Проправительственная южноазиатская АРТ, получившая название Bitter нацелилась на сектор ядерной энергетики КНР.
Специалисты Intezer сообщают, что APT действует как минимум с 2021 года и известна своими нападениями на энергетические и правительственные организации в Бангладеш, Китае, Пакистане и Саудовской Аравии.
Злоумышленники используют эксплойты для Microsoft Office через Excel, файлы справки CHM и установщики MSI.
В последней шпионской компании злоумышленники использовали обновленную полезную нагрузку для первого этапа и добавили дополнительный сценарий для запутывания, использовав дополнительные приманки в социальной инженерии.
Bitter был нацелен на получателей из атомно-энергетической отрасли Китая, разослав не менее семи фишинговых электронных писем, выдающих себя за посольство Кыргызстана в Китае, с приглашением присоединиться к конференциям по соответствующей тематике.
Получателей пытались побудить к загрузке и открытию прикрепленного архива RAR с пейлоадом в CHM или Excel для обеспечения устойчивости и получения дополнительных вредоносных программ с C2.
Полезная нагрузка в Excel содержала эксплойт Equation Editor, предназначенная для установки процедуры загрузки EXE-файла для следующего этапа эксплуатации.
Файлы CHM, в свою очередь, использовались для простого выполнения произвольного кода с минимальным взаимодействием с пользователем, даже если не установлена уязвимая версия Microsoft Office.
Один из выявленных сценариев создавал запланированную задачу для выполнения удаленной полезной нагрузки MSI с помощью msiexec.
Примечательно, что в ходе расследовании цепочки атак Intezer увидел только пустые файлы MSI, которые вероятно использовались злоумышленниками для разведки и которые в последующем могли быть заменены реальной полезной нагрузкой, если цель оказалась интересной.
Также было замечено, что вторая версия файла CHM выполняла аналогичные действия с использованием закодированной команды PowerShell.
Специалисты отмечают, что АРТ Bitter, не слишком сильно изменила свою тактику и предполагается, что полезная нагрузка будет аналогичной, что наблюдалась в 2021 году, выполняя модуль загрузчика для возможных кейлоггеров, инструментов удаленного доступа и грабберов информации с диска или браузера.
Специалисты Intezer сообщают, что APT действует как минимум с 2021 года и известна своими нападениями на энергетические и правительственные организации в Бангладеш, Китае, Пакистане и Саудовской Аравии.
Злоумышленники используют эксплойты для Microsoft Office через Excel, файлы справки CHM и установщики MSI.
В последней шпионской компании злоумышленники использовали обновленную полезную нагрузку для первого этапа и добавили дополнительный сценарий для запутывания, использовав дополнительные приманки в социальной инженерии.
Bitter был нацелен на получателей из атомно-энергетической отрасли Китая, разослав не менее семи фишинговых электронных писем, выдающих себя за посольство Кыргызстана в Китае, с приглашением присоединиться к конференциям по соответствующей тематике.
Получателей пытались побудить к загрузке и открытию прикрепленного архива RAR с пейлоадом в CHM или Excel для обеспечения устойчивости и получения дополнительных вредоносных программ с C2.
Полезная нагрузка в Excel содержала эксплойт Equation Editor, предназначенная для установки процедуры загрузки EXE-файла для следующего этапа эксплуатации.
Файлы CHM, в свою очередь, использовались для простого выполнения произвольного кода с минимальным взаимодействием с пользователем, даже если не установлена уязвимая версия Microsoft Office.
Один из выявленных сценариев создавал запланированную задачу для выполнения удаленной полезной нагрузки MSI с помощью msiexec.
Примечательно, что в ходе расследовании цепочки атак Intezer увидел только пустые файлы MSI, которые вероятно использовались злоумышленниками для разведки и которые в последующем могли быть заменены реальной полезной нагрузкой, если цель оказалась интересной.
Также было замечено, что вторая версия файла CHM выполняла аналогичные действия с использованием закодированной команды PowerShell.
Специалисты отмечают, что АРТ Bitter, не слишком сильно изменила свою тактику и предполагается, что полезная нагрузка будет аналогичной, что наблюдалась в 2021 году, выполняя модуль загрузчика для возможных кейлоггеров, инструментов удаленного доступа и грабберов информации с диска или браузера.
Intezer
Phishing Campaign Targets Chinese Nuclear Energy Industry
A phishing campaign with malicious payloads targeted the Chinese nuclear energy industry, using tactics that align with Bitter APT.
По результатам вчерашнего редакционного совещания решено вынести на суд подписчиков вопрос о переименовании канала SecAtor и присвоении ему нового, более трендового названия.
Переименовать канал в "Цифровые бизоны и позитивные грибы Касперского"?
Anonymous Poll
9%
Да
20%
ДААААААА!!!!!!
39%
SecAtor все равно лучше
51%
Держите наркоманов!!!
Ресерчеры призывают удалять десктопное приложение 3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более 12 миллионов пользователей и используется более чем 600 000 компании по всему миру, включая таких известных, как American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.
Вредоносная активность замечена исследователями CrowdStrike и Sophos, которые сообщают о нацеливании на пользователей скомпрометированного 3CX как для Windows, так и для macOS.
Клиенты начали получать предупреждения безопасности неделю назад, после установки версий 3CXDesktopApp 18.12.407 и 18.12.416 для Windows или 18.11.1213 и последней версии на Mac.
Она включает в себя отправку маяка в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия на клавиатуре.
При этом самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, это создание интерактивной командной оболочки.
Не разобравшись в вопросе, ресерчеры CrowdStrike уже заподозрили в атаке северокорейскую Labyrinth Collima, в то время как Sophos не могут гарантировать атрибуцию с высокой степенью достоверности. SentinelOne также увидела очевидных связей с существующими кластерами угроз.
SentinelOne назвали новую атаку на цепочку поставок SmoothOperator и отметили ее начало с момента загрузки установщика MSI с веб-сайта 3CX или обновления уже установленного ПО.
Один из троянских образцов клиента софтфона 3CX, которым поделился CrowdStrike, был подписан цифровой подписью более трех недель назад, 3 марта 2023 года, с легитимным сертификатом 3CX Ltd, выданным DigiCert. Причем этот же сертификат использовался в более старых версиях ПО.
При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll (VirusTotal) и d3dcompiler_47.dll (VirusTotal), которые используются для выполнения следующего этапа атаки.
Исследователи Sophos считают, что исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.
SentinelOne объясняет, что вредоносная ПО теперь будет загружать файлы значков, размещенные на GitHub, которые содержат строки в кодировке Base64, добавленные к концу изображений. Репозиторий GitHub со значками показывает, что первый был загружен еще 7 декабря 2022 года.
Вредоносное ПО первой стадии использует эти строки Base64 для загрузки окончательной полезной нагрузки на скомпрометированные устройства — ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL.
Вредоносная ПО способна собирать системную информацию, красть данные и сохраненные учетные данные из профилей пользователей Chrome, Edge, Brave и Firefox.
Несмотря на многочисленные жалобы клиентов и доводы исследователей, разработчики из 3CX списывали все это как потенциальное ложное срабатывание и не признавали проблемы публично. Сегодня гендир компании Ник Галеа все же признал epic fail и посоветовал удалить приложение, пообещав в ближайшее время выпустить исправления.
Тем временем исследователи выяснили, что к атаке на цепочку поставок привела атака на цепочку поставок, благодаря которой была заражена основная библиотека, которую использовали 3CX. Кроме того, опубликовали расширенные YARA и Sigma для 3CX, а также бесплатный THOR Lite для сканирования файлов.
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более 12 миллионов пользователей и используется более чем 600 000 компании по всему миру, включая таких известных, как American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.
