͏Давненько мы не касались вопросов инклюзивности нейроразнообразия в инфосек отрасли. Вы наверное соскучились уже? Ну так получите.
Родитель №1 (а также №2) Metasploit, компания Rapid7, с гордостью сообщает, что пятый год подряд включена в Индекс гендерного равенства (GEI), который публичным компаниям раздает Bloomberg. Для этого компании Rapid7 пришлось усердно потрудиться на ниве транспарентности и прочих гендерквиров.
Например, добавили три новые группы защиты сотрудников к предыдущим трем и теперь их (неожиданно!) целых шесть:
- Rapid7 Women - как подсказывает логика, занимается поддержкой и защитой прав женщин, а также людей, идентифицирующих себя как женщин;
- Moose Mosaic - поддержка и защита AAPI-сообщества (американские азиаты и выходцы с островов, гавайцы всякие и прочие таитяне);
- Moose Vets - поддержка ветеранов и выходцев из военного сообщества;
- Rapid7 Diversability and Neurodiversity - защита инвалидов и психопатов (самые эффективные сотрудники, говорят, те, у которых нет полмозга - сидят, мычат, азиатов не обижают);
- Rapid7 Vibranium - поддержка и защита чернокожих и латиноамериканцев;
- и, наконец, Rapid7 Pride - поддержка и защита сообщества LGBTQIA+.
Мы вот долго думали, что за буквы I и A прибавились к аббревиатуре LGBTQ+. Вдумчиво покурили. Оказалось, что I - это интерсекс (гермафродиты по-простому), а A - это асексуалы.
Кто может угнетать и преследовать асексуалов - мы решительно не понимаем. Типа как асексуал ходит по офису и говорит "не хочу сношаться", а за ним толпой ходят харассеры с воплями "ну, потрахайся же"?! Что вообще происходит в этом нашем инфосеке?!!!
Родитель №1 (а также №2) Metasploit, компания Rapid7, с гордостью сообщает, что пятый год подряд включена в Индекс гендерного равенства (GEI), который публичным компаниям раздает Bloomberg. Для этого компании Rapid7 пришлось усердно потрудиться на ниве транспарентности и прочих гендерквиров.
Например, добавили три новые группы защиты сотрудников к предыдущим трем и теперь их (неожиданно!) целых шесть:
- Rapid7 Women - как подсказывает логика, занимается поддержкой и защитой прав женщин, а также людей, идентифицирующих себя как женщин;
- Moose Mosaic - поддержка и защита AAPI-сообщества (американские азиаты и выходцы с островов, гавайцы всякие и прочие таитяне);
- Moose Vets - поддержка ветеранов и выходцев из военного сообщества;
- Rapid7 Diversability and Neurodiversity - защита инвалидов и психопатов (самые эффективные сотрудники, говорят, те, у которых нет полмозга - сидят, мычат, азиатов не обижают);
- Rapid7 Vibranium - поддержка и защита чернокожих и латиноамериканцев;
- и, наконец, Rapid7 Pride - поддержка и защита сообщества LGBTQIA+.
Мы вот долго думали, что за буквы I и A прибавились к аббревиатуре LGBTQ+. Вдумчиво покурили. Оказалось, что I - это интерсекс (гермафродиты по-простому), а A - это асексуалы.
Кто может угнетать и преследовать асексуалов - мы решительно не понимаем. Типа как асексуал ходит по офису и говорит "не хочу сношаться", а за ним толпой ходят харассеры с воплями "ну, потрахайся же"?! Что вообще происходит в этом нашем инфосеке?!!!
Несмотря на множество негативных последствий, которые наступили для IT отрасли в общем и для инфосека в частности после введения рядом западных стран и компаний в 2022 году различного рода санкций и ограничений, есть моменты и положительные.
И, в первую очередь, они касаются вопросов импортозамещения ряда ключевого для информационной безопасности ПО.
Так, к февралю 2022 года около 60% SIEM, стоявших у российских компаний, были иностранного производства. Лидеры - Splunk, IBM, Micro Focus. Однако после начала СВО иностранные вендоры начали постепенно отваливаться, а дополнительный стимул поддал 250-й Указ о допмерах по обеспечению информационной безопасности РФ. Хотя, если честно, тот же Splunk начал выеживаться сильно раньше, году в 2018 еще, если нам склероз не изменяет.
Естественно, что отечественные компании были вынуждены переходить на MaxPatrol, KUMA или RuSIEM.
Из последних больших внедрений - Solar JSOC принял в боевую эксплуатацию Kaspersky Unified Monitoring and Analysis Platform (KUMA). На пилоте, насколько нам известно, стоят и MaxPatrol с RuSIEM. А прикрывает их всехКосмос Elastic.
И это хорошо. Ауммммм.
И, в первую очередь, они касаются вопросов импортозамещения ряда ключевого для информационной безопасности ПО.
