Журналисты из Der Spiegel и Der Standard сообщают об утечке данных принадлежащей Google платформы VirusTotal, которая раскрывает данные пяти тысяч ее зарегистрированных клиентов, в том числе сотрудников разведки, силовиков и военных.
Как утверждают некоторые исследователи, файл размером 313 КБ со списком из 5600 клиентов репозитория был непреднамеренно загружен сотрудником на саму же платформу, в результате чего стал общедоступен.
Google подтвердила утечку и заявила, что предприняла незамедлительные шаги для удаления данных в течение часа после его публикации и внедрила технические средства контроля по недопущению аналогичных ситуации в будущем.
Среди утекших данных есть учетные записи и электронные письма, связанные с официальными органами США, включая Киберкомандование, Пентагон, Минюст, ФБР и АНБ.
Кроме того, множество аккаунтов также принадлежат госучреждениям Великобритании (Минобороны, CERT-UK, GCHQ, NCSC, аппарат Кабинета министров и др), а также ряда министерств и ведомств Германии, Японии, Объединенных Арабских Эмиратов, Катара, Литвы, Израиля, Турции, Франции, Эстонии, Польши, Саудовской Аравии, Колумбии, Чехии, Египта, Словакии и Украины.
Причем, судя по группировке акаунтов по корпоративным клиентам, некоторые из сотрудников названных учреждений раскрыли личные адреса на Gmail, Hotmail и Yahoo.
Тем не менее, представители пострадавших от утечки организаций считают произошедшее инцидентом с низким уровнем риска.
Например, Министерство обороны Соединенного королевства, на которое приходится почти половина электронных писем, связанных с доменом gov.uk, заявило, что ни одна единица данных не была конфиденциальной, и все детали были удалены.
В то время, как их визави по сливу из Управления по эксплуатации ядерных объектов (NDA) все же чего то подозревают и уже проводят обучение персонала о рисках, связанных с фишингом.
Но будем посмотреть.
Как утверждают некоторые исследователи, файл размером 313 КБ со списком из 5600 клиентов репозитория был непреднамеренно загружен сотрудником на саму же платформу, в результате чего стал общедоступен.
Google подтвердила утечку и заявила, что предприняла незамедлительные шаги для удаления данных в течение часа после его публикации и внедрила технические средства контроля по недопущению аналогичных ситуации в будущем.
Среди утекших данных есть учетные записи и электронные письма, связанные с официальными органами США, включая Киберкомандование, Пентагон, Минюст, ФБР и АНБ.
Кроме того, множество аккаунтов также принадлежат госучреждениям Великобритании (Минобороны, CERT-UK, GCHQ, NCSC, аппарат Кабинета министров и др), а также ряда министерств и ведомств Германии, Японии, Объединенных Арабских Эмиратов, Катара, Литвы, Израиля, Турции, Франции, Эстонии, Польши, Саудовской Аравии, Колумбии, Чехии, Египта, Словакии и Украины.
Причем, судя по группировке акаунтов по корпоративным клиентам, некоторые из сотрудников названных учреждений раскрыли личные адреса на Gmail, Hotmail и Yahoo.
Тем не менее, представители пострадавших от утечки организаций считают произошедшее инцидентом с низким уровнем риска.
Например, Министерство обороны Соединенного королевства, на которое приходится почти половина электронных писем, связанных с доменом gov.uk, заявило, что ни одна единица данных не была конфиденциальной, и все детали были удалены.
В то время, как их визави по сливу из Управления по эксплуатации ядерных объектов (NDA) все же чего то подозревают и уже проводят обучение персонала о рисках, связанных с фишингом.
Но будем посмотреть.
Spiegel
VirusTotal: Datenleck offenbart Kunden der Google-Sicherheitsplattform
Auf VirusTotal überprüfen Unternehmen, Behörden und Sicherheitsexperten verdächtige Dateien und Webseiten. Nun zeigt ein Datenleak, wer den Google-Dienst nutzt – darunter sind auch deutsche Nachrichtendienste.
Хакер из киберподполья спалился, заразив свой собственный компьютер вредоносным ПО для кражи информации.
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный в даркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный в даркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
Hudson Rock
Hudson Rock - Infostealer Intelligence Solutions
Powered by Hudson Rock's continuously augmented cybercrime database, composed of millions of machines compromised by Infostealers in global malware spreading campaigns.
Citrix предупреждает пользователей о критической уязвимости в NetScaler Application Delivery Controller (ADC) и Gateway, которая активно эксплуатируется в дикой природе.
Уязвимость отслеживается как CVE-2023-3519, имеет критичную оценку 9.8 по CVSS и связана с инъекцией кода, которая может привести к удаленному выполнению без аутентификации.
Проблема влияет на целый ряд версий NetScaler ADC и NetScaler Gateway.
Чтобы хакеры могли использовать проблему безопасности в атаках, уязвимое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или как виртуальный сервер аутентификации (так называемый сервер AAA).
Пока в компании не дали дополнительных подробностей об уязвимости, связанной с CVE-2023-3519, однако в бюллетене по безопасности Citrix говорилось, что были обнаружили эксплойты на "незащищенных устройствах".
На каких и где именно не сообщается, но клиентам настоятельно рекомендуется перейти на обновленную версию, которая устраняет проблему.
Вместе с CVE-2023-3519 с выпуском нового патча были исправлены еще две критических CVE-2023-3466 и CVE-2023-3467 с рейтингом 8,3 и 8 соответственно.
В первую неделю июля некто рекламировал на хакерском форуме уязвимость нулевого дня для Citrix ADC.
Деталей слишком мало, чтобы определенно связать относится ли этот баг к обновлениям от Citrix, но сделать соответствующие выводы и обновиться вероятно стоит.
Уязвимость отслеживается как CVE-2023-3519, имеет критичную оценку 9.8 по CVSS и связана с инъекцией кода, которая может привести к удаленному выполнению без аутентификации.
