Возможно, в скором времени расследовать компьютерные инциденты придется как на земле, так и за ее пределами.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
Группа исследователей обнаружила уязвимость в Echo.ac, популярном ПО в игровой среде Minecraft PvP и Rust, который представляет собой screensharing tool и предназначен для борьбы с читерством.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
ioctl.fail
EchOh-No! A critical bug in a popular Anticheat tool.
Easy arbitrary Kernel Read/Write by exploiting a gaping hole in the driver of an "Anticheat" tool.
Критические уязвимости ColdFusion активно эксплуатируются для установки веб-шеллов на уязвимые серверы.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Adobe
Adobe Security Bulletin
Security updates available for Adobe ColdFusion | APSB23-40
В своем новом отчете Mandiant сообщает о резком увеличении за последние полгода числа вредоносных ПО, распространяемых через USB-накопители.
Акцент в исследовании сделан на двух кампаниях под названием Sogu, приписываемой кластеру китайских АРТ TEMP.HEX (Camaro Dragon, Earth Preta и Mustang Panda), и другой - Snowydrive, за которой стоит UNC4698.
Ранее в ноябре 2022 года Mandiant уже отслеживала кампанию China-nexus, в которой USB-устройства также использовались для заражения объектов на Филиппинах четырьмя различными штаммами вредоносных ПО.
Позже в январе 2023 года Unit 42 Palo Alto Network обнаружили версию PlugX, функционально способную скрываться на USB-накопителях и заражать хосты Windows, к которым они подключены.
Что же касается Sogu, то в настоящее время это самая агрессивная кампания кибершпионажа с помощью USB, нацеленная на различные отрасли по всему миру.
Жертвы вредоносного ПО Sogu замечены в США, Франции, Великобритании, Италии, Польше, Австрии, Австралии, Швейцарии, Китае, Японии, Украине, Сингапуре, Индонезии и на Филиппинах.
Целевые сектора - фармацевтика, IT, энергетика, связь, здравоохранение и логистика.
Все начинается с вредоносного USB-накопителя, подключенного к компьютеру, что приводит к выполнению PlugX, который затем расшифровывает и запускает бэкдор на основе C под названием SOGU, который извлекает интересующие файлы, фиксирует нажатия клавиш и делает снимки экрана.
Файлы в конечном итоге эксфильтрируются на сервер C2 по TCP или UDP с использованием запросов HTTP или HTTPS. Любые накопители, подключенные к зараженной системе, автоматически получат копию первоначального компрометирующего файла Sogu.
Второй кластер - UNC4698, который нацелен на нефтегазовые организации в Азии для доставки бэкдора SNOWYDRIVE, позволяющего выполнять произвольные полезные нагрузки через командную строку Windows, изменять реестр и выполнять действия с файлами и каталогами.
Бэкдор поддерживает множество команд, позволяющих выполнять операции с файлами, эксфильтрацию данных, обратную оболочку, выполнение команд и разведку. Он также распространяется на другие USB-накопители и по сети.
Для уклонения вредоносная программа использует вредоносную DLL, загруженную из «GUP.exe», законного средства обновления Notepad ++, чтобы скрыть расширения файлов и определенные файлы, помеченные как «системные» или «скрытые».
Как сообщает Mandiant, несмотря на то, что USB-атаки требуют физического доступа к целевым компьютерам, они обладают уникальными преимуществами, которые делают их актуальными даже в 2023 году.
Среди них: обход механизмов безопасности, скрытность, первоначальный доступ к корпоративным сетям и возможность заражения систем с воздушным зазором.
Акцент в исследовании сделан на двух кампаниях под названием Sogu, приписываемой кластеру китайских АРТ TEMP.HEX (Camaro Dragon, Earth Preta и Mustang Panda), и другой - Snowydrive, за которой стоит UNC4698.
Ранее в ноябре 2022 года Mandiant уже отслеживала кампанию China-nexus, в которой USB-устройства также использовались для заражения объектов на Филиппинах четырьмя различными штаммами вредоносных ПО.
Позже в январе 2023 года Unit 42 Palo Alto Network обнаружили версию PlugX, функционально способную скрываться на USB-накопителях и заражать хосты Windows, к которым они подключены.
Что же касается Sogu, то в настоящее время это самая агрессивная кампания кибершпионажа с помощью USB, нацеленная на различные отрасли по всему миру.
Жертвы вредоносного ПО Sogu замечены в США, Франции, Великобритании, Италии, Польше, Австрии, Австралии, Швейцарии, Китае, Японии, Украине, Сингапуре, Индонезии и на Филиппинах.
Целевые сектора - фармацевтика, IT, энергетика, связь, здравоохранение и логистика.
Все начинается с вредоносного USB-накопителя, подключенного к компьютеру, что приводит к выполнению PlugX, который затем расшифровывает и запускает бэкдор на основе C под названием SOGU, который извлекает интересующие файлы, фиксирует нажатия клавиш и делает снимки экрана.