Так, к февралю 2022 года около 60% SIEM, стоявших у российских компаний, были иностранного производства. Лидеры - Splunk, IBM, Micro Focus. Однако после начала СВО иностранные вендоры начали постепенно отваливаться, а дополнительный стимул поддал 250-й Указ о допмерах по обеспечению информационной безопасности РФ. Хотя, если честно, тот же Splunk начал выеживаться сильно раньше, году в 2018 еще, если нам склероз не изменяет.
Естественно, что отечественные компании были вынуждены переходить на MaxPatrol, KUMA или RuSIEM.
Из последних больших внедрений - Solar JSOC принял в боевую эксплуатацию Kaspersky Unified Monitoring and Analysis Platform (KUMA). На пилоте, насколько нам известно, стоят и MaxPatrol с RuSIEM. А прикрывает их всех
И это хорошо. Ауммммм.
/
SIEM «Лаборатории Касперского» обеспечит безопасность клиентов Solar JSOC
Для оказания сервисов по мониторингу и реагированию на кибератаки «Ростелеком-Солар» запустил в работу SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA)
В последнее время в мире вредоносного ПО прослеживается интересная тенденция, когда малварь в корни меняет свое предназначение.
Собственно такой тенденции последовал троян QBot на базе которого обнаружена новая кампания QakNote, использующая вредоносные вложения Microsoft OneNote.
QBot, ранее являвшийся банковским трояном, превратился во вредоносное ПО, которое специализируется на получении первоначального доступа для кражи данных, развертывания программ-вымогателей и других вредоносных действий.
Использование вложений OneNote в фишинговых электронных письмах появились в прошлом месяце как новый вектор атаки для замены вредоносных макросов в документах Office, которые Microsoft отключила еще в июле 2022 года, оставив злоумышленникам меньше возможностей для маневра с исполнением кода на целевых устройствах.
Эти вложения могут содержать файлы практически любого типа, включая вложения VBS или файлы LNK, которые могут выполняться, когда пользователь дважды нажмет на встроенное вложение в OneNote.
Чтобы заразить устройство, злоумышленники используют социальную инженерию, дабы убедить пользователей запустить вложение для просмотра файла.
Сами файлы содержат встроенное HTML-приложение (файл HTA), которое извлекает полезную нагрузку вредоносного ПО QBot.
Скрипт в файле HTA загружает малварь в папку C:\ProgramData и запускает его с помощью Rundll32.exe. Полезная нагрузка внедряется в диспетчер вспомогательных технологий Windows, чтобы избежать обнаружения антивирусными инструментами.
Специалисты из Sophos сообщают, что операторы QBot используют два метода для распространения файлов HTA: через электронные письма со встроенной ссылкой на заряженный файл .one и через потоковые инъекции.
Последний метод представляет собой сложную технику, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» с вредоносным файлом блокнота OneNote в качестве вложения.
Чтобы сделать эти атаки еще более изощрёнными, злоумышленники используют фальшивую кнопку в файле Notebook, которая якобы загружает документ из облака, но вместо этого запускает встроенное вложение HTA.
В качестве защиты от нового вектора атаки Sophos предлагает блокировать все файлы с расширением .one, поскольку они обычно не отправляются в виде вложений.
Несмотря на то, что запуск вложения приведет к появлению диалогового окна с соответствующим предупреждением, но как показывает практика подобные предупреждения жертвой обычно игнорируются, собственно на то и расчет.
Собственно такой тенденции последовал троян QBot на базе которого обнаружена новая кампания QakNote, использующая вредоносные вложения Microsoft OneNote.
QBot, ранее являвшийся банковским трояном, превратился во вредоносное ПО, которое специализируется на получении первоначального доступа для кражи данных, развертывания программ-вымогателей и других вредоносных действий.
Использование вложений OneNote в фишинговых электронных письмах появились в прошлом месяце как новый вектор атаки для замены вредоносных макросов в документах Office, которые Microsoft отключила еще в июле 2022 года, оставив злоумышленникам меньше возможностей для маневра с исполнением кода на целевых устройствах.
Эти вложения могут содержать файлы практически любого типа, включая вложения VBS или файлы LNK, которые могут выполняться, когда пользователь дважды нажмет на встроенное вложение в OneNote.
Чтобы заразить устройство, злоумышленники используют социальную инженерию, дабы убедить пользователей запустить вложение для просмотра файла.
Сами файлы содержат встроенное HTML-приложение (файл HTA), которое извлекает полезную нагрузку вредоносного ПО QBot.
Скрипт в файле HTA загружает малварь в папку C:\ProgramData и запускает его с помощью Rundll32.exe. Полезная нагрузка внедряется в диспетчер вспомогательных технологий Windows, чтобы избежать обнаружения антивирусными инструментами.
Специалисты из Sophos сообщают, что операторы QBot используют два метода для распространения файлов HTA: через электронные письма со встроенной ссылкой на заряженный файл .one и через потоковые инъекции.