Проблема влияет на целый ряд версий NetScaler ADC и NetScaler Gateway.
Чтобы хакеры могли использовать проблему безопасности в атаках, уязвимое устройство должно быть настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или как виртуальный сервер аутентификации (так называемый сервер AAA).
Пока в компании не дали дополнительных подробностей об уязвимости, связанной с CVE-2023-3519, однако в бюллетене по безопасности Citrix говорилось, что были обнаружили эксплойты на "незащищенных устройствах".
На каких и где именно не сообщается, но клиентам настоятельно рекомендуется перейти на обновленную версию, которая устраняет проблему.
Вместе с CVE-2023-3519 с выпуском нового патча были исправлены еще две критических CVE-2023-3466 и CVE-2023-3467 с рейтингом 8,3 и 8 соответственно.
В первую неделю июля некто рекламировал на хакерском форуме уязвимость нулевого дня для Citrix ADC.
Деталей слишком мало, чтобы определенно связать относится ли этот баг к обновлениям от Citrix, но сделать соответствующие выводы и обновиться вероятно стоит.
TAC Security
Critical Citrix ADC and Gateway zero-day exploited by hackers - TAC Security
The Citrix ADC and Gateway contain a zero-day vulnerability (CVE-2022-27518) that state-sponsored hackers actively exploit to gain access to corporate
Восставшая из пепла FIN8, отслеживаемая Symantec, в том числе и под именем Syssphinx, возобновила свою злонамеренную активность.
Злоумышленники уже давно прославились своим вероломным появлением на ландшафте угроз и своим внезапным исчезновением.
Оно отчасти и правильно, хорошо поработал - хорошо отдохнул и с новым арсеналом снова в бой.
Теперь хакеры стали использовать обновленную версию своего бэкдора Sardonic для распространения вируса-вымогателя BlackCat (он же ALPHV), что свидетельствует об эволюции вредоносных программ, находящихся у группы.
Как показала практика, FIN8 не важно кого атаковать, поскольку группировка известна своими финансово мотивированными нападениями на организации в химической, развлекательной, финансовой, гостиничной, страховой, розничной и технологической отраслях.
Используя передовые методы целевого фишинга и социальной инженерии, они реализуют проникновение в сеть жертвы, причем достаточно хорошо скрывая свои вредоносные воздействия.
Исследователи Symantec отметили, что новый Sardonic имеет много общего с первой версией, но большая часть кода была переписана.
Новая версия поддерживает больше форматов плагинов, что увеличивает гибкость и возможности злоумышленников.
Однако некоторые обновления кажутся ответом на раннее исследование Bitdefender, которое указывало на недостатки первой версии.
Некоторые переделки вовсе выглядят неестественно и не обязательно улучшают функционал малвари, наводя на мысли, что основная цель злоумышленников состояла в том, чтобы избежать сходства с ранее раскрытыми деталями.
В прочем сути и мотивации группы это не меняет и Syssphinx продолжает активно развивать и улучшать свои возможности и инфраструктуру доставки вредоносных программ, периодически совершенствуя свои инструменты и тактику, чтобы избегать обнаружений.
Решение группы расширить свой вектор атаки на точки продаж с целью развертывания ransomware демонстрирует приверженность к максимизации своей прибыли за минимальное время.
Злоумышленники уже давно прославились своим вероломным появлением на ландшафте угроз и своим внезапным исчезновением.
Оно отчасти и правильно, хорошо поработал - хорошо отдохнул и с новым арсеналом снова в бой.
Теперь хакеры стали использовать обновленную версию своего бэкдора Sardonic для распространения вируса-вымогателя BlackCat (он же ALPHV), что свидетельствует об эволюции вредоносных программ, находящихся у группы.
Как показала практика, FIN8 не важно кого атаковать, поскольку группировка известна своими финансово мотивированными нападениями на организации в химической, развлекательной, финансовой, гостиничной, страховой, розничной и технологической отраслях.
Используя передовые методы целевого фишинга и социальной инженерии, они реализуют проникновение в сеть жертвы, причем достаточно хорошо скрывая свои вредоносные воздействия.
Исследователи Symantec отметили, что новый Sardonic имеет много общего с первой версией, но большая часть кода была переписана.
Новая версия поддерживает больше форматов плагинов, что увеличивает гибкость и возможности злоумышленников.
Однако некоторые обновления кажутся ответом на раннее исследование Bitdefender, которое указывало на недостатки первой версии.
Некоторые переделки вовсе выглядят неестественно и не обязательно улучшают функционал малвари, наводя на мысли, что основная цель злоумышленников состояла в том, чтобы избежать сходства с ранее раскрытыми деталями.
В прочем сути и мотивации группы это не меняет и Syssphinx продолжает активно развивать и улучшать свои возможности и инфраструктуру доставки вредоносных программ, периодически совершенствуя свои инструменты и тактику, чтобы избегать обнаружений.
Решение группы расширить свой вектор атаки на точки продаж с целью развертывания ransomware демонстрирует приверженность к максимизации своей прибыли за минимальное время.
Security
FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware
Financially motivated cyber-crime group continues to develop and improve tools and tactics.
Adobe выпустила экстренное обновление для ColdFusion, которое устраняет критические уязвимости, в том числе исправление для новой 0-day, используемой в реальных атаках.
Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).
Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.
Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.
13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.
Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).
В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.
Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее.
Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).
Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.
Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.
13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.
Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).
В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.
Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее.
Adobe
Adobe Security Bulletin
Security updates available for Adobe ColdFusion | APSB23-47
Исследователи Palo Alto Networks Unit 42 обнаружили нового однорангового (P2P) червя под названием P2PInfect, нацеленного на уязвимые серверы Redis для последующей эксплуатации.
Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.
По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.
Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.
CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.
Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.
Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.
Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.
Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.
Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.
Но, как говорится, еще вечер.
Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.
По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.
Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.
CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.
Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.
Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.
Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.
Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.
Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.
Но, как говорится, еще вечер.