Файлы в конечном итоге эксфильтрируются на сервер C2 по TCP или UDP с использованием запросов HTTP или HTTPS. Любые накопители, подключенные к зараженной системе, автоматически получат копию первоначального компрометирующего файла Sogu.
Второй кластер - UNC4698, который нацелен на нефтегазовые организации в Азии для доставки бэкдора SNOWYDRIVE, позволяющего выполнять произвольные полезные нагрузки через командную строку Windows, изменять реестр и выполнять действия с файлами и каталогами.
Бэкдор поддерживает множество команд, позволяющих выполнять операции с файлами, эксфильтрацию данных, обратную оболочку, выполнение команд и разведку. Он также распространяется на другие USB-накопители и по сети.
Для уклонения вредоносная программа использует вредоносную DLL, загруженную из «GUP.exe», законного средства обновления Notepad ++, чтобы скрыть расширения файлов и определенные файлы, помеченные как «системные» или «скрытые».
Как сообщает Mandiant, несмотря на то, что USB-атаки требуют физического доступа к целевым компьютерам, они обладают уникальными преимуществами, которые делают их актуальными даже в 2023 году.
Среди них: обход механизмов безопасности, скрытность, первоначальный доступ к корпоративным сетям и возможность заражения систем с воздушным зазором.
Google Cloud Blog
The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant | Google Cloud Blog
Positive Technologies выкатили отчет, пролив свет на новые масштабные атаки на Россию, за которыми стоит отлеживаемая исследователями с 2022 года группировка Space Pirates.
Основная цель группы - шпионаж и кража конфиденциальной информации. Наблюдение за Space Pirates указывает на расширение географии их атак и сферы интересов. За последний год стали по меньшей мере 16 организаций в России.
Среди новых жертв удалось выявить государственные и образовательные учреждения, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и инфосек-компании. Кроме того, было атаковано министерство в Сербии.
На одном из управляющих серверов был обнаружен сканер Acunetix. Это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который раньше не наблюдался.
Целью группы среди прочего стали и почтовые архивы PST. Так, ошибка в конфигурации управляющего сервера Space Pirates позволила ресерчерам изучить его содержимое и обнаружить два почтовых архива одного из министерств Сербии.
Помимо украденных данных на сервере обнаружены веб-шелл Godzilla и обфусцированный туннель Neo-reGeorg. Группировка также начала использовать ВПО ShadowPad.
Практически в каждом расследовании находились следы задействования Deed RAT, что говорит о прекращении использования группой других бэкдоров. Причем Deed RAT продолжает разрабатываться. При расследовании инцидента на одном из зараженных устройств нашлась 64-битная версия этого ВПО, которая почти не отличается от 32-битной.
В новых версиях несколько изменился алгоритм расшифрования строк. Если раньше указывалась длина каждой строки, то теперь этого нет, а строки завершаются нулевым байтом.
На зараженных Deed RAT компьютерах удалось обнаружить два новых плагина. Первый называется Disk и используется для работы с дисками. Его особенностью является то, что он, по сути, является оберткой над Windows API. Disk поддерживает десять сетевых команд.
Второй плагин называется Portmap, в основе которой была положена утилита ZXPortMap. Плагин применяется для перенаправления портов (port forwarding) и поддерживает три сетевые команды, каждая из которых является режимом работы.
Помимо прочего выявлена интересная особенность — в конфигурации постоянно фигурирует число 4: четыре дня, в которые бэкдору запрещено работать, четыре ссылки на C2-серверы, четыре ссылки на прокси-серверы, четыре процесса для инжекта, четыре DNS-сервера, четыре адреса DoH.
Дело в том, что в китайском языке иероглиф, обозначающий цифру 4, произносится так же, как и иероглиф, обозначающий смерть, только с другой интонацией, — потому число считается несчастливым, что дает все основания полагать о наличии у группировки китайских корней.
В ходе одного из расследований в поле зрения попал и неизвестный ранее образец ВПО, отличающийся своей функциональностью. Вредонос по всей видимости был доставлен через уже установленный на компьютере Deed RAT получил название Voidoor.
Он скомпилирован в конце 2022 года, представляет собой 32-битный файл формата EXE. Большинство строк внутри зашифрованы XOR на 0x22. Жизненный цикл этого ВПО включал взаимодействие через GitHub и форум voidtools.
Последний построен на движке phpBB и стал для нас кладезем полезной информации, который в совокупности с анализом репозиториев GitHub привел исследователей в блог хакера на Chinese Software Developer Network.
Сопоставив факты, Positive Technologies с определенной долей уверенности предполагает, что автор является одним из разработчиков (если не единственным) вредоноса.
Таким образом, как видим, Space Pirates не прекращает наращивать свою активность в отношении российских компаний: количество атак выросло в несколько раз.