Последний метод представляет собой сложную технику, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» с вредоносным файлом блокнота OneNote в качестве вложения.
Чтобы сделать эти атаки еще более изощрёнными, злоумышленники используют фальшивую кнопку в файле Notebook, которая якобы загружает документ из облака, но вместо этого запускает встроенное вложение HTA.
В качестве защиты от нового вектора атаки Sophos предлагает блокировать все файлы с расширением .one, поскольку они обычно не отправляются в виде вложений.
Несмотря на то, что запуск вложения приведет к появлению диалогового окна с соответствующим предупреждением, но как показывает практика подобные предупреждения жертвой обычно игнорируются, собственно на то и расчет.
Sophos News
Qakbot mechanizes distribution of malicious OneNote notebooks
A large-scale “QakNote” attack deploys malicious .one files as a novel infection vector
Forwarded from Social Engineering
👨🏻💻 Веб-маяки на сайтах и в электронной почте.
• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.
• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.
🧷 Читать статью.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ
🖖🏻 Приветствую тебя user_name.
• Ты когда-нибудь задумывался над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга ты, возвращаясь в любимую социальную сеть, видишь рекламу, связанную с посещёнными тобой сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.
• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.
🧷 Читать статью.
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ
Что касается некоторых фактологических ошибок в нашем вчерашнем посте про Solar JSOC.
Мы специально оставили их в тексте, чтобы враг не догадался как наносить ущерб информационной безопасности Российской Федерации. Потому что Solar JSOC - это объект критической информационной инфраструктуры.
Все согласно требованиям Приказа ФСБ № 457.
Мы специально оставили их в тексте, чтобы враг не догадался как наносить ущерб информационной безопасности Российской Федерации. Потому что Solar JSOC - это объект критической информационной инфраструктуры.
Все согласно требованиям Приказа ФСБ № 457.
Telegram
SecAtor
Несмотря на множество негативных последствий, которые наступили для IT отрасли в общем и для инфосека в частности после введения рядом западных стран и компаний в 2022 году различного рода санкций и ограничений, есть моменты и положительные.
И, в первую…
И, в первую…
͏Очередная партия из 15 уязвимостей исправлена в обновленной версии Chrome 110: 110.0.5481.77/.78 для Windows и версии 110.0.5481.77 для Mac и Linux.
Версии браузера для iOS и Android обновлены до 110.0.5481.83 и 110.0.5481.63/.64 соответственно.
Львинную долю критических и серьезных баг обнаружили внешние исследователи по программе bugbounty.
Три уязвимости высокой степени серьезности относятся к ошибкам путаницы типов в движке V8, реализации в полноэкранном режиме и чтения вне границ в WebRTC.
CVE-2023-0696 описывается как повреждение кучи, которое можно использовать удаленно через созданную HTML-страницу. Сообщившему о ней исследователю Хэин Ли из KAIST Hacking Lab выплачено вознаграждение в размере 7000 долларов.
Вторая серьезная CVE-2023-0697 затрагивает Chrome для Android и может позволить удаленному злоумышленнику использовать созданную HTML-страницу для подделки содержимого пользовательского интерфейса безопасности. За труды компания вознаградила исследователя Ахмеда Эль-Масри 4000 долларов.
Другая CVE-2023-0698 может быть использована удаленно через HTML-страницу для выполнения чтения за пределами памяти. Исследователь Кэссиди Ким, сообщивший об ошибке, получил награду в размере 2000 долларов за находку.
Согласно бюллетеню, в Chrome 110 также устранены пять уязвимостей средней степени серьезности: ошибка использования после освобождения в графическом процессоре, проблема ненадлежащей реализации в загрузке, дефект переполнения буфера кучи в веб-интерфейсе и две баги с путаницей типов в передаче данных и инструментах разработчика.
Полный перечень всех изменений доступен в журнале. Google не упоминает об использовании каких-либо из этих уязвимостей в атаках.
Версии браузера для iOS и Android обновлены до 110.0.5481.83 и 110.0.5481.63/.64 соответственно.
Львинную долю критических и серьезных баг обнаружили внешние исследователи по программе bugbounty.
Три уязвимости высокой степени серьезности относятся к ошибкам путаницы типов в движке V8, реализации в полноэкранном режиме и чтения вне границ в WebRTC.
CVE-2023-0696 описывается как повреждение кучи, которое можно использовать удаленно через созданную HTML-страницу. Сообщившему о ней исследователю Хэин Ли из KAIST Hacking Lab выплачено вознаграждение в размере 7000 долларов.
Вторая серьезная CVE-2023-0697 затрагивает Chrome для Android и может позволить удаленному злоумышленнику использовать созданную HTML-страницу для подделки содержимого пользовательского интерфейса безопасности. За труды компания вознаградила исследователя Ахмеда Эль-Масри 4000 долларов.
Другая CVE-2023-0698 может быть использована удаленно через HTML-страницу для выполнения чтения за пределами памяти. Исследователь Кэссиди Ким, сообщивший об ошибке, получил награду в размере 2000 долларов за находку.
