͏Дорогие подписчики!

Год назад в своем Новогоднем поздравлении мы призвали всех наших подписчиков готовиться к новой реальности, которая ждет нас уже вот прямо сейчас.

Что-то сбылось, что-то нет, но тренд остался прежним - жизнь впереди будет тяжелая, особенно в отрасли информационной безопасности. Работы будет много, угрозы будут все более серьезные, влияющие на жизнь каждого. Все только начинается.

Поэтому пожелания оставим прежними - терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется.

С Новым Годом, друзья! Да прибудет с нами етитская сила!

Те, кто считал 2023 разминкой перед 2024 в чем-то несомненно оказались правы.

Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin, о которой мы сообщали ранее.

Разработанная исследователями из Рурского университета в Бохуме в Германии атака нацелена на протокол SSH, затрагивая как клиенты, так и серверы.

Суть заключается в манипуляции порядковыми номерами в ходе процесса установления связи для компрометации целостности канала SSH, особенно когда используются определенные режимы шифрования, такие как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.

Таким образом злоумышленник может понизить алгоритмы открытого ключа для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.

Важным требованием для атаки Terrapin является необходимость реализации AitM для перехвата и модификации обмена рукопожатиями.

Шокирующую статистику выкатила Shadowserver, предупреждая об идентификации по уникальным IP-адресам около 11 миллионов уязвимых SSH-серверов, что составляет 52% всего объема в пространстве IPv4 и IPv6 (под данным исследователей).

Большая часть уязвимых систем приходится на США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), а затем и Россия (700 000), далее - Сингапур (390 000) и Япония (380 000).

Как отмечают в Shadowserver, теперь перед злоумышленниками открываются широкие возможности, а для Terrapin - широкомасштабные последствия.

Команда из того же Рурского университета предоставила сканер уязвимостей для проверки восприимчивости к Terrapin SSH-клиента или сервера.

Исследователи SRLabs на конференции 37C3 представили дешифратор для жертв Black Basta ransomware, который получил схожее название Black Basta Buster.

В основу утилиты лег найденный исследователями недостаток в алгоритме шифровании, позволяющий обнаружить поток ключей ChaCha, используемый для XOR-шифрования файла.

Как они выяснили, файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов.

Возможность полного или частичного восстановления файла зависит от его размера.

Файлы размером менее 5000 байт восстановлению не подлежат, от 5000 байт до 1 ГБ - возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут утрачены, но остальные можно восстановить.

Black Basta Buster позволяет жертвам восстанавливать в различных сценариях скомпрометированные в период с ноября 2022 года по декабрь 2023 года файлы.

Поскольку Black Basta прознала косяк и исправила ошибку, лежащую в основе расшифровщика, в более поздних инцидентах, начиная с прошлой недели, применить утилиту не получится.

Причем некоторые специалисты и компании знали об уязвимости и успешно применяли ее на протяжении нескольких месяцев, расшифровывая компьютеры без выплаты выкупа.

Утилита с описанием метода доступна в репозитории SRLabs на GitHub.

Если такие разработчики как QNAP и Ivanti стабильно оттачивают свои продукты, периодически, конечно, залетая в руки умелых хакеров, то обновления для Apache OpenOffice выходят достаточно редко.

На этот раз в популярном решении Apache OpenOffice версии 4.1.15 исправлено 4 уязвимости, среди которых:
- CVE-2012-5639 (загрузка внутреннего/внешнего ресурса без предупреждения),
- CVE-2022-43680 (использование после освобождения в libexpat),
- CVE-2023-1183 (запись произвольного файла в базе),
- CVE-2023-47804 (выполнение произвольного сценария URL-адреса макроса).

Эксплойты для всех проблем в дикой природе не встречались, зато PoC в наличии, за исключением CVE-2022-43680. Все ошибки были найдены независимыми исследователями и затрагивают все версии Apache OpenOffice 4.1.14 и старше.

Что же касается упомянутых поставщиков, то ситуация следующая.

Ivanti предупредила об очередной критической RCE-уязвимости CVE-2023-39336 в Endpoint Manager (EPM).

Это ошибка внедрения SQL-кода, которая позволяет злоумышленнику, имеющему доступ к внутренней сети, выполнять произвольные SQL-запросы и получать выходные данные без необходимости аутентификации.

