Дорогие подписчики, хотелось бы обратиться по поводу вчерашнего поста. К сожалению, мы остались непонятыми.

А ведь вся информация, которую мы хотели довести, была внутри поста.

Сачкуете, подписчики, сачкуете!

Ресерчеры из GoSecure подвели итоги исследования, в рамках которого в течение 3 лет с помощью ханипота фиксировались тысячи различных RDP-атак, на основании которых удалось классифицировать и выделить пять основных классов злоумышленников.

Приманка показала, как мошенники устанавливают вредоносное ПО, майнят крипту, реализуют DDoS-атаки и мошеннические кампании.

RDP — наиболее критический вектор атаки, используемый киберпреступниками, в том числе группами программ-вымогателей.

Чтобы изучать кибератаки по мере их развития, исследователи создали инструмент перехвата RDP с открытым исходным кодом с возможностями контроля экрана, клавиатуры, мыши, буфера обмена и сбора файлов.

С помощью PyRDP исследователям удалось собрать большое количество информации, включая более 190 миллионов событий, 100 часов видеоматериалов и 470 файлов, используемых злоумышленниками.

Ресечеры отмечают, что исследование демонстрирует значительный потенциал перехвата криминальных сред RDP в ключе работы правоохранительных органов и blueteam.

В следующих публикациях они также пообещали поделиться подробной информацией об инструментах, которые использовали различные субъекты угроз.

Пока же приводят классификацию злоумышленников по категориям, за основу которой были взять типажи из популярной игры Dungeons & Dragons (DnD).

- Рейнджеры: исследуют все папки компьютера, проверяют характеристики сети и производительности хоста и запускают разведку, используя программы или скрипты. Никаких других значимых действий не предпринимают. Оценивают скомпрометированную систему.

- Воры: пытаются монетизировать полученный RDP-доступ. Меняют учетные данные и выполняют различные действия для реализации своего доступома, используя traffmonetizer (прокси-программы), браузеры (участвующие в схемах оплаты за серфинг), устанавливают крипто-майнеры, загружают эмуляторы Android (мобильное мошенничество) и т.д.

- Варвары: используют большой набор инструментов для взлома еще большего количества других систем. Работают брутом, со списками IP-адресов, имен пользователей и паролей.

- Wizards: используют RDP-доступ в качестве канала для подключения к другому компьютеру, который был скомпрометирован аналогичным образом. Скрывают свою личность, задействуя скомпрометированные хосты.

- Барды: отсутствие явных хакерских навыков. Получают доступ к системе для выполнения поиска вредоносных программ с помощью Google или ведут просмотр порнографии. Обычно приобретают RDP-доступ у IAB.

Ресерчеры из Лаборатории Касперского опубликовали третью часть отчёта (часть 1, часть 2) об атаках на восточноевропейские промышленные предприятия, проливая свет на продвинутые бэкдоры APT31 (ака Bronze Vinewood, Judgment Panda или Violet Typhoon) и тактику кражи данных.

Злоумышленники экфильтруют данные и доставляют вредоносное ПО последующего этапа через облачное хранилище данных, а также файлообменные сервисы.

Они используют командные серверы на обычных VPS, а также стек имплантов для сбора данных в физически изолированных сетях с помощью зараженных сменных носителей данных.

В общей сложности обнаружено более 15 имплантов и их вариантов, установленных в разных сочетаниях.

Весь стек можно разделить на три категории, каждый из которых сосредоточен на разных аспектах цепочки атак: настройка сохраняемости, сбор конфиденциальных данных и передача информации на удаленный сервер, находящийся под контролем злоумышленников.

В большинстве имплантов злоумышленники применяют сходные реализации техники подмены DLL (DLL hijacking), которые часто связывают с вредоносным ПО Shadowpad, и методы внедрения в память, а также шифрование RC4, позволяющее скрывать вредоносную нагрузку и избегать обнаружения.

Для шифрованного обмена данными с серверами управления к имплантам статически прилинковывалась библиотека libssl.dll или libcurl.dll.

Стек имплантов заключительной фазы атаки для выгрузки информации состоит из трёх модулей.

