Исследователи AhnLab рассказали об арсенале северокорейской Kimsuky, который включает вредоносное ПО AppeSeed, Meterpreter и VNC для получения контроля над зараженной системой.
АРТ действует с 2013 года и изначально была нацелена на исследовательские учреждения Южной Кореи. В 2014 были замечены атаки на энергетические объекты, а начиная с 2017 хакеры расширили географию своих кампаний кибершпионажа, целями которых становились объекты обороны, СМИ, дипучреждения и госорганы.
Цепочка атак начинается с целевых фишинговых атак, но в последнее время наблюдается также задействование вредоносных программ в формате LNK, где особое внимание уделяется малвари AppleSeed, о которой упоминалось в отчете еще за 2021 год.
С тех пор существенных изменений в используемых вредоносных кодах не отмечалось, а тот факт, что аналогичные методы задействовались непрерывно на протяжении нескольких лет можно назвать особенностью атак с использованием AppleSeed.
AppleSeed — это бэкдор, который способен выполнять команды атакующего, полученные от C2 для управления зараженной системой, установки дополнительного вредоносного ПО, кейлоггинга, скриншотов и сбора файлов пользовательской системы.
Несмотря на то, что малварь далеко не новая и ранее активно использовалась, но некоторые важные аспекты его применения изменились. Например, вредоносное ПО теперь часто устанавливается с помощью JavaScript-дроппера, который также создает фальшивые документы, чтобы замаскировать установку.
Кроме того, недавно был обнаружен образец AppleSeed, названный AlphaSeed – вредоносное ПО, разработанное на языке Go и имеющее функции, аналогичные AppleSeed, но осуществляющий взаимодействие с C2 посредством ChromeDP.
Процесс входа в систему также отличается и вместо прямого использования ID/PW для входа используется значение cookie, необходимое для входа в систему с определенной учетной записью.
Как говорится, в бою все средства хороши, и злоумышленники иногда устанавливают AlphaSeed и AppleSeed вместе на одну и ту же цель.
Что касается Meterpreter, то это вредоносное ПО с бэкдором, предоставляемое Metasploit и используемое для контроля зараженных систем. Kimsuky достаточно часто совмещала Meterpreter с использованием AppleSeed.
Распространяемый в настоящее время Meterpreter характеризуется тем, что он создан самостоятельно с использованием C++, а не языка Go.
В дополнение к RDP для управления зараженными системами Kimsuky задействует вредоносное ПО VNC двух типов: TightVNC и HVNC.
Первая - это утилита VNC с открытым исходным кодом с модифицированном виде, позволяющая использовать функцию Reverse VNC самостоятельно, без установки сервиса в зараженную среду.
В свою очередь, HVNC - одна из функций TinyNuke, также известного Nuclear Bot, представляющее собой банковское вредоносное ПО 2016 года выпуска.
Соответствующие IOC и связанная с ними аналитика - в отчете.
АРТ действует с 2013 года и изначально была нацелена на исследовательские учреждения Южной Кореи. В 2014 были замечены атаки на энергетические объекты, а начиная с 2017 хакеры расширили географию своих кампаний кибершпионажа, целями которых становились объекты обороны, СМИ, дипучреждения и госорганы.
Цепочка атак начинается с целевых фишинговых атак, но в последнее время наблюдается также задействование вредоносных программ в формате LNK, где особое внимание уделяется малвари AppleSeed, о которой упоминалось в отчете еще за 2021 год.
С тех пор существенных изменений в используемых вредоносных кодах не отмечалось, а тот факт, что аналогичные методы задействовались непрерывно на протяжении нескольких лет можно назвать особенностью атак с использованием AppleSeed.
AppleSeed — это бэкдор, который способен выполнять команды атакующего, полученные от C2 для управления зараженной системой, установки дополнительного вредоносного ПО, кейлоггинга, скриншотов и сбора файлов пользовательской системы.
Несмотря на то, что малварь далеко не новая и ранее активно использовалась, но некоторые важные аспекты его применения изменились. Например, вредоносное ПО теперь часто устанавливается с помощью JavaScript-дроппера, который также создает фальшивые документы, чтобы замаскировать установку.
Кроме того, недавно был обнаружен образец AppleSeed, названный AlphaSeed – вредоносное ПО, разработанное на языке Go и имеющее функции, аналогичные AppleSeed, но осуществляющий взаимодействие с C2 посредством ChromeDP.
Процесс входа в систему также отличается и вместо прямого использования ID/PW для входа используется значение cookie, необходимое для входа в систему с определенной учетной записью.
Как говорится, в бою все средства хороши, и злоумышленники иногда устанавливают AlphaSeed и AppleSeed вместе на одну и ту же цель.
Что касается Meterpreter, то это вредоносное ПО с бэкдором, предоставляемое Metasploit и используемое для контроля зараженных систем. Kimsuky достаточно часто совмещала Meterpreter с использованием AppleSeed.
Распространяемый в настоящее время Meterpreter характеризуется тем, что он создан самостоятельно с использованием C++, а не языка Go.
В дополнение к RDP для управления зараженными системами Kimsuky задействует вредоносное ПО VNC двух типов: TightVNC и HVNC.
Первая - это утилита VNC с открытым исходным кодом с модифицированном виде, позволяющая использовать функцию Reverse VNC самостоятельно, без установки сервиса в зараженную среду.
В свою очередь, HVNC - одна из функций TinyNuke, также известного Nuclear Bot, представляющее собой банковское вредоносное ПО 2016 года выпуска.
Соответствующие IOC и связанная с ними аналитика - в отчете.
ASEC
Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석 - ASEC
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 […]
Forwarded from Social Engineering
🔪 Sharpening Techniques with Impacket.
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
➡ https://redteamrecipe.com/
S.E. ▪️ infosec.work
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи F.A.C.C.T. задетектили новую фишинговую кампанию, реализуемую Sticky Werewolf посредством электронных сообщений от имени МЧС России.
Одно из таких писем, адресованных неназванной компании в сфере фармацевтики удалось перехватить 22 декабря.
В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.
Для отправки сообщения использовался бесплатный почтовый сервис. Причем фамилия в электронном адресе отличается от подписи исполнителя.