Успешная эксплуатация уязвимости, как отмечает Ivanti, может позволить злоумышленнику захватить управление устройствами, на которых работает агент EPM.

Причем когда главный сервер настроен на использование SQL Express, это может привести к RCE на главном сервере.

Подробности не раскрываются, но атаки фиксируются, на какой конкретно недостаток нацелены не сообщается.

Тайваньская QNAP Systems объявила об исправлениях дюжины уязвимостей в портфеле продуктов, включая серьезные недостатки в операционной системе.

Одна из них, CVE-2023-39296, позволяет удаленным злоумышленникам переопределить существующие атрибуты атрибутами несовместимого типа, что может привести к сбою системы.

Эта ошибка затрагивает версии QTS 5.1.x и версии QuTS Hero h5.1.x и устранена с выпуском QTS 5.1.3.2578 сборки 20231110 и QuTS Hero h5.1.3.2578 сборки 20231110.

В двух выпусках также устранена проблема CVE-2022-43634, дефект безопасности в Netatalk, который позволяет злоумышленникам удаленно выполнять произвольный код без аутентификации.

QNAP также выпустила исправления для двух серьезных уязвимостей в Video Station — внедрения SQL (CVE-2023-41287) и внедрения команд ОС (CVE-2023-41288), которые можно использовать по сети. В Video Station 5.7.2 устранены обе проблемы.

В QuMagie 2.2.1 были устранены еще две серьезные ошибки, которые можно было использовать удаленно: CVE-2023-47559, XSS-уязвимость, и CVE-2023-47560, проблема внедрения команд ОС.

QNAP не упоминает о каких-либо из этих дыр в безопасности, используемых в реальных условиях, но, как нам прекрасно известно, злоумышленники постоянно нацеливаются на неисправленные устройства.

NCC Group выпустила третье исследование с оценкой безопасности популярных инструментов RMM, в котором представила обзор на 18 уязвимостей в PandoraFMS.

Ранее в поле зрения исследователей попадали множественные уязвимости в Faronics Insight и Nagios XI.

PandoraFMS - это приложение для мониторинга и управления сетью масштаба предприятия, которое предоставляет системным администраторам центральный «концентратор» для наблюдения за состоянием компьютеров (агентов), развернутых в сети.

Консоль PandoraFMS включает обширный набор функций с возможностью выполнять произвольные команды на компьютерах агентов, отслеживать процессы, загрузку ЦП, взаимодействовать через SNMP и обеспечивает прямое соединение SSH/telnet с агентами через индивидуальный интерфейс.

Основные проблемы, одна из которых имеет оценку 9.9 CVSS, лишь обозначим (все подробности по каждой подробно представлены в исследовании):

- Неаутентифицированный захват учетной записи администратора с помощью резервных копий файлов журнала Cron (CVE-2023-4677)
- Резервные копии базы данных доступны любому пользователю (CVE-2023-41786)
- Удаленное выполнение кода через загрузчик файлов MIBS (CVE-2023-41788)
- Неаутентифицированный захват учетной записи администратора с помощью вредоносного агента и XSS (CVE-2023-41789)
- Произвольный файл, читаемый как root через страницу GoTTY (CVE-2023-41808)
- Чтение произвольного файла с помощью средства проверки API (CVE-2023-41787)
- Повышение локальных привилегий Linux через страницу GoTTY (CVE-2023-41807)
- Обход пути в get_file.php (CVE-2023-41790)
- Сохранение межсайтовых сценариев через страницу редактора ловушек SNMP (CVE-2023-41792)
- Сохраненный межсайтовый скриптинг из-за злоупотребления переводом (CVE-2023-41791)
- Сохранение межсайтовых сценариев через поле комментариев профиля пользователя (CVE-2023-41809)
- Отказ системы в обслуживании через страницу GoTTY (CVE-2023-41806)
- Любой пользователь может изменить настройки уведомлений любого другого пользователя (CVE-2023-41813)
- Файлы cookie устанавливаются без флага «ТОЛЬКО HTTP» (CVE-2023-41793)
- Установщик устанавливает MySQL со слабыми учетными данными (CVE еще не присвоены)
- Сохранение межсайтовых сценариев через панель мониторинга (CVE-2023-41810)
- Сохраненный межсайтовый скриптинг через страницу новостей сайта (CVE-2023-41811)
- Учетные данные пользователя, записанные для доступа к входу в систему в виде открытого текста (CVE-2023-41794)

Все эти уязвимости были устранены в версиях v773, v774 и v775. Работа велась с конца июля, когда поставщику впервые сообщили о проблемах.