Каждый из модулей гибко конфигурируем и злоумышленники могут заменить любой из них в зависимости от своих потребностей.

Обнаруженные в инцидентах модули способны выгружать данные на Dropbox, Яндекс.Диск, а также 16 разных сервисов временного хранения файлов.

Основным каналом эксфильтрации является выгрузка RAR-файлов на Dropbox.

Лаборатория Касперского нашла и дополнительные инструменты, используемые для ручной загрузки данных.

Причем один из имплантов настроен на отправку данных через почтовый сервис Яндекса.

ВПО способно собирать подготовленные архивы с других компьютеров из сети, что позволяет злоумышленникам выводить украденные данные с хостов, не имеющих прямого подключения к Интернету.

Полученные данные свидетельствуют о тщательном планировании и способности злоумышленника адаптироваться к новым возможностям в целях кибершпионажа.

Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа на Black Hat 2023 представила новую мощную атаку MaginotDNS, которая нацелена на распознаватели условных DNS (CDNS) и может компрометировать целые домены верхнего уровня TLD.

Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном ПО DNS и режимах сервера (рекурсивные распознаватели и серверы пересылки), в результате чего уязвима примерно треть всех серверов CDNS.

Концепция включает внедрение поддельных ответов в кеш распознавателя DNS, в результате чего сервер направляет пользователей, которые входят в домен, на неправильные IP-адреса, потенциально приводя их к вредоносным веб-сайтам без их ведома.

Предыдущие атаки подобного типа (атака Кашпурева в 1997 или атака Каминского в 2008) были смягчены путем добавления защиты в реализацию распознавателей и стали достаточно сложными.

Однако MaginotDNS может обойти эту защиту, атакуя режим пересылки CDNS либо по пути, либо вне пути.

Резолверы CDNS поддерживают как рекурсивный, так и режим переадресации запросов, которые используются провайдерами для снижения затрат и контроля доступа.

Исследователи обнаружили, что контрольные проверки адекватно применяются в рекурсивном режиме, однако сервер пересылки уязвим.

Поскольку используется один и тот же глобальный кеш DNS, атака на режим пересылки может открыть путь к нарушению рекурсивного режима, по существу нарушая границу защиты кеша DNS.

Исследователи выявили несоответствия в контрольной проверке известного ПО DNS, включая BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105).

Для большей убедительности своих выводов исследователи продемонстрировали атаку MaginotDNS на примере Microsoft DNS на видео.

Помимо этого, в ходе презентации также привели примеры атак как на пути, так и вне пути, причем последние являются более сложными, но и гораздо более ценными для злоумышленников.

Просканировав глобальную сеть они обнаружили 1 200 000 преобразователей DNS, из которых 154 955 - серверы CDNS. Дальнейший анализ показал, что 54 949 из них уязвимы и подвержены атакам на пути, а 88,3% - атакам вне пути.

Все затронутые поставщики ПО, в свою очередь, подтвердили и исправили недостатки, а Microsoft даже наградила исследователей за отчет.

Очередная жесть взорвала повестку британского инфосека.

Вслед за скандалом со взломом центрального избиркома стало известно об атаке на Министерство иностранных дел Великобритании (FCDO), причем сразу китайскими и российскими хакерами.

Оба инцидента, которые британские официальные лица держали в секрете, произошли одновременно в 2021 году, но затронули разные системы в ходе отдельных атак.

Но, как полагают в ведомстве, при этом не координировались Россией и Китаем.

Как стало известно, инцидент вызвал большой резонанс в правительстве, чиновники которого не знали, признавать его или нет, учитывая огромный объем информации, которая была скомпрометирована.

Правительство Соединенного королевства в конечном итоге не признало нарушений, пытаясь избежать позора и дискредитации, как отметил инсайдер GCHQ.

Позже в феврале 2022 года о серьезном киберинциденте в FCDO все же стало известно после размещения тендера на расследование и поддержку.

Через источников в GCHQ (британском агентстве по разведке и кибербезопасности) журналистам удалось выяснить, что фишинговые атаки позволили получить доступ к серверам с электронной почтой, внутренней перепиской и Teams.