Злоумышленники разрабатывают новое ВПО, реализующее нестандартные техники (как, Voidoor), и модифицируют уже существующее.
Основная цель группы - шпионаж и кража конфиденциальной информации. Наблюдение за Space Pirates указывает на расширение географии их атак и сферы интересов. За последний год стали по меньшей мере 16 организаций в России.
Среди новых жертв удалось выявить государственные и образовательные учреждения, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и инфосек-компании. Кроме того, было атаковано министерство в Сербии.
На одном из управляющих серверов был обнаружен сканер Acunetix. Это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который раньше не наблюдался.
Целью группы среди прочего стали и почтовые архивы PST. Так, ошибка в конфигурации управляющего сервера Space Pirates позволила ресерчерам изучить его содержимое и обнаружить два почтовых архива одного из министерств Сербии.
Помимо украденных данных на сервере обнаружены веб-шелл Godzilla и обфусцированный туннель Neo-reGeorg. Группировка также начала использовать ВПО ShadowPad.
Практически в каждом расследовании находились следы задействования Deed RAT, что говорит о прекращении использования группой других бэкдоров. Причем Deed RAT продолжает разрабатываться. При расследовании инцидента на одном из зараженных устройств нашлась 64-битная версия этого ВПО, которая почти не отличается от 32-битной.
В новых версиях несколько изменился алгоритм расшифрования строк. Если раньше указывалась длина каждой строки, то теперь этого нет, а строки завершаются нулевым байтом.
На зараженных Deed RAT компьютерах удалось обнаружить два новых плагина. Первый называется Disk и используется для работы с дисками. Его особенностью является то, что он, по сути, является оберткой над Windows API. Disk поддерживает десять сетевых команд.
Второй плагин называется Portmap, в основе которой была положена утилита ZXPortMap. Плагин применяется для перенаправления портов (port forwarding) и поддерживает три сетевые команды, каждая из которых является режимом работы.
Помимо прочего выявлена интересная особенность — в конфигурации постоянно фигурирует число 4: четыре дня, в которые бэкдору запрещено работать, четыре ссылки на C2-серверы, четыре ссылки на прокси-серверы, четыре процесса для инжекта, четыре DNS-сервера, четыре адреса DoH.
Дело в том, что в китайском языке иероглиф, обозначающий цифру 4, произносится так же, как и иероглиф, обозначающий смерть, только с другой интонацией, — потому число считается несчастливым, что дает все основания полагать о наличии у группировки китайских корней.
В ходе одного из расследований в поле зрения попал и неизвестный ранее образец ВПО, отличающийся своей функциональностью. Вредонос по всей видимости был доставлен через уже установленный на компьютере Deed RAT получил название Voidoor.
Он скомпилирован в конце 2022 года, представляет собой 32-битный файл формата EXE. Большинство строк внутри зашифрованы XOR на 0x22. Жизненный цикл этого ВПО включал взаимодействие через GitHub и форум voidtools.
Последний построен на движке phpBB и стал для нас кладезем полезной информации, который в совокупности с анализом репозиториев GitHub привел исследователей в блог хакера на Chinese Software Developer Network.
Сопоставив факты, Positive Technologies с определенной долей уверенности предполагает, что автор является одним из разработчиков (если не единственным) вредоноса.
Таким образом, как видим, Space Pirates не прекращает наращивать свою активность в отношении российских компаний: количество атак выросло в несколько раз.
Злоумышленники разрабатывают новое ВПО, реализующее нестандартные техники (как, Voidoor), и модифицируют уже существующее.
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
Незамеченной прошла любопытная информация от исследователей из Cybernews касаемо банды вымогателей Cl0p.
Это именно те ребята, который через дырку в MOVEit стырили данные у нескольких сотен крупных компаний, среди которых Deutsche Bank, Siemens Energy, BBC, Shell и даже Gen. А до этого Cl0p ломали жертвы через другиt файлообменники -Skype Accellion FTA и GoAnywhere. Некоторые же ресерчеры полагают, что Cl0p эксплуатировали уязвимость в MOVEit целых два года.
На протяжении долгого времени западными исследователями утверждалось, что Cl0p - группа, несомненно, русская. Ну просто потому что все зло в мире от русских происходит, это любой западный инфосек эксперт подтвердит. Кроме того зла, которое от китайцев, иранцев и Ким Чен Ына. Русские привыкли и не особо обращают на это внимание.
Не повлияло на этот дискурс и задержание в 2021 году украинскими правоохранителями шестерых членов Cl0p, после чего группировке на некоторое время изрядно похеровело.
Теперь же Cybernews внесли сумятицу в информационный фон - они утверждают, что, по данным доверенного исследователя, имени которого они не называют из соображений конспирации, ему удалось сдеанонить через дырку в неназванной коммуникационной платформе IP-адрес одного из разработчиков Cl0p. Оказалось, что тот невозбранно сидит в городе Краматорске, с 2014 года контролируемом Киевом.