Согласно бюллетеню, в Chrome 110 также устранены пять уязвимостей средней степени серьезности: ошибка использования после освобождения в графическом процессоре, проблема ненадлежащей реализации в загрузке, дефект переполнения буфера кучи в веб-интерфейсе и две баги с путаницей типов в передаче данных и инструментах разработчика.
Полный перечень всех изменений доступен в журнале. Google не упоминает об использовании каких-либо из этих уязвимостей в атаках.
Несмотря на выпущенные Siemens январские обновления для различных решении, Automation License Manager (ALM) оставалась уязвимой для двух серьезных недостатков, которые могут привести к взлому ICS.
ALM предназначен для централизованного управления лицензионными ключами ПО Siemens. Большинство программных продуктов используют его по умолчанию.
В связи с чем специалисты из Otorio полагают, что уязвимости затрагивают организации, использующие продукты Siemens, в том числе архиватор Simatic PCS 7, Sicam Device Manager, WinCC, TIA Portal и инженерный инструмент DIGSI.
Первый недостаток отслеживается как CVE-2022-43513 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, переименовывать и перемещать файлы лицензий от имени системного пользователя.
Другая проблема (CVE-2022-43514) позволяет удаленному злоумышленнику, также не прошедшему проверку подлинности, выполнять операции с файлами за пределами указанной корневой папки.
При это цепочка из двух уязвимостей может привести к RCE.
Со слов специалистов Otorio, злоумышленник, получивший доступ к сети операционных технологий (OT) целевой организации, даже с ограниченными разрешениями, может использовать уязвимости, чтобы полностью скомпрометировать всю сеть.
Например, PCS 7 Historian, который используется в качестве репозитория данных в промышленных процессах, может использоваться злоумышленником в качестве моста для перемещения из корпоративной сети и проникновения в сеть OT.
Как только злоумышленник взломает сервер Historian, он потенциально может получить доступ к инженерным системам, системам управления и мониторинга.
Также атака возможна посредством любой скомпрометированной станции с минимальными привилегиями, например тонкого клиента, имеющего доступ к одному из серверов Siemens.
Производитель выпустил патч для устранения критических уязвимостей в ALM 6, а для предыдущей версии разработчик предоставил лишь обходные пути и меры по смягчению последствий. Такая вот забота о клиентах.
ALM предназначен для централизованного управления лицензионными ключами ПО Siemens. Большинство программных продуктов используют его по умолчанию.
В связи с чем специалисты из Otorio полагают, что уязвимости затрагивают организации, использующие продукты Siemens, в том числе архиватор Simatic PCS 7, Sicam Device Manager, WinCC, TIA Portal и инженерный инструмент DIGSI.
Первый недостаток отслеживается как CVE-2022-43513 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, переименовывать и перемещать файлы лицензий от имени системного пользователя.
Другая проблема (CVE-2022-43514) позволяет удаленному злоумышленнику, также не прошедшему проверку подлинности, выполнять операции с файлами за пределами указанной корневой папки.
При это цепочка из двух уязвимостей может привести к RCE.
Со слов специалистов Otorio, злоумышленник, получивший доступ к сети операционных технологий (OT) целевой организации, даже с ограниченными разрешениями, может использовать уязвимости, чтобы полностью скомпрометировать всю сеть.
Например, PCS 7 Historian, который используется в качестве репозитория данных в промышленных процессах, может использоваться злоумышленником в качестве моста для перемещения из корпоративной сети и проникновения в сеть OT.
Как только злоумышленник взломает сервер Historian, он потенциально может получить доступ к инженерным системам, системам управления и мониторинга.
Также атака возможна посредством любой скомпрометированной станции с минимальными привилегиями, например тонкого клиента, имеющего доступ к одному из серверов Siemens.
Производитель выпустил патч для устранения критических уязвимостей в ALM 6, а для предыдущей версии разработчик предоставил лишь обходные пути и меры по смягчению последствий. Такая вот забота о клиентах.
Otorio
OTORIO Research Team Uncovers RCE affecting Siemens Servers Including PCS 7
Critical vulnerabilities in Siemens ALM puts multiple Siemens products at high risk of breach, say OTORIO researchers.
͏Вслед за Microsoft DTAC новым универсальным набором TTPs, указывающим на принадлежность атакующих к APT России, Китая, Ирана или КНДР, о котором мы недавно писали, оперативно воспользовались чиновники из Великобритании.
Не просто чиновник, а целый член парламента, Стюарт Макдональд, рассказал об инциденте с фишингом, в результате которого была взломана его личная электронная почта.
Как он сам признается, попытки взломать парламентский аккаунт продолжаются и не увенчались успехом, а с личной почтой пришлось попрощаться.
В беседе с журналистами BBC Макдональд сообщил, что получил сообщение в январе 2023 года, которое пришло с реального адреса электронной почты одного из его сотрудников, которая спустя несколько дней была заблокирована из-за подозрительной активности.