Unit 42
P2PInfect: The Rusty Peer-to-Peer Self-Replicating Worm
A novel peer-to-peer worm written in Rust is uniquely scalable. It targets open-source database Redis and can infect multiple platforms.
Positive Technoligies похоже впечатлились нашим недавним протестом против падения качества исследований инфосек компаний и стали на гора выдавать неплохие статьи на своем сайте.
Вот что SecAtor животворящий делает! (почти с)
Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK®, успешно применяемых на практике.
Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.
В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.
При этом все приемы и подприемы были сгруппированы по тактикам.
Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.
Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.
Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.
В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK® повысит эффективность систем защиты и поможет обнаруживать больше атак.
Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.
Ну, и конечно же - начать с детального ознакомления с исследованием.
Вот что SecAtor животворящий делает! (почти с)
Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK®, успешно применяемых на практике.
Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.
В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.
При этом все приемы и подприемы были сгруппированы по тактикам.
Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.
Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.
Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.
В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK® повысит эффективность систем защиты и поможет обнаруживать больше атак.
Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.
Ну, и конечно же - начать с детального ознакомления с исследованием.
ptsecurity.com
How to Detect 10 Popular Pentester Techniques
The study describes how to detect and prevent the top 10 most popular MITRE ATT&CK® techniques. These are the techniques Positive Technologies experts most often used in internal and external penetration tests.
Гэнг-бэнг или дабл пенетрейшен совершили в отношении компания по производству косметики Estée Lauder, которая, как сообщают источники, подверглась акту группового вымогательства одновременно от BlackCat и Clop.
В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.
Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.
В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.
Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.
На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.
BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.
Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.
В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании.
В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.
Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.
В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.
Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.
На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.
BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.
Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.
В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании.
CNN
Estee Lauder hit by hack, some business operations affected
Cosmetics maker Estee Lauder on Tuesday said a hacker had obtained some data from its systems, with the cyber incident causing, and expected to further cause, disruption to parts of the company’s business operations.
Ушла легенда.
Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.
Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.
Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.
Good night sweet prince.
Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.
Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.
Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.
Good night sweet prince.
Forwarded from Russian OSINT
Режиссер фильма "Терминатор" Джеймс Кэмерон в новом интервью с телеканалом CTV News рассказал о потенциальных рисках, которые несёт в себе ИИ.
"Я думаю, что наибольшую опасность представляет использование ИИ в военных целях. Мы ввяжемся в эквивалент гонки ядерных вооружений, только теперь с ИИ", — считает Кэмерон.
"Вы можете представить себе ИИ на театре военных действий...всё это [военные действия] будет вестись компьютерами с такой
👆В настоящее время 🎦 Голливуд размышляет над тем, чтобы передать
Please open Telegram to view this post
VIEW IN TELEGRAM
Meta (которая признана в России экстремистской) подкинула пользователям WhatsApp очередные ништяки, помимо известных проблем с конфиденциальностью и цензурой.
Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.
Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.
Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.
Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.
WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.
Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.
При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.
Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием.
Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.
Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.
Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.
Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.
WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.
Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.
При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.
Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием.
ghacks.net
You may deactivate anyone's WhatsApp account with a simple email
WhatsApp users who lose access to their phones may request a deactivation of their account, but so may anyone else.
Специалисты из Eclypsium раскрыли две новые уязвимости в ПО Baseboard Management Controller (BMC) от American Megatrends (AMI).
BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.
Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.
Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.
Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.
Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.
Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.
Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).
Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.
Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.
Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.
Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации.
BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.
Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.
Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.
Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.
Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.
Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.
Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.
Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).
Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.
Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.
Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.
Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации.
Eclypsium | Supply Chain Security for the Modern Enterprise
BMC&C: Lights Out Forever
Eclypsium Research discusses critical vulnerabilities in American Megatrends (AMI) MegaRAC Baseboard Management Controller (BMC) software, affecting millions of devices. These vulnerabilities enable unauthenticated remote code execution and unauthorized device…
Хотели бы сделать разработку и эксплуатацию контейнерных приложений максимально безопасной и эффективной, но не знаете как? Рассказываем!
Сегодня Лаборатория Касперского выпустила новый продукт, который обеспечивает безопасность контейнерных сред на всех этапах жизненного цикла и встраивается в процесс разработки, позволяя реализовать подход DevSecOps.
На вебинаре Полный вперед: старт продаж Kaspersky Container Security эксперты поделятся подходом к защите контейнерных сред и актуальными угрозами, сделают подробный обзор первой версии и покажут ключевые возможности нового продукта.
Вебинар состоится 27 июля в 11:00 по Москве. Присоединиться, чтобы быть в безопасности, можно по ссылке.
Сегодня Лаборатория Касперского выпустила новый продукт, который обеспечивает безопасность контейнерных сред на всех этапах жизненного цикла и встраивается в процесс разработки, позволяя реализовать подход DevSecOps.
На вебинаре Полный вперед: старт продаж Kaspersky Container Security эксперты поделятся подходом к защите контейнерных сред и актуальными угрозами, сделают подробный обзор первой версии и покажут ключевые возможности нового продукта.
Вебинар состоится 27 июля в 11:00 по Москве. Присоединиться, чтобы быть в безопасности, можно по ссылке.
Mandiant Intelligence поделилась своими размышлениями относительно того, как китайские АРТ развивают тактику первоначального доступа и посткомпрометации, минимализируя при этом возможности обнаружения и атрибуции.
Ресечеры, в частности, отмечают использование 0-day в ПО для обеспечения безопасности и виртуализации, а также нацеливание на сетевые устройства, что обуславливается доступностью периферийных устройств из Интернета, обеспечением первоначального доступа без участия человека и возможностью повторной компрометации.
Кроме того, устройства безопасности и технологиями виртуализации относятся к платформам, в которых традиционно отсутствуют решения EDR, что еще больше снижает вероятность обнаружения и усложняет атрибуцию.