По официальным данным, доступа к секретным данным хакеры не получили.

Тем не менее, в результате взлома на регулярной основе перечитывали фактически всю служебную переписку послов и дипломатов, находящихся за границей.

В общем, после такого уже сложно всерьез воспринимать громогласные тезисы о победах из июльского отчета Национальных киберсил Великобритании (NCF) с тайными кибероперациями и прочей шелухой в стиле произведений Яна Флеминга.

Ford предупреждает об уязвимости в своей информационно-развлекательной системе SYNC3, которая используется во многих моделях автомобилей Ford и Lincoln.

Уязвимость, отслеживаемая как CVE-2023-29468, находится в MCP-драйвере WL18xx для подсистемы WiFi, что позволяет потенциальному злоумышленнику вызвать переполнение буфера с помощью специально созданного фрейма и удаленно выполнить код.

Со слов производителя, уязвимость не влияет на безопасность вождения автомобиля и что они уже работают над ее исправлением.

В компании также утверждают, что использование этой уязвимости потребовало бы значительных знаний и физического нахождения рядом с транспортным средством. То есть злоумышленник должен находиться в пределах беспроводного диапазона потенциально уязвимого устройства.

На сегодняшний день нет никаких доказательств того, что эта уязвимость была использована, но для тех, кто привык одевать шапочку из фольги в подобных ситуациях, автоконцерн рекомендует просто отключить функцию WiFi через меню настроек информационно-развлекательной системы.

SYNC3 используется в таких моделях Ford, как EcoSport, Escape, Bronco Sport, Explorer, Maverick, Expedition, Ranger, Transit Connect, Super Duty, Transit, Mustang и Transit CC-CA.

Ford уже принял соответствующие меры для оценки возможных последствий и разработки решений по их смягчению.

В скором времени должно выйти обновление ПО, которое можно будет загрузить и установить через USB или в ходе посещения дилерского центра.

Наверняка многие помнят утечку 45 гигов сырцов Яндекса, которая случилась в январе текущего года. Бомбежка тогда случилась знатная, беглым поиском нашли много чего интересного, например наличие приоритетных групп пользователей. Яндекс даже был вынужден признать возможность скрытого удаленного включения микрофона Яндекс.Станции.

Ну было и было. Яндекс же. Ему можно.

А тут на прошлой неделе случился Black Hat USA 2023. А там Кейли МакКри из Confiant сделала доклад, в котором содержался разбор этой утечки с точки зрения конфиденциальности пользователей сервисов Яндекс.

В смысле с точки зрения отсутствия этой конфиденциальности. Конкретно смотрели на Яндекс Метрику и на Крипту, инструменты веб-аналитики Яндекса.

Там пиздец, конечно, хтонических масштабов. Собирают в принципе все подряд - высоту местоположения(?), направление и скорость движения, данные базовых станций, информацию по Wi-Fi (куда ж без этого), размер пинуса etc. Сортируют пользователей на "курильщиков", "видеоблогеров", "представителей индустрии" (!) и даже "искателей отелей Рэддисон на карте". По мнению Яндекса - все это "неперсонализированные и очень ограниченные" сведения.

И это, в приципе, понятно и все обо всем догадываются. Контекстная реклама сама себя не подберет.

Но как вам, например, то, что Яндекс выстраивает графы людей, проживающих рядом? А извлечение из почты данных о билетах, посадочных талонах и бронировании отеля? А сегментирование возраста детей по их голосу, полученному через Яндекс.Станцию?

Так, на минутку, в способности Яндекса проеживать пользовательские данные по-крупному мы уже убедились - Яндекс.Еда теперь во всех пробивных ботах красуется. Равно как помним и про то, что их с помощью Regin британцы с АНБшниками в 2018 году распотрошили.

Печально все это. Хоть в скит подавайся.

Ресерчеры из Лаборатории Касперского сообщают о новом варианте SystemBC - DroxiDat, который был развернут вместе с Cobalt Strike на объекте энергетической инфраструктуры в Южной Африке, проводя аналогии в части целей и тактик с Darkside Colonial Pipeline.