В назначенную на октябрь дату раскрытия информации, поставщик не смог управиться с разработкой исправлений, пообещав до конца 2023 все устранить, что и было сделано: 29 декабря PandoraFMS выпустила финальный патч.

Как отмечают в NCC Group, несмотря на итоги исследования, в целом уровень безопасности приложения является высоким, и были предприняты значительные усилия для устранения наиболее серьезных недостатков.

Видимо турецким хакерам не пришлись по нраву печеньки с марихуаной, но зато весьма интересен оказался голландский телеком, СМИ и ISP.

Все они стали целями турецкой АРТ Sea Turtle (также отслеживается как Teal Kurma и Cosmic Wolf), которая уже известна своими кампаниями в отношении организаций на Ближнем Востоке, а также в Швеции и США, с использованием таких методов, как перехват DNS и перенаправление трафика для реализации MITM.

Аналитики Hunt & Hackett отмечают, что Sea Turtle является угрозой средней степени сложности, поскольку злоумышленники используют известные уязвимости и скомпрометированные аккаунты для первоначального доступа, причем особо не скрывая следы своей активности.

Вероятно, "хакеры на зп" действуют по методичке, особенно учитывая, что атаки ориентированы на поставщиков ИТ-услуг, администрирующих курдские веб-сайты, ориентируясь на получение экономической и политической развединформации, соответствующей интересам турецкого государства.

Недавняя активность в Нидерландах наблюдалась в период с 2021 по 2023 год, при этом АРТ были внедрены новые методы и вредоносное ПО.

Первоначальный доступ в наблюдаемых атаках достигается путем использования скомпрометированных учетных записей cPanel для подключения по SSH к целевой инфраструктуре.

Новым инструментом стал SnappyTCP - публичный реверс шелл под Linux с базовыми возможностями С2, а в попытках уклонения от обнаружения перезаписывали системные файлы журнала Linux, чистили историю команд в Bash и MySQL.

Исследователи также сообщают, что заметили установку инструмента управления базой данных Adminer в общедоступном каталоге одной из скомпрометированных учетных записей cPanel, что давало им постоянный доступ к данным и возможность выполнения команд SQL.

Кроме того, Hunt & Hackett регистрировала несколько случаев, когда злоумышленники подключались к скомпрометированным учетным записям cPanel с помощью VPN.

Когда дело доходит до кражи данных, злоумышленники создают копии архивов электронной почты из скомпрометированных учетных записей cPanel и размещают их в общедоступный веб-каталог сайта, делая их доступными для загрузки.

Для уклонения Sea Turtle перезаписывает файлы системного журнала Linux и сбрасывает файлы команд (Bash) и истории MySQL, чтобы стереть следы их присутствия и деятельности.

Несмотря на то, что Hunt & Hackett не выявила случаев кражи учетных данных после компрометации и попыток горизонтального перемещения или удаления, группировка продолжает представлять серьезную угрозу.

Банду AlphV/Blackcat вроде как накернили в ходе операции американских спецслужб, а оставшееся наследие продолжает взрывать полосы западной прессы.

Как сообщают SwissInfo, секретные документы ВВС Швейцарии просочились в даркнет в результате ransomware-атаки на американскую Ultra Intelligence & Communications.

Пострадавшая компания реализует критически важные проекты в сфере безопасности и криптографии для таких клиентов, как Министерство обороны, ФБР, УБН, НАТО, AT&T, оборонный подрядчик RUAG и то самое Федеральное министерство обороны Швейцарии.

Последние ведомство подтвердило инцидент с ВВС Швейцарии сообщило о начале официального расследования по этому поводу.

При этом, как заверяет Федеральное министерство, инцидент не затронул оперативные системы вооруженных сил.