Так, в 2022 году Mandiant наблюдала, как китайский субъект кибершпионажа UNC3886 использовал несколько путей атаки и две 0-day, атакуя оборонно-промышленную базу (DIB), технологии и телекоммуникационные организации в США и Азии. Злоумышленники ограничили присутствие в сетях устройствами безопасности Fortinet и технологиями виртуализации VMware.
Пользовательское вредоносное ПО группы и эксплойты с приоритетом обходят журналы и элементы управления безопасностью, например, используя нетрадиционные протоколы (сокеты VMCI), которые не регистрируются по умолчанию и не имеют ограничений безопасности для взаимодействия между гипервизорами и гостевыми виртуальными машинами. UNC3886 также очистил и изменил журналы и отключил проверку файловой системы при запуске, чтобы избежать обнаружения.
Злоумышленник использовал семейства вредоносных программ, предназначенных для взаимодействия с устройствами Fortinet, включая THINCRUST, CASTLETAP, TABLEFLIP и REPTILE. UNC3886 воспользовался уязвимостью обхода пути CVE-2022-41328, чтобы перезаписать законные файлы в обычно ограниченном системном каталоге.
Получив доступ к устройствам Fortinet целевых организаций, злоумышленник взаимодействовал с серверами VMware vCenter и использовал вредоносные VIB для установки бэкдоров VIRTUALPITA и VIRTUALPIE на гипервизоры ESXi. UNC3886 реализовал уязвимость обхода аутентификации CVE-2023-20867 на хостах ESXi, чтобы разрешить выполнение привилегированных команд на гостевых ВМ без создания дополнительных журналов.
Другим примером является эксплуатация 0-day (CVE-2023-2868) в устройствах Barracuda Email Security Gateway (ESG) китайским UNC4841 в рамках кампании, нацеленной на государственные и частные организации по всему миру в поиске информации, представляющей политический или стратегический интерес.
UNC4841 пытался скрыть элементы своей деятельности несколькими способами. В дополнение к схеме нападения на устройство безопасности UNC4841 отправлял электронные письма со специально созданными вложениями в виде файлов TAR, которые использовали CVE-2023-2868 и позволяли злоумышленникам выполнять произвольные системные команды с повышенными привилегиями.
UNC4841 также разработал специальное вредоносное ПО (включая SALTWATER, SEASIDE, SEASPY), встроил код бэкдора в модули Barracuda (включая SEASPRAY и SKIPJACK), а также использовал самозаверяющие временные или украденные сертификаты SSL для маскировки трафика C2.
Кроме того, Mandiant отмечает кампании кибершпионажа с использованием IoT-ботнетов, умных устройств и маршрутизаторов для маскировки внешнего трафика между инфраструктурой C2 и средами жертв, а также штаммов вредоносных ПО с функциями для скрытой ретрансляции трафика внутри целевых сетей. Среди замеченных акторов - APT41, APT31, APT15, TEMP.Hex и Volt Typhoon.
Мы отметили лишь два примера из длинного списка наблюдавшихся инцидентов кибершпионажа с использованием 0-day в продуктах безопасности и сетевых продуктах. В отчете представлен более полный перечень с подробным разбором и описанием деталей.
Ресечеры, в частности, отмечают использование 0-day в ПО для обеспечения безопасности и виртуализации, а также нацеливание на сетевые устройства, что обуславливается доступностью периферийных устройств из Интернета, обеспечением первоначального доступа без участия человека и возможностью повторной компрометации.
Кроме того, устройства безопасности и технологиями виртуализации относятся к платформам, в которых традиционно отсутствуют решения EDR, что еще больше снижает вероятность обнаружения и усложняет атрибуцию.
Так, в 2022 году Mandiant наблюдала, как китайский субъект кибершпионажа UNC3886 использовал несколько путей атаки и две 0-day, атакуя оборонно-промышленную базу (DIB), технологии и телекоммуникационные организации в США и Азии. Злоумышленники ограничили присутствие в сетях устройствами безопасности Fortinet и технологиями виртуализации VMware.
Пользовательское вредоносное ПО группы и эксплойты с приоритетом обходят журналы и элементы управления безопасностью, например, используя нетрадиционные протоколы (сокеты VMCI), которые не регистрируются по умолчанию и не имеют ограничений безопасности для взаимодействия между гипервизорами и гостевыми виртуальными машинами. UNC3886 также очистил и изменил журналы и отключил проверку файловой системы при запуске, чтобы избежать обнаружения.
Злоумышленник использовал семейства вредоносных программ, предназначенных для взаимодействия с устройствами Fortinet, включая THINCRUST, CASTLETAP, TABLEFLIP и REPTILE. UNC3886 воспользовался уязвимостью обхода пути CVE-2022-41328, чтобы перезаписать законные файлы в обычно ограниченном системном каталоге.
Получив доступ к устройствам Fortinet целевых организаций, злоумышленник взаимодействовал с серверами VMware vCenter и использовал вредоносные VIB для установки бэкдоров VIRTUALPITA и VIRTUALPIE на гипервизоры ESXi. UNC3886 реализовал уязвимость обхода аутентификации CVE-2023-20867 на хостах ESXi, чтобы разрешить выполнение привилегированных команд на гостевых ВМ без создания дополнительных журналов.
Другим примером является эксплуатация 0-day (CVE-2023-2868) в устройствах Barracuda Email Security Gateway (ESG) китайским UNC4841 в рамках кампании, нацеленной на государственные и частные организации по всему миру в поиске информации, представляющей политический или стратегический интерес.
UNC4841 пытался скрыть элементы своей деятельности несколькими способами. В дополнение к схеме нападения на устройство безопасности UNC4841 отправлял электронные письма со специально созданными вложениями в виде файлов TAR, которые использовали CVE-2023-2868 и позволяли злоумышленникам выполнять произвольные системные команды с повышенными привилегиями.
UNC4841 также разработал специальное вредоносное ПО (включая SALTWATER, SEASIDE, SEASPY), встроил код бэкдора в модули Barracuda (включая SEASPRAY и SKIPJACK), а также использовал самозаверяющие временные или украденные сертификаты SSL для маскировки трафика C2.