По мнению исследователей, инцидент являлся частью ransomware-кампании, объединяющей серию атак по всему миру, которая прокатилась в конце марта 2023 года.

SystemBC предлагается на различных подпольных форумах как минимум с 2018 года как MaaS, представляя собой привлекательный инструмент в операциях вымогателей.

Но на этот раз был обнаружен более компактный по сравнению с предыдущими DroxiDat, упрощенный вариант SystemBC размером 8 КБ, служащий профилировщиком системы и простым ботом с поддержкой SOCKS5.

В исследованной сети DroxiDat/systemBC был обнаружен исключительно на системных активах, подобных прошлым целям DarkSide, операторы которых в 2021 году нанесли удар по энергетическим компаниям Electrobras и Copel в Бразилии.

Комбинация C:\perflogs для хранения с исполняемыми объектами DroxiDat/SystemBC и CobaltStrike также использовалась в прошлых инцидентах Egregor и Ryuk.

Инфраструктура C2 для изучаемого инцидента включала домен powersupportplan[.]com, который был связан с IP-хостом, несколько лет назад использовавшимся в операциях APT (вероятно, не имела отношения к этому инциденту).

Программа-вымогатель не доставлялась, получить достаточную для уверенной атрибуции информацию исследователям не удалось.

Тем не менее, в другом инциденте в сфере здравоохранения с DroxiDat примерно в тот же период времени была замечена Nokoyawa ransomware, как и в нескольких других инцидентах, связанных с CobaltStrike с одним и тем же license_id и C2.

По итогу, с низкой достоверностью исследователи предполагают, что выявленная деятельность может быть связана с русскоязычными RaaS.

В частности, с активностью группы Pistachio Tempest или FIN12, которая в 2022 году уже нацеливалась на здравоохранение, часто развертывая SystemBC вместе с CS Beacon для развертывания ransowmare.

Уязвимости в продуктах управления питанием CyberPower и Dataprobe могут быть использованы в атаках на ЦОДы для нанесения ущерба и шпионажа.

Исследователи Trellix обнаружили девять уязвимостей в ПО PowerPanel Enterprise от CyberPower и PDU iBoot от Dataprobe, которые помимо прочего позволяют злоумышленнику получить полный доступ к целевой системе.

Причем согласно предыдущим исследованиям, многие PDU, включая и iBoot, часто имеют доступ к Интернету, что открывает возможности для удаленных атак на организации.

В CyberPower PowerPanel Enterprise исследователи Trellix выявили четыре уязвимости, в том числе жестко заданные учетные данные, обход аутентификации и проблемы с внедрением команд ОС.

Другие пять относятся к Dataprobe iBoot PDU и связаны с внедрением команд ОС, обходом аутентификации, жестко заданными учетными данными и отказом в обслуживании DoS.

В реальных атаках злоумышленники посредством указанных уязвимостей могут добиться отключения питания на подключенных устройствах и вызвать серьезные сбои.

Кроме того, манипулирование управлением питанием может использоваться для повреждения самих аппаратных устройств и привести к серьезным финансовым потерям.

Помимо нарушения работы хакеры могут внедрить бэкдоры в ЦОД для дальнейшей компрометации других систем и устройств, в том числе для ведения кибершпионажа.

CyberPower и Dataprobe выпустили соответствующие обновления, а Trellix заверила об отсутствии каких-либо вредоносных атак с использованием этих уязвимостей.

Исследователи из Group-IB расчехлили вредоносное ПО Gigabud RAT Android Banking, нацеленное на клиентов 99 финансовых учреждений Таиланда, Индонезии, Вьетнама, Филиппин и Перу.

Одной из уникальных особенностей Gigabud RAT является то, что он не выполняет никаких вредоносных действий до тех пор, пока пользователь не авторизуется в вредоносном приложении, что затрудняет его обнаружение.

Вместо привычных для такого рода ПО атак с наложением HTML, Gigabud RAT собирает конфиденциальную информацию, в основном посредством записи экрана, нацеливаясь как минимум на 25 компаний, финансовых учреждений и государственных ведомств.