В общей сложности AlphV удалось выкрасть около 30 ГБ конфиденциальных документов американской компании, в числе которых оказался контракт между Минобороны Швейцарии и американской компанией на сумму в 5 миллионов долларов (4,28 миллиона швейцарских франков).

Согласно этому и другим просочившимся документам, Минобороны приобрело у американского поставщика системы зашифрованной связи для своих ВВС. Среди утекших документов также электронная переписка и квитанции об оплате по контрактам.

Полагаем, что сюрпризы еще впереди, но конечно, будем посмотреть.

Крупнейший оператор связи в Парагвае наглухо зарансомился после атаки банды вымогателей Black Hunt, в результате чего национальные вооруженные силы были приведены в боевую готовность.

Согласно заявлению Главного управления информационных и коммуникационных технологий Вооруженных сил Парагвая, 4 января произошел инцидент, затронувший телекоммуникационные, облачные и хостинговые услуги поставщика Tigo Business.

Tigo - это крупнейший оператор мобильной связи в Парагвае, реализующий цифровые решения для бизнеса, включая консалтинг в области кибербезопасности, облачный хостинг и ЦОД, а также решения WAN.

По сообщениям Парагвайского фонда Ciberseguro, около 330 серверов в дата-центре Tigo также были зашифрованы вместе с резервными копиями и пострадало по меньшей мере 300 компаний, которые лишились услуг связи и доступа к своим корпоративным данным.

Кроме того, вероятно, среди жертв были и некоторые правительственные организации, раз за дело взялись военные.

При этом сама компания официально не подтверждала до последнего факт атаки, опубликовав заявление, в котором назвала все сообщения об инциденте фейковыми новостями, что вызвало крайне негативную реакцию как со стороны клиентов, так и властей, вынужденных выступить с официальным обращением.

Несмотря на то, что Tigo не предоставила никаких подробностей о кибератаке, местные журналисты уже приписали атаку группе вымогателей BlackHunt.

По данным Fortinet, группа BlackHunt возникла в конце 2022 года и, как известно, взламывает жертвы через незащищенные RDP. Чаще всего атакуют компании в Южной Америке.

Помимо шифрования данных, банда также известна кражей файлов для проведения повторных актов вымогательства. При этом у нее нет DLS, в отличие от других группировок.

В каждой папке шифровальщик размещает заметки о выкупе с именами BlackHunt_ReadMe.hta и BlackHunt_ReadMe.txt, которые включают информацию об атаке и адреса электронной почты для связи с злоумышленниками.

Представители местной радиостанции сообщают, что Tigo пока не связывалась с BlackHunt по поводу выкупа.

Но судя по масштабам инцидента, пообщаться все же придется.

Традиционная реакция российских компаний на свои крупные утечки информации сводится к двум вариантам:

- PR с человеческим лицом им. тов. Грефа;
- Because Fuck You, That’s Why!

Неудивительно, что Альфа-банк выбрал первую стратегию и в октябре, отбрыкиваясь ногами, стал отрицать утечку данных своих клиентов. Теперь эти базы вывалили в паблик. Стало неудобно.

Кто-то пишет про 20 миллионов утекших пользователей Альфы, кто-то про 30, кто-то про все 38. Мы не знаем, не считали.

Скажем одно – утечку глянули, знакомых и родственников нашли. С полными ФИО, датами рождения, телефонами, номерами карт и датами их истечения.

Ждем новой волны звонков «сотрудников Альфа-банка» и «следователей ФСБ» с требованиями о поимке мошенников путем перевода своих денег куда-то там.

Но проблема даже не в этом. А в том, что нет убежденности, что слитая утечка полная.

И в оставшейся за кадром части базы нет, к примеру, кодовых слов, с помощью которых клиент может подтвердить свою личность по телефону.

Альфа, конечно, скажет, что такого не может быть. Но они и в октябре так говорили.

Накануне Новогодних праздников Всемирный совет церквей (WCC) с административным центром в Женеве (Швейцария) был атакован вымогателями, о чем стало известно, когда 5 января Rhysida взяла на себя ответственность за взлом.

Представитель объединения на неделе подтвердил журналистам киберинцидент, заявив о выходе из строя некоторых систем, включая веб-сайт WCC, а также поступившем в ее адрес требовании о выкупе.