Щелкнув по документу, член парламента был перенаправлен на фишинговую страницу входа, которой надлежащим образом и воспользовался.
Связавшись с Национальным центром кибербезопасности (NCSC) по поводу инцидента, Макдональд сразу раскрыл преступление и пришел к выводу о причастности к нему российских хакеров.
Оперативно отработать кейс ему помог опубликованный NCSC в январе 2023 года бюллетень с указанием TTPs связанных с Россией и Ираном АРТ, которых обвиняли практически во всех фишинговых атаках на британских пользователей.
Налицо и все признаки оказались: 1 - хакеры атаковали цель через Интернет, 2 - в ходе фишинговой атаки они использовали один или несколько подставных ящиков на Outlook и Gmail, 3 - у хакерской атаки были негативные последствия.
Следуя логике документа, если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)
Не просто чиновник, а целый член парламента, Стюарт Макдональд, рассказал об инциденте с фишингом, в результате которого была взломана его личная электронная почта.
Как он сам признается, попытки взломать парламентский аккаунт продолжаются и не увенчались успехом, а с личной почтой пришлось попрощаться.
В беседе с журналистами BBC Макдональд сообщил, что получил сообщение в январе 2023 года, которое пришло с реального адреса электронной почты одного из его сотрудников, которая спустя несколько дней была заблокирована из-за подозрительной активности.
Щелкнув по документу, член парламента был перенаправлен на фишинговую страницу входа, которой надлежащим образом и воспользовался.
Связавшись с Национальным центром кибербезопасности (NCSC) по поводу инцидента, Макдональд сразу раскрыл преступление и пришел к выводу о причастности к нему российских хакеров.
Оперативно отработать кейс ему помог опубликованный NCSC в январе 2023 года бюллетень с указанием TTPs связанных с Россией и Ираном АРТ, которых обвиняли практически во всех фишинговых атаках на британских пользователей.
Налицо и все признаки оказались: 1 - хакеры атаковали цель через Интернет, 2 - в ходе фишинговой атаки они использовали один или несколько подставных ящиков на Outlook и Gmail, 3 - у хакерской атаки были негативные последствия.
Следуя логике документа, если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)
Уровень читерства в Dota 2 дорос до нового уровня, причем кто больше виноват разработчики игры или сервис Steam вопрос философский.
Хакерской смекалки нет предела и очевидно, что злоумышленники фанаты игры.
Собственно, в чем суть: злоумышленники разместили вредоносные моды для Dota в магазине Steam, при использовании которых происходит установка бэкдора на компьютеры геймеров.
Проблему обнаружили исследователи Avast Threat Labs и установили что малварь скрывается под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339).
Смекалистый хакер также включил новый файл с именем evil.lua, который использовался для проверки возможностей выполнения Lua на стороне сервера. Этот вредоносный код может использоваться для ведения журнала, выполнения произвольных системных команд, создания сопрограмм и отправки HTTP-запросов GET.
Если в первом моде достаточно легко обнаружить бэкдор, то в трех новых читах выявить двадцать строк вредоносного кода, было гораздо сложнее.
Установленный бэкдор позволял злоумышленнику выполнять команды на зараженных устройствах и использовать иное вредоносное ПО.
В ряде случаев малварь использовалась для загрузки широко используемого эксплойта для Chrome CVE-2021-38003 - серьезной баге в движке Google V8 JavaScript и WebAssembly, которая в свое время использовалась в атаках как 0day и была исправлена в октябре 2021 года.
Avast сообщил о своих выводах разработчику игры, который уже обновил уязвимую версию V8 12 января 2023 года.
До этого Dota 2 вообще использовала версию v8.dll, скомпилированную в декабре 2018 года.
Хакерской смекалки нет предела и очевидно, что злоумышленники фанаты игры.
Собственно, в чем суть: злоумышленники разместили вредоносные моды для Dota в магазине Steam, при использовании которых происходит установка бэкдора на компьютеры геймеров.
Проблему обнаружили исследователи Avast Threat Labs и установили что малварь скрывается под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339).
Смекалистый хакер также включил новый файл с именем evil.lua, который использовался для проверки возможностей выполнения Lua на стороне сервера. Этот вредоносный код может использоваться для ведения журнала, выполнения произвольных системных команд, создания сопрограмм и отправки HTTP-запросов GET.
Если в первом моде достаточно легко обнаружить бэкдор, то в трех новых читах выявить двадцать строк вредоносного кода, было гораздо сложнее.
Установленный бэкдор позволял злоумышленнику выполнять команды на зараженных устройствах и использовать иное вредоносное ПО.
В ряде случаев малварь использовалась для загрузки широко используемого эксплойта для Chrome CVE-2021-38003 - серьезной баге в движке Google V8 JavaScript и WebAssembly, которая в свое время использовалась в атаках как 0day и была исправлена в октябре 2021 года.
