода без проверки подлинности на уязвимых серверах GoAnywhere MFT.

Разработчики приложения из Fortra (ранее известная как HelpSystems и одарившая инфосек своим решением Cobalt Strike) тоже не сидели на месте и успели выпустить экстренное исправление для устранения баги.

Еще на выходных Fortra сообщила, что уязвимость используется в атаках, и предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах.

Поставщик решения напоминает, что вектор атаки этого эксплойта требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам.

Тем не менее, сканирование Shodan показывает, что в Интернете открыто около 1000 экземпляров GoAnywhere.

В случае невозможности немедленного экстренного исправления, разработчики GoAnywere MFT предлагают воспользоваться рекомендациями по смягчению последствий, включая разрешение доступа к интерфейсу администратора из надежных источников или отключение службы лицензирования.

Для старейшего почтового оператора Великобритании новый год начался не с потока клиентов, а с инцидента, который привел к приостановке международных отправлений.

Проблемы возникли 10 января и как выяснилось позже Royal Mail Group Limited пострадала от деятельности LockBit.

Изначально группа отрицала причастность к атаке, однако "письма счастья" с требованием выкупа все же дошли до адресата и содержали ссылки на форму переговоров и утечек LockBit в Tor.

Вероятно, злоумышленники подумали, что оператор со штатом в 15 000 офисов королевской почты по всей стране, миллиардными доходами и многовековой историей все же заплатит барыш за пентест компании.

В итоге LockBit подтвердил, что действительно стоял за атакой и развернул полезную нагрузку программы-вымогателя в системах Royal Mail, а также добавил, что предоставит дешифратор и удалят украденные данные, только после выплаты выкупа.

Время на подумать увы не много, так как на сайте утечек LockBit говорится, что данные будут опубликованы 9 февраля.

Зато повезло жертвам Cl0p ransomware, у которой недавно появилась версия, нацеленная на системы Linux.

Некогда Cl0p был одним из самых активных семейств программ-вымогателей за последние несколько лет, жертвами которой становились крупные частные и государственные организации по всему миру в критических областях.

Банду хакеров подкосила операция спецслужб в ноябре 2021 года, в результате которой были арестованы шесть участников. Тем не менее Cl0p продолжает использоваться в атаках. 

Так, в августе 2022 года Cl0p взял на себя ответственность за взлом британской компании водоснабжения, а с декабря стала использоваться Linux-версия Cl0p.

А на днях ресерчеры SentinelOne объявили об обнаружении в алгоритме шифрования Linux-варианте Cl0p уязвимости, связанной с жестко запрограммированным мастер-ключом RC4, что позволяет расшифровать файлы.

Благодаря своему открытию SentinelOne разработали скрипт Python (доступен на GitHub) для помощи жертвам в восстановлении своих данных.

Еще одна история про альтруизм, инфосек и bugbounty за спасибо.

Исследователь Итон Звеаре, по совместительству техдир Grape Intentions, рассказал, как ему удалось за 7 дней обнаружить и сообщить в Toyota о 4 различных проблемах безопасности, все из которых были классифицированы как «критические».

Одна из них могла иметь для компании чрезвычайно серьезные последствия. Благодаря ей Итон хакнул глобальную систему управления проектами Toyota GSPIMS.

При этом исследователь наглядно продемонстрировал полученный доступ к данным более чем 14 000 корпоративных пользователей, а также проектам, документам, данным поставщиков и многому др., включая таких партенеров, как Michelin, Continental, Stanley Black & Decker, HARMAN, Timken, BOS, Magna.

Проблема затрагивала функцию «действовать от имени» в механизме входа и позволяла авторизовываться в системе под любым корпоративным пользователем или поставщиком Toyota, используя лишь наименование электронной почты.

В конце концов он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись, которая предоставляла полный контроль над всей системой.

В случае реальной атаки злоумышленник смог бы без труда добавить привилегированную учетную запись и сохранить доступ, скачать и слить все конфиденциальные данные, а также разработать узконаправленную фишинговую кампанию, нацеленную на другие системы Toyota или ее партнеров.