Кроме того, Mandiant отмечает кампании кибершпионажа с использованием IoT-ботнетов, умных устройств и маршрутизаторов для маскировки внешнего трафика между инфраструктурой C2 и средами жертв, а также штаммов вредоносных ПО с функциями для скрытой ретрансляции трафика внутри целевых сетей. Среди замеченных акторов - APT41, APT31, APT15, TEMP.Hex и Volt Typhoon.
Мы отметили лишь два примера из длинного списка наблюдавшихся инцидентов кибершпионажа с использованием 0-day в продуктах безопасности и сетевых продуктах. В отчете представлен более полный перечень с подробным разбором и описанием деталей.
Google Cloud Blog
Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection | Mandiant | Google Cloud Blog
Норвежская TOMRA подверглась массированной кибератаке, в результате которой до 4 тысяч ее перерабатывающих машин на территории Нидерландов в супермаркетах Jumbo, Albert Heijn и Aldi начали сбоить.
Атака была обнаружена утром 16 июля, после чего администрация решила отключить ряд систем для локализации инцидента.
После чего все затронутые системы продолжили работать в автономном режиме.
Несмотря на то, что клиенты по-прежнему могут сдавать пластиковые бутылки, компания больше не может подключиться ни к одной из своих машин.
А все операции удаленного обслуживания отключены и переведены на ручную обработку.
В обновлении TOMRA сообщает, что злоумышленники получили доступ к ее сети из Монреаля, а затем распространились на остальную часть сети.
Первоначальное расследование показало, что это была продолжающаяся кибератака с получением доступа через некоторые учетные записи пользователей TOMRA, которые были скомпрометированы.
Хотя со стороны инцидент выглядит как программа-вымогатель, в TOMRA говорят, что они не обнаружили никаких доказательств шифрования и не получали требований выкупа, а также доказательств того, что клиенты, заказчики, партнеры TOMRA или их системы были подвержены риску атаки.
Теперь же TOMRA вынуждена инициировать процесс создания цифровых сервисов для торговых автоматов RVM на новой независимой облачной платформе.
Атака была обнаружена утром 16 июля, после чего администрация решила отключить ряд систем для локализации инцидента.
После чего все затронутые системы продолжили работать в автономном режиме.
Несмотря на то, что клиенты по-прежнему могут сдавать пластиковые бутылки, компания больше не может подключиться ни к одной из своих машин.
А все операции удаленного обслуживания отключены и переведены на ручную обработку.
В обновлении TOMRA сообщает, что злоумышленники получили доступ к ее сети из Монреаля, а затем распространились на остальную часть сети.
Первоначальное расследование показало, что это была продолжающаяся кибератака с получением доступа через некоторые учетные записи пользователей TOMRA, которые были скомпрометированы.
Хотя со стороны инцидент выглядит как программа-вымогатель, в TOMRA говорят, что они не обнаружили никаких доказательств шифрования и не получали требований выкупа, а также доказательств того, что клиенты, заказчики, партнеры TOMRA или их системы были подвержены риску атаки.
Теперь же TOMRA вынуждена инициировать процесс создания цифровых сервисов для торговых автоматов RVM на новой независимой облачной платформе.
Het Parool
Honderden statiegeldmachines in supermarkten defect door cyberaanval
Honderden statiegeldautomaten in de supermarkten van Jumbo, Albert Heijn en Aldi werken sinds maandag amper of helemaal niet meer als gevolg van ee...
Исследователь FullSepctrum опубликовал подробности и PoC для критической CVE-2023-20126, которая затрагивает все версии встроенного ПО для 2-портовых телефонных адаптеров Cisco SPA112.
Ошибка была обнаружена Dbappsecurity и Hatlab, имеет оценку CVSS 9,8, позволяя удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве с полными привилегиями.
Проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.
Злоумышленник может воспользоваться этой уязвимостью, обновив уязвимое устройство до созданной версии прошивки.
Самое печальное во всей этой истории, что Cisco не выпускала и не будет выпускать обновления встроенного ПО для устранения этой уязвимости, поскольку 2-портовые телефонные адаптеры Cisco SPA112 уже EOL.
При этом обходных путей для устранения баги также не существует.
Вместо этого, компания предлагает клиентам перейти на аналоговый телефонный адаптер Cisco ATA серии 190.
Но несмотря на это, устройства до сих пор представлены в продаже на ведущих российских маркетплейсах и реализуются уже со встроенным forever-day, который уже никогда не будет исправлен.
Ошибка была обнаружена Dbappsecurity и Hatlab, имеет оценку CVSS 9,8, позволяя удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве с полными привилегиями.
Проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.
Злоумышленник может воспользоваться этой уязвимостью, обновив уязвимое устройство до созданной версии прошивки.
Самое печальное во всей этой истории, что Cisco не выпускала и не будет выпускать обновления встроенного ПО для устранения этой уязвимости, поскольку 2-портовые телефонные адаптеры Cisco SPA112 уже EOL.
При этом обходных путей для устранения баги также не существует.
Вместо этого, компания предлагает клиентам перейти на аналоговый телефонный адаптер Cisco ATA серии 190.
Но несмотря на это, устройства до сих пор представлены в продаже на ведущих российских маркетплейсах и реализуются уже со встроенным forever-day, который уже никогда не будет исправлен.
Full Spectrum Things
Cisco SPA112 Forever-Day: CVE-2023-20126.
Note: this is the "main" blogpost for the talk I am giving at BSides Basingstoke 2023. It spawned a dozen or so other blog posts, some of which have yet to be published. This post should auto publish at the time I am giving the talk, or just before, or
Промышленные организации в Восточной Европе стали мишенью китайской APT31 (Zirconium, Judgment Panda, Bronze Vinewood и Red Keres), о чем сообщают ресерчеры из Лаборатории Касперского.