Avast сообщил о своих выводах разработчику игры, который уже обновил уязвимую версию V8 12 января 2023 года.
До этого Dota 2 вообще использовала версию v8.dll, скомпилированную в декабре 2018 года.
Gendigital
Dota 2 under attack: How a V8 bug was exploited in the game
Exploiting V8 in Popular Games
͏Reddit сообщает о кибератаке, которая состоялась в воскресенье вечером и привела к взлому корпоративных систем и краже исходного кода.
Провернуть дело хакерам помог старый добрый фишинг, на который попались некоторые сотрудники Reddit.
В ходе атаки эмулировалась корпоративная страница авторизации, с помощью которой злоумышленники получили от нерадивых сотрудников учетные данные и токены двухфакторной аутентификации.
После чего злоумышленник смог проникнуть во внутреннюю сеть Reddit, получить доступ к информационным панелям и бизнес-системам, а также впоследствии успешно эксфильтровать данные и исходный код.
Предварительное расследование не подтверждает признаков взлома основных рабочих стеков Reddit и баз данных.
В числе скомпрометированных данных значится пока ограниченная контактная информация компании, а также сведения в отношении действующих и бывших сотрудников.
Также, вероятно, украдены сведения о рекламодателях, но более конкретная финансовая информация, статистика рекламных кампаний не пострадали.
Reddit сообщает, что они узнали о взломе от сотрудника, которого подломили хакеры.
Другие обстоятельства инцидента компания не разглашает, лишь указывая на аналогичную недавнюю атаку в отношении Riot Games.
Резюмируя, не можем не согласиться с vx-undeground относительно того, что инциденты с Reddit, Riot Games, Microsoft, Rockstar Games, NVIDIA, Okta, Uber, Ubisoft и Samsung отражают парадигму современного инфосека, в целом, как-то так 👇
Провернуть дело хакерам помог старый добрый фишинг, на который попались некоторые сотрудники Reddit.
В ходе атаки эмулировалась корпоративная страница авторизации, с помощью которой злоумышленники получили от нерадивых сотрудников учетные данные и токены двухфакторной аутентификации.
После чего злоумышленник смог проникнуть во внутреннюю сеть Reddit, получить доступ к информационным панелям и бизнес-системам, а также впоследствии успешно эксфильтровать данные и исходный код.
Предварительное расследование не подтверждает признаков взлома основных рабочих стеков Reddit и баз данных.
В числе скомпрометированных данных значится пока ограниченная контактная информация компании, а также сведения в отношении действующих и бывших сотрудников.
Также, вероятно, украдены сведения о рекламодателях, но более конкретная финансовая информация, статистика рекламных кампаний не пострадали.
Reddit сообщает, что они узнали о взломе от сотрудника, которого подломили хакеры.
Другие обстоятельства инцидента компания не разглашает, лишь указывая на аналогичную недавнюю атаку в отношении Riot Games.
Резюмируя, не можем не согласиться с vx-undeground относительно того, что инциденты с Reddit, Riot Games, Microsoft, Rockstar Games, NVIDIA, Okta, Uber, Ubisoft и Samsung отражают парадигму современного инфосека, в целом, как-то так 👇
Критическая инфраструктура может оказаться под угрозой из-за новых уязвимостей в беспроводных устройствах IIoT.
В рамах широкого исследования в решениях ведущих поставщиков исследователями израильской Otorio был обнаружен набор из 38 уязвимостей, которые могут стать серьезной поверхностью для атак, нацеленных на среды операционных технологий OT.
Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимости в беспроводных устройствах IIoT для обхода защиты и получения первоначального доступа к внутренним сетям OT, подвергая серьезному риску критическую инфраструктуру или производство.
Некоторые из выявленных недостатков могут быть объединены в цепочку, которая обеспечит внешнему актору прямой доступ к тысячам внутренних сетей OT через Интернет.
Три уязвимости (CVE-2022-3703, CVE-2022-41607 и CVE-2022-40981) затрагивают сервер удаленного доступа (RAS) ETIC Telecom и могут быть использованы для полного перехвата контроля над уязвимыми устройствами.
Пять других уязвимостей касаются InHand Networks InRouter 302 и InRouter 615, эксплуатация которых может привести к внедрению команд, раскрытию информации и RCE.
Они затрагивают облачную платформу «диспетчер устройств», которая позволяет операторам выполнять удаленные действия (изменение конфигурации и обновление прошивки).
Вмешательство приведет к компрометации каждого управляемого облаком устройства InRouter с привилегиями root.
Две уязвимости выявлены в маршрутизаторе Sierra Wireless AirLink Router (CVE-2022-46649 и CVE-2022-46650).
Баги могут привести к потере конфиденциальной информации и RCE. Остальные недостатки - на стадии раскрытия.
Полученные исследователями результаты показывают, что сети OT могут быть подвержены серьезному риску, если открыть устройства IIoT в Интернет, фактически создав единую точку отказа, которая позволит обойти все средства защиты.