Вредоносная активность замечена исследователями CrowdStrike и Sophos, которые сообщают о нацеливании на пользователей скомпрометированного 3CX как для Windows, так и для macOS.
Клиенты начали получать предупреждения безопасности неделю назад, после установки версий 3CXDesktopApp 18.12.407 и 18.12.416 для Windows или 18.11.1213 и последней версии на Mac.
Она включает в себя отправку маяка в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия на клавиатуре.
При этом самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, это создание интерактивной командной оболочки.
Не разобравшись в вопросе, ресерчеры CrowdStrike уже заподозрили в атаке северокорейскую Labyrinth Collima, в то время как Sophos не могут гарантировать атрибуцию с высокой степенью достоверности. SentinelOne также увидела очевидных связей с существующими кластерами угроз.
SentinelOne назвали новую атаку на цепочку поставок SmoothOperator и отметили ее начало с момента загрузки установщика MSI с веб-сайта 3CX или обновления уже установленного ПО.
Один из троянских образцов клиента софтфона 3CX, которым поделился CrowdStrike, был подписан цифровой подписью более трех недель назад, 3 марта 2023 года, с легитимным сертификатом 3CX Ltd, выданным DigiCert. Причем этот же сертификат использовался в более старых версиях ПО.
При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll (VirusTotal) и d3dcompiler_47.dll (VirusTotal), которые используются для выполнения следующего этапа атаки.
Исследователи Sophos считают, что исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.
SentinelOne объясняет, что вредоносная ПО теперь будет загружать файлы значков, размещенные на GitHub, которые содержат строки в кодировке Base64, добавленные к концу изображений. Репозиторий GitHub со значками показывает, что первый был загружен еще 7 декабря 2022 года.
Вредоносное ПО первой стадии использует эти строки Base64 для загрузки окончательной полезной нагрузки на скомпрометированные устройства — ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL.
Вредоносная ПО способна собирать системную информацию, красть данные и сохраненные учетные данные из профилей пользователей Chrome, Edge, Brave и Firefox.
Несмотря на многочисленные жалобы клиентов и доводы исследователей, разработчики из 3CX списывали все это как потенциальное ложное срабатывание и не признавали проблемы публично. Сегодня гендир компании Ник Галеа все же признал epic fail и посоветовал удалить приложение, пообещав в ближайшее время выпустить исправления.
Тем временем исследователи выяснили, что к атаке на цепочку поставок привела атака на цепочку поставок, благодаря которой была заражена основная библиотека, которую использовали 3CX. Кроме того, опубликовали расширенные YARA и Sigma для 3CX, а также бесплатный THOR Lite для сканирования файлов.
Майкрософт не был бы Майкрософтом, если бы у них что-нибудь да не отваливалось или не глючило.
На этот раз Microsoft Defender ошибочно помечал URL-адреса как вредоносные, а некоторые клиенты получали десятки предупреждений по электронной почте в интервале пяти часов.
Компания официально подтвердила в Twitter, что ее инженеры расследуют этот сервисный инцидент как ложное срабатывание.
Компания также подтвердила сообщения о проблемах с доступом к сведениям об оповещениях при нажатии на ссылку «просмотреть оповещения» в электронных письмах.
В обновлении на портале центра администрирования Microsoft 365 Редмонд подтвердил, что администраторы получат большое количество предупреждений с высокой степенью серьезности с указанием, что «обнаружен потенциально вредоносный клик по URL-адресу».
Ранее Редмонд выпустил еще одно уведомление о снижении качества обслуживания через портал центра администрирования, отметив, что страницы предупреждений и инцидентов могут быть недоступны.
Как обычно, после создания проблемы на ровном месте разработчики Microsoft ее успешно решают, в данном случае - путем отмены последних обновлений функции SafeLinks.
На этот раз Microsoft Defender ошибочно помечал URL-адреса как вредоносные, а некоторые клиенты получали десятки предупреждений по электронной почте в интервале пяти часов.
Компания официально подтвердила в Twitter, что ее инженеры расследуют этот сервисный инцидент как ложное срабатывание.
Компания также подтвердила сообщения о проблемах с доступом к сведениям об оповещениях при нажатии на ссылку «просмотреть оповещения» в электронных письмах.
В обновлении на портале центра администрирования Microsoft 365 Редмонд подтвердил, что администраторы получат большое количество предупреждений с высокой степенью серьезности с указанием, что «обнаружен потенциально вредоносный клик по URL-адресу».
Ранее Редмонд выпустил еще одно уведомление о снижении качества обслуживания через портал центра администрирования, отметив, что страницы предупреждений и инцидентов могут быть недоступны.
Как обычно, после создания проблемы на ровном месте разработчики Microsoft ее успешно решают, в данном случае - путем отмены последних обновлений функции SafeLinks.
X (formerly Twitter)
Microsoft 365 Status on X
We're investigating an issue where legitimate URL links are being incorrectly marked as malicious by the Microsoft Defender service. Additionally, some of the alerts are not showing content as expected. Further details can be found under DZ534539 within the…
Поставщик оборудования QNAP предупреждает о необходимости защиты устройств NAS на базе Linux от уязвимости повышения привилегий Sudo.
CVE-2023-22809 имеет высокую степень серьезности и была обнаружена исследователями Synacktiv.
Ошибка связана с обходом политики sudoers в Sudo при использовании sudoedit. Успешная эксплуатация на непропатченных устройствах с использованием версий Sudo с 1.8.0 по 1.9.12p1 может позволить злоумышленникам повысить привилегии путем редактирования неавторизованных файлов после добавления произвольных записей в список обрабатываемых файлов.
Уязвимость также влияет на операционные системы NAS QTS, QuTS hero, QuTScloud и QVP (QVR Pro appliances), о чем QNAP сообщил в опубликованных рекомендациях.
Разработчики устранили ошибку в платформах QTS и QuTS hero, однако они все еще работают над обновлением безопасности QuTScloud и QVP.
В рекомендациях QNAP уязвимость CVE-2023-22809 не фигурирует как активно используемая в дикой природе, но в виду ее серьезности клиентам настоятельно рекомендуется как можно скорее применить доступные обновления.
Не стоит пренебрегать рекомендациям, так как ни для кого не секрет, что злоумышленники проявляют активный интерес к недостаткам безопасности QNAP NAS, о чем свидетельствуют многочисленные недавние атаки вымогателей DeadBolt и eCh0raix, которые использовали уязвимости для шифрования данных на устройствах, подключенных к Интернету.
CVE-2023-22809 имеет высокую степень серьезности и была обнаружена исследователями Synacktiv.
Ошибка связана с обходом политики sudoers в Sudo при использовании sudoedit. Успешная эксплуатация на непропатченных устройствах с использованием версий Sudo с 1.8.0 по 1.9.12p1 может позволить злоумышленникам повысить привилегии путем редактирования неавторизованных файлов после добавления произвольных записей в список обрабатываемых файлов.
Уязвимость также влияет на операционные системы NAS QTS, QuTS hero, QuTScloud и QVP (QVR Pro appliances), о чем QNAP сообщил в опубликованных рекомендациях.
Разработчики устранили ошибку в платформах QTS и QuTS hero, однако они все еще работают над обновлением безопасности QuTScloud и QVP.
В рекомендациях QNAP уязвимость CVE-2023-22809 не фигурирует как активно используемая в дикой природе, но в виду ее серьезности клиентам настоятельно рекомендуется как можно скорее применить доступные обновления.
Не стоит пренебрегать рекомендациям, так как ни для кого не секрет, что злоумышленники проявляют активный интерес к недостаткам безопасности QNAP NAS, о чем свидетельствуют многочисленные недавние атаки вымогателей DeadBolt и eCh0raix, которые использовали уязвимости для шифрования данных на устройствах, подключенных к Интернету.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Vulnerability in sudo - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Продолжаем следить за тектоническими изменениями на рынке коммерческого шпионского ПО.