В ходе предпринятой попытки атаки злоумышленники задействовали троян удаленного доступа Darktrack RAT.
Ранее в начале декабря Sticky Werewolf атаковали российский НИИ по проблемам микробиологии, в том числе занимающийся разработкой вакцин. Тогда рассылка осуществлялась от имени Минстроя РФ.
Sticky Werewolf - кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии.
В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Похоже, что АРТ будет продолжать предпринимать активные действия в рамках реализуемой кампании, нацеливаясь на приоритетные цели с использованием все более изощренных фишинговых атак.
Будем следить.
Одно из таких писем, адресованных неназванной компании в сфере фармацевтики удалось перехватить 22 декабря.
В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.
Для отправки сообщения использовался бесплатный почтовый сервис. Причем фамилия в электронном адресе отличается от подписи исполнителя.
В ходе предпринятой попытки атаки злоумышленники задействовали троян удаленного доступа Darktrack RAT.
Ранее в начале декабря Sticky Werewolf атаковали российский НИИ по проблемам микробиологии, в том числе занимающийся разработкой вакцин. Тогда рассылка осуществлялась от имени Минстроя РФ.
Sticky Werewolf - кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии.
В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Похоже, что АРТ будет продолжать предпринимать активные действия в рамках реализуемой кампании, нацеливаясь на приоритетные цели с использованием все более изощренных фишинговых атак.
Будем следить.
Хабр
Кибершпионы Sticky Werewolf опять попытались атаковать российскую фарму
Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала 22 декабря фишинговое письмо, которое было отправлено в фармацевтическую компанию якобы от имени...
Исследователи из Лаборатории Касперского подвели итоги титанического расследования сложнейшей угрозы, получившей название Операция Триангуляция.
В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.
Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.
Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.
Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.
Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.
В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.
Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.
Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.
Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.
Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.
Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.
В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.
Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.
Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.
Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.
Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.
В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.
Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.
Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.
Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.
Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.
Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.
Securelist
Операция “Триангуляция”: последняя (аппаратная) загадка
Новые модели iPhone имеют дополнительную аппаратную защиту чувствительных областей памяти ядра. Мы выяснили, что для обхода этой аппаратной защиты злоумышленники используют другую аппаратную функцию SoC компании Apple.
Критическая RCE-уязвимость в Apache OFBiz активно эксплуатируется с использованием общедоступных PoC.
Apache OFBiz (Open For Business) — это ERP-система с открытым исходным кодом, которую многие предприятия используют для управления производственными процессами в сфере электронной коммерции, работе с персоналом и бухгалтерском учете.
OfBiz является частью цепочки поставок, затрагивая напрямую такое ПО, как JIRA от Atlassian, которыми пользуются более 120 тысяч компаний по всему миру.
Ошибка обхода аутентификации отслеживается как CVE-2023-49070 и была исправлена в OFBiz версии 18.12.10, выпущенной 5 декабря 2023 г.
Эта проблема потенциально позволяет злоумышленникам повысить свои привилегии без аутентификации, выполнить произвольный код и получить доступ к конфиденциальной информации.
Однако анализируя патч Apache OFBiz, исследователи SonicWall обнаружили, что основная причина CVE-2023-49070 все еще не устранена, позволяя злоумышленникам по-прежнему использовать ошибку в полностью исправленной версии.
В своем отчете SonicWall продемонстрировали варианты обхода исправления Apache для уязвимости CVE-2023-49070 при использовании определенных комбинаций учетных данных.
Он вызван ошибочной логикой обработки пустых или специальных параметров.
SonicWall сообщила о своих выводах Apache, которая оперативно устранила уязвимость, которую они классифицировали как проблему подделки запросов на стороне сервера (SSRF).
Новой проблеме обхода был присвоен CVE-2023-51467, исправленный в версии OFBiz 18.12.11, выпущенной 26 декабря 2023 г.
Однако немногие обновились до последней версии, а обилие общедоступных PoC-эксплойтов для RCE с предварительной аутентификацией делает уязвимость весьма привлекательной для хакеров.
Shadowserver сообщает об обнаружении большого числа сканирований с задействованием доступных PoC для эксплутааиции CVE-2023-49070, ожидая при этом аналогичного результата и для CVE-2023-51467.
Злоумышленники нацеливаются прежде всего на уязвимые Confluence.
Для минимизации риска пользователям Apache OFBiz рекомендуется как можно скорее обновиться до версии 18.12.11.
Apache OFBiz (Open For Business) — это ERP-система с открытым исходным кодом, которую многие предприятия используют для управления производственными процессами в сфере электронной коммерции, работе с персоналом и бухгалтерском учете.
OfBiz является частью цепочки поставок, затрагивая напрямую такое ПО, как JIRA от Atlassian, которыми пользуются более 120 тысяч компаний по всему миру.
Ошибка обхода аутентификации отслеживается как CVE-2023-49070 и была исправлена в OFBiz версии 18.12.10, выпущенной 5 декабря 2023 г.
Эта проблема потенциально позволяет злоумышленникам повысить свои привилегии без аутентификации, выполнить произвольный код и получить доступ к конфиденциальной информации.
Однако анализируя патч Apache OFBiz, исследователи SonicWall обнаружили, что основная причина CVE-2023-49070 все еще не устранена, позволяя злоумышленникам по-прежнему использовать ошибку в полностью исправленной версии.
В своем отчете SonicWall продемонстрировали варианты обхода исправления Apache для уязвимости CVE-2023-49070 при использовании определенных комбинаций учетных данных.
Он вызван ошибочной логикой обработки пустых или специальных параметров.
SonicWall сообщила о своих выводах Apache, которая оперативно устранила уязвимость, которую они классифицировали как проблему подделки запросов на стороне сервера (SSRF).
Новой проблеме обхода был присвоен CVE-2023-51467, исправленный в версии OFBiz 18.12.11, выпущенной 26 декабря 2023 г.
Однако немногие обновились до последней версии, а обилие общедоступных PoC-эксплойтов для RCE с предварительной аутентификацией делает уязвимость весьма привлекательной для хакеров.