Организация связалась со швейцарской полицией и местными спецслужбами для разрешения проблемы и расследования. В свою очередь, хакеры выставили WCC счет в размере 6 биткойнов, или около 280 000 долларов, за украденную информацию.

Если раньше вымогателей больше интересовали цели из разряда объектов образования, здравоохранения, производства, информационных технологий и госсектора, то, как отмечают исследователи, в последние месяцы все чаще стали привлекать религиозные организации.

Так, нападениям подверглись несколько церквей, в том числе базирующаяся в Южной Каролине Relentless Church и Our Sunday Visitor, католическая издательская компания.

На Бога надейся, а SIEM поставь ☝️

Обнаружены уязвимости в системе Bosch Rexroth Nutrunner, которые могут быть использованы хакерами для атак на производственные линии в сфере автомобилестроения.

Система предназначена для контроля крутящего момента и угла поворота и используется на автомобильных производствах для точного контроля процесса затягивания гаек и болтов, что критически важно для качества сборки.

Гайковерт Bosch Rexroth NXA015S-36V-B оснащен встроенным дисплеем, предоставляющим оператору данные в режиме реального времени, и может подключаться к беспроводной сети через встроенный Wi-Fi для передачи данных на сервер, а также позволяет пользователям удаленно перепрограммировать их.

Исследователи Nozomi раскопали более двух десятков уязвимостей, большинство из которых относятся к приложению управления операционной системы NEXO-OS, а некоторые связаны с протоколами связи, разработанными для интеграции со SCADA, ПЛК и другими системами.

Лабораторные тесты показали, как злоумышленник может запустить программу-вымогатель, которая может привести к выводу из строя устройства и отображению сообщения о выкупе на его встроенном экране.

Что еще хуже, такая атака может быть автоматизирована для взлома всех устройств и систем компании, что приведет к значительным сбоям в производстве.

Другой сценарий атаки предполает изменение конфигурации затяжки через значение крутящего момента, что, в свою очередь, может привести к ослаблению болтов и бракованным изделиям с последующим финансовым и репутационным ущербом.

В общей сложности, всем дефектам было присвоено 25 идентификаторов CVE, в том числе 11 с высоким рейтингом серьезности и помимо продукта NXA015S-36V-B, они же затрагивают и другие устройства Rexroth, включая несколько девайсов серий NXA, NXP и NXV.

Производитель уже проинформирован о проблемах и в темпе вальса работает над исправлениями, которые обещает выкатить уже в конце января 2024 года.

Голландские журналисты авторитетного издания De Volkskrant выкатили статью с результатами двухлетнего расследования одной из самых виртуозных кибератак современности, нарушившей работу почти 1000 центрифуг в Иране (2007-2010).

Благодаря разрушительному потенциалу задействованного США совместно с Израилем кибероружия удалось откатить ядерную программу Ирана минимум на год, а по другим оценкам на целых 2-4 года.

Новые представленные журналистами обстоятельства проливают свет на то, каким образом вредоносное ПО Stuxnet смогло попасть в автономную систему закрытого ядерного объекта в Нетензе.

Для реализации хитрого плана с заражением иранской инфраструктуры ЦРУ и Моссад привлекли к операции партнерские возможности, обратившись к голландской разведке AIVD, представители которой завербовали в 2005 для этих целей 36-летнего инженера Эрика ван Саббена, работавшего в логистической компании в Дубае.

Голландский шпион идеально подходил под легенду, поскольку у него было техническое образование, он вел бизнес в Иране и был женат на иранке.

Тем не менее, агенту AIVD пришлось поработать над своей легендой — создать подставные компании с иранскими сотрудниками. Он постепенно нарабатывал себе репутацию и связи в Иране, втираясь в доверие к местным.

Попасть на иранский объект в момент начала установки новых центрифуг в 2007 году удалось со второго раза под видом иранского инженера монтажной компании, что позволило ему собрать важные сведения в отношении компьютерных систем и технических параметров работы центрифуг, а спецслужбам окончательно доработать код вируса.

И где-то в сентябре 2007 года инженер, по версии De Volkskrant, принес Stuxnet c собой на USB-флешке для заражения системы ядерного комплекса. Однако осенью 2007 года агент AIVD лишился возможности посещать закрытый объект.