Кроме того, локальные злоумышленники, нацелившись на локальные каналы Wi-Fi или сотовые каналы, могут реализовать сценарии «противник посередине» AitM с неблагоприятным потенциальным воздействием.
Атаки могут варьироваться от нацеливания на слабые схемы шифрования до атак сосуществования, направленных на комбинированные чипы, широко используемые в электронных устройствах.
По мнению Otorio, для их осуществления злоумышленники могут использовать такие платформы, как WiGLE, которая представляет собой базу данных различных беспроводных точек доступа по всему миру, что отлично пригодится для выявления ценных промышленных сред, их местонахождения и эксплуатации точек доступа в непосредственной близости.
В качестве контрмер рекомендуется отключать небезопасные схемы шифрования, скрывать имена сетей Wi-Fi, отключать неиспользуемые облачные службы управления и принимать меры для предотвращения публичного доступа к устройствам.
В рамах широкого исследования в решениях ведущих поставщиков исследователями израильской Otorio был обнаружен набор из 38 уязвимостей, которые могут стать серьезной поверхностью для атак, нацеленных на среды операционных технологий OT.
Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимости в беспроводных устройствах IIoT для обхода защиты и получения первоначального доступа к внутренним сетям OT, подвергая серьезному риску критическую инфраструктуру или производство.
Некоторые из выявленных недостатков могут быть объединены в цепочку, которая обеспечит внешнему актору прямой доступ к тысячам внутренних сетей OT через Интернет.
Три уязвимости (CVE-2022-3703, CVE-2022-41607 и CVE-2022-40981) затрагивают сервер удаленного доступа (RAS) ETIC Telecom и могут быть использованы для полного перехвата контроля над уязвимыми устройствами.
Пять других уязвимостей касаются InHand Networks InRouter 302 и InRouter 615, эксплуатация которых может привести к внедрению команд, раскрытию информации и RCE.
Они затрагивают облачную платформу «диспетчер устройств», которая позволяет операторам выполнять удаленные действия (изменение конфигурации и обновление прошивки).
Вмешательство приведет к компрометации каждого управляемого облаком устройства InRouter с привилегиями root.
Две уязвимости выявлены в маршрутизаторе Sierra Wireless AirLink Router (CVE-2022-46649 и CVE-2022-46650).
Баги могут привести к потере конфиденциальной информации и RCE. Остальные недостатки - на стадии раскрытия.
Полученные исследователями результаты показывают, что сети OT могут быть подвержены серьезному риску, если открыть устройства IIoT в Интернет, фактически создав единую точку отказа, которая позволит обойти все средства защиты.
Кроме того, локальные злоумышленники, нацелившись на локальные каналы Wi-Fi или сотовые каналы, могут реализовать сценарии «противник посередине» AitM с неблагоприятным потенциальным воздействием.
Атаки могут варьироваться от нацеливания на слабые схемы шифрования до атак сосуществования, направленных на комбинированные чипы, широко используемые в электронных устройствах.
По мнению Otorio, для их осуществления злоумышленники могут использовать такие платформы, как WiGLE, которая представляет собой базу данных различных беспроводных точек доступа по всему миру, что отлично пригодится для выявления ценных промышленных сред, их местонахождения и эксплуатации точек доступа в непосредственной близости.
В качестве контрмер рекомендуется отключать небезопасные схемы шифрования, скрывать имена сетей Wi-Fi, отключать неиспользуемые облачные службы управления и принимать меры для предотвращения публичного доступа к устройствам.
Otorio
Wireless IIoT Security: The Elephant in OT Environments
OTORIO research points to wireless IIoT vulnerabilities that enable hackers to bypass the protection layers in operational and industrial networks.
И снова Google латает дыры от 40 уязвимостей в своей флагманской ОС.
Первая часть обновлений устраняет в общей сложности 17 ошибок безопасности высокой степени серьезности, влияющих на компоненты Framework, Media Framework и System.
Наиболее критичной из проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий.
Хотя большинство недостатков, могли привести к эскалации привилегий, также были устранены некоторые ошибки, связанные с раскрытием информации и отказом в обслуживании (DoS).
Вторая часть исправлений устраняет 23 дефекта безопасности в компонентах Kernel, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.
Также Google объявила об исправлении трех уязвимостей в устройствах Pixel и о выпуске одного исправления в рамках обновления Android Automotive OS (AAOS) в этом месяце в дополнение к исправлениям, описанным в бюллетене по безопасности Android за февраль 2023 года.
Традиционно, Google за месяц до публикации уведомил производителей об исправленных проблемах, а также выпустил исправления исходного кода для репозитория Android Open Source Project (AOSP).
Если фанаты Pixel уже могут самостоятельно получить последние исправления безопасности, то пользователям других устройств придется подождать, пока производители их мобильных устройств выпустят необходимые обновления.