Shadowserver сообщает об обнаружении большого числа сканирований с задействованием доступных PoC для эксплутааиции CVE-2023-49070, ожидая при этом аналогичного результата и для CVE-2023-51467.
Злоумышленники нацеливаются прежде всего на уязвимые Confluence.
Для минимизации риска пользователям Apache OFBiz рекомендуется как можно скорее обновиться до версии 18.12.11.
Оказывается для PANASONIC 2022 год был весьма неудачным в плане инфосека.
В апреле ее предприятие из Канады взломали и зарансомили Conti и 2.62 ГБ коммерческих сведений тогда начали утекать в сеть с DLS банды вымогателей.
И, как выясняется, согласно недавнему уведомлению Генеральной прокуратуры Калифорнии, 14 декабря того же года корпоративная сеть Panasonic Avionics Corporation, ведущего поставщика систем связи и развлечений для авиатранспорта, была также взломана.
Решения Panasonic IFE установлены на более чем 15 000 коммерческих самолетах, в то время как более 3780 предоставляют клиентам спутниковый Wi-Fi.
При этом более 200 авиакомпаний используют IFE, Wi-Fi и цифровые услуги на своих самолетах, что составляет примерно 70% глобального флота, оснащенного IFE.
Допущенная в ходе инцидента утечка данных затрагивает личную информацию нераскрытого числа лиц, вероятно, из числа сотрудников и ряда клиентов.
Скомпрометированные данные включали: имена пострадавших лиц, контактные данные (адрес электронной почты, почтовый адрес и номер телефона), даты рождения, сведения о медицинском страховании, номера финансовых счетов, статус занятости в компании.
Компания также уведомила соответствующие органы и провела расследование с привлечением экспертов по кибербезопасности и криминалистов.
Отдельно в Panasonic Avionics Corporation отмечают, что какие-либо развлекательные системы в полете, подключение, цифровые решения или эксплуатационные системы технического обслуживания не пострадали.
Так ли это, будем, конечно же, посмотреть.
В апреле ее предприятие из Канады взломали и зарансомили Conti и 2.62 ГБ коммерческих сведений тогда начали утекать в сеть с DLS банды вымогателей.
И, как выясняется, согласно недавнему уведомлению Генеральной прокуратуры Калифорнии, 14 декабря того же года корпоративная сеть Panasonic Avionics Corporation, ведущего поставщика систем связи и развлечений для авиатранспорта, была также взломана.
Решения Panasonic IFE установлены на более чем 15 000 коммерческих самолетах, в то время как более 3780 предоставляют клиентам спутниковый Wi-Fi.
При этом более 200 авиакомпаний используют IFE, Wi-Fi и цифровые услуги на своих самолетах, что составляет примерно 70% глобального флота, оснащенного IFE.
Допущенная в ходе инцидента утечка данных затрагивает личную информацию нераскрытого числа лиц, вероятно, из числа сотрудников и ряда клиентов.
Скомпрометированные данные включали: имена пострадавших лиц, контактные данные (адрес электронной почты, почтовый адрес и номер телефона), даты рождения, сведения о медицинском страховании, номера финансовых счетов, статус занятости в компании.
Компания также уведомила соответствующие органы и провела расследование с привлечением экспертов по кибербезопасности и криминалистов.
Отдельно в Panasonic Avionics Corporation отмечают, что какие-либо развлекательные системы в полете, подключение, цифровые решения или эксплуатационные системы технического обслуживания не пострадали.
Так ли это, будем, конечно же, посмотреть.
Крупный шведский разработчик EasyPark сообщает об утечке данных, которая потенциально затрагивает миллионы пользователей.
Вс дело в том, что EasyPark реализует разработку приложений по управлению парковками и зарядных станций для электромобилей, реализуя свои услуги более чем в 20 странах и более чем 4000 городах, охватывая большую часть Европы, США, Австралию, Новую Зеландию и Великобританию.
Само приложение EasyPark (ориентировано на Европу) имеет более 10 млн. загрузок в Google Play, а другие решения, включая RingGo (ориентированное на Великобританию) и ParkMobile (ориентированное на США), имеют по 5 млн. установок.
Согласно уведомлению об утечке данных, инцидент был обнаружен 10 декабря 2023 года и затрагивает неизвестное число клиентов компании.
Точное число обещают обнародовать позже, как и всю подробную информацию об этом нарушении, а пострадавшие клиенты получат соответствующие персональные уведомления.
Учитывая, что преимущественно утечка касается европейских пользователей, инцидент, вероятно, был связана с приложением EasyPark.
В настоящее время приложение функционирует в штатном режиме, ведется расследованием совместно с представителями Швеции, Великобритании и Швейцарии.
Пока ни одна из банд вымогателей не взяла на себя ответственность за атаку на EasyPark.
Скомпрометированными оказались установочные данные клиентов, контактные сведения, адреса, а также номера кредитной/дебетовой карты или IBAN. При этом финансовая информация не пострадала.
Но утекла ли географическая составляющая с маршрутами и локациями - остается главным вопросом расследования.
Хотя в аналогичном инциденте с ParkMobile в 2021 году, когда в даркнет утекли 4,5 ГБ информации об учетных записях 21 887 299 клиентов, геолокационные данные не пострадали.
Но будем посмотреть.
Вс дело в том, что EasyPark реализует разработку приложений по управлению парковками и зарядных станций для электромобилей, реализуя свои услуги более чем в 20 странах и более чем 4000 городах, охватывая большую часть Европы, США, Австралию, Новую Зеландию и Великобританию.
Само приложение EasyPark (ориентировано на Европу) имеет более 10 млн. загрузок в Google Play, а другие решения, включая RingGo (ориентированное на Великобританию) и ParkMobile (ориентированное на США), имеют по 5 млн. установок.
Согласно уведомлению об утечке данных, инцидент был обнаружен 10 декабря 2023 года и затрагивает неизвестное число клиентов компании.
Точное число обещают обнародовать позже, как и всю подробную информацию об этом нарушении, а пострадавшие клиенты получат соответствующие персональные уведомления.
Учитывая, что преимущественно утечка касается европейских пользователей, инцидент, вероятно, был связана с приложением EasyPark.