Но на этом операция не прекратилась, и позже в 2009 и 2010 обновленный Stuxnet был вновь внедрен через водяной насос в системы 5 иранских компаний, которые поставляют промышленные системы на ядерные объекты.

Запущенный в свободное плавание червь Stuxnet заразил помимо основных целей десятки тысяч компьютеров всему миру.

Таким образом, голландский маршрут был якобы основным способом доставки червя.

Если в вкратце, то шпионская история, по версии газеты, выглядит именно так.

Теперь же что примечательно, касаемо деталей:

- выполнивший задание разведки Ван Саббен скончался в ОАЭ через две недели после атаки Stuxnet в результате аварии на мотоцикле;

- разработка Stuxnet обошлась представителям разведки в 1–2 миллиарда долларов, при этом спецы оценивают работу в меньшие суммы;

- экс-глава ЦРУ не подтверждает версию с насосами, поскольку информация до сих пор засекречена;

- исследователь Ральф Лангнер, проводивший углубленный анализ Stuxnet, отметил, что упоминаемый водяной насос не может переносить червя;

- сам Ван Саббен посещал Иран не в 2007, а в 2008 году;

- Не ясно до конца какую версию Stuxnet мог использовать Ван Саббен, основываясь на утверждениях голландской газеты.

Для сюжета новой серии Бондианы или невыполнимых миссий Етона Ханта потянет, а что было на самом деле - хорошо знают только сотрудники архива в Ленгли, принимавшие на хранение секретные папки с депешами по операции.

По данным @dataleak в России за первую половину ушедшего 2023 года утекло более 43 млн уникальных адресов эл. почты и более 47 млн уникальных телефонных номеров. Всего 67 российских утечек за этот период. 🔥

Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱

Обо всех этих цифрах и утечках пишут в канале Утечки информации.

Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.

Можно бесконечно смотреть на три вещи: как горит огонь, как течет вода и как хакеры препарируют новые 0-day в решениях Ivanti.

Поставщик раскрыл информацию о двух 0-day в Connect Secure (ICS) и Policy Secure, которые позволяют удаленно выполнять произвольные команды на целевых шлюзах. Проблемы были обнаружены исследователями Mandiant и Volexity.

Первая CVE-2023-46805 связана с обходом аутентификации в веб-компоненте шлюзов, позволяющий злоумышленникам получить доступ к ограниченным ресурсам путем обхода проверок контроля.

Другая, отслеживаемая как CVE-2024-21887, - это уязвимость внедрения команд, которая позволяет прошедшим проверку подлинности администраторам выполнять произвольные команды на уязвимых устройствах, отправляя специально созданные запросы.

При объединении двух уязвимостей злоумышленники без аутентификации могут создавать вредоносные запросы и выполнять произвольные команды в системе затронутых продуктов со всеми поддерживаемыми версиями.

Исправления еще не выпущены и будут доступны клиентам с 22 января, а окончательная версия - с 19 февраля.

Пока не будут доступны исправления, последствия 0-day можно смягчить, импортировав файл mitigation.release.20240107.1.xml, доступный клиентам через портал Ivanti.

Тем временем, оба недостатка уже активно эксплуатируются в целевых АРТ-атаках, что еще в декабре обнаружила Volexity, которой известно как минимум о пострадавших 10 клиентах.

Известный в кругах инфосека Кевин Бомонт также предупредил об использовании двух ошибок в атаках для обхода MFA и выполнения RCE, а также раскритиковал поставщика, который скрыл подробности за платным доступом.

Вообще, если верить данным Shodan, то в настоящее время в сети доступны и потенциально уязвимы более 15 000 шлюзов Connect Secure (ICS) и Policy Secure.

Так что новая 3567-ая серия остросюжетного сериала под названием Ivanti 0-day обещает быть весьма увлекательной. Но будем посмотреть.

Sticky Werewolf продалжает атаковать российские организации, очередные попытки предпринимались в новогодние каникулы.

За АРТ ведут плотное наблюдение исследователи F.A.C.C.T., которым удалось 2 и 3 января перехватить около 250 писем, отправленных на электронку неназванной телекоммуникационной компании.

Фишинговые письма, отправленные на электронные адреса цели якобы исходили от имени УФСБ России по Ростовской области. В них содержалась просьба предоставить заверенные копии документов и ссылка на загрузку вредоносного файла.