Gigabud RAT был впервые задокументирован Cyble в январе 2023 года, а вообще активен в дикой природе по крайней мере с июля 2022 года.

Сингапурская инфосек-компания также обнаружила второй вариант вредоносного ПО без функционала RAT, который получил название Gigabud.Loan.

Он маскируется под приложения вымышленных финансовых учреждений из Таиланда, Индонезии и Перу для услуг кредитования. ПО способно извлекать данные, вводимые пользователем.

Привлеченные низким процентом по кредиту жертвы предоставляли всю свою личную информацию в процессе подачи заявки.

Gigabud RAT и Gigabud.Loan имеют одинаковую архитектуру и используют один и тот же сертификат.

Обе версии вредоносного ПО распространяются через смишинг в мессенджерах, SMS или социальных сетях, где мошенники подталкивают жертв посетить фишинговые сайты, а также через APK-файлы в WhatsApp (для Gigabud.Loan).

Gigabud также использует методы фишинга, чтобы обманом заставить пользователей невольно предоставить необходимые разрешения для установки трояна.

Gigabud работает так же, как и другие банковские трояны Android, злоупотребляя службой специальных возможностей.

Функция TouchAction представляет собой мощный инструмент удаленного доступа к устройствам, позволяющий злоумышленнику получить доступ к учетной записи жертвы.

Это позволяет субъекту угрозы выполнять жесты на устройстве пользователя, что приводит к возможности обхода защиты, аутентификации (в том числе 2FA) и создания автоматических платежей с устройства жертвы.

Кроме того, был обнаружен новый модуль для кражи паролей, специально разработанный для банковских приложений.

Таким образом, вредоносное ПО становится более адаптивным и эффективным, расширяя диапазон целей, добавляя новые модули в последние образцы и создавая передовые методы уклонения.

Исследователи Hudson Rock раскрыли более 120 000 «хакеров» на ведущих киберпреступных форумах.

Заявление громкое и сразу вспомнилась реплика: Существуют три вида лжи: ложь, наглая ложь и статистика. Ну да ладно.

Собственно, месседж о том, что специалисты по анализу угроз проанализировали приличный объем баз данных с логами и утечками, которые включали более 14,5 миллионов компьютеров, зараженных вредоносным ПО для кражи информации.

В итоге выяснилось, что немалая доля зараженных стиллерами компьютеров имела учетные данные, связанные с теневыми площадками.

Данные были получены с скомпрометированных хостов и по факту позволяют раскрыть реальные личности на основе индикаторов в виде дополнительных учетных данных, сведений автозаполнения с персональной информацией, системными логами и т.п.

Наиболее популярный форум с наибольшим числом зараженных пользователей оказался Nulled.to с более чем 57 000 скомпрометированных учеток.

Cracked.io и Hackforums.net заняли второе и третье места, а форум с самыми надежными паролями пользователей оказался Breached.to.

«Хакеры» в кавычках не просто так, поскольку много какой школьник нет-нет, да и интересовался тематикой и регистрировался на подобных площадках и приклеивать ему статус злоумышленника моветон.

Тем не менее занимательный факт, где исследование показало, что пароли на теневых площадках в целом сильнее, чем те, что используются для государственных сайтов.

У вышеупомянутого Breached.to более 40% учетных данных вовсе имели длину не менее 10 символов и содержали символы четырех типов.

По данным Hudson Rock, большинство заражений было вызвано всего тремя стиллерами от RedLine, Raccoon и Azorult.

Исследование также уверенно разрушает миф о том, что почти все хакеры из России, лидерами оказались: Тунис, Малайзия, Бельгия, Нидерланды и Израиль.

Почти 2000 серверов Citrix NetScaler взломаны с помощью критической RCE-уязвимости CVE-2023-3519 в рамках масштабной вредоносной кампании.

Причем более 1200 серверов были скомпрометированы еще до установки исправлений, вышедших 18 июля, и продолжают подвергаться риску, поскольку не были проверены на наличие признаков эксплуатации.

Широкомасштабную вредоносную кампанию обнаружили исследователи из Fox-IT (входит в NCC) и Голландского института DIVD, а немного ранее о заражении более 640 серверов Citrix NetScaler предупреждали The Shadowserver Foundation.