"Связанная с Россией банда по-прежнему действует из Украины" - делятся с нами своей шизофазией журналисты Cybernews. Срочно три галоперидола господам за крайним столиком!
Неудобно получилось, да.
Это именно те ребята, который через дырку в MOVEit стырили данные у нескольких сотен крупных компаний, среди которых Deutsche Bank, Siemens Energy, BBC, Shell и даже Gen. А до этого Cl0p ломали жертвы через другиt файлообменники -
На протяжении долгого времени западными исследователями утверждалось, что Cl0p - группа, несомненно, русская. Ну просто потому что все зло в мире от русских происходит, это любой западный инфосек эксперт подтвердит. Кроме того зла, которое от китайцев, иранцев и Ким Чен Ына. Русские привыкли и не особо обращают на это внимание.
Не повлияло на этот дискурс и задержание в 2021 году украинскими правоохранителями шестерых членов Cl0p, после чего группировке на некоторое время изрядно похеровело.
Теперь же Cybernews внесли сумятицу в информационный фон - они утверждают, что, по данным доверенного исследователя, имени которого они не называют из соображений конспирации, ему удалось сдеанонить через дырку в неназванной коммуникационной платформе IP-адрес одного из разработчиков Cl0p. Оказалось, что тот невозбранно сидит в городе Краматорске, с 2014 года контролируемом Киевом.
"Связанная с Россией банда по-прежнему действует из Украины" - делятся с нами своей шизофазией журналисты Cybernews. Срочно три галоперидола господам за крайним столиком!
Неудобно получилось, да.
Cybernews
Cl0p hacker operating from Russia-Ukraine war front line – exclusive
As Cl0p continues to sow anxiety worldwide, affecting companies like Deutsche Bank, at least one of the gang’s masterminds is still residing in Ukraine.
Данный пост написан в знак нашего протеста против катастрофического падения уровня материалов, публикуемых ведущими мировыми инфосек компаниями.
Avast - Хуяст
Mandiant - Хуйдиянт
Proofpoint - Хуйвпойнт
Sentinel Labs - Хуйнтинел Хуябс
Palo Alto - Хуяло Хуяльто
Claroty - Хуяроти
ESET - Хуйсет
Cisco Talos - Хуиско Хуялос
Trend Micro - Хуенд Хуикро
Sophos - Хуефос
Recorded Future - Хуердед Хуючо
Symantec - Хуентек
Zscaler - ЗетХуялер
Cyfirma - Хуяйхуирма
Cyble - Хуяйбл
Malwarebytes - Хуйвэрхуяйтс
Sekoia - Хуйоя
SecAtor -молодцы Хуятор
Avast - Хуяст
Mandiant - Хуйдиянт
Proofpoint - Хуйвпойнт
Sentinel Labs - Хуйнтинел Хуябс
Palo Alto - Хуяло Хуяльто
Claroty - Хуяроти
ESET - Хуйсет
Cisco Talos - Хуиско Хуялос
Trend Micro - Хуенд Хуикро
Sophos - Хуефос
Recorded Future - Хуердед Хуючо
Symantec - Хуентек
Zscaler - ЗетХуялер
Cyfirma - Хуяйхуирма
Cyble - Хуяйбл
Malwarebytes - Хуйвэрхуяйтс
Sekoia - Хуйоя
SecAtor -
Один из лидеров мирового рынка CMS Drupal устранила критическую уязвимость двухфакторной аутентификации.
В Drupal CMS была исправлена уязвимость, затрагивающая модуль двухфакторной аутентификации, который позволяет разработчикам разрешать или требовать второй метод аутентификации в дополнение к паролю, дабы снизить риск несанкционированного доступа, в случае если даже пароль был скомпрометированы.
Но, как выяснили исследователи Бенджи Фишер из Drupal и Лара Конрад из DM13 Security LLC, это требование не всегда соблюдается, уязвимость позволяет его обходить.
Безусловно, уязвимость смягчается тем, что злоумышленник должен сначала получить учетные данные первого фактора для входа в систему.
Но, если вы используете модуль двухфакторной аутентификации (TFA) для Drupal 8/9 - обновите его до TFA 8.x-1.1. Убедитесь, что все дополнительные внешние формы аутентификации, такие как REST, отключены.
В Drupal CMS была исправлена уязвимость, затрагивающая модуль двухфакторной аутентификации, который позволяет разработчикам разрешать или требовать второй метод аутентификации в дополнение к паролю, дабы снизить риск несанкционированного доступа, в случае если даже пароль был скомпрометированы.
Но, как выяснили исследователи Бенджи Фишер из Drupal и Лара Конрад из DM13 Security LLC, это требование не всегда соблюдается, уязвимость позволяет его обходить.