В ходе новой волны фишинга злоумышленники в очередной раз использовали троян Darktrack RAT. Как и в прошлый раз, письмо было отправлено с общедоступного почтового сервиса.

Ранее в декабре 2023 года Sticky Werewolf уже дважды атаковали похожим образом российскую фарму, прикрываясь МЧС и Минстроем РФ.

Cisco исправила критическую уязвимость в решении для унифицированного обмена сообщениями и голосовой почты Unity Connection.

CVE-2024-20272, может быть использована удаленно, без аутентификации, для загрузки произвольных файлов в систему, выполнения команд в базовой операционной системе и повышения привилегий до root.

Она связана с отсутствием аутентификации в конкретном API и неправильной проверкой данных, предоставленных пользователем.

Cisco Unity Connection 12.5.1.19017-4 и 14.0.1.14006-5 устраняют этот недостаток, но обе являются специальными инженерными выпусками, поэтому клиентам рекомендуется связаться с техподдержкой, чтобы получить их.

По данным Cisco, обходных путей для этой уязвимости не существует. Поставщику ничего не известно о каком-либо реальном использовании этой ошибки.

Кроме того, в среду компания предупредила, что был выпущен PoC для дефекта безопасности средней серьезности в WAP371 Wireless-AC/N, производство которой было прекращено.

Уязвимость, отслеживаемая как CVE-2024-20287, влияет на веб-интерфейс управления устройствами WAP371 с единой точкой настройки.

Ошибка позволяет злоумышленнику, аутентифицированному как администратор, отправлять созданные HTTP-запросы к интерфейсу уязвимого устройства для выполнения произвольных команд с правами root.

В 2019 году WAP371 достиг статуса EOL и начиная с сентября 2020 года никаких обновлений ПО или исправлений больше не поставляется.

Компания рекомендует клиентам, все еще использующим ее, перейти на Cisco Business 240AC. Тем не менее, Cisco (PSIRT) не наблюдала злонамеренного использования этой ошибки.

На неделе компания также анонсировала исправления для нескольких уязвимостей средней степени серьезности в TelePresence Management Suite, ThousandEyes Enterprise Agent, Evolved Programmable Network Manager и Prime Infrastructure, платформе BroadWorks и Identity Services Engine.

͏И смех, и грех со взломами в Twitter, а ныне - X, продолжается.

Соцсеть отвергла обвинения в захвате аккаунта Комиссии по ценным бумагам и биржам (SEC) и публично отрицает свою вину.

В результате предварительного расследования X компрометации на стороне сервиса не было, а всему виной оказалось некое третье лицо, которое завладело номером телефона, связанным с аккаунтом SECGov. Имхо, дропы с доверками и в Африке дропы.

Увы, кроме SEC за последнюю неделю доступ к своим аккаунтам утратили даже крупные политики, включая заместителя лидера Зеленой партии Великобритании и канадский сенатор.

Но больше всего удивил, мать его Google! А точнее, принадлежащая ему инфосек-компания Mandiant, у которой увели учетку хакеры из банды Drainer-as-a-Service (DaaS), причем обычным перебором!

Как заявили в компании, что для входа не было установлено второго фактора, сославшись на изменения в команде и изменения в политике 2FA. Слабый аргумент, ну да ладно.

Если с SEC народ попытался заспикулировать на новостях, то в последнем случае все более прозаично – злоумышленник, завладевший учетной записью Mandiant в Х, использовал ее для обмена ссылками, перенаправляя более 123 000 подписчиков на фишинговую страницу для кражи крипты.

Как выяснилось, злоумышленник использовал систему для слива кошельков CLINKSINK, которая использовалась в декабрьской кампании по краже средств и токенов у пользователей криптовалюты Solana (SOL).

По данным Mandiant, оценочная стоимость активов, украденных в ходе недавних атак, составляет минимум 900 000 долларов, а выявленные атаки включали как минимум 35 партнерских идентификаторов, которые связаны с общей системой сбора.

В ближайшем будущем ожидаем, что на фоне грядущей криптореволюции в мире финансов возрастет и заинтересованность хакеров по легкому обогатиться на плечах обычных обывателей, жаждущих бурного роста и профита.