На днях, как сообщают наши коллеги, президент США подписал указ, направленный на ограничение использования spyware. И речь вовсе не идет о локальной истории.
Стоит отметить, что регулирование в силу экстерриторальной юрисдикций американских законов будут распространяться фактически на всех участников отрасли.
Что собственно, Белый дом официально подтвердил, заявив о том, что указ послужит основой для международного сотрудничества в рамках стимулирования реформы отрасли.
Дабы поддержать дедулю и общую продвигаемую западным разведсообществом стратегию, исследователи Google TAG выкатили очередной отчет по spyware, связав львиную долю 0-day за 2022 год для iOS и Android с поставщиками шпионского ПО, замеченными в двух разных целенаправленных кампаниях.
В одной из двух кампаний атака началась с отправки ссылки целевому пользователю через SMS. При переходе по ссылке жертва попадала на вредоносные веб-сайты с эксплойтами для Android или iOS.
Цепочка эксплойтов iOS включала CVE-2022-42856, уязвимость WebKit, которую Apple исправила в iPhone в декабре 2022 года. Атаки также включали метод обхода проверки подлинности указателя (PAC) и эксплойт для CVE-2021-30900 (уязвимость выхода из песочницы и повышения привилегий), которую Apple исправила в iOS в 2021 году.
Цепочка эксплойтов Android была нацелена на CVE-2022-3723 — 0-day для Chrome, исправленную Google в октябре 2022 года, а также на CVE-2022-4135, которую Google исправила в ноябре 2022 года (обход песочницы Chrome GPU, который влияет только на устройства Android).
Цепочка Android также включала использование CVE-2022-38181, уязвимости графического процессора Arm Mali, приводящей к произвольному выполнению кода ядра. Патч был выпущен Arm в августе 2022 года, но на устройства Pixel он был выпущен только в январе 2023 года.
Однако несколько поставщиков, включая Pixel, Samsung, Xiaomi, Oppo и другие, не включили исправление, в результате чего злоумышленники могли свободно использовать ошибку в течение нескольких месяцев.
Кампания была нацелена на пользователей в Италии, Малайзии и Казахстане с помощью ПО от RCS Lab и Cytrox.
Во второй кампании, обнаруженной в декабре 2022 года, злоумышленники нацелились на на браузер Samsung, объединив различные 0 и n-day. Эксплойты также доставлялись в виде ссылок через SMS.
Атаки были нацелены на пользователей в ОАЭ с целью доставки шпионского ПО для Android. Google считает, что атака была осуществлена испанской Variston.
Список эксплойтов включал CVE-2022-4262 (0-day в Chrome), исправленную Google в декабре 2022 года, и CVE-2022-3038 (побег из песочницы Chrome).
Кампания также нацелена на CVE-2022-22706 (проблема в драйвере ядра Mali), исправленную Arm в январе 2022 года, и CVE-2023-0266 (уязвимость звуковой подсистемы ядра Linux). Обе эти уязвимости активно эксплуатировались на устройствах Android до того, как были выпущены исправления.
За раскрытие подробностей атак респект, но что-то никак в отчетах не видим ничего про американских поставщиков spyware.
На днях, как сообщают наши коллеги, президент США подписал указ, направленный на ограничение использования spyware. И речь вовсе не идет о локальной истории.
Стоит отметить, что регулирование в силу экстерриторальной юрисдикций американских законов будут распространяться фактически на всех участников отрасли.
Что собственно, Белый дом официально подтвердил, заявив о том, что указ послужит основой для международного сотрудничества в рамках стимулирования реформы отрасли.
Дабы поддержать дедулю и общую продвигаемую западным разведсообществом стратегию, исследователи Google TAG выкатили очередной отчет по spyware, связав львиную долю 0-day за 2022 год для iOS и Android с поставщиками шпионского ПО, замеченными в двух разных целенаправленных кампаниях.
В одной из двух кампаний атака началась с отправки ссылки целевому пользователю через SMS. При переходе по ссылке жертва попадала на вредоносные веб-сайты с эксплойтами для Android или iOS.
Цепочка эксплойтов iOS включала CVE-2022-42856, уязвимость WebKit, которую Apple исправила в iPhone в декабре 2022 года. Атаки также включали метод обхода проверки подлинности указателя (PAC) и эксплойт для CVE-2021-30900 (уязвимость выхода из песочницы и повышения привилегий), которую Apple исправила в iOS в 2021 году.
Цепочка эксплойтов Android была нацелена на CVE-2022-3723 — 0-day для Chrome, исправленную Google в октябре 2022 года, а также на CVE-2022-4135, которую Google исправила в ноябре 2022 года (обход песочницы Chrome GPU, который влияет только на устройства Android).
Цепочка Android также включала использование CVE-2022-38181, уязвимости графического процессора Arm Mali, приводящей к произвольному выполнению кода ядра. Патч был выпущен Arm в августе 2022 года, но на устройства Pixel он был выпущен только в январе 2023 года.
Однако несколько поставщиков, включая Pixel, Samsung, Xiaomi, Oppo и другие, не включили исправление, в результате чего злоумышленники могли свободно использовать ошибку в течение нескольких месяцев.
Кампания была нацелена на пользователей в Италии, Малайзии и Казахстане с помощью ПО от RCS Lab и Cytrox.
Во второй кампании, обнаруженной в декабре 2022 года, злоумышленники нацелились на на браузер Samsung, объединив различные 0 и n-day. Эксплойты также доставлялись в виде ссылок через SMS.
Атаки были нацелены на пользователей в ОАЭ с целью доставки шпионского ПО для Android. Google считает, что атака была осуществлена испанской Variston.
Список эксплойтов включал CVE-2022-4262 (0-day в Chrome), исправленную Google в декабре 2022 года, и CVE-2022-3038 (побег из песочницы Chrome).
Кампания также нацелена на CVE-2022-22706 (проблема в драйвере ядра Mali), исправленную Arm в январе 2022 года, и CVE-2023-0266 (уязвимость звуковой подсистемы ядра Linux). Обе эти уязвимости активно эксплуатировались на устройствах Android до того, как были выпущены исправления.
За раскрытие подробностей атак респект, но что-то никак в отчетах не видим ничего про американских поставщиков spyware.
Telegram
Russian OSINT
🇺🇸Байден принимает меры по ограничению использования коммерческих шпионских программ правительством США
Президент США подписал указ, направленный на ограничение использования spyware, которым злоупотребляют автократии и демократические страны для шпионажа…
Президент США подписал указ, направленный на ограничение использования spyware, которым злоупотребляют автократии и демократические страны для шпионажа…
Исследователи Trend Micro обнаружили малварь под названием Opcjacker, которая распространялась в дикой природе, по крайней мере, с середины 2022 года, используя рекламные кампании, замаскированные под криптовалютные приложения и другие легитимные ПО на поддельных веб-сайтах.
В своей последней кампании в феврале 2023 года, вредоносное ПО распространялось среди пользователей Ирана с помощью таргетированной рекламы якобы VPN-приложения.
Как считают эксперты, OpcJacker достаточно интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения злоумышленника.
В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в файле конфигурации, заставляют похитителя запускать нужные функции. Вероятно, это сделано для того, чтобы запутать исследователей, работающих над анализом вредоносного ПО.
Основные функции OpcJacker включают в себя кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена.
Малварь загружается путем исправления легитимной библиотеки DLL внутри установленной программы, которая затем загружает другую вредоносную библиотеку DLL, посредством которой запускается шелл-код, содержащий загрузчик и инсталятор другого вредоносного приложения в дополнение к Opcjacker.