За последние два месяца Fox-IT вынуждена была реагировать на многочисленные инциденты, связанные с эксплуатацией CVE-2023-3519, обнаружив серверы с несколькими веб-шеллами.

Используя информацию о бэкдорах, Fox-IT и DIVD смогли просканировать Интернет на наличие зараженных устройств.

По результатам нашлось 1952 скомпрометированных сервера NetScaler, что указывает на реализацию автоматизированного метода для эксплуатации уязвимости в больших масштабах.

В целом хакерам удалось заразить более 6% из 31 127 экземпляров Citrix NetScaler, уязвимых для CVE-2023-3519.

Наибольшее количество пострадавших серверов Citrix NetScaler дислоцированы в Германии, Франции и Швейцарии.

Fox-IT отмечает, что в основной массе всего пострадала Европа.

При этом исследователи заметили, что несмотря на то, что в Канаде, России и США на 21 июля были тысячи уязвимых серверов NetScaler, почти ни на одном из них не были обнаружены следы атак.

Исследователи предупреждают, что полностью пропатченный сервер NetScaler все еще может иметь бэкдор и рекомендуют администраторам выполнять проверку своих систем с помощью скрипта Python и набора инструментов Dissect.

Mandiant представила свой сканер для поиска признаков компрометации, связанных с CVE-2023-3519.

НКЦКИ предупреждает об активно эксплуатируемой в реальных атаках 0-day, которая затрагивает Terrasoft CRM и Creatio BPM.

Уязвимость обхода пути реализует несанкционированный доступ к ConnectionStrings.config в обоих приложениях, который в большинстве случаев содержит аутентификационные данные администратора уязвимого продукта.

В результате успешной эксплуатации злоумышленники могут нарушить процессы обработки данных в организациях, а также получить доступ к конфиденциальным данным.

В марте 2022 года Террасофт полностью прекратила свою деятельность на территории России и Белоруссии, а исправления или какие-либо меры по смягчению для указанной уязвимости в настоящее время отсутствуют.

В связи с чем специалисты НКЦКИ рекомендуют обновить аутентификационные данные пользователей, ограничить доступ к уязвимому продукту из сети, использовать межсетевой экран или же вообще рассмотреть возможность перехода на отечественные аналоги.

Совсем недавно рассказывали про крупнейшую утечку данных личного состава Полицейской службы Северной Ирландии (PSNI), которую допустили сами же силовики, отвечая на запрос о свободе информации (FOI).

Тогда мы иронизировали, что все было бы серьезнее, если общественники вместо численности запросили количество оперативных дел или осведомителей.

Так и запросили, а бравые британские копы из Норфолка и Саффолка не растерялись и снова ответили, загрузив на портал FOI отчеты по преступлениям с данными жертв, свидетелей, подозреваемых и результатами расследований.

И на этот раз техническая проблема привела к новой FOI leak, затронувшей в общей сложности 1230 подданных Великобритании.

Она включала целый ряд правонарушений, в том числе бытовые инциденты, преступления сексуального характера и на почве ненависти, нападения, разбои, кражи и др.

Теперь полицейским осталось запрос по осведомителям отработать и можно переходить к подразделениям Скотленд-Ярда или с литерами MI.

В последнем случае в запросе можно сослаться на Бонда или Эмм - как показывает практика, может прокатить с ответом.

Исследователи Tenable подкинули несколько новых критических баг в Ivanti, разработчики которой и без того имеют бледный вид после известных инцидентов.

Проблемы обнаружены в корпоративном решении для управления мобильными устройствами Avalanche Enterprise MDM, которое используется более чем в 30 000 организациях.

Самая серьезная уязвимость — CVE-2023-32563 (оценка CVSS 9,8), ошибка обхода каталога, которую можно использовать для удаленного выполнения произвольного кода.

Проблема связана с updateSkin решения MDM и может быть использована без аутентификации. Она возникает из-за отсутствия надлежащей проверки предоставленного пользователем пути перед его использованием в файловых операциях.