3 ноября 2022 года Итон Звеаре уведомил о проблеме Toyota, которая в течение суток подтвердила отчет и еще через 20 дней исправила багу, заставив createJWT и findByEmail возвращать HTTP-статус 400 — Bad Request во всех случаях.

Несмотря на оперативность и эффективность реакции Toyota, вознаграждение за сообщение о критической ошибке (в числе прочих) составило 0 долларов. Ничего, в следующий раз спонсором выступит какой-нибудь брокер первоначального доступа или уязвимостей.

Разработчики ПО Secure Shell с открытым исходным кодом выпустили очередную версию обновлений для устранения уязвимости предварительной аутентификации в сервере OpenSSH версии 9.1.

Конкретно это версия, выпущенная в октябре 2022 года, оказалась подвержена уязвимости двойного освобождения в стандартной конфигурации сервера OpenSSH (sshd).

Баг отслеживается как CVE-2023-25136 и считается, что его не так уж легко использовать, так как процесс происходит в непривилегированном режиме предварительной аутентификации, а также дополнительно изолирован на большинстве основных платформ.

Потенциально двойное освобождение памяти может привести к условию Write-what-where Condition, что позволит злоумышленнику выполнить произвольный код.

Использование этой проблемы — непростая задача, так как это связано с защитными мерами, принятыми современными распределителями памяти, а также надежным разделением привилегий и песочницей, реализованными в уязвимом процессе sshd.

Тем не менее, пользователям рекомендуется обновиться до OpenSSH 9.2, чтобы снизить потенциальные угрозы безопасности.

͏IP man 👊

Британская инженерная компания Vesuvius со штатом до 10 000 сотрудников по всему миру заявила о киберинциденте, который привел к отключению систем.

Компания известна на рынке металла и керамики. Сейчас активно занимается расследованием и восстановлением систем. Акции Vesuvius упали на 3,8% в начале торгов.

Атака ransomware на южноафриканскую телеком компанию и поставщика облачного хостинга RSAWeb привела к длительному сбою и отключению услуг связи.

Инцидент произошел 1 февраля, и в течении последующей недели специалисты поднимали сеть. Атака затронула веб-сайт, интернет-сеть, мобильные устройства, хостинг, услуги VoIP и АТС.

Свой производственный цикл также был вынужден остановить производитель полупроводникового оборудования MKS Instruments.

Атака произошла на прошлой неделе и затронула производственные системы. Компания приступила к расследованию атаки и подсчету убытков, связанных с инцидентом.

Lockbit продолжают удерживать лидерство с послужным списком в 1364 жертвы. Незадолго до нашумевшей атаки на Royal Mail банда похвасталась новым десятком жертвами, среди которых Turkish Airlines, Airalbania, муниципалитет Медельина.

Кроме того, одной из жертв оказалась огромная продовольственная компания с доходом в 253 миллиона долларов из Румынии. Общий доход всех жертв вместе взятых составляет более 6 миллиардов долларов.

BlackCat успешно похакали швейцарскую управляющую компанию Finaport, которую припугнули небольшой утечкой корпоративной почты для достижения договоренностей по выкупу.

Как сообщает местная пресса, несмотря на сохраненные резервные копии, сайт Finaport по-прежнему недоступен. Да и верить о целостности базы данных клиентов тоже не приходится. Руководство отмалчивается на этот счет.

Тем временем команда Royal добавила еще одну статусную жертву на DLS: американскую технологическую компанию, которая предоставляет интегрированные услуги и решения для правительства США.

Avos Locker атаковали три компании из США и Уругвая. Общий доход всех компаний составляет более 180 миллионов долларов.

͏Давненько мы не касались вопросов инклюзивности нейроразнообразия в инфосек отрасли. Вы наверное соскучились уже? Ну так получите.

Родитель №1 (а также №2) Metasploit, компания Rapid7, с гордостью сообщает, что пятый год подряд включена в Индекс гендерного равенства (GEI), который публичным компаниям раздает Bloomberg. Для этого компании Rapid7 пришлось усердно потрудиться на ниве транспарентности и прочих гендерквиров.