Причем этот вредонос собирается из фрагментов данных, хранящихся в нескольких файлах разных форматов, таких как WAV и CHM.
Загрузчик используется уже более года и называется Babadeda crypter, но злоумышленник, стоящий за Opcjacker, внес некоторые некоторые изменения в cryptor и добавил совершенно новой пейлоад.
Специалисты отметили, что OpcJacker в основном запускает дополнительные модули, такие как NetSupport RAT или скрытый вариант VNC. В некоторых случаях другой загрузчик под названием Phobos Cryptor, который используется для доставки ransomware Phobos.
Основная цель вредоносного ПО пока неизвестна, но его возможности по краже криптовалют указывают на то, что за ним стоит финансово мотивированный злоумышленник.
Тем не менее, дополнительные функции вредоносного ПО позволяют использовать его в качестве средства для кражи информации и загрузки других вредоносных ПО.
В Trend Micro отметили, что Opcjacker все еще находится в стадии активной разработки и в скором времени планируется более широкое распространение в других вредоносных кампаниях.
В своей последней кампании в феврале 2023 года, вредоносное ПО распространялось среди пользователей Ирана с помощью таргетированной рекламы якобы VPN-приложения.
Как считают эксперты, OpcJacker достаточно интересная вредоносная программа, поскольку ее конфигурационный файл использует пользовательский формат файла для определения поведения злоумышленника.
В частности, формат напоминает пользовательский код виртуальной машины, где числовые шестнадцатеричные идентификаторы, присутствующие в файле конфигурации, заставляют похитителя запускать нужные функции. Вероятно, это сделано для того, чтобы запутать исследователей, работающих над анализом вредоносного ПО.
Основные функции OpcJacker включают в себя кейлоггер, создание скриншотов, кражу конфиденциальных данных из браузеров, загрузку дополнительных модулей и замену криптовалютных адресов в буфере обмена.
Малварь загружается путем исправления легитимной библиотеки DLL внутри установленной программы, которая затем загружает другую вредоносную библиотеку DLL, посредством которой запускается шелл-код, содержащий загрузчик и инсталятор другого вредоносного приложения в дополнение к Opcjacker.
Причем этот вредонос собирается из фрагментов данных, хранящихся в нескольких файлах разных форматов, таких как WAV и CHM.
Загрузчик используется уже более года и называется Babadeda crypter, но злоумышленник, стоящий за Opcjacker, внес некоторые некоторые изменения в cryptor и добавил совершенно новой пейлоад.
Специалисты отметили, что OpcJacker в основном запускает дополнительные модули, такие как NetSupport RAT или скрытый вариант VNC. В некоторых случаях другой загрузчик под названием Phobos Cryptor, который используется для доставки ransomware Phobos.
Основная цель вредоносного ПО пока неизвестна, но его возможности по краже криптовалют указывают на то, что за ним стоит финансово мотивированный злоумышленник.
Тем не менее, дополнительные функции вредоносного ПО позволяют использовать его в качестве средства для кражи информации и загрузки других вредоносных ПО.
В Trend Micro отметили, что Opcjacker все еще находится в стадии активной разработки и в скором времени планируется более широкое распространение в других вредоносных кампаниях.
Trend Micro
New OpcJacker Malware Distributed via Fake VPN Malvertising
We discovered a new malware, which we named “OpcJacker” (due to its opcode configuration design and its cryptocurrency hijacking ability), that has been distributed in the wild since the second half of 2022.
Forwarded from Social Engineering
• Хакеры начинают искать уязвимые эндпоинты уже через 15 минут, после раскрытия данных о CVE. Дело в том, что они постоянно мониторят сообщения от поставщиков и производителей ПО в поисках объявлений о новых уязвимостях, которые можно было бы использовать для начального доступа к корпоративной сети или удаленного выполнения кода.
🖖🏻 Приветствую тебя user_name.
• Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе и т.д. Для этих потребностей есть не мало инструментов и *ресурсов, о которых ты сегодня узнаешь:• MITRE CVE — база данных, поисковик и классификатор уязвимостей.
• opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
• Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
• sploitus — поисковик по эксплойтам и необходимым инструментам инструментам.
• CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
• GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
• Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
• Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
• CVEDetails, osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
• security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
• Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
*Список ресурсов не претендует на полноту.
S.E. ▪️ S.E.Relax ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Популярный во всем мире ударный контроллер водяного насоса Osprey остается уязвимым для удаленных хакерских атак.
Контроллер широкого спектра применения реализует управление водяными насосами в том числе и на критических объектах, включая: водоснабжение, канализацию, газоснабжение, сельское хозяйство и промышленность.
Дело в том, что производитель систем - американская компания ProPump and Controls игнорирует множественные уязвимости, которые обнаружил Джоко Крстич, основатель македонской инфосек-компании Zero Science Lab, в ходе оценки защищенности одного из клиентских объектов ICS.
После безуспешных попыток достучаться до поставщика, Крстич сообщил о своих выводах в CISA, которая 23 марта опубликовала бюллетень с описанием уязвимостей. Кроме того, десять отдельных бюллетеней с описанием каждой ошибки также были опубликованы на веб-сайте Zero Science Lab.
Злоумышленник может использовать уязвимости для удаленного взлома систем и получения полного контроля над устройством со всеми вытекающими последствиями, связанными с возможностью вмешательством в работу оборудования.
При этом многие из этих недостатков можно использовать без аутентификации. И это при том, что на практике десятки таких контроллеров торчат наружу в сеть почти на каждом объекте.
Если позицию поставщика хоть как-то объяснима, то чем руководствуется CISA при назначении рейтинга с базовым (незначительным) уровнем выявленным уязвимостям, среди которых RCE, CSRF, XSS, обход аутентификации, перехват сеансов, - за границами всякого понимания.
Все стрелки CISA переводит на ProPump and Controls, рекомендуя клиентам по всем вопросам обращаться в поставщику.
Вероятно, в перспективе горячая линия понадобится, ведь хакеры уже не раз пытались атаковать системы SCADA на объектах водоснабжения, как это было, например, во Флориде в 2021 году.
Контроллер широкого спектра применения реализует управление водяными насосами в том числе и на критических объектах, включая: водоснабжение, канализацию, газоснабжение, сельское хозяйство и промышленность.
Дело в том, что производитель систем - американская компания ProPump and Controls игнорирует множественные уязвимости, которые обнаружил Джоко Крстич, основатель македонской инфосек-компании Zero Science Lab, в ходе оценки защищенности одного из клиентских объектов ICS.
После безуспешных попыток достучаться до поставщика, Крстич сообщил о своих выводах в CISA, которая 23 марта опубликовала бюллетень с описанием уязвимостей. Кроме того, десять отдельных бюллетеней с описанием каждой ошибки также были опубликованы на веб-сайте Zero Science Lab.
Злоумышленник может использовать уязвимости для удаленного взлома систем и получения полного контроля над устройством со всеми вытекающими последствиями, связанными с возможностью вмешательством в работу оборудования.
При этом многие из этих недостатков можно использовать без аутентификации. И это при том, что на практике десятки таких контроллеров торчат наружу в сеть почти на каждом объекте.
Если позицию поставщика хоть как-то объяснима, то чем руководствуется CISA при назначении рейтинга с базовым (незначительным) уровнем выявленным уязвимостям, среди которых RCE, CSRF, XSS, обход аутентификации, перехват сеансов, - за границами всякого понимания.
Все стрелки CISA переводит на ProPump and Controls, рекомендуя клиентам по всем вопросам обращаться в поставщику.