Другие несколько ошибок переполнения буфера на основе стека в совокупности отслеживаются как CVE-2023-32560 и имеют оценку CVSS 8,8.

Уязвимость, как пояснили в Tenable, затрагивает Wavelink Avalanche Manager, который использует буфер фиксированного размера на основе стека при обработке определенных типов данных.

Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданное сообщение в службу, что может привести к нарушению ее работы или выполнению кода.

Две другие уязвимости высокой степени серьезности связаны с удаленным выполнением кода и были исправлены в последнем выпуске Avalanche. Обе обнаружены через ZDI.

CVE-2023-32562 и CVE-2023-32564 являются результатом отсутствия надлежащей проверки предоставленных пользователем данных, что позволяет злоумышленнику загружать произвольные файлы и потенциально выполнять код с системными привилегиями.

Все три оставшиеся CVE-2023-32561, CVE-2023-32565 и CVE-2023-32566 описываются как недостатки обхода аутентификации в различных компонентах решения MDM.

Все семь уязвимостей Ivanti исправила в версии 6.4.1.207 и заявила об отсутствии использовании каких-либо из этих проблем в реальных атаках.

Но, зная Ivanti, - просто еще не вечер.

​🧠 Социальная Инженерия. Slowpoke News.

🖖🏻 Приветствую тебя, user_name.

• Тут пишут, что Lapsus$ вывели атаки с подменой SIM-карт на новый уровень. А именно, помимо атак с использованием методов социальной инженерии, ребята компрометируют учетные записи мобильных операторов с помощью инструментов управления клиентами. Такой подход позволил атакующим воздействовать на учетные записи, связанные с работниками Министерства обороны США и ФБР.

• Ну, что тут сказать. Lapsus$ атаковали мобильных операторов еще год назад, когда T-Mobile подтвердила слив исходных кодов и доступ атакующих к их инструментам. А SIM-swap это классический метод #СИ, который является максимально профитным (с точки зрения атакующего) если получается обвести вокруг пальца сотрудника компании сотовой связи.

• Соответственно, я не совсем понимаю, какие "новации" привносит Lapsus$ в данную схему. Хотя, вероятно мы просто не знаем всех деталей и подробностей. Но будем наблюдать, так как схема весьма интересна в своей реализации.

🧷 Новость на RU: https://cisoclub.ru/Lapsus$

• Идём дальше. Вторая новость наиболее изощренная, хотя и является классикой. Цитирую источник: "Эксперты «Лаборатории Касперского» рассказали о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более целевыми, и теперь злоумышленники ссылаются на сферу деятельности жертвы, используют как звонки, так и сообщения в мессенджере. Обычно в начале атак мошенники представляются сотрудниками той сферы, в которой работает потенциальная жертва."

• Проще говоря, жертве поступает сообщение в мессенджере, которое содержит уведомление о "важном" звонке из правоохранительных или контролирующих органов. Для большего доверия, атакующие притворяются коллегами своей цели или рассылают сообщения из ранее угнанных аккаунтов.

• Спустя определенное время, жертве поступает звонок, начинается психологическое давление и цель готовят к следующему звонку от финансовой организации, которые завершают эту цепочку и разводят жертву на деньги.

• В некоторых случаях злоумышленники могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство (якобы для помощи). Таким образом они прилагают максимум усилий, чтобы жертва не общалась с близкими и не «сорвалась с крючка».

• Как по мне, так очень как то всё сложно. Схема требуется огромное кол-во ресурса, времени и сил для атакующих. А профит может оказаться минимальным.

🧷 Новость: https://xakep.ru/fake-coworkers/

• Тем не менее, всегда думайте на холодную голову и старайтесь проверять информацию, особенно когда дело касается ваших кровно заработанных.

S.E. ▪️ infosec.work ▪️ #СИ

Китай установил причастность американских спецслужб к кибератаке на Центр мониторинга землетрясений в Ухане и обещает по итогам раскрыть глобальную секретную разведывательную систему США.

Обвинения китайской стороны последовали вслед за распиаренной на Западе вредоносной кампанией Volt Typhoon, в рамках которой, как предполагают американские чиновники, якобы планируются разрушительные кибератаки на критическую инфраструктуру на случай военной конфронтации.