Например, добавили три новые группы защиты сотрудников к предыдущим трем и теперь их (неожиданно!) целых шесть:
- Rapid7 Women - как подсказывает логика, занимается поддержкой и защитой прав женщин, а также людей, идентифицирующих себя как женщин;
- Moose Mosaic - поддержка и защита AAPI-сообщества (американские азиаты и выходцы с островов, гавайцы всякие и прочие таитяне);
- Moose Vets - поддержка ветеранов и выходцев из военного сообщества;
- Rapid7 Diversability and Neurodiversity - защита инвалидов и психопатов (самые эффективные сотрудники, говорят, те, у которых нет полмозга - сидят, мычат, азиатов не обижают);
- Rapid7 Vibranium - поддержка и защита чернокожих и латиноамериканцев;
- и, наконец, Rapid7 Pride - поддержка и защита сообщества LGBTQIA+.

Мы вот долго думали, что за буквы I и A прибавились к аббревиатуре LGBTQ+. Вдумчиво покурили. Оказалось, что I - это интерсекс (гермафродиты по-простому), а A - это асексуалы.

Кто может угнетать и преследовать асексуалов - мы решительно не понимаем. Типа как асексуал ходит по офису и говорит "не хочу сношаться", а за ним толпой ходят харассеры с воплями "ну, потрахайся же"?! Что вообще происходит в этом нашем инфосеке?!!!

Несмотря на множество негативных последствий, которые наступили для IT отрасли в общем и для инфосека в частности после введения рядом западных стран и компаний в 2022 году различного рода санкций и ограничений, есть моменты и положительные.

И, в первую очередь, они касаются вопросов импортозамещения ряда ключевого для информационной безопасности ПО.

Так, к февралю 2022 года около 60% SIEM, стоявших у российских компаний, были иностранного производства. Лидеры - Splunk, IBM, Micro Focus. Однако после начала СВО иностранные вендоры начали постепенно отваливаться, а дополнительный стимул поддал 250-й Указ о допмерах по обеспечению информационной безопасности РФ. Хотя, если честно, тот же Splunk начал выеживаться сильно раньше, году в 2018 еще, если нам склероз не изменяет.

Естественно, что отечественные компании были вынуждены переходить на MaxPatrol, KUMA или RuSIEM.

Из последних больших внедрений - Solar JSOC принял в боевую эксплуатацию Kaspersky Unified Monitoring and Analysis Platform (KUMA). На пилоте, насколько нам известно, стоят и MaxPatrol с RuSIEM. А прикрывает их всех Космос Elastic.

И это хорошо. Ауммммм.

В последнее время в мире вредоносного ПО прослеживается интересная тенденция, когда малварь в корни меняет свое предназначение.

Собственно такой тенденции последовал троян QBot на базе которого обнаружена новая кампания QakNote, использующая вредоносные вложения Microsoft OneNote.

QBot, ранее являвшийся банковским трояном, превратился во вредоносное ПО, которое специализируется на получении первоначального доступа для кражи данных, развертывания программ-вымогателей и других вредоносных действий.

Использование вложений OneNote в фишинговых электронных письмах появились в прошлом месяце как новый вектор атаки для замены вредоносных макросов в документах Office, которые Microsoft отключила еще в июле 2022 года, оставив злоумышленникам меньше возможностей для маневра с исполнением кода на целевых устройствах.

Эти вложения могут содержать файлы практически любого типа, включая вложения VBS или файлы LNK, которые могут выполняться, когда пользователь дважды нажмет на встроенное вложение в OneNote.

Чтобы заразить устройство, злоумышленники используют социальную инженерию, дабы убедить пользователей запустить вложение для просмотра файла.

Сами файлы содержат встроенное HTML-приложение (файл HTA), которое извлекает полезную нагрузку вредоносного ПО QBot.

Скрипт в файле HTA загружает малварь в папку C:\ProgramData и запускает его с помощью Rundll32.exe. Полезная нагрузка внедряется в диспетчер вспомогательных технологий Windows, чтобы избежать обнаружения антивирусными инструментами.

Специалисты из Sophos сообщают, что операторы QBot используют два метода для распространения файлов HTA: через электронные письма со встроенной ссылкой на заряженный файл .one и через потоковые инъекции.