Злоумышленник сосредоточился на шпионской кампании, целью которой стала кража ценной интеллектуальной собственности у крупных промышленных организаций.
Причем АСУТП хакеров не интересовали, судя по всем признакам.
К расследованию серии атак Лаборатория Касперского приступила еще в 2022 году.
По результатам выяснили, что злоумышленники стремились создать устойчивый канал для кражи данных, в том числе хранящихся в закрытых системах, нацеливаясь через зараженные съемные диски.
Злоумышленники использовали улучшенные варианты ранее известного вредоносного ПО под названием FourteenHi, которое позволяет загружать или скачивать файлы, запускать команды и инициализировать обратную оболочку.
Причем новые варианты были разработаны специально под инфраструктуру промышленных организаций.
Кроме того, кибершпионы использовали новую вредоносную ПО под названием MeatBall, которая обеспечивает широкие возможности удаленного доступа.
Для большинства имплантов злоумышленники применяли уязвимости перехвата DLL и методы внедрения в память, а также шифрование RC4, чтобы скрыть полезную нагрузку и избежать обнаружения.
Всего было идентифицировано более 15 имплантатов и их вариантов, установленных злоумышленниками в различных комбинациях.
Для эксфильтрации данных и доставки вредоносного ПО последующего этапа субъект злоупотреблял облачным хранилищем (Dropbox или Яндекс-Диском), а также сервисом, используемым для временного обмена файлами.
Кроме того, также использовался C2, который был развернут на обычных VPS.
Все технические подробности атак, включая IoC и TTP, лучше внимательно изучить в отчете исследователей Лаборатории Касперского, которые также представили и рекомендации для защиты от подобных угроз.
Злоумышленник сосредоточился на шпионской кампании, целью которой стала кража ценной интеллектуальной собственности у крупных промышленных организаций.
Причем АСУТП хакеров не интересовали, судя по всем признакам.
К расследованию серии атак Лаборатория Касперского приступила еще в 2022 году.
По результатам выяснили, что злоумышленники стремились создать устойчивый канал для кражи данных, в том числе хранящихся в закрытых системах, нацеливаясь через зараженные съемные диски.
Злоумышленники использовали улучшенные варианты ранее известного вредоносного ПО под названием FourteenHi, которое позволяет загружать или скачивать файлы, запускать команды и инициализировать обратную оболочку.
Причем новые варианты были разработаны специально под инфраструктуру промышленных организаций.
Кроме того, кибершпионы использовали новую вредоносную ПО под названием MeatBall, которая обеспечивает широкие возможности удаленного доступа.
Для большинства имплантов злоумышленники применяли уязвимости перехвата DLL и методы внедрения в память, а также шифрование RC4, чтобы скрыть полезную нагрузку и избежать обнаружения.
Всего было идентифицировано более 15 имплантатов и их вариантов, установленных злоумышленниками в различных комбинациях.
Для эксфильтрации данных и доставки вредоносного ПО последующего этапа субъект злоупотреблял облачным хранилищем (Dropbox или Яндекс-Диском), а также сервисом, используемым для временного обмена файлами.
Кроме того, также использовался C2, который был развернут на обычных VPS.
Все технические подробности атак, включая IoC и TTP, лучше внимательно изучить в отчете исследователей Лаборатории Касперского, которые также представили и рекомендации для защиты от подобных угроз.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Common TTPs of attacks against industrial organizations. Implants for remote access | Kaspersky ICS CERT
In this article (which is the first part of the report) we analyze common TTPs of implants used by threat actors to establish a persistent remote access channel into the infrastructure of industrial organizations.
Инженеры Google пытаются протолкнуть новый веб-API под названием Web Environment Integrity, который позволит веб-сайтам блокировать клиентские приложения, изменяющие их код.
Если вкратце, то на основе криптографически подписанного токена CBOR, содержащего сведения о локальной среде, веб-сайты будут решать предоставлять доступ клиентскому приложению или нет.
Новая разработка продвигается в качестве решения для обеспечения безопасности и конфиденциальности, поскольку API идеально подходит для блокировки различных типов угроз, в том числе банковских троянов, кибермошенничества и фишинга.
Но на самом деле Web Environment Integrity позволит Google и операторам сайтов эффективно противодействовать блокировщикам рекламы, в связи с чем новый API был неофициально назван Web DRM.
Безусловно, без шума провернуть финт инженерам Google не удалось и вряд ли вообще удастся - после обрушившейся на компанию критики и обвинений со стороны IT-общественности.
Так, по мнению программиста Riot Games Михал Кавалец, авторы вводят в заблуждение и делают все возможное, чтобы скрыть тот факт, что новый API — это всего лишь последняя попытка Google повлиять веб-стандарты только для того, чтобы сохранить свой рекламный бизнес.
В своем комментарии на HackerNews основатель Codemix Чарльз Пик отметил, что новый API размещен на GitHub, отличном от Google, чтобы максимально дистанцировать проект, который по факту представляет угрозу для всей отрасли.
В StackDiary также поднимают вопрос о возможной монополизации, отмечая возрастающую роль Google, Amazon и Metacode в вопросах контроля аттестации на большинстве веб-сайтов и возможности манипуляции показателями, решая какие веб-сайты считаются заслуживающими доверия.
Помимо критики нового API представители сообщества припомнили Google и то, что она переработала API расширений Chrome в целях безопасности, но случайно снизила эффективность расширений для блокировки рекламы. Да, и вообще не обращает должного внимания вредоносным расширениям.
Отметили блокировщик рекламы, встроенный в браузер Chrome, который на самом деле не блокирует рекламу. Обвинили в отсутствии модерации собственной рекламной платформы, которая постоянно пропускает потоки проплаченной вредоносной рекламы.
Общее мнение таково, что теперь Google можно смело добавить в наш недавний пост с упоминанием мировых инфосек-компаний.
Если вкратце, то на основе криптографически подписанного токена CBOR, содержащего сведения о локальной среде, веб-сайты будут решать предоставлять доступ клиентскому приложению или нет.