В результате расследования китайским CVERC совместно с инфосек-компанией 360 было обнаружено очень сложное вредоносное ПО с бэкдором, тщательно скрытое и нацеленное на кражу данных, связанных с мониторингом землетрясений.

Причем, как отмечают исследователи, данные мониторинга представляют и военный интерес, включая не только базовую информацию, но также обширные географические и геологические данные, такие как поверхностные деформации и гидрологический мониторинг.

В точки зрения военной разведки такие всеобъемлющие данные о вибрации и звуковых волнах, особенно инфразвуковые, имеют важное значение для оценки и анализа потенциальных испытаний систем вооружений, прежде всего ядерных.

В связи с чем, кибератака на центр мониторинга со стороны спецслужб США была спланированной и преднамеренной военной киберразведывательной акцией, отмечают эксперты. 

Кроме того, как полагают исследователи, отмеченный инцидент - это лишь часть глобальной программы, в рамках которой глобальные комплексные разведывательные силы и средства нацелены и на другие области, реализуя оценку и анализ экономических, социальных и даже военных действий КНР.

Исследователи также пришли к выводу, что кибератаки на гражданскую инфраструктуру, в том числе на системы мониторинга землетрясений, потенциально могут привести к серьезным последствиям, в случае модификации данных телеметрии.

Китайские специалисты полагают, что атакованы также и другие страны, поскольку для американских спецслужб - это достаточно дешевый источник получения данных дистанционного зондирования и телеметрии в рамках стратегической разведки.

Для этих целей США разработали ряд систем сбора, анализа и обработки сигналов, таких как Echelon для слежения за электромагнитными сигналами, Main Core для операторов связи и PRISM для крупных производителей ИТ и Интернета.

По итогу долголетних наблюдений китайские исследователи обещают вскоре публично обнародовать глобальную систему разведки правительства США.

Будем посмотреть.

Google выпустила Chrome 116 с исправлениями 26 уязвимостей и планирует в дальнейшем выпускать обновления безопасности браузера еженедельно.

Основываясь на суммах выплат по BugBounty, наиболее важной из них является CVE-2023-2312, ошибка использования после освобождения в автономном компоненте.

За ее раскрытие исследователь получил 30 000 долларов.

Следующая за ней CVE-2023-4349, которая представляет собой проблему использования после освобождения в Device Trust Connectors.

Далее следует неправильная реализация в полноэкранном режиме (CVE-2023-4350) и ошибка использования после освобождения в сети (CVE- 2023-4351), за которые Google выплатила вознаграждение в размере 5, 3 и 2 тысяч долларов соответственно.

Среди других четырех уязвимостей высокой степени серьезности - ошибка путаницы типов в движке JavaScript V8, переполнения буфера кучи в ANGLE и Skia, а также проблема доступа к памяти за пределами памяти в движке V8.

Об этих проблемах сообщили исследователи из Google Project Zero и Microsoft Vulnerability Research.

Все остальные уязвимости, о которых сообщали внешние исследователи, относятся к средней степени серьезности.

Из них 6 связаны с проблемами реализации, 3 - использованием после освобождения, 2 - недостаточным применением политик, 1 - переполнением буфера кучи и 1 - недостаточной проверкой входных данных.

В целом, Google выплатила 63 000 долларов в качестве вознаграждения за обнаружение ошибок, об их использовании в реальных атаках не сообщается.

Последняя итерация Chrome доступна как версия 116.0.5845.96 для Mac и Linux и как версии 116.0.5845.96/.97 для Windows.

͏Пока британские силовики развлекаются с FOI, сливая своих же сотрудников и материалы расследований, в даркнете продают базу данных агентуры правительства Израиля в различных странах.

Заявленная утечка включает 26 тысяч персоналий с указанием полных установочных данных, включая имена, даты рождения, номера телефонов, номера паспортов и других конфиденциальных сведений.

Селлер не разглашает источники получения данных по соображениям безопасности и рассматривает продажу только реально заинтересованным клиентам с хорошей репутацией в киберподполье.