Безусловно, уязвимость смягчается тем, что злоумышленник должен сначала получить учетные данные первого фактора для входа в систему.
Но, если вы используете модуль двухфакторной аутентификации (TFA) для Drupal 8/9 - обновите его до TFA 8.x-1.1. Убедитесь, что все дополнительные внешние формы аутентификации, такие как REST, отключены.
Drupal.org
Two-factor Authentication (TFA) - Critical - Access bypass - SA-CONTRIB-2023-030
This module enables you to allow and/or require users to use a second authentication method in addition to password authentication. The module doesn't sufficiently ensure all core login routes, including the password reset page, require a second factor credential.…
По всей видимости, схему с рейдерским захватом NSO решили провернуть с другими серьезными игроками рынка spyware - Cytrox и Intellexa.
Две иностранные компании попали под санкции правительства США за «торговлю кибер-эксплойтами, используемыми для получения доступа к информационным системам».
В новом объявлении (PDF) Министерства торговли администрации Байдена говориться, что указанные поставщики шпионского ПО представляют угрозу конфиденциальности и безопасности отдельных лиц и организаций во всем мире.
Официальным рестрикциям предшествовали расследования ведущих инфосек-компаний, действовавших, вероятно, по команде своих кураторов из спецслужб.
Cytrox была связана с вредоносной ПО Predator, нацеленной на устройства iPhone и попавшейся на инциденте с европейским законодателем и египетскими чиновниками.
Как тогда стало широко известно, Predator был способен компрометировать самую последнюю на тот момент версию iOS с помощью ссылок в один клик, отправленных в WhatsApp.
Кейсом занимались Citizen Lab совместно с группой разведки угроз материнской компании Meta (признана в РФ экстремистской), которые громогласно расчехлили кампании Cytrox и впридачу парочку других PSOA.
Как и Cytrox, Intellexa также была публично представлена как частная разведкомпания, реализующая услуги по взлому iOS и Android на миллионы долларов.
Вполне допускаем, что финальная итерация через санкции уже привела или совсем скоро приведет к контролю нужных людей за технологиями, кадрами и текущими портфелями заказов, как это было в случае с NSO.
И все это красиво заворачивается и подается, как отметили представители правительства США, под соусом усилий администрации Байдена по продвижению прав человека во внешней политике штатов.
Две иностранные компании попали под санкции правительства США за «торговлю кибер-эксплойтами, используемыми для получения доступа к информационным системам».
В новом объявлении (PDF) Министерства торговли администрации Байдена говориться, что указанные поставщики шпионского ПО представляют угрозу конфиденциальности и безопасности отдельных лиц и организаций во всем мире.
Официальным рестрикциям предшествовали расследования ведущих инфосек-компаний, действовавших, вероятно, по команде своих кураторов из спецслужб.
Cytrox была связана с вредоносной ПО Predator, нацеленной на устройства iPhone и попавшейся на инциденте с европейским законодателем и египетскими чиновниками.
Как тогда стало широко известно, Predator был способен компрометировать самую последнюю на тот момент версию iOS с помощью ссылок в один клик, отправленных в WhatsApp.
Кейсом занимались Citizen Lab совместно с группой разведки угроз материнской компании Meta (признана в РФ экстремистской), которые громогласно расчехлили кампании Cytrox и впридачу парочку других PSOA.
Как и Cytrox, Intellexa также была публично представлена как частная разведкомпания, реализующая услуги по взлому iOS и Android на миллионы долларов.
Вполне допускаем, что финальная итерация через санкции уже привела или совсем скоро приведет к контролю нужных людей за технологиями, кадрами и текущими портфелями заказов, как это было в случае с NSO.
И все это красиво заворачивается и подается, как отметили представители правительства США, под соусом усилий администрации Байдена по продвижению прав человека во внешней политике штатов.
Журналисты из Der Spiegel и Der Standard сообщают об утечке данных принадлежащей Google платформы VirusTotal, которая раскрывает данные пяти тысяч ее зарегистрированных клиентов, в том числе сотрудников разведки, силовиков и военных.
Как утверждают некоторые исследователи, файл размером 313 КБ со списком из 5600 клиентов репозитория был непреднамеренно загружен сотрудником на саму же платформу, в результате чего стал общедоступен.
Google подтвердила утечку и заявила, что предприняла незамедлительные шаги для удаления данных в течение часа после его публикации и внедрила технические средства контроля по недопущению аналогичных ситуации в будущем.
Среди утекших данных есть учетные записи и электронные письма, связанные с официальными органами США, включая Киберкомандование, Пентагон, Минюст, ФБР и АНБ.
Кроме того, множество аккаунтов также принадлежат госучреждениям Великобритании (Минобороны, CERT-UK, GCHQ, NCSC, аппарат Кабинета министров и др), а также ряда министерств и ведомств Германии, Японии, Объединенных Арабских Эмиратов, Катара, Литвы, Израиля, Турции, Франции, Эстонии, Польши, Саудовской Аравии, Колумбии, Чехии, Египта, Словакии и Украины.