Новая разработка продвигается в качестве решения для обеспечения безопасности и конфиденциальности, поскольку API идеально подходит для блокировки различных типов угроз, в том числе банковских троянов, кибермошенничества и фишинга.
Но на самом деле Web Environment Integrity позволит Google и операторам сайтов эффективно противодействовать блокировщикам рекламы, в связи с чем новый API был неофициально назван Web DRM.
Безусловно, без шума провернуть финт инженерам Google не удалось и вряд ли вообще удастся - после обрушившейся на компанию критики и обвинений со стороны IT-общественности.
Так, по мнению программиста Riot Games Михал Кавалец, авторы вводят в заблуждение и делают все возможное, чтобы скрыть тот факт, что новый API — это всего лишь последняя попытка Google повлиять веб-стандарты только для того, чтобы сохранить свой рекламный бизнес.
В своем комментарии на HackerNews основатель Codemix Чарльз Пик отметил, что новый API размещен на GitHub, отличном от Google, чтобы максимально дистанцировать проект, который по факту представляет угрозу для всей отрасли.
В StackDiary также поднимают вопрос о возможной монополизации, отмечая возрастающую роль Google, Amazon и Metacode в вопросах контроля аттестации на большинстве веб-сайтов и возможности манипуляции показателями, решая какие веб-сайты считаются заслуживающими доверия.
Помимо критики нового API представители сообщества припомнили Google и то, что она переработала API расширений Chrome в целях безопасности, но случайно снизила эффективность расширений для блокировки рекламы. Да, и вообще не обращает должного внимания вредоносным расширениям.
Отметили блокировщик рекламы, встроенный в браузер Chrome, который на самом деле не блокирует рекламу. Обвинили в отсутствии модерации собственной рекламной платформы, которая постоянно пропускает потоки проплаченной вредоносной рекламы.
Общее мнение таково, что теперь Google можно смело добавить в наш недавний пост с упоминанием мировых инфосек-компаний.
GitHub
Web-Environment-Integrity/explainer.md at main · explainers-by-googlers/Web-Environment-Integrity
Contribute to explainers-by-googlers/Web-Environment-Integrity development by creating an account on GitHub.
Исследователи Checkmarx обнаружили атаки на цепочку поставок ПО с открытым исходным кодом, нацеленные исключительно на банковский сектор, где, по меньшей мере, два банка стали их жертвами.
Специалисты назвали инциденты первыми в своем роде. В рамках этих атак злоумышленники использовали продвинутые TTP, включая таргет на конкретные компоненты веб-ресурсов жертв с прикреплением соответствующих вредоносных функции.
В феврале и в апреле 2023 года злоумышленники загрузили пакеты с вредоносными скриптами на npm репозиторий. Что за злоумышленник(и) и какой был характер последствий не сообщается.
Известно, что в одной из атак автор вредоносного ПО загрузил пару пакетов в реестр npm в начале апреля 2023 года. Модули поставлялись с предустановленным сценарием для активации последовательности заражения.
После запуска скрипт определял ОС хоста, и продолжал загружать вредоносное ПО второго уровня Havoc с удаленного сервера, используя поддомен в Azure, который включал название рассматриваемого банка.
В другом случае злоумышленники атаковали страницу входа в систему банка, где они внедрили вредоносный код, который оставался в «спящем» режиме, пока его не активируют в нужный момент.
Он был разработан для скрытого перехвата данных для входа и передачи данных в инфраструктуру, контролируемую субъектом.
Также атакующие использовали прием с созданием фейкового профиля LinkedIn для придания достоверности у жертвы и проводили индивидуальную настройку центров управления и контроля для каждой цели, используя легитимные сервисы.
Действия злоумышленников вполне закономерны и в последнее время опасения относительно безопасности открытого ПО выросли в разы, как и атаки на эту никем не регулируемую субстанцию.
Специалисты назвали инциденты первыми в своем роде. В рамках этих атак злоумышленники использовали продвинутые TTP, включая таргет на конкретные компоненты веб-ресурсов жертв с прикреплением соответствующих вредоносных функции.
В феврале и в апреле 2023 года злоумышленники загрузили пакеты с вредоносными скриптами на npm репозиторий. Что за злоумышленник(и) и какой был характер последствий не сообщается.
Известно, что в одной из атак автор вредоносного ПО загрузил пару пакетов в реестр npm в начале апреля 2023 года. Модули поставлялись с предустановленным сценарием для активации последовательности заражения.
После запуска скрипт определял ОС хоста, и продолжал загружать вредоносное ПО второго уровня Havoc с удаленного сервера, используя поддомен в Azure, который включал название рассматриваемого банка.
В другом случае злоумышленники атаковали страницу входа в систему банка, где они внедрили вредоносный код, который оставался в «спящем» режиме, пока его не активируют в нужный момент.
Он был разработан для скрытого перехвата данных для входа и передачи данных в инфраструктуру, контролируемую субъектом.
Также атакующие использовали прием с созданием фейкового профиля LinkedIn для придания достоверности у жертвы и проводили индивидуальную настройку центров управления и контроля для каждой цели, используя легитимные сервисы.
Действия злоумышленников вполне закономерны и в последнее время опасения относительно безопасности открытого ПО выросли в разы, как и атаки на эту никем не регулируемую субстанцию.
Checkmarx
First Known Targeted OSS Supply Chain Attacks Against the Banking Sector
In the first half of 2023, Checkmarxs Supply Chain research team detected several open-source software supply chain attacks that specifically targeted the banking sector.
Atlassian исправила серьезные RCE-уязвимости в Confluence Data Center и Server, а также для одной уязвимости в Bamboo Data Center.
Самая серьезная из этих проблем отслеживается как CVE-2023-22508 (оценка CVSS 8,5) и закралась в Confluence с версии 7.4.0, а другая CVE-2023-22505 (оценка CVSS 8,0) - с версии 8.0.0.