В настоящее время приложение функционирует в штатном режиме, ведется расследованием совместно с представителями Швеции, Великобритании и Швейцарии.
Пока ни одна из банд вымогателей не взяла на себя ответственность за атаку на EasyPark.
Скомпрометированными оказались установочные данные клиентов, контактные сведения, адреса, а также номера кредитной/дебетовой карты или IBAN. При этом финансовая информация не пострадала.
Но утекла ли географическая составляющая с маршрутами и локациями - остается главным вопросом расследования.
Хотя в аналогичном инциденте с ParkMobile в 2021 году, когда в даркнет утекли 4,5 ГБ информации об учетных записях 21 887 299 клиентов, геолокационные данные не пострадали.
Но будем посмотреть.
Easypark
EasyPark Data Breach
On December 10, 2023, we discovered we were the victim of a cyber attack. The attack resulted in a breach of non-sensitive customer data. We deeply care about our customers and want to make sure you are fully informed about this incident. Here is what we…
Не утихают страсти по поводу голосования на канале Сачок, про которое мы написали чуть раньше.
Уже Лукацкий наехал на администрацию канала, а те поспешили оправдаться. С нашей точки зрения - зря.
Как самый объективный канал в мире, полагаем, что никакой ответственности непосредственно Сачка за произошедшее нет. Понятно, что ботили не они. А раз так - какие к ним претензии?
Мы ведь именно поэтому не проводим никаких голосований - накушались пару лет назад, знаем что это такое. Теперь об этом знают и Сачки. В условиях, когда голосовать могут все, кто угодно, а не только подписчики канала, бессмысленно говорить о какой-либо объективности.
Миру мир, стукачу - кардан!
Уже Лукацкий наехал на администрацию канала, а те поспешили оправдаться. С нашей точки зрения - зря.
Как самый объективный канал в мире, полагаем, что никакой ответственности непосредственно Сачка за произошедшее нет. Понятно, что ботили не они. А раз так - какие к ним претензии?
Мы ведь именно поэтому не проводим никаких голосований - накушались пару лет назад, знаем что это такое. Теперь об этом знают и Сачки. В условиях, когда голосовать могут все, кто угодно, а не только подписчики канала, бессмысленно говорить о какой-либо объективности.
Миру мир, стукачу - кардан!
Telegram
SecAtor
͏В последние месяцы профильными экспертами активно обсуждается использование AI как компьютерными преступниками, так и специалистами из области информационной безопасности. Некоторые исследователи, особо одаренные, даже включили в свои отчеты экспоненциальный…
Под конец года представители киберподполья приготовили свои подарки под елочку своим жертвам.
R00TK1T анонсировали на своем DLS утечку Qatar Airways. Как утверждает группа, в их расположении более 400 ГБ различных данных, которые еще не были раскрыты, включая в числе прочих и ПО ADOC Navigator.
Zjdue123 продает доступ к адресам электронной почты министерств иностранных дел по всему миру по цене в 20 BTC.
Как ни в чем не бывало, ALPHV продолжают добавлять на свой DLS новых жертв. К переговорам по поводу выкупа приглашены Nej Inc. и Wesgar Inc.
За $5000 можно приобрести базу данных Министерства внутренних дел Индонезии с 217 750 843 записями, ответственный за лот - небезызвестный Bjorka.
А Snatch презентовали подгон для республиканцев, заявляя о предстоящей утечке личных данных президента США Байдена, его сына Хантера и жены Джилл.
R00TK1T анонсировали на своем DLS утечку Qatar Airways. Как утверждает группа, в их расположении более 400 ГБ различных данных, которые еще не были раскрыты, включая в числе прочих и ПО ADOC Navigator.
Zjdue123 продает доступ к адресам электронной почты министерств иностранных дел по всему миру по цене в 20 BTC.
Как ни в чем не бывало, ALPHV продолжают добавлять на свой DLS новых жертв. К переговорам по поводу выкупа приглашены Nej Inc. и Wesgar Inc.
За $5000 можно приобрести базу данных Министерства внутренних дел Индонезии с 217 750 843 записями, ответственный за лот - небезызвестный Bjorka.
А Snatch презентовали подгон для республиканцев, заявляя о предстоящей утечке личных данных президента США Байдена, его сына Хантера и жены Джилл.
͏Дорогие подписчики!
Год назад в своем Новогоднем поздравлении мы призвали всех наших подписчиков готовиться к новой реальности, которая ждет нас уже вот прямо сейчас.
Что-то сбылось, что-то нет, но тренд остался прежним - жизнь впереди будет тяжелая, особенно в отрасли информационной безопасности. Работы будет много, угрозы будут все более серьезные, влияющие на жизнь каждого. Все только начинается.
Поэтому пожелания оставим прежними - терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется.
С Новым Годом, друзья! Да прибудет с нами етитская сила!
Год назад в своем Новогоднем поздравлении мы призвали всех наших подписчиков готовиться к новой реальности, которая ждет нас уже вот прямо сейчас.
Что-то сбылось, что-то нет, но тренд остался прежним - жизнь впереди будет тяжелая, особенно в отрасли информационной безопасности. Работы будет много, угрозы будут все более серьезные, влияющие на жизнь каждого. Все только начинается.
Поэтому пожелания оставим прежними - терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется.
С Новым Годом, друзья! Да прибудет с нами етитская сила!
Те, кто считал 2023 разминкой перед 2024 в чем-то несомненно оказались правы.
Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin, о которой мы сообщали ранее.
Разработанная исследователями из Рурского университета в Бохуме в Германии атака нацелена на протокол SSH, затрагивая как клиенты, так и серверы.
Суть заключается в манипуляции порядковыми номерами в ходе процесса установления связи для компрометации целостности канала SSH, особенно когда используются определенные режимы шифрования, такие как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.
Таким образом злоумышленник может понизить алгоритмы открытого ключа для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.
Важным требованием для атаки Terrapin является необходимость реализации AitM для перехвата и модификации обмена рукопожатиями.
Шокирующую статистику выкатила Shadowserver, предупреждая об идентификации по уникальным IP-адресам около 11 миллионов уязвимых SSH-серверов, что составляет 52% всего объема в пространстве IPv4 и IPv6 (под данным исследователей).