Причем, судя по группировке акаунтов по корпоративным клиентам, некоторые из сотрудников названных учреждений раскрыли личные адреса на Gmail, Hotmail и Yahoo.
Тем не менее, представители пострадавших от утечки организаций считают произошедшее инцидентом с низким уровнем риска.
Например, Министерство обороны Соединенного королевства, на которое приходится почти половина электронных писем, связанных с доменом gov.uk, заявило, что ни одна единица данных не была конфиденциальной, и все детали были удалены.
В то время, как их визави по сливу из Управления по эксплуатации ядерных объектов (NDA) все же чего то подозревают и уже проводят обучение персонала о рисках, связанных с фишингом.
Но будем посмотреть.
Как утверждают некоторые исследователи, файл размером 313 КБ со списком из 5600 клиентов репозитория был непреднамеренно загружен сотрудником на саму же платформу, в результате чего стал общедоступен.
Google подтвердила утечку и заявила, что предприняла незамедлительные шаги для удаления данных в течение часа после его публикации и внедрила технические средства контроля по недопущению аналогичных ситуации в будущем.
Среди утекших данных есть учетные записи и электронные письма, связанные с официальными органами США, включая Киберкомандование, Пентагон, Минюст, ФБР и АНБ.
Кроме того, множество аккаунтов также принадлежат госучреждениям Великобритании (Минобороны, CERT-UK, GCHQ, NCSC, аппарат Кабинета министров и др), а также ряда министерств и ведомств Германии, Японии, Объединенных Арабских Эмиратов, Катара, Литвы, Израиля, Турции, Франции, Эстонии, Польши, Саудовской Аравии, Колумбии, Чехии, Египта, Словакии и Украины.
Причем, судя по группировке акаунтов по корпоративным клиентам, некоторые из сотрудников названных учреждений раскрыли личные адреса на Gmail, Hotmail и Yahoo.
Тем не менее, представители пострадавших от утечки организаций считают произошедшее инцидентом с низким уровнем риска.
Например, Министерство обороны Соединенного королевства, на которое приходится почти половина электронных писем, связанных с доменом gov.uk, заявило, что ни одна единица данных не была конфиденциальной, и все детали были удалены.
В то время, как их визави по сливу из Управления по эксплуатации ядерных объектов (NDA) все же чего то подозревают и уже проводят обучение персонала о рисках, связанных с фишингом.
Но будем посмотреть.
Spiegel
VirusTotal: Datenleck offenbart Kunden der Google-Sicherheitsplattform
Auf VirusTotal überprüfen Unternehmen, Behörden und Sicherheitsexperten verdächtige Dateien und Webseiten. Nun zeigt ein Datenleak, wer den Google-Dienst nutzt – darunter sind auch deutsche Nachrichtendienste.
Хакер из киберподполья спалился, заразив свой собственный компьютер вредоносным ПО для кражи информации.
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный в даркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный в даркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
Hudson Rock
Hudson Rock - Infostealer Intelligence Solutions
Powered by Hudson Rock's continuously augmented cybercrime database, composed of millions of machines compromised by Infostealers in global malware spreading campaigns.
Citrix предупреждает пользователей о критической уязвимости в NetScaler Application Delivery Controller (ADC) и Gateway, которая активно эксплуатируется в дикой природе.
Уязвимость отслеживается как CVE-2023-3519, имеет критичную оценку 9.8 по CVSS и связана с инъекцией кода, которая может привести к удаленному выполнению без аутентификации.
Проблема влияет на целый ряд версий NetScaler ADC и NetScaler Gateway.
Чтобы хакеры могли использовать проблему безопасности в атаках, уязвимое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или как виртуальный сервер аутентификации (так называемый сервер AAA).
Пока в компании не дали дополнительных подробностей об уязвимости, связанной с CVE-2023-3519, однако в бюллетене по безопасности Citrix говорилось, что были обнаружили эксплойты на "незащищенных устройствах".
На каких и где именно не сообщается, но клиентам настоятельно рекомендуется перейти на обновленную версию, которая устраняет проблему.
Вместе с CVE-2023-3519 с выпуском нового патча были исправлены еще две критических CVE-2023-3466 и CVE-2023-3467 с рейтингом 8,3 и 8 соответственно.
В первую неделю июля некто рекламировал на хакерском форуме уязвимость нулевого дня для Citrix ADC.
Деталей слишком мало, чтобы определенно связать относится ли этот баг к обновлениям от Citrix, но сделать соответствующие выводы и обновиться вероятно стоит.
Уязвимость отслеживается как CVE-2023-3519, имеет критичную оценку 9.8 по CVSS и связана с инъекцией кода, которая может привести к удаленному выполнению без аутентификации.