Последний метод представляет собой сложную технику, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» с вредоносным файлом блокнота OneNote в качестве вложения.

Чтобы сделать эти атаки еще более изощрёнными, злоумышленники используют фальшивую кнопку в файле Notebook, которая якобы загружает документ из облака, но вместо этого запускает встроенное вложение HTA.

В качестве защиты от нового вектора атаки Sophos предлагает блокировать все файлы с расширением .one, поскольку они обычно не отправляются в виде вложений.

Несмотря на то, что запуск вложения приведет к появлению диалогового окна с соответствующим предупреждением, но как показывает практика подобные предупреждения жертвой обычно игнорируются, собственно на то и расчет.

👨🏻‍💻 Веб-маяки на сайтах и в электронной почте.

🖖🏻 Приветствую тебя user_name.

• Ты когда-нибудь задумывался над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга ты, возвращаясь в любимую социальную сеть, видишь рекламу, связанную с посещёнными тобой сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?

• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.

• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.

🧷 Читать статью.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ

Что касается некоторых фактологических ошибок в нашем вчерашнем посте про Solar JSOC.

Мы специально оставили их в тексте, чтобы враг не догадался как наносить ущерб информационной безопасности Российской Федерации. Потому что Solar JSOC - это объект критической информационной инфраструктуры.

Все согласно требованиям Приказа ФСБ № 457.

͏Очередная партия из 15 уязвимостей исправлена в обновленной версии Chrome 110: 110.0.5481.77/.78 для Windows и версии 110.0.5481.77 для Mac и Linux.

Версии браузера для iOS и Android обновлены до 110.0.5481.83 и 110.0.5481.63/.64 соответственно.

Львинную долю критических и серьезных баг обнаружили внешние исследователи по программе bugbounty.

Три уязвимости высокой степени серьезности относятся к ошибкам путаницы типов в движке V8, реализации в полноэкранном режиме и чтения вне границ в WebRTC.

CVE-2023-0696 описывается как повреждение кучи, которое можно использовать удаленно через созданную HTML-страницу. Сообщившему о ней исследователю Хэин Ли из KAIST Hacking Lab выплачено вознаграждение в размере 7000 долларов.

Вторая серьезная CVE-2023-0697 затрагивает Chrome для Android и может позволить удаленному злоумышленнику использовать созданную HTML-страницу для подделки содержимого пользовательского интерфейса безопасности. За труды компания вознаградила исследователя Ахмеда Эль-Масри 4000 долларов.

Другая CVE-2023-0698 может быть использована удаленно через HTML-страницу для выполнения чтения за пределами памяти. Исследователь Кэссиди Ким, сообщивший об ошибке, получил награду в размере 2000 долларов за находку.

Согласно бюллетеню, в Chrome 110 также устранены пять уязвимостей средней степени серьезности: ошибка использования после освобождения в графическом процессоре, проблема ненадлежащей реализации в загрузке, дефект переполнения буфера кучи в веб-интерфейсе и две баги с путаницей типов в передаче данных и инструментах разработчика.

Полный перечень всех изменений доступен в журнале. Google не упоминает об использовании каких-либо из этих уязвимостей в атаках.

Несмотря на выпущенные Siemens январские обновления для различных решении, Automation License Manager (ALM) оставалась уязвимой для двух серьезных недостатков, которые могут привести к взлому ICS.

ALM предназначен для централизованного управления лицензионными ключами ПО Siemens. Большинство программных продуктов используют его по умолчанию.

В связи с чем специалисты из Otorio полагают, что уязвимости затрагивают организации, использующие продукты Siemens, в том числе архиватор Simatic PCS 7, Sicam Device Manager, WinCC, TIA Portal и инженерный инструмент DIGSI.

Первый недостаток отслеживается как CVE-2022-43513 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, переименовывать и перемещать файлы лицензий от имени системного пользователя.

Другая проблема (CVE-2022-43514) позволяет удаленному злоумышленнику, также не прошедшему проверку подлинности, выполнять операции с файлами за пределами указанной корневой папки.

При это цепочка из двух уязвимостей может привести к RCE.