Вероятно, в перспективе горячая линия понадобится, ведь хакеры уже не раз пытались атаковать системы SCADA на объектах водоснабжения, как это было, например, во Флориде в 2021 году.
www.zeroscience.mk
Zero Science Lab
Македонска лабораторија за истражување и развој на информациска безбедност
Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удалось взломать Bing и изменить результаты поиска, благодаря уязвимости BingBang, что подкрепил пруфами на Youtube.
Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.
Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.
Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.
При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.
Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.
Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.
За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.
Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.
Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.
Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.
Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.
При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.
Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.
Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.
За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.
Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.
X (formerly Twitter)
Hillai Ben-Sasson (@hillai) on X
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️
Microsoft решила устроить настоящий gang для пользователей решений Azure.
Вслед за Function Apps и Active Directory дырявым оказался популярный инструмент Azure Service Fabric Explorer, как выясняется - дважды.
Ещ в октябре прошлого года исследователи из Orca Security представили руководство по исправлению XSS-уязвимости (CVE-2022-35829, оценка CVSS: 6,2), позволяющей внедрять вредоносный код на безопасные веб-сайты, которая получила название FabriXss.
А недавно появились технические подробности новой критической проблемы CVE-2023-23383 (с оценкой CVSS: 8,2), которую, не особо заморачиваясь, решили назвать Super FabriXss (с).
Super FabriXss позволяет удаленным злоумышленникам использовать межсайтовый скриптинг для удалённого неавторизованного выполнения кода в контейнере, размещенном на узле Service Fabric.
Атака реализует преимущества параметров переключения типа кластера на вкладке «события» на платформе Service Fabric, и связана с возможностью перезаписи развертывания Compose с инициированием обновления посредством специально созданного URL-адреса из XSS-уязвимости.
В отличие от предыдущей уязвимости, SuperFabriXxs существует только в кластере Windows, однако имеет более серьезные последствия, поскольку его можно использовать для получения полного контроля над уязвимыми системами.
Проблема затрагивает Azure Service Fabric Explorer 9.1.1436.9590 (и более ранние версии) и была решена мартовским обновлением.
Однако учитывая, что исследователи достаточно подробно и пошагово описали, как использовать уязвимость, клиентам Azure стоит обратить особое внимание исправлению недостатка, так как очевидно, что мануал уже изучают не только админы.
Вслед за Function Apps и Active Directory дырявым оказался популярный инструмент Azure Service Fabric Explorer, как выясняется - дважды.
Ещ в октябре прошлого года исследователи из Orca Security представили руководство по исправлению XSS-уязвимости (CVE-2022-35829, оценка CVSS: 6,2), позволяющей внедрять вредоносный код на безопасные веб-сайты, которая получила название FabriXss.
А недавно появились технические подробности новой критической проблемы CVE-2023-23383 (с оценкой CVSS: 8,2), которую, не особо заморачиваясь, решили назвать Super FabriXss (с).
Super FabriXss позволяет удаленным злоумышленникам использовать межсайтовый скриптинг для удалённого неавторизованного выполнения кода в контейнере, размещенном на узле Service Fabric.
Атака реализует преимущества параметров переключения типа кластера на вкладке «события» на платформе Service Fabric, и связана с возможностью перезаписи развертывания Compose с инициированием обновления посредством специально созданного URL-адреса из XSS-уязвимости.
В отличие от предыдущей уязвимости, SuperFabriXxs существует только в кластере Windows, однако имеет более серьезные последствия, поскольку его можно использовать для получения полного контроля над уязвимыми системами.
Проблема затрагивает Azure Service Fabric Explorer 9.1.1436.9590 (и более ранние версии) и была решена мартовским обновлением.
Однако учитывая, что исследователи достаточно подробно и пошагово описали, как использовать уязвимость, клиентам Azure стоит обратить особое внимание исправлению недостатка, так как очевидно, что мануал уже изучают не только админы.
Когда-то давным-давно, когда деревья были большими, а канал SecAtor маленьким и не мог похвастать даже тысячей подписчиков, известный инфосек вендор Avast накосячил.
Широкой общественности стало известно, что дочерняя Avast компания Jumpshot активно расторговывает данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей. Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов. Покусились даже на святое - историю поиска и просмотров на Pornhub! Бесы натуральные! (так сказать, Jumpshot покусился на cumshot, хе-хе)
Закончилось все для Avast не очень. Скандал разразился большой, Jumpshot пришлось прикрыть и сделать три раза ку с цаком. Что не очень помогло - акции вендора в моменте упали почти на 10%. Да еще и выявленная вскоре дырка в их антивирусном движке JavaScript...
Но нет предела совершенству! Испанское Агентство по защите данных вспомнило таки про проступок вендора и на днях оштрафовало Avast на 13,7 млн евро за нарушение требований GDPR (General Data Protection Regulation). И, если нам не изменяет склероз, это самый крупный штраф в инфосеке на данный момент.
А потому что нечего в нашу порнуху лазать ☝️
Широкой общественности стало известно, что дочерняя Avast компания Jumpshot активно расторговывает данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей. Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов. Покусились даже на святое - историю поиска и просмотров на Pornhub! Бесы натуральные! (так сказать, Jumpshot покусился на cumshot, хе-хе)
Закончилось все для Avast не очень. Скандал разразился большой, Jumpshot пришлось прикрыть и сделать три раза ку с цаком. Что не очень помогло - акции вендора в моменте упали почти на 10%. Да еще и выявленная вскоре дырка в их антивирусном движке JavaScript...
Но нет предела совершенству! Испанское Агентство по защите данных вспомнило таки про проступок вендора и на днях оштрафовало Avast на 13,7 млн евро за нарушение требований GDPR (General Data Protection Regulation). И, если нам не изменяет склероз, это самый крупный штраф в инфосеке на данный момент.
А потому что нечего в нашу порнуху лазать ☝️
TechRadar
Avast hit with multimillion-euro fine for GDPR failure
Unlawfully processing customer data lands Avast with huge fine, several years after it closed down the accountable subsidiary.
Серьезная уязвимость в плагине Elementor Pro для WordPress с 11 миллионами установок эксплуатируется в дикой природе и открывает хакерам возможности полного захвата сайта.
Обнаруживший 18 марта 2023 года ошибку исследователь NinTechNet Джером Брюанде на днях поделился техническими подробностями эксплуатации.
Проблема обусловлена возможностью подмены параметров WordPress в базе данных без надлежащей проверки благодаря нарушению контроля доступа к модулю WooCommerce через AJAX.
Несмотря на то, что с момента обнаружения прошло меньше двух недель, хакеры предпринимают попытки активной эксплуатации ошибки в реальных атаках, о чем сообщают исследователи PatchStack.
Замеченная вредоносная активность реализует перенаправление посетителей на вредоносные домены (away[.]trackersline[.]com) или загрузку бэкдоров на скомпрометированные ресурсы, в числе которых: wp-resortpark.zip, wp-rate.php или lll.zip.
Содержащийся PHP-скрипт позволяет удаленному злоумышленнику получить полный доступ к сайту WordPress и загружать дополнительный вредоносный код.
Пока же большая часть из всех наблюдаемых атак фиксируется со следующих IP-адресов: 193.169.194.63, 193.169.195.64 и 194.135.30.6.
В ближайшей перспективе число попыток эксплуатации кратно возрастет, в связи с чем администраторам следует как можно скорее обновиться до версии 3.11.7 или более поздней (последняя — 3.12.0).
Обнаруживший 18 марта 2023 года ошибку исследователь NinTechNet Джером Брюанде на днях поделился техническими подробностями эксплуатации.
Проблема обусловлена возможностью подмены параметров WordPress в базе данных без надлежащей проверки благодаря нарушению контроля доступа к модулю WooCommerce через AJAX.