Проблема влияет на целый ряд версий NetScaler ADC и NetScaler Gateway.
Чтобы хакеры могли использовать проблему безопасности в атаках, уязвимое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или как виртуальный сервер аутентификации (так называемый сервер AAA).
Пока в компании не дали дополнительных подробностей об уязвимости, связанной с CVE-2023-3519, однако в бюллетене по безопасности Citrix говорилось, что были обнаружили эксплойты на "незащищенных устройствах".
На каких и где именно не сообщается, но клиентам настоятельно рекомендуется перейти на обновленную версию, которая устраняет проблему.
Вместе с CVE-2023-3519 с выпуском нового патча были исправлены еще две критических CVE-2023-3466 и CVE-2023-3467 с рейтингом 8,3 и 8 соответственно.
В первую неделю июля некто рекламировал на хакерском форуме уязвимость нулевого дня для Citrix ADC.
Деталей слишком мало, чтобы определенно связать относится ли этот баг к обновлениям от Citrix, но сделать соответствующие выводы и обновиться вероятно стоит.
TAC Security
Critical Citrix ADC and Gateway zero-day exploited by hackers - TAC Security
The Citrix ADC and Gateway contain a zero-day vulnerability (CVE-2022-27518) that state-sponsored hackers actively exploit to gain access to corporate
Восставшая из пепла FIN8, отслеживаемая Symantec, в том числе и под именем Syssphinx, возобновила свою злонамеренную активность.
Злоумышленники уже давно прославились своим вероломным появлением на ландшафте угроз и своим внезапным исчезновением.
Оно отчасти и правильно, хорошо поработал - хорошо отдохнул и с новым арсеналом снова в бой.
Теперь хакеры стали использовать обновленную версию своего бэкдора Sardonic для распространения вируса-вымогателя BlackCat (он же ALPHV), что свидетельствует об эволюции вредоносных программ, находящихся у группы.
Как показала практика, FIN8 не важно кого атаковать, поскольку группировка известна своими финансово мотивированными нападениями на организации в химической, развлекательной, финансовой, гостиничной, страховой, розничной и технологической отраслях.
Используя передовые методы целевого фишинга и социальной инженерии, они реализуют проникновение в сеть жертвы, причем достаточно хорошо скрывая свои вредоносные воздействия.
Исследователи Symantec отметили, что новый Sardonic имеет много общего с первой версией, но большая часть кода была переписана.
Новая версия поддерживает больше форматов плагинов, что увеличивает гибкость и возможности злоумышленников.
Однако некоторые обновления кажутся ответом на раннее исследование Bitdefender, которое указывало на недостатки первой версии.
Некоторые переделки вовсе выглядят неестественно и не обязательно улучшают функционал малвари, наводя на мысли, что основная цель злоумышленников состояла в том, чтобы избежать сходства с ранее раскрытыми деталями.
В прочем сути и мотивации группы это не меняет и Syssphinx продолжает активно развивать и улучшать свои возможности и инфраструктуру доставки вредоносных программ, периодически совершенствуя свои инструменты и тактику, чтобы избегать обнаружений.
Решение группы расширить свой вектор атаки на точки продаж с целью развертывания ransomware демонстрирует приверженность к максимизации своей прибыли за минимальное время.
Злоумышленники уже давно прославились своим вероломным появлением на ландшафте угроз и своим внезапным исчезновением.
Оно отчасти и правильно, хорошо поработал - хорошо отдохнул и с новым арсеналом снова в бой.
Теперь хакеры стали использовать обновленную версию своего бэкдора Sardonic для распространения вируса-вымогателя BlackCat (он же ALPHV), что свидетельствует об эволюции вредоносных программ, находящихся у группы.
Как показала практика, FIN8 не важно кого атаковать, поскольку группировка известна своими финансово мотивированными нападениями на организации в химической, развлекательной, финансовой, гостиничной, страховой, розничной и технологической отраслях.
Используя передовые методы целевого фишинга и социальной инженерии, они реализуют проникновение в сеть жертвы, причем достаточно хорошо скрывая свои вредоносные воздействия.
Исследователи Symantec отметили, что новый Sardonic имеет много общего с первой версией, но большая часть кода была переписана.
Новая версия поддерживает больше форматов плагинов, что увеличивает гибкость и возможности злоумышленников.
Однако некоторые обновления кажутся ответом на раннее исследование Bitdefender, которое указывало на недостатки первой версии.
Некоторые переделки вовсе выглядят неестественно и не обязательно улучшают функционал малвари, наводя на мысли, что основная цель злоумышленников состояла в том, чтобы избежать сходства с ранее раскрытыми деталями.
В прочем сути и мотивации группы это не меняет и Syssphinx продолжает активно развивать и улучшать свои возможности и инфраструктуру доставки вредоносных программ, периодически совершенствуя свои инструменты и тактику, чтобы избегать обнаружений.