Большая часть уязвимых систем приходится на США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), а затем и Россия (700 000), далее - Сингапур (390 000) и Япония (380 000).
Как отмечают в Shadowserver, теперь перед злоумышленниками открываются широкие возможности, а для Terrapin - широкомасштабные последствия.
Команда из того же Рурского университета предоставила сканер уязвимостей для проверки восприимчивости к Terrapin SSH-клиента или сервера.
Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin, о которой мы сообщали ранее.
Разработанная исследователями из Рурского университета в Бохуме в Германии атака нацелена на протокол SSH, затрагивая как клиенты, так и серверы.
Суть заключается в манипуляции порядковыми номерами в ходе процесса установления связи для компрометации целостности канала SSH, особенно когда используются определенные режимы шифрования, такие как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.
Таким образом злоумышленник может понизить алгоритмы открытого ключа для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.
Важным требованием для атаки Terrapin является необходимость реализации AitM для перехвата и модификации обмена рукопожатиями.
Шокирующую статистику выкатила Shadowserver, предупреждая об идентификации по уникальным IP-адресам около 11 миллионов уязвимых SSH-серверов, что составляет 52% всего объема в пространстве IPv4 и IPv6 (под данным исследователей).
Большая часть уязвимых систем приходится на США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), а затем и Россия (700 000), далее - Сингапур (390 000) и Япония (380 000).
Как отмечают в Shadowserver, теперь перед злоумышленниками открываются широкие возможности, а для Terrapin - широкомасштабные последствия.
Команда из того же Рурского университета предоставила сканер уязвимостей для проверки восприимчивости к Terrapin SSH-клиента или сервера.
Infosec Exchange
The Shadowserver Foundation (@shadowserver@infosec.exchange)
Attached: 2 images
We are sharing SSH CVE-2023-48795 (Terrapin attack) vulnerable instances found in our IPv4/IPv6 scans in our Accessible SSH report: https://shadowserver.org/what-we-do/network-reporting/accessible-ssh-report/
Nearly 11M instances (by…
We are sharing SSH CVE-2023-48795 (Terrapin attack) vulnerable instances found in our IPv4/IPv6 scans in our Accessible SSH report: https://shadowserver.org/what-we-do/network-reporting/accessible-ssh-report/
Nearly 11M instances (by…
Исследователи SRLabs на конференции 37C3 представили дешифратор для жертв Black Basta ransomware, который получил схожее название Black Basta Buster.
В основу утилиты лег найденный исследователями недостаток в алгоритме шифровании, позволяющий обнаружить поток ключей ChaCha, используемый для XOR-шифрования файла.
Как они выяснили, файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов.
Возможность полного или частичного восстановления файла зависит от его размера.
Файлы размером менее 5000 байт восстановлению не подлежат, от 5000 байт до 1 ГБ - возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут утрачены, но остальные можно восстановить.
Black Basta Buster позволяет жертвам восстанавливать в различных сценариях скомпрометированные в период с ноября 2022 года по декабрь 2023 года файлы.
Поскольку Black Basta прознала косяк и исправила ошибку, лежащую в основе расшифровщика, в более поздних инцидентах, начиная с прошлой недели, применить утилиту не получится.
Причем некоторые специалисты и компании знали об уязвимости и успешно применяли ее на протяжении нескольких месяцев, расшифровывая компьютеры без выплаты выкупа.
Утилита с описанием метода доступна в репозитории SRLabs на GitHub.
В основу утилиты лег найденный исследователями недостаток в алгоритме шифровании, позволяющий обнаружить поток ключей ChaCha, используемый для XOR-шифрования файла.
Как они выяснили, файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов.
Возможность полного или частичного восстановления файла зависит от его размера.
Файлы размером менее 5000 байт восстановлению не подлежат, от 5000 байт до 1 ГБ - возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут утрачены, но остальные можно восстановить.
Black Basta Buster позволяет жертвам восстанавливать в различных сценариях скомпрометированные в период с ноября 2022 года по декабрь 2023 года файлы.
Поскольку Black Basta прознала косяк и исправила ошибку, лежащую в основе расшифровщика, в более поздних инцидентах, начиная с прошлой недели, применить утилиту не получится.
Причем некоторые специалисты и компании знали об уязвимости и успешно применяли ее на протяжении нескольких месяцев, расшифровывая компьютеры без выплаты выкупа.
Утилита с описанием метода доступна в репозитории SRLabs на GitHub.
GitHub
GitHub - srlabs/black-basta-buster
Contribute to srlabs/black-basta-buster development by creating an account on GitHub.
Если такие разработчики как QNAP и Ivanti стабильно оттачивают свои продукты, периодически, конечно, залетая в руки умелых хакеров, то обновления для Apache OpenOffice выходят достаточно редко.
На этот раз в популярном решении Apache OpenOffice версии 4.1.15 исправлено 4 уязвимости, среди которых:
- CVE-2012-5639 (загрузка внутреннего/внешнего ресурса без предупреждения),
- CVE-2022-43680 (использование после освобождения в libexpat),
- CVE-2023-1183 (запись произвольного файла в базе),
- CVE-2023-47804 (выполнение произвольного сценария URL-адреса макроса).
Эксплойты для всех проблем в дикой природе не встречались, зато PoC в наличии, за исключением CVE-2022-43680. Все ошибки были найдены независимыми исследователями и затрагивают все версии Apache OpenOffice 4.1.14 и старше.
Что же касается упомянутых поставщиков, то ситуация следующая.
Ivanti предупредила об очередной критической RCE-уязвимости CVE-2023-39336 в Endpoint Manager (EPM).
Это ошибка внедрения SQL-кода, которая позволяет злоумышленнику, имеющему доступ к внутренней сети, выполнять произвольные SQL-запросы и получать выходные данные без необходимости аутентификации.
Успешная эксплуатация уязвимости, как отмечает Ivanti, может позволить злоумышленнику захватить управление устройствами, на которых работает агент EPM.
Причем когда главный сервер настроен на использование SQL Express, это может привести к RCE на главном сервере.