Со слов специалистов Otorio, злоумышленник, получивший доступ к сети операционных технологий (OT) целевой организации, даже с ограниченными разрешениями, может использовать уязвимости, чтобы полностью скомпрометировать всю сеть.

Например, PCS 7 Historian, который используется в качестве репозитория данных в промышленных процессах, может использоваться злоумышленником в качестве моста для перемещения из корпоративной сети и проникновения в сеть OT.

Как только злоумышленник взломает сервер Historian, он потенциально может получить доступ к инженерным системам, системам управления и мониторинга.

Также атака возможна посредством любой скомпрометированной станции с минимальными привилегиями, например тонкого клиента, имеющего доступ к одному из серверов Siemens.

Производитель выпустил патч для устранения критических уязвимостей в ALM 6, а для предыдущей версии разработчик предоставил лишь обходные пути и меры по смягчению последствий. Такая вот забота о клиентах.

͏Вслед за Microsoft DTAC новым универсальным набором TTPs, указывающим на принадлежность атакующих к APT России, Китая, Ирана или КНДР, о котором мы недавно писали, оперативно воспользовались чиновники из Великобритании.

Не просто чиновник, а целый член парламента, Стюарт Макдональд, рассказал об инциденте с фишингом, в результате которого была взломана его личная электронная почта.

Как он сам признается, попытки взломать парламентский аккаунт продолжаются и не увенчались успехом, а с личной почтой пришлось попрощаться.

В беседе с журналистами BBC Макдональд сообщил, что получил сообщение в январе 2023 года, которое пришло с реального адреса электронной почты одного из его сотрудников, которая спустя несколько дней была заблокирована из-за подозрительной активности. 

Щелкнув по документу, член парламента был перенаправлен на фишинговую страницу входа, которой надлежащим образом и воспользовался.

Связавшись с Национальным центром кибербезопасности (NCSC) по поводу инцидента, Макдональд сразу раскрыл преступление и пришел к выводу о причастности к нему российских хакеров.

Оперативно отработать кейс ему помог опубликованный NCSC в январе 2023 года бюллетень с указанием TTPs связанных с Россией и Ираном АРТ, которых обвиняли практически во всех фишинговых атаках на британских пользователей.

Налицо и все признаки оказались: 1 - хакеры атаковали цель через Интернет, 2 - в ходе фишинговой атаки они использовали один или несколько подставных ящиков на Outlook и Gmail, 3 - у хакерской атаки были негативные последствия.

Следуя логике документа, если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

Уровень читерства в Dota 2 дорос до нового уровня, причем кто больше виноват разработчики игры или сервис Steam вопрос философский.

Хакерской смекалки нет предела и очевидно, что злоумышленники фанаты игры.

Собственно, в чем суть: злоумышленники разместили вредоносные моды для Dota в магазине Steam, при использовании которых происходит установка бэкдора на компьютеры геймеров.

Проблему обнаружили исследователи Avast Threat Labs и установили что малварь скрывается под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339).

Смекалистый хакер также включил новый файл с именем evil.lua, который использовался для проверки возможностей выполнения Lua на стороне сервера. Этот вредоносный код может использоваться для ведения журнала, выполнения произвольных системных команд, создания сопрограмм и отправки HTTP-запросов GET.

Если в первом моде достаточно легко обнаружить бэкдор, то в трех новых читах выявить двадцать строк вредоносного кода, было гораздо сложнее.

Установленный бэкдор позволял злоумышленнику выполнять команды на зараженных устройствах и использовать иное вредоносное ПО.

В ряде случаев малварь использовалась для загрузки широко используемого эксплойта для Chrome CVE-2021-38003 - серьезной баге в движке Google V8 JavaScript и WebAssembly, которая в свое время использовалась в атаках как 0day и была исправлена в октябре 2021 года.

Avast сообщил о своих выводах разработчику игры, который уже обновил уязвимую версию V8 12 января 2023 года.

До этого Dota 2 вообще использовала версию v8.dll, скомпилированную в декабре 2018 года.

͏Лучшие инфосек-практики на канале Secator

͏Reddit сообщает о кибератаке, которая состоялась в воскресенье вечером и привела к взлому корпоративных систем и краже исходного кода.