Несмотря на то, что с момента обнаружения прошло меньше двух недель, хакеры предпринимают попытки активной эксплуатации ошибки в реальных атаках, о чем сообщают исследователи PatchStack.
Замеченная вредоносная активность реализует перенаправление посетителей на вредоносные домены (away[.]trackersline[.]com) или загрузку бэкдоров на скомпрометированные ресурсы, в числе которых: wp-resortpark.zip, wp-rate.php или lll.zip.
Содержащийся PHP-скрипт позволяет удаленному злоумышленнику получить полный доступ к сайту WordPress и загружать дополнительный вредоносный код.
Пока же большая часть из всех наблюдаемых атак фиксируется со следующих IP-адресов: 193.169.194.63, 193.169.195.64 и 194.135.30.6.
В ближайшей перспективе число попыток эксплуатации кратно возрастет, в связи с чем администраторам следует как можно скорее обновиться до версии 3.11.7 или более поздней (последняя — 3.12.0).
NinTechNet's updates and security announcements.
High severity vulnerability fixed in WordPress Elementor Pro plugin.
Elementor Pro, a popular page builder plugin for WordPress, fixed a broken access control vulnerability affecting version 3.11.6 and below that could allow full site takeover.
Western Digital взломан, а услуги облачного хранения данных не доступны.
Более нелепую реплику от ИТ-гиганта не ожидали услышать даже заядлые фанаты, так как Western Digital заявили в своем Twitter, что «лучшее время для резервного копирования было вчера, а второе лучшее время - прямо сейчас».
Что тут добавить, красавчики. Мотаем на ус, что для сохранности действительно важных данных резервироваться нужно в нескольких местах.
Что известно не данный момент, как всегда, - немного. В компании пока пытаются оправиться от удара и понять откуда прилетело. Точно понятно, что ее сеть была взломана и неавторизованная сторона получила доступ к нескольким системам компании.
Инцидент с сетевой безопасностью был выявлен в прошлое воскресенье. Как полагают в Western Digital, хакеры смогли получить определённые данные из корпоративных систем.
Эксперты по ИБ уже выясняют объём утечки и масштаб массовой истерии, если не дай боже выясниться, что утекло эдакое личное, щепетильное и чужое.
Как сообщил калифорнийский производитель, расследование находится на ранней стадии и компания координирует усилия с правоохранительными органами. Ну, а пока не работает вся экосистема My Cloud, включая My Cloud Home, My Cloud Home Duo, My Cloud OS5, а также недоступны сервисы SanDisk ibi, SanDisk Ixpand Wireless Charger.
Учитывая, что компания позиционирует себя, как поставщик простой, эффективной и безопасной платформы хранения данных с многочисленными наградами в области резервного копирования и защиты от ransomware на основе ИИ, Western Digital попадет в весьма печальный неудобняк, когда на какой-то из DLS появятся пруфы с утечкой и письмецо с N нулями.
Интерес со стороны злоумышленников очевиден. Для справки WD продает устройства хранения клиентам по всему миру, включая облачные гиперскейлеры, доходы которой составили 18,7 миллиарда долларов в 2022 году, причем доходы от облачных хранилищ составляют 42% от ее общей выручки.
Но будем посмотреть.
Более нелепую реплику от ИТ-гиганта не ожидали услышать даже заядлые фанаты, так как Western Digital заявили в своем Twitter, что «лучшее время для резервного копирования было вчера, а второе лучшее время - прямо сейчас».
Что тут добавить, красавчики. Мотаем на ус, что для сохранности действительно важных данных резервироваться нужно в нескольких местах.
Что известно не данный момент, как всегда, - немного. В компании пока пытаются оправиться от удара и понять откуда прилетело. Точно понятно, что ее сеть была взломана и неавторизованная сторона получила доступ к нескольким системам компании.
Инцидент с сетевой безопасностью был выявлен в прошлое воскресенье. Как полагают в Western Digital, хакеры смогли получить определённые данные из корпоративных систем.
Эксперты по ИБ уже выясняют объём утечки и масштаб массовой истерии, если не дай боже выясниться, что утекло эдакое личное, щепетильное и чужое.
Как сообщил калифорнийский производитель, расследование находится на ранней стадии и компания координирует усилия с правоохранительными органами. Ну, а пока не работает вся экосистема My Cloud, включая My Cloud Home, My Cloud Home Duo, My Cloud OS5, а также недоступны сервисы SanDisk ibi, SanDisk Ixpand Wireless Charger.
Учитывая, что компания позиционирует себя, как поставщик простой, эффективной и безопасной платформы хранения данных с многочисленными наградами в области резервного копирования и защиты от ransomware на основе ИИ, Western Digital попадет в весьма печальный неудобняк, когда на какой-то из DLS появятся пруфы с утечкой и письмецо с N нулями.
Интерес со стороны злоумышленников очевиден. Для справки WD продает устройства хранения клиентам по всему миру, включая облачные гиперскейлеры, доходы которой составили 18,7 миллиарда долларов в 2022 году, причем доходы от облачных хранилищ составляют 42% от ее общей выручки.
Но будем посмотреть.
ITPro
Western Digital suffers cyber attack, shuts down systems
Customers are taking to Twitter to report they’re unable to log into their storage products through Western Digital’s online portal
Пока президент США отстаивает демократию и борется за конфиденциальность, пытаясь навязать правила игры для поставщиков шпионского ПО, другая - задняя часть его госаппарата продолжает исправно проплачивать счета за эти же технологии через подставные компании.
Если верить The New York Times, американский филиал теперь уже широко разрекламированной израильской хакерской NSO Group по соглашению от 8 ноября 2021 года предоставила американским структурам доступ к сервису Landmark, который позволяет тайно отслеживать местоположение мобильного телефона по всему миру в режиме онлайн.
Заключение сделки происходило за пять дней до того, как администрация Байдена объявила о принятии санкции против NSO, а со стороны заказчика документ был подписан руководителем Cleopatra Holding с вымышленными данными.
Это тот же господрядчик из Нью-Джерси под реальным названием Riva Networks, которую ФБР использовало в 2019 году для покупки Pegasus.
Контракт и по сей день продолжает действовать, по запросам спецслужбы получают геолокации целей.
Рассекреченный журналистами секретный контракт свидетельствует о продолжающейся борьбе за контроль над мощным кибероружием как между правительствами, так и внутри правительств, включая Соединенные Штаты.
Причем, все инсинуации вокруг той же NSO больше походят на попытку рейдерства технологий со стороны штатов, попутно извлекая от поставщика нужные разведданные как по линии разведки, так и для внутриполитических вопросов.
Для этого использовалась схема с привлечением лондонского фонда прямых инвестиций Novalpina Capital и создания на территории штатов холдинговой компании Gideon Cyber Systems, через которую NSO планировалось вывести на крупных заказчиков в США и его союзников.
Позже был период сложных переговоров с высокими чинами из спецслужб США и Израиля. Итогом стало соглашение о приобретении американским оборонным гигантом L3Harris активов NSO, которое в конце концов ничем не закончилось.
Тем временем, NSO уже была поймана на крючок скандала из-за разоблачения злоупотреблений Pegasus, что привело к жесткому прессингу и началу более глобального передела.
NSO не спасло даже сближение с другой американской фирмы Boldend, имеющей тесные связи с ЦРУ и АНБ.
Но это не помешало Cleopatra Holdings по-прежнему ежемесячно платить Gideon Cyber Solutions за доступ к Landmark.
А значит, что передел продолжится, затрагивая более обширный арсенал шпионских технологий и игроков рынка.
Если верить The New York Times, американский филиал теперь уже широко разрекламированной израильской хакерской NSO Group по соглашению от 8 ноября 2021 года предоставила американским структурам доступ к сервису Landmark, который позволяет тайно отслеживать местоположение мобильного телефона по всему миру в режиме онлайн.