Подробности не раскрываются, но атаки фиксируются, на какой конкретно недостаток нацелены не сообщается.
Тайваньская QNAP Systems объявила об исправлениях дюжины уязвимостей в портфеле продуктов, включая серьезные недостатки в операционной системе.
Одна из них, CVE-2023-39296, позволяет удаленным злоумышленникам переопределить существующие атрибуты атрибутами несовместимого типа, что может привести к сбою системы.
Эта ошибка затрагивает версии QTS 5.1.x и версии QuTS Hero h5.1.x и устранена с выпуском QTS 5.1.3.2578 сборки 20231110 и QuTS Hero h5.1.3.2578 сборки 20231110.
В двух выпусках также устранена проблема CVE-2022-43634, дефект безопасности в Netatalk, который позволяет злоумышленникам удаленно выполнять произвольный код без аутентификации.
QNAP также выпустила исправления для двух серьезных уязвимостей в Video Station — внедрения SQL (CVE-2023-41287) и внедрения команд ОС (CVE-2023-41288), которые можно использовать по сети. В Video Station 5.7.2 устранены обе проблемы.
В QuMagie 2.2.1 были устранены еще две серьезные ошибки, которые можно было использовать удаленно: CVE-2023-47559, XSS-уязвимость, и CVE-2023-47560, проблема внедрения команд ОС.
QNAP не упоминает о каких-либо из этих дыр в безопасности, используемых в реальных условиях, но, как нам прекрасно известно, злоумышленники постоянно нацеливаются на неисправленные устройства.
На этот раз в популярном решении Apache OpenOffice версии 4.1.15 исправлено 4 уязвимости, среди которых:
- CVE-2012-5639 (загрузка внутреннего/внешнего ресурса без предупреждения),
- CVE-2022-43680 (использование после освобождения в libexpat),
- CVE-2023-1183 (запись произвольного файла в базе),
- CVE-2023-47804 (выполнение произвольного сценария URL-адреса макроса).
Эксплойты для всех проблем в дикой природе не встречались, зато PoC в наличии, за исключением CVE-2022-43680. Все ошибки были найдены независимыми исследователями и затрагивают все версии Apache OpenOffice 4.1.14 и старше.
Что же касается упомянутых поставщиков, то ситуация следующая.
Ivanti предупредила об очередной критической RCE-уязвимости CVE-2023-39336 в Endpoint Manager (EPM).
Это ошибка внедрения SQL-кода, которая позволяет злоумышленнику, имеющему доступ к внутренней сети, выполнять произвольные SQL-запросы и получать выходные данные без необходимости аутентификации.
Успешная эксплуатация уязвимости, как отмечает Ivanti, может позволить злоумышленнику захватить управление устройствами, на которых работает агент EPM.
Причем когда главный сервер настроен на использование SQL Express, это может привести к RCE на главном сервере.
Подробности не раскрываются, но атаки фиксируются, на какой конкретно недостаток нацелены не сообщается.
Тайваньская QNAP Systems объявила об исправлениях дюжины уязвимостей в портфеле продуктов, включая серьезные недостатки в операционной системе.
Одна из них, CVE-2023-39296, позволяет удаленным злоумышленникам переопределить существующие атрибуты атрибутами несовместимого типа, что может привести к сбою системы.
Эта ошибка затрагивает версии QTS 5.1.x и версии QuTS Hero h5.1.x и устранена с выпуском QTS 5.1.3.2578 сборки 20231110 и QuTS Hero h5.1.3.2578 сборки 20231110.
В двух выпусках также устранена проблема CVE-2022-43634, дефект безопасности в Netatalk, который позволяет злоумышленникам удаленно выполнять произвольный код без аутентификации.
QNAP также выпустила исправления для двух серьезных уязвимостей в Video Station — внедрения SQL (CVE-2023-41287) и внедрения команд ОС (CVE-2023-41288), которые можно использовать по сети. В Video Station 5.7.2 устранены обе проблемы.
В QuMagie 2.2.1 были устранены еще две серьезные ошибки, которые можно было использовать удаленно: CVE-2023-47559, XSS-уязвимость, и CVE-2023-47560, проблема внедрения команд ОС.
QNAP не упоминает о каких-либо из этих дыр в безопасности, используемых в реальных условиях, но, как нам прекрасно известно, злоумышленники постоянно нацеливаются на неисправленные устройства.
cve.mitre.org
CVE -
CVE-2012-5639
CVE-2012-5639
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
NCC Group выпустила третье исследование с оценкой безопасности популярных инструментов RMM, в котором представила обзор на 18 уязвимостей в PandoraFMS.
Ранее в поле зрения исследователей попадали множественные уязвимости в Faronics Insight и Nagios XI.
PandoraFMS - это приложение для мониторинга и управления сетью масштаба предприятия, которое предоставляет системным администраторам центральный «концентратор» для наблюдения за состоянием компьютеров (агентов), развернутых в сети.
Консоль PandoraFMS включает обширный набор функций с возможностью выполнять произвольные команды на компьютерах агентов, отслеживать процессы, загрузку ЦП, взаимодействовать через SNMP и обеспечивает прямое соединение SSH/telnet с агентами через индивидуальный интерфейс.