Провернуть дело хакерам помог старый добрый фишинг, на который попались некоторые сотрудники Reddit.

В ходе атаки эмулировалась корпоративная страница авторизации, с помощью которой злоумышленники получили от нерадивых сотрудников учетные данные и токены двухфакторной аутентификации.

После чего злоумышленник смог проникнуть во внутреннюю сеть Reddit, получить доступ к информационным панелям и бизнес-системам, а также впоследствии успешно эксфильтровать данные и исходный код.

Предварительное расследование не подтверждает признаков взлома основных рабочих стеков Reddit и баз данных.

В числе скомпрометированных данных значится пока ограниченная контактная информация компании, а также сведения в отношении действующих и бывших сотрудников.

Также, вероятно, украдены сведения о рекламодателях, но более конкретная финансовая информация, статистика рекламных кампаний не пострадали.

Reddit сообщает, что они узнали о взломе от сотрудника, которого подломили хакеры.

Другие обстоятельства инцидента компания не разглашает, лишь указывая на аналогичную недавнюю атаку в отношении Riot Games.

Резюмируя, не можем не согласиться с vx-undeground относительно того, что инциденты с Reddit, Riot Games, Microsoft, Rockstar Games, NVIDIA, Okta, Uber, Ubisoft и Samsung отражают парадигму современного инфосека, в целом, как-то так 👇

Критическая инфраструктура может оказаться под угрозой из-за новых уязвимостей в беспроводных устройствах IIoT.

В рамах широкого исследования в решениях ведущих поставщиков исследователями израильской Otorio был обнаружен набор из 38 уязвимостей, которые могут стать серьезной поверхностью для атак, нацеленных на среды операционных технологий OT.

Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимости в беспроводных устройствах IIoT для обхода защиты и получения первоначального доступа к внутренним сетям OT, подвергая серьезному риску критическую инфраструктуру или производство.

Некоторые из выявленных недостатков могут быть объединены в цепочку, которая обеспечит внешнему актору прямой доступ к тысячам внутренних сетей OT через Интернет.

Три уязвимости (CVE-2022-3703, CVE-2022-41607 и CVE-2022-40981) затрагивают сервер удаленного доступа (RAS) ETIC Telecom и могут быть использованы для полного перехвата контроля над уязвимыми устройствами.

Пять других уязвимостей касаются InHand Networks InRouter 302 и InRouter 615, эксплуатация которых может привести к внедрению команд, раскрытию информации и RCE.

Они затрагивают облачную платформу «диспетчер устройств», которая позволяет операторам выполнять удаленные действия (изменение конфигурации и обновление прошивки).

Вмешательство приведет к компрометации каждого управляемого облаком устройства InRouter с привилегиями root.

Две уязвимости выявлены в маршрутизаторе Sierra Wireless AirLink Router (CVE-2022-46649 и CVE-2022-46650).

Баги могут привести к потере конфиденциальной информации и RCE. Остальные недостатки - на стадии раскрытия.

Полученные исследователями результаты показывают, что сети OT могут быть подвержены серьезному риску, если открыть устройства IIoT в Интернет, фактически создав единую точку отказа, которая позволит обойти все средства защиты.

Кроме того, локальные злоумышленники, нацелившись на локальные каналы Wi-Fi или сотовые каналы, могут реализовать сценарии «противник посередине» AitM с неблагоприятным потенциальным воздействием.

Атаки могут варьироваться от нацеливания на слабые схемы шифрования до атак сосуществования, направленных на комбинированные чипы, широко используемые в электронных устройствах.

По мнению Otorio, для их осуществления злоумышленники могут использовать такие платформы, как WiGLE, которая представляет собой базу данных различных беспроводных точек доступа по всему миру, что отлично пригодится для выявления ценных промышленных сред, их местонахождения и эксплуатации точек доступа в непосредственной близости.

В качестве контрмер рекомендуется отключать небезопасные схемы шифрования, скрывать имена сетей Wi-Fi, отключать неиспользуемые облачные службы управления и принимать меры для предотвращения публичного доступа к устройствам.