Заключение сделки происходило за пять дней до того, как администрация Байдена объявила о принятии санкции против NSO, а со стороны заказчика документ был подписан руководителем Cleopatra Holding с вымышленными данными.
Это тот же господрядчик из Нью-Джерси под реальным названием Riva Networks, которую ФБР использовало в 2019 году для покупки Pegasus.
Контракт и по сей день продолжает действовать, по запросам спецслужбы получают геолокации целей.
Рассекреченный журналистами секретный контракт свидетельствует о продолжающейся борьбе за контроль над мощным кибероружием как между правительствами, так и внутри правительств, включая Соединенные Штаты.
Причем, все инсинуации вокруг той же NSO больше походят на попытку рейдерства технологий со стороны штатов, попутно извлекая от поставщика нужные разведданные как по линии разведки, так и для внутриполитических вопросов.
Для этого использовалась схема с привлечением лондонского фонда прямых инвестиций Novalpina Capital и создания на территории штатов холдинговой компании Gideon Cyber Systems, через которую NSO планировалось вывести на крупных заказчиков в США и его союзников.
Позже был период сложных переговоров с высокими чинами из спецслужб США и Израиля. Итогом стало соглашение о приобретении американским оборонным гигантом L3Harris активов NSO, которое в конце концов ничем не закончилось.
Тем временем, NSO уже была поймана на крючок скандала из-за разоблачения злоупотреблений Pegasus, что привело к жесткому прессингу и началу более глобального передела.
NSO не спасло даже сближение с другой американской фирмы Boldend, имеющей тесные связи с ЦРУ и АНБ.
Но это не помешало Cleopatra Holdings по-прежнему ежемесячно платить Gideon Cyber Solutions за доступ к Landmark.
А значит, что передел продолжится, затрагивая более обширный арсенал шпионских технологий и игроков рынка.
NY Times
A Front Company and a Fake Identity: How the U.S. Came to Use Spyware It Was Trying to Kill.
The Biden administration has been trying to choke off use of hacking tools made by the Israeli firm NSO. It turns out that not every part of the government has gotten the message.
Британская аутсорсинговая фирма Capita подверглась кибератаке.
И все бы ничего, если не одно важное обстоятельство: среди клиентов - в основном критически важные инфраструктурные организации, в том числе Национальная служба здравоохранения (NHS) и Министерство обороны, а также ряд известных компаний таких, как O2, Vodafone, Королевский банк Шотландии и др.
Причем с прошлого года компания получила подряд на управление инженерной и технической поддержкой учебных тренажеров для атомных подводных лодок с баллистическими ракетами Королевского флота.
Компания работает с силовиками и ИБ-специалистами для расследования инцидента. Подробности атаки или объем утечки не раскрываются. Безусловно, предпринимаются все «немедленные шаги» для защиты систем и данных клиентов.
Киберинцидент, в первую очередь, повлиял на доступ к внутренним приложениям Microsoft Office 365. Кроме того, атака привела к сбоям в работе сервисов ограниченного числа клиентов. Кто из них корректно пострадал Capita не уточняет.
Пока из реального подтвержденного ущерба можно лишь рассматривать падение акций на 3%.
С другой стороны, учитывая наличие всех признаков пребывания в сети жертвы операторов ransomware и особый уровень клиентов, основной ущерб будет измеряться даже не деньгами.
Но самое замечательное в этой истории, что Capita наступает на одни и те же грабли не в первый раз. В прошлом ее уже выхлапывали хакеры в 2019 году и тогда обстоятельства инцидента замяли.
Несмотря на это, компания смогла порешать все вопросы и даже заполучить господряды по линии обороны. Видимо и бюджет на ИБ распилился на этом этапе.
И все бы ничего, если не одно важное обстоятельство: среди клиентов - в основном критически важные инфраструктурные организации, в том числе Национальная служба здравоохранения (NHS) и Министерство обороны, а также ряд известных компаний таких, как O2, Vodafone, Королевский банк Шотландии и др.
Причем с прошлого года компания получила подряд на управление инженерной и технической поддержкой учебных тренажеров для атомных подводных лодок с баллистическими ракетами Королевского флота.
Компания работает с силовиками и ИБ-специалистами для расследования инцидента. Подробности атаки или объем утечки не раскрываются. Безусловно, предпринимаются все «немедленные шаги» для защиты систем и данных клиентов.
Киберинцидент, в первую очередь, повлиял на доступ к внутренним приложениям Microsoft Office 365. Кроме того, атака привела к сбоям в работе сервисов ограниченного числа клиентов. Кто из них корректно пострадал Capita не уточняет.
Пока из реального подтвержденного ущерба можно лишь рассматривать падение акций на 3%.
С другой стороны, учитывая наличие всех признаков пребывания в сети жертвы операторов ransomware и особый уровень клиентов, основной ущерб будет измеряться даже не деньгами.
Но самое замечательное в этой истории, что Capita наступает на одни и те же грабли не в первый раз. В прошлом ее уже выхлапывали хакеры в 2019 году и тогда обстоятельства инцидента замяли.
Несмотря на это, компания смогла порешать все вопросы и даже заполучить господряды по линии обороны. Видимо и бюджет на ИБ распилился на этом этапе.
the Guardian
Failed IT systems at Capita fuel fears of cyber-attack on crucial NHS provider
Staff unable to access computers and local authority phone lines knocked out as outsourcing giant investigates possible data breach
Пока пользователи Twitter обсуждают Доге, сменившей привычную голубую птичку, исследователи выясняют подробности новой баги, которая была обнаружена в алгоритме рекомендации платформы на третий день раскрытия исходного кода.
Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.
Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.
Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.
Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.
Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.
В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.
Насколько эффективными окажутся - будем посмотреть.
Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.
Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.
Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.
Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.
Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.
В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.
Насколько эффективными окажутся - будем посмотреть.
GitHub
GitHub - twitter/the-algorithm: Source code for the X Recommendation Algorithm
Source code for the X Recommendation Algorithm. Contribute to twitter/the-algorithm development by creating an account on GitHub.
С того момента, как стало известно об атаке на цепочку поставок посредством 3CX VoIP половина инфосек общественности бегает с душераздирающими криками по кругу, а вендоры наперебой дают советы по снижению возможных негативных последствий, хотя в основном рекламят свои решения, - Cyble, Group-IB, Zscaler, Rapid 7 (с празднованием Месяца женской истории наперевес), Sophos, Trend Micro, Cisco Talos, Palo Alto Networks и прочие. И только в лыжи обутые словаки из ESET рассказывают про основы приватности на OnlyFans.
Ну а Лаборатория Касперского дает отчет о дополнительной атрибуции стоящей за атакой APT, чем нас немало радует.
Сразу сделаем оговорку. В последнее время нас стали обвинять в том, что мы слишком много даем Касперских. А все очень просто - Касперские по количеству публикуемых отчетов лидеры не только в России, но и, зачастую, в мире. Давали бы так материалы Дсеки, Позитивы, Бизоны, да те же ГрИБы, - с удовольствием делали бы обзор (что изредка и происходит). Но не дают, шельмецы. Хотя мы все равно их всех любим.
И что же, нам из-за мнения комментаторов специально пропускать интересные отчеты? Ага, щаз. Да и в атрибуцию Касперские любят. А атрибуция - наш фетиш, как известно.
Возвращаясь к сути поста. Дружелюбные привидения обнаружили, что помимо инфостилера в качестве полезной нагрузки в ходе атаки была подтянута некая библиотека guard64.dll, которая в 2020 году была замечена на атакованной машине вместе с бэкдором AppleJeus. принадлежащем Lasarus, пожалуй самой нашей любимой APT ("Ким Чен Ин шагает впереди✊") Guard64.dll представляла собой один из модулей бэкдора Gopuram, полноценного трояна удаленного доступа.