Решение группы расширить свой вектор атаки на точки продаж с целью развертывания ransomware демонстрирует приверженность к максимизации своей прибыли за минимальное время.
Security
FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware
Financially motivated cyber-crime group continues to develop and improve tools and tactics.
Adobe выпустила экстренное обновление для ColdFusion, которое устраняет критические уязвимости, в том числе исправление для новой 0-day, используемой в реальных атаках.
Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).
Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.
Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.
13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.
Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).
В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.
Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее.
Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).
Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.
Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.
13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.
Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).
В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.
Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее.
Adobe
Adobe Security Bulletin
Security updates available for Adobe ColdFusion | APSB23-47
Исследователи Palo Alto Networks Unit 42 обнаружили нового однорангового (P2P) червя под названием P2PInfect, нацеленного на уязвимые серверы Redis для последующей эксплуатации.
Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.
По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.
Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.
CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.
Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.
Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.
Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.
Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.
Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.
Но, как говорится, еще вечер.
Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.
По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.
Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.
CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.
Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.
Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.
Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.
Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.
Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.
Но, как говорится, еще вечер.
Unit 42
P2PInfect: The Rusty Peer-to-Peer Self-Replicating Worm
A novel peer-to-peer worm written in Rust is uniquely scalable. It targets open-source database Redis and can infect multiple platforms.
Positive Technoligies похоже впечатлились нашим недавним протестом против падения качества исследований инфосек компаний и стали на гора выдавать неплохие статьи на своем сайте.
Вот что SecAtor животворящий делает! (почти с)
Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK®, успешно применяемых на практике.
Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.
В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.
При этом все приемы и подприемы были сгруппированы по тактикам.
Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.
Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.
Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.
В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK® повысит эффективность систем защиты и поможет обнаруживать больше атак.
Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.
Ну, и конечно же - начать с детального ознакомления с исследованием.
Вот что SecAtor животворящий делает! (почти с)
Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK®, успешно применяемых на практике.
Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.
В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.
При этом все приемы и подприемы были сгруппированы по тактикам.
Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.
Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.
Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.
В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK® повысит эффективность систем защиты и поможет обнаруживать больше атак.
Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.
Ну, и конечно же - начать с детального ознакомления с исследованием.
ptsecurity.com
How to Detect 10 Popular Pentester Techniques
The study describes how to detect and prevent the top 10 most popular MITRE ATT&CK® techniques. These are the techniques Positive Technologies experts most often used in internal and external penetration tests.
Гэнг-бэнг или дабл пенетрейшен совершили в отношении компания по производству косметики Estée Lauder, которая, как сообщают источники, подверглась акту группового вымогательства одновременно от BlackCat и Clop.
В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.
Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.
В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.
Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.
На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.
BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.
Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.
В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании.
В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.
Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.
В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.
Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.
На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.
BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.
Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.
В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании.
CNN
Estee Lauder hit by hack, some business operations affected
Cosmetics maker Estee Lauder on Tuesday said a hacker had obtained some data from its systems, with the cyber incident causing, and expected to further cause, disruption to parts of the company’s business operations.
Ушла легенда.
Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.
Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.
Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.
Good night sweet prince.
Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.
Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.
Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.
Good night sweet prince.
Forwarded from Russian OSINT
Режиссер фильма "Терминатор" Джеймс Кэмерон в новом интервью с телеканалом CTV News рассказал о потенциальных рисках, которые несёт в себе ИИ.
"Я думаю, что наибольшую опасность представляет использование ИИ в военных целях. Мы ввяжемся в эквивалент гонки ядерных вооружений, только теперь с ИИ", — считает Кэмерон.
"Вы можете представить себе ИИ на театре военных действий...всё это [военные действия] будет вестись компьютерами с такой
👆В настоящее время 🎦 Голливуд размышляет над тем, чтобы передать
Please open Telegram to view this post
VIEW IN TELEGRAM
Meta (которая признана в России экстремистской) подкинула пользователям WhatsApp очередные ништяки, помимо известных проблем с конфиденциальностью и цензурой.
Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.
Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.
Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.
Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.
WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.
Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.
При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.
Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием.
Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.
Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.
Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.
Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.
WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.
Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.
При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.
Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием.
ghacks.net
You may deactivate anyone's WhatsApp account with a simple email
WhatsApp users who lose access to their phones may request a deactivation of their account, but so may anyone else.
Специалисты из Eclypsium раскрыли две новые уязвимости в ПО Baseboard Management Controller (BMC) от American Megatrends (AMI).
BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.
Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.
Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.
Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.
Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.
Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.
Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).
Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.
Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.
Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.
Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации.
BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.
Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.
Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.
Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.
Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.
Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.
Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).
Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.
Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.
Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.
Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации.
Eclypsium | Supply Chain Security for the Modern Enterprise
BMC&C: Lights Out Forever
Eclypsium Research discusses critical vulnerabilities in American Megatrends (AMI) MegaRAC Baseboard Management Controller (BMC) software, affecting millions of devices. These vulnerabilities enable unauthenticated remote code execution and unauthorized device…