Основные проблемы, одна из которых имеет оценку 9.9 CVSS, лишь обозначим (все подробности по каждой подробно представлены в исследовании):
- Неаутентифицированный захват учетной записи администратора с помощью резервных копий файлов журнала Cron (CVE-2023-4677)
- Резервные копии базы данных доступны любому пользователю (CVE-2023-41786)
- Удаленное выполнение кода через загрузчик файлов MIBS (CVE-2023-41788)
- Неаутентифицированный захват учетной записи администратора с помощью вредоносного агента и XSS (CVE-2023-41789)
- Произвольный файл, читаемый как root через страницу GoTTY (CVE-2023-41808)
- Чтение произвольного файла с помощью средства проверки API (CVE-2023-41787)
- Повышение локальных привилегий Linux через страницу GoTTY (CVE-2023-41807)
- Обход пути в get_file.php (CVE-2023-41790)
- Сохранение межсайтовых сценариев через страницу редактора ловушек SNMP (CVE-2023-41792)
- Сохраненный межсайтовый скриптинг из-за злоупотребления переводом (CVE-2023-41791)
- Сохранение межсайтовых сценариев через поле комментариев профиля пользователя (CVE-2023-41809)
- Отказ системы в обслуживании через страницу GoTTY (CVE-2023-41806)
- Любой пользователь может изменить настройки уведомлений любого другого пользователя (CVE-2023-41813)
- Файлы cookie устанавливаются без флага «ТОЛЬКО HTTP» (CVE-2023-41793)
- Установщик устанавливает MySQL со слабыми учетными данными (CVE еще не присвоены)
- Сохранение межсайтовых сценариев через панель мониторинга (CVE-2023-41810)
- Сохраненный межсайтовый скриптинг через страницу новостей сайта (CVE-2023-41811)
- Учетные данные пользователя, записанные для доступа к входу в систему в виде открытого текста (CVE-2023-41794)
Все эти уязвимости были устранены в версиях v773, v774 и v775. Работа велась с конца июля, когда поставщику впервые сообщили о проблемах.
В назначенную на октябрь дату раскрытия информации, поставщик не смог управиться с разработкой исправлений, пообещав до конца 2023 все устранить, что и было сделано: 29 декабря PandoraFMS выпустила финальный патч.
Как отмечают в NCC Group, несмотря на итоги исследования, в целом уровень безопасности приложения является высоким, и были предприняты значительные усилия для устранения наиболее серьезных недостатков.
Ранее в поле зрения исследователей попадали множественные уязвимости в Faronics Insight и Nagios XI.
PandoraFMS - это приложение для мониторинга и управления сетью масштаба предприятия, которое предоставляет системным администраторам центральный «концентратор» для наблюдения за состоянием компьютеров (агентов), развернутых в сети.
Консоль PandoraFMS включает обширный набор функций с возможностью выполнять произвольные команды на компьютерах агентов, отслеживать процессы, загрузку ЦП, взаимодействовать через SNMP и обеспечивает прямое соединение SSH/telnet с агентами через индивидуальный интерфейс.
Основные проблемы, одна из которых имеет оценку 9.9 CVSS, лишь обозначим (все подробности по каждой подробно представлены в исследовании):
- Неаутентифицированный захват учетной записи администратора с помощью резервных копий файлов журнала Cron (CVE-2023-4677)
- Резервные копии базы данных доступны любому пользователю (CVE-2023-41786)
- Удаленное выполнение кода через загрузчик файлов MIBS (CVE-2023-41788)
- Неаутентифицированный захват учетной записи администратора с помощью вредоносного агента и XSS (CVE-2023-41789)
- Произвольный файл, читаемый как root через страницу GoTTY (CVE-2023-41808)
- Чтение произвольного файла с помощью средства проверки API (CVE-2023-41787)
- Повышение локальных привилегий Linux через страницу GoTTY (CVE-2023-41807)
- Обход пути в get_file.php (CVE-2023-41790)
- Сохранение межсайтовых сценариев через страницу редактора ловушек SNMP (CVE-2023-41792)
- Сохраненный межсайтовый скриптинг из-за злоупотребления переводом (CVE-2023-41791)
- Сохранение межсайтовых сценариев через поле комментариев профиля пользователя (CVE-2023-41809)
- Отказ системы в обслуживании через страницу GoTTY (CVE-2023-41806)
- Любой пользователь может изменить настройки уведомлений любого другого пользователя (CVE-2023-41813)
- Файлы cookie устанавливаются без флага «ТОЛЬКО HTTP» (CVE-2023-41793)
- Установщик устанавливает MySQL со слабыми учетными данными (CVE еще не присвоены)
- Сохранение межсайтовых сценариев через панель мониторинга (CVE-2023-41810)
- Сохраненный межсайтовый скриптинг через страницу новостей сайта (CVE-2023-41811)
- Учетные данные пользователя, записанные для доступа к входу в систему в виде открытого текста (CVE-2023-41794)
Все эти уязвимости были устранены в версиях v773, v774 и v775. Работа велась с конца июля, когда поставщику впервые сообщили о проблемах.
В назначенную на октябрь дату раскрытия информации, поставщик не смог управиться с разработкой исправлений, пообещав до конца 2023 все устранить, что и было сделано: 29 декабря PandoraFMS выпустила финальный патч.
Как отмечают в NCC Group, несмотря на итоги исследования, в целом уровень безопасности приложения является высоким, и были предприняты значительные усилия для устранения наиболее серьезных недостатков.
Видимо турецким хакерам не пришлись по нраву печеньки с марихуаной, но зато весьма интересен оказался голландский телеком, СМИ и ISP.
Все они стали целями турецкой АРТ Sea Turtle (также отслеживается как Teal Kurma и Cosmic Wolf), которая уже известна своими кампаниями в отношении организаций на Ближнем Востоке, а также в Швеции и США, с использованием таких методов, как перехват DNS и перенаправление трафика для реализации MITM.
Аналитики Hunt & Hackett отмечают, что Sea Turtle является угрозой средней степени сложности, поскольку злоумышленники используют известные уязвимости и скомпрометированные аккаунты для первоначального доступа, причем особо не скрывая следы своей активности.
Вероятно, "хакеры на зп" действуют по методичке, особенно учитывая, что атаки ориентированы на поставщиков ИТ-услуг, администрирующих курдские веб-сайты, ориентируясь на получение экономической и политической развединформации, соответствующей интересам турецкого государства.
Недавняя активность в Нидерландах наблюдалась в период с 2021 по 2023 год, при этом АРТ были внедрены новые методы и вредоносное ПО.
Первоначальный доступ в наблюдаемых атаках достигается путем использования скомпрометированных учетных записей cPanel для подключения по SSH к целевой инфраструктуре.
Новым инструментом стал SnappyTCP - публичный реверс шелл под Linux с базовыми возможностями С2, а в попытках уклонения от обнаружения перезаписывали системные файлы журнала Linux, чистили историю команд в Bash и MySQL.