Использование обеих уязвимостей может позволить злоумышленнику выполнить произвольный код, что повлияет на конфиденциальность, целостность и доступность.
Для эксплуатации не требуется взаимодействия с пользователем, но злоумышленник должен пройти аутентификацию как действительный пользователь.
Оба недостатка были устранены с выпуском версий Confluence 8.3.2 и 8.4.0.
Клиентам, которым не удается выполнить обновление до одной из этих версий, необходимо выполнить обновление как минимум до 8.2.0, которая исправляет CVE-2023-22508.
Atlassian также объявила об исправлениях для CVE-2023-22506 (оценка CVSS 7,5), серьезной ошибки RCE в Bamboo Data Center.
Уязвимость, появившаяся в версии 8.0.0 Bamboo, была устранена с выпуском 9.2.3 и 9.3.1 корпоративного решения.
Пользователям и администраторам рекомендуется установить доступные исправления как можно скорее, даже несмотря на то, что Atlassian не упоминает об эксплуатации в дикой природе.
Ведь успешная эксплуатация этих ошибок может привести к захвату системы.
Самая серьезная из этих проблем отслеживается как CVE-2023-22508 (оценка CVSS 8,5) и закралась в Confluence с версии 7.4.0, а другая CVE-2023-22505 (оценка CVSS 8,0) - с версии 8.0.0.
Использование обеих уязвимостей может позволить злоумышленнику выполнить произвольный код, что повлияет на конфиденциальность, целостность и доступность.
Для эксплуатации не требуется взаимодействия с пользователем, но злоумышленник должен пройти аутентификацию как действительный пользователь.
Оба недостатка были устранены с выпуском версий Confluence 8.3.2 и 8.4.0.
Клиентам, которым не удается выполнить обновление до одной из этих версий, необходимо выполнить обновление как минимум до 8.2.0, которая исправляет CVE-2023-22508.
Atlassian также объявила об исправлениях для CVE-2023-22506 (оценка CVSS 7,5), серьезной ошибки RCE в Bamboo Data Center.
Уязвимость, появившаяся в версии 8.0.0 Bamboo, была устранена с выпуском 9.2.3 и 9.3.1 корпоративного решения.
Пользователям и администраторам рекомендуется установить доступные исправления как можно скорее, даже несмотря на то, что Atlassian не упоминает об эксплуатации в дикой природе.
Ведь успешная эксплуатация этих ошибок может привести к захвату системы.
Apple выпустила обновления безопасности для платформ iOS, macOS и iPadOS, исправив новую 0-day, используемую в атаках АРТ.
Это как раз одна из дыр в ядре iOS и macOS, о которых стало известно благодаря ресерчерам из Лаборатории Касперского в рамках расследования Operation Triangulation.
По данным Apple, уязвимость ядра (CVE-2023-38606) затрагивает устройства на базе iOS, iPadOS и macOS и уже активно использовалась в атаках, нацеленных на устройства с версиями, выпущенными до iOS 15.7.1.
По словам исследователей Kaspersky GReAT, CVE-2023-38606 являлась частью цепочки эксплойтов с нулевым щелчком, используемой для развертывания шпионского ПО Triangulation на iPhone с помощью эксплойтов iMessage.
Предыдущая эксплуатируемая уязвимость WebKit, отслеживаемая как CVE-2023-37450, была ранее исправлена в Rapid Security Response (RSR).
Злоумышленники могут использовать уязвимости на незащищенных устройствах для изменения важных состояний ядра. Apple устранила их, улучшив проверки и управление состоянием.
В целом Apple пофиксила не менее 25 задокументированных ошибок безопасности в iPhone и iPad, в том числе множество проблем, которые подвергают мобильные устройства RCE-атакам. Не обошла стороной CVE-2023-32409 в tvOS 16.6 и watchOS 9.6.
Apple также закрыла проблемы безопасности в браузере Safari (Safari 16.6), а также более старых версиях iPhone и iPad (iOS 15.7.8 и iPadOS 15.7.8) и macOS Ventura 13.5.
По итогу, с начала года Apple исправила уже 11 уязвимостей 0-day, которые злоумышленники использовали для атак на устройства под управлением iOS, macOS и iPadOS.
Это как раз одна из дыр в ядре iOS и macOS, о которых стало известно благодаря ресерчерам из Лаборатории Касперского в рамках расследования Operation Triangulation.
По данным Apple, уязвимость ядра (CVE-2023-38606) затрагивает устройства на базе iOS, iPadOS и macOS и уже активно использовалась в атаках, нацеленных на устройства с версиями, выпущенными до iOS 15.7.1.
По словам исследователей Kaspersky GReAT, CVE-2023-38606 являлась частью цепочки эксплойтов с нулевым щелчком, используемой для развертывания шпионского ПО Triangulation на iPhone с помощью эксплойтов iMessage.
Предыдущая эксплуатируемая уязвимость WebKit, отслеживаемая как CVE-2023-37450, была ранее исправлена в Rapid Security Response (RSR).
Злоумышленники могут использовать уязвимости на незащищенных устройствах для изменения важных состояний ядра. Apple устранила их, улучшив проверки и управление состоянием.
В целом Apple пофиксила не менее 25 задокументированных ошибок безопасности в iPhone и iPad, в том числе множество проблем, которые подвергают мобильные устройства RCE-атакам. Не обошла стороной CVE-2023-32409 в tvOS 16.6 и watchOS 9.6.
Apple также закрыла проблемы безопасности в браузере Safari (Safari 16.6), а также более старых версиях iPhone и iPad (iOS 15.7.8 и iPadOS 15.7.8) и macOS Ventura 13.5.
По итогу, с начала года Apple исправила уже 11 уязвимостей 0-day, которые злоумышленники использовали для атак на устройства под управлением iOS, macOS и iPadOS.
Apple Support
About the security content of macOS Ventura 13.5
This document describes the security content of macOS Ventura 13.5.