Первая часть обновлений устраняет в общей сложности 17 ошибок безопасности высокой степени серьезности, влияющих на компоненты Framework, Media Framework и System.
Наиболее критичной из проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий.
Хотя большинство недостатков, могли привести к эскалации привилегий, также были устранены некоторые ошибки, связанные с раскрытием информации и отказом в обслуживании (DoS).
Вторая часть исправлений устраняет 23 дефекта безопасности в компонентах Kernel, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.
Также Google объявила об исправлении трех уязвимостей в устройствах Pixel и о выпуске одного исправления в рамках обновления Android Automotive OS (AAOS) в этом месяце в дополнение к исправлениям, описанным в бюллетене по безопасности Android за февраль 2023 года.
Традиционно, Google за месяц до публикации уведомил производителей об исправленных проблемах, а также выпустил исправления исходного кода для репозитория Android Open Source Project (AOSP).
Если фанаты Pixel уже могут самостоятельно получить последние исправления безопасности, то пользователям других устройств придется подождать, пока производители их мобильных устройств выпустят необходимые обновления.
OpenSSL обзавелся обновленной версией с исправлением уязвимостей безопасности, в том числе серьезной ошибки в наборе инструментов шифрования с открытым исходным кодом.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.
Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.
Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.
В числе других в последних обновлениях устраненны следующие ошибки:
- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215 (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).
Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.
Теперь хакеры могут проворачивать фокусы с пространственно-временным континуумом в системах видеонаблюдения Dahua.
Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.
CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.
Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.
Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.
Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.
Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.
О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.
Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.
CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.
Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.
Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.
Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.
Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.
О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.
Исследователи предупреждают о новых атаках ransomware ESXiArgs с обновленной версией, которая затрудняет восстановление виртуальных машин VMware ESXi.
Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.
Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.
В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.
Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.
Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.
Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.
В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.
Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.
Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.
Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.
В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.
Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.
Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.
Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.
При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.
К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.
Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.
Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.
Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.
В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.
Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.
Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.
Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.
В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.
Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.
Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.
Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.
В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.
Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.
Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.
Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.
При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.
К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.
Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.
www.greynoise.io
GreyNoise | Exploit Vector Analysis of Emerging ‘ESXiArgs’ Ransomware (a.k.a. Wow do I hate ESXi Threat Intel [right now])
GreyNoise researchers provide context around the mass confusion that is the state of ransomware campaigns against exposed VMWare ESXi hosts and bad attribution takes.
Ресерчеры CYFIRMA обнаружили новые активности APT Bahamut.
Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.
В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.
Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.
После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.
При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.
Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.
Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.
Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.
Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.
Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.
Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.
Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.
В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.
Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.
После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.
При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.
Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.
Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.
Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.
Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.
Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.
Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.
CYFIRMA
Advanced Social Engineering Attacks Deconstructed - CYFIRMA
Explore the world of advanced social engineering attacks with Cyfirma's Out-of-Band article. Explore now
Известная китайская АРТ Tonto Team всерьез взялась за Group-IB.
Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.
Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.
Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.
АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.
Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).
Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.
По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.
Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.
Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.
Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.
Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.
Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.
Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.
Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.
Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.
АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.
Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).
Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.
По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.
Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.
Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.
Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.
Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.
Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.
Group-IB
Nice Try Tonto Team
An in-depth look at the attempted attack on Group-IB by a nation-state Advanced Persistent Threat actor (APT) Tonto Team
Forwarded from SecurityLab.ru
Злые КИТАЙСКИЕ КОММУНИСТЫ | Слили данные – МЕНЯЙ ПАСПОРТ | Атака на ПИВАСИК | Огонь и люди |89| 12+
Смотрите восемьдесят девятый выпуск «Security-новостей» и узнайте о самых важных и интересных событиях в мире кибербезопасности.
Смотрите восемьдесят девятый выпуск «Security-новостей» и узнайте о самых важных и интересных событиях в мире кибербезопасности.
YouTube
Злые КИТАЙСКИЕ КОММУНИСТЫ | Слили данные – МЕНЯЙ ПАСПОРТ | Атака на ПИВАСИК | Огонь и люди |89| 12+
Стань контент-мейкером в команде Standoff! Чтобы поучаствовать в кастинге, до 21 февраля заполни короткую гугл-форму (https://forms.gle/oyCKi5n6D9UHoRZZ9). Победитель получит постоянную работу в команде, максимальный простор для творческой самореализации…
Порой хакеры, как террористы, берут на себя ответственность за те или иные инциденты, то ли жажда славы, то ли желание поднять репутацию в среде, не понятно.
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.
Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.
Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.
Правда, без демонстрации каких-либо доказательств.
Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.
Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.
Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.
Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.
Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.
Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.
Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.
Но будем посмотреть.
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.
Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.
Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.
Правда, без демонстрации каких-либо доказательств.
Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.
Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.
Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.
Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.
Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.
Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.
Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.
Но будем посмотреть.
YouTube
Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day #shorts
The Clop ransomware gang claims to be behind recent attacks that exploited a zero-day vulnerability in the GoAnywhere MFT secure file transfer tool, saying t...