Исследователи также сообщают, что заметили установку инструмента управления базой данных Adminer в общедоступном каталоге одной из скомпрометированных учетных записей cPanel, что давало им постоянный доступ к данным и возможность выполнения команд SQL.
Кроме того, Hunt & Hackett регистрировала несколько случаев, когда злоумышленники подключались к скомпрометированным учетным записям cPanel с помощью VPN.
Когда дело доходит до кражи данных, злоумышленники создают копии архивов электронной почты из скомпрометированных учетных записей cPanel и размещают их в общедоступный веб-каталог сайта, делая их доступными для загрузки.
Для уклонения Sea Turtle перезаписывает файлы системного журнала Linux и сбрасывает файлы команд (Bash) и истории MySQL, чтобы стереть следы их присутствия и деятельности.
Несмотря на то, что Hunt & Hackett не выявила случаев кражи учетных данных после компрометации и попыток горизонтального перемещения или удаления, группировка продолжает представлять серьезную угрозу.
Все они стали целями турецкой АРТ Sea Turtle (также отслеживается как Teal Kurma и Cosmic Wolf), которая уже известна своими кампаниями в отношении организаций на Ближнем Востоке, а также в Швеции и США, с использованием таких методов, как перехват DNS и перенаправление трафика для реализации MITM.
Аналитики Hunt & Hackett отмечают, что Sea Turtle является угрозой средней степени сложности, поскольку злоумышленники используют известные уязвимости и скомпрометированные аккаунты для первоначального доступа, причем особо не скрывая следы своей активности.
Вероятно, "хакеры на зп" действуют по методичке, особенно учитывая, что атаки ориентированы на поставщиков ИТ-услуг, администрирующих курдские веб-сайты, ориентируясь на получение экономической и политической развединформации, соответствующей интересам турецкого государства.
Недавняя активность в Нидерландах наблюдалась в период с 2021 по 2023 год, при этом АРТ были внедрены новые методы и вредоносное ПО.
Первоначальный доступ в наблюдаемых атаках достигается путем использования скомпрометированных учетных записей cPanel для подключения по SSH к целевой инфраструктуре.
Новым инструментом стал SnappyTCP - публичный реверс шелл под Linux с базовыми возможностями С2, а в попытках уклонения от обнаружения перезаписывали системные файлы журнала Linux, чистили историю команд в Bash и MySQL.
Исследователи также сообщают, что заметили установку инструмента управления базой данных Adminer в общедоступном каталоге одной из скомпрометированных учетных записей cPanel, что давало им постоянный доступ к данным и возможность выполнения команд SQL.
Кроме того, Hunt & Hackett регистрировала несколько случаев, когда злоумышленники подключались к скомпрометированным учетным записям cPanel с помощью VPN.
Когда дело доходит до кражи данных, злоумышленники создают копии архивов электронной почты из скомпрометированных учетных записей cPanel и размещают их в общедоступный веб-каталог сайта, делая их доступными для загрузки.
Для уклонения Sea Turtle перезаписывает файлы системного журнала Linux и сбрасывает файлы команд (Bash) и истории MySQL, чтобы стереть следы их присутствия и деятельности.
Несмотря на то, что Hunt & Hackett не выявила случаев кражи учетных данных после компрометации и попыток горизонтального перемещения или удаления, группировка продолжает представлять серьезную угрозу.
Huntandhackett
Turkish espionage campaigns in the Netherlands
Turkish Advanced Persistent Threat (APT) actor Sea Turtle is believed to have orchestrated cyberattacks against the Netherlands
Банду AlphV/Blackcat вроде как накернили в ходе операции американских спецслужб, а оставшееся наследие продолжает взрывать полосы западной прессы.
Как сообщают SwissInfo, секретные документы ВВС Швейцарии просочились в даркнет в результате ransomware-атаки на американскую Ultra Intelligence & Communications.
Пострадавшая компания реализует критически важные проекты в сфере безопасности и криптографии для таких клиентов, как Министерство обороны, ФБР, УБН, НАТО, AT&T, оборонный подрядчик RUAG и то самое Федеральное министерство обороны Швейцарии.
Последние ведомство подтвердило инцидент с ВВС Швейцарии сообщило о начале официального расследования по этому поводу.
При этом, как заверяет Федеральное министерство, инцидент не затронул оперативные системы вооруженных сил.
В общей сложности AlphV удалось выкрасть около 30 ГБ конфиденциальных документов американской компании, в числе которых оказался контракт между Минобороны Швейцарии и американской компанией на сумму в 5 миллионов долларов (4,28 миллиона швейцарских франков).
Согласно этому и другим просочившимся документам, Минобороны приобрело у американского поставщика системы зашифрованной связи для своих ВВС. Среди утекших документов также электронная переписка и квитанции об оплате по контрактам.
Полагаем, что сюрпризы еще впереди, но конечно, будем посмотреть.
Как сообщают SwissInfo, секретные документы ВВС Швейцарии просочились в даркнет в результате ransomware-атаки на американскую Ultra Intelligence & Communications.
Пострадавшая компания реализует критически важные проекты в сфере безопасности и криптографии для таких клиентов, как Министерство обороны, ФБР, УБН, НАТО, AT&T, оборонный подрядчик RUAG и то самое Федеральное министерство обороны Швейцарии.
Последние ведомство подтвердило инцидент с ВВС Швейцарии сообщило о начале официального расследования по этому поводу.
При этом, как заверяет Федеральное министерство, инцидент не затронул оперативные системы вооруженных сил.
В общей сложности AlphV удалось выкрасть около 30 ГБ конфиденциальных документов американской компании, в числе которых оказался контракт между Минобороны Швейцарии и американской компанией на сумму в 5 миллионов долларов (4,28 миллиона швейцарских франков).
Согласно этому и другим просочившимся документам, Минобороны приобрело у американского поставщика системы зашифрованной связи для своих ВВС. Среди утекших документов также электронная переписка и квитанции об оплате по контрактам.
Полагаем, что сюрпризы еще впереди, но конечно, будем посмотреть.
SWI swissinfo.ch
Cyberattack exposes Swiss Air Force documents on the darknet
A US security company fell victim to a cyberattack. The Swiss Air Force was among the entities affected.