Таким образом получены весомые дополнительные, хоть и косвенные, аргументы в пользу того, что за атакой на 3CX стоят северокорейские APT.
А сама атака, конечно, красивая. Прямо произведение искусства. Как скрипка Страдивари. Ну или как маузер Дзержинского...
Ну а Лаборатория Касперского дает отчет о дополнительной атрибуции стоящей за атакой APT, чем нас немало радует.
Сразу сделаем оговорку. В последнее время нас стали обвинять в том, что мы слишком много даем Касперских. А все очень просто - Касперские по количеству публикуемых отчетов лидеры не только в России, но и, зачастую, в мире. Давали бы так материалы Дсеки, Позитивы, Бизоны, да те же ГрИБы, - с удовольствием делали бы обзор (что изредка и происходит). Но не дают, шельмецы. Хотя мы все равно их всех любим.
И что же, нам из-за мнения комментаторов специально пропускать интересные отчеты? Ага, щаз. Да и в атрибуцию Касперские любят. А атрибуция - наш фетиш, как известно.
Возвращаясь к сути поста. Дружелюбные привидения обнаружили, что помимо инфостилера в качестве полезной нагрузки в ходе атаки была подтянута некая библиотека guard64.dll, которая в 2020 году была замечена на атакованной машине вместе с бэкдором AppleJeus. принадлежащем Lasarus, пожалуй самой нашей любимой APT ("Ким Чен Ин шагает впереди✊") Guard64.dll представляла собой один из модулей бэкдора Gopuram, полноценного трояна удаленного доступа.
Таким образом получены весомые дополнительные, хоть и косвенные, аргументы в пользу того, что за атакой на 3CX стоят северокорейские APT.
А сама атака, конечно, красивая. Прямо произведение искусства. Как скрипка Страдивари. Ну или как маузер Дзержинского...
Telegram
SecAtor
Ресерчеры призывают удалять десктопное приложение 3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более…
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более…
Команда Team82 из Сlaroty после успешной обкатки на Pwn2Own Miami ICS решили поделиться с инфосек-сообществом сетевым фаззером OPC UA собственной разработки.
Как показала практика, фаззер оказался весьма полезен в исследованиях при широком подходе к атаке серверов OPC UA для поиска незначительных ошибок в реализациях сетевых протоколов, позволяя затем более глубоко погрузиться в каждую реализацию.
Так и получилось, что сетевой фаззер Team82 в в качестве фреймворка сыграл ключевую роль в процессе атаки на сервер KepwareEX в ходе хакерского конкурса, многие из целей которого как раз и были популярными серверами OPC UA.
Ресерчерам удалось вызвать сбой, который лег в основу RCE-экспорта и принес по итогу награду в 20 000 долларов, а обнаруженные 0-day впоследствии были исправлены поставщиком PTC в соответствии с регламентом ZDI.
За основу фаззера исследователи взяли сетевой фаззер boofuzz, который, в свою очередь, реализован на фаззинговой среде Sulley. Написан на Python, что очень удобно для написания кода поверх него.
Для построния фаззера Team82 полностью реализовали инициацию сеанса OPC UA, воссоздав всю структуру для обработки отправки и получения пакетов. С точки зрения целевого сервера инструмент имитирует «обычного» клиента, который отправляет много странных сообщений OPC UA.
Знакомиться со списком атрибутов и сервисов OPC UA, которые фаззили исследователи можно на странице Team82, а сам инструмент доступен на GitHub.
Как показала практика, фаззер оказался весьма полезен в исследованиях при широком подходе к атаке серверов OPC UA для поиска незначительных ошибок в реализациях сетевых протоколов, позволяя затем более глубоко погрузиться в каждую реализацию.
Так и получилось, что сетевой фаззер Team82 в в качестве фреймворка сыграл ключевую роль в процессе атаки на сервер KepwareEX в ходе хакерского конкурса, многие из целей которого как раз и были популярными серверами OPC UA.
Ресерчерам удалось вызвать сбой, который лег в основу RCE-экспорта и принес по итогу награду в 20 000 долларов, а обнаруженные 0-day впоследствии были исправлены поставщиком PTC в соответствии с регламентом ZDI.
За основу фаззера исследователи взяли сетевой фаззер boofuzz, который, в свою очередь, реализован на фаззинговой среде Sulley. Написан на Python, что очень удобно для написания кода поверх него.
Для построния фаззера Team82 полностью реализовали инициацию сеанса OPC UA, воссоздав всю структуру для обработки отправки и получения пакетов. С точки зрения целевого сервера инструмент имитирует «обычного» клиента, который отправляет много странных сообщений OPC UA.
Знакомиться со списком атрибутов и сервисов OPC UA, которые фаззили исследователи можно на странице Team82, а сам инструмент доступен на GitHub.
Claroty
Boost Your Network with Team82's boofuzz OPC UA Fuzzer
Team82 Releases Homegrown OPC UA Network Fuzzer Based on Boofuzz. Discover the opportunity with Claroty.
HP сообщает о критической уязвимости, которая затрагивает прошивки около 50 моделей премиальных принтеров HP Enterprise LaserJet и HP LaserJet Managed.
Проблема отслеживается как CVE-2023-1707 и имеет оценку серьезности 9,1 из 10 по CVSS v3.1. Проблема была обнаружена компанией в ходе внутреннего тестирования решений.
Эксплуатация потенциально может привести к раскрытию информации между принтерами и другими устройствами в сети, но возможно при определенных условиях.
На уязвимых устройствах должна быть установлена прошивка FutureSmart версии 5.6 с включенным IPsec. Функция позволяет пользователям управлять принтером либо с панели управления на принтере либо удаленно из веб-браузера.
Период потенциального воздействия уязвимости охватывал февраля-март 2023 года и затрагивал клиентов, использующих опредлевлонные версии FutureSmart 5.6.
HP пообещала выпустить обновления для прошивки в течение 90 дней, порекомендовав клиентам понизить версию FutureSmart до FS 5.5.0.3.
Представители HP ничего не знает об активных эксплуатациях, но с достаточно большой степенью вероятности можно говорить, что с учетом высокой оценки критичности хакеры за 90 дней успеют выяснить детали ошибки и разработать эксплойт.
Так что, админам и ИБ продолжать наблюдение, с вами свяжутся - либо с той либо с другой стороны.
Проблема отслеживается как CVE-2023-1707 и имеет оценку серьезности 9,1 из 10 по CVSS v3.1. Проблема была обнаружена компанией в ходе внутреннего тестирования решений.
Эксплуатация потенциально может привести к раскрытию информации между принтерами и другими устройствами в сети, но возможно при определенных условиях.
На уязвимых устройствах должна быть установлена прошивка FutureSmart версии 5.6 с включенным IPsec. Функция позволяет пользователям управлять принтером либо с панели управления на принтере либо удаленно из веб-браузера.
Период потенциального воздействия уязвимости охватывал февраля-март 2023 года и затрагивал клиентов, использующих опредлевлонные версии FutureSmart 5.6.
HP пообещала выпустить обновления для прошивки в течение 90 дней, порекомендовав клиентам понизить версию FutureSmart до FS 5.5.0.3.
Представители HP ничего не знает об активных эксплуатациях, но с достаточно большой степенью вероятности можно говорить, что с учетом высокой оценки критичности хакеры за 90 дней успеют выяснить детали ошибки и разработать эксплойт.
Так что, админам и ИБ продолжать наблюдение, с вами свяжутся - либо с той либо с другой стороны.