Примерно, следующим образом👇

Финские власти бьют тревогу, предупреждая бизнес-сообщество о широкомасштабной ransomware-кампании, инициированной с декабря прошлого года бандой Akira, которая поражает NAS и устройства резервного копирования.

По данным NCSC-FI, из семи случаев инцидентов с программами-вымогателями, зарегистрированных в прошлом месяце, шесть приходились именно на Akira.

Удаление резервных копий увеличивает ущерб от атаки и позволяет злоумышленнику оказывать большее давление на жертву, поскольку это исключает возможность восстановления данных без уплаты выкупа.

При этом именно небольшие компании достаточно часто используют для этой цели сетевые устройства NAS, которые как раз и стали целями атак программ-вымогателей Akira.

Злоумышленники также атаковали устройства резервного копирования на магнитной ленте, которые обычно используются в качестве вторичной системы для хранения цифровых копий данных.

NCSC-FI рекомендовала компаниям вместо этого переходить на автономное резервирование, распределяя копии по разным местам, чтобы защитить их от несанкционированного доступа, следуя правилу 3-2-1 (хранение как минимум трех резервных копий в двух разных местах и одной из этих копий полностью вне сети).

Как сообщает финское агентство, Akira получила доступ к сети жертв благодаря эксплуатации CVE-2023-20269, уязвимости, которая затрагивает VPN в продуктах Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD).

Она позволяет неавторизованным злоумышленникам осуществлять атаки методом перебора и перехватывать учетные данные существующих пользователей там, где отсутствует MFA.

CVE-2023-20269 была признана Cisco в качестве 0-day в сентябре 2023 года, а исправления были выпущены в следующем месяце.

Тем не менее, с начала августа 2023 года исследователи неоднократно фиксировали, как Akira использовала ошибку для доступа.

Наблюдаемая активность после компрометации включает в себя картирование сети, нацеливание на резервные копии и важные серверы, кражу учетных данных пользователей с серверов Windows, шифрование важных файлов и дисков на серверах виртуализации, особенно на тех, где используется VMware.

Ранее в декабре 2023 года о нарастающей активности Akira сообщали исследователи ресерчеры Sophos, которые представили новый отчет в отношении Akira ransomware с отражением более полной картины TTPs банды, что не осталось и без нашего внимания.

Более 150 тысяч сайтов WordPress подвергаются риску компрометации аутентификации сайта из-за уязвимого плагина, о чем предупреждают исследователи из Wordfence.

Две уязвимости затрагивают плагин POST SMTP Mailer WordPress, который представляет собой инструмент для работы с электронной почтой и используется на более чем 300 000 сайтах.

Первая, отслеживаемая как CVE-2023-6875, уязвимость представляет собой критическую ошибку обхода авторизации, возникающую из-за проблемы «подтасовки типов» в конечной точке REST приложения Connect. Проблема затрагивает все версии плагина до 2.8.7.

Злоумышленник, не прошедший проверку подлинности, может использовать его для сброса ключа API и просмотра конфиденциальной информации журнала, включая электронные письма о сбросе пароля.

В частности, он может использовать функцию мобильного приложения для установки действительного токена с нулевым значением для ключа аутентификации посредством запроса.

Затем инициировать сброс пароля администратора сайта и получить доступ к ключу из приложения, меняя его и блокируя доступ законного пользователя к учетной записи.

Имея права администратора, злоумышленник получает полный доступ и может устанавливать бэкдоры, изменять плагины и темы, редактировать и публиковать контент или перенаправлять пользователей на вредоносные ресурсы.

Вторая уязвимость — это XSS-уязвимость, обозначенная как CVE-2023-7027, которая возникает из-за проблем с входными и выходными данными.

Уязвимость затрагивает POST SMPT до версии 2.8.7 и может позволить злоумышленникам внедрять произвольные сценарии на веб-страницы уязвимого сайта.

О первой проблеме поставщику сообщалось 8 декабря 2023 года, по поводу второй - 19 декабря. Для обоих проблем доступны PoC.

Уже 1 января 2024 разработчики представили исправленную версию 2.8.8 POST SMPT, устраняющую обе проблемы.

Несмотря на вышедшие обновления, согласно статистике wordpress, около 150 000 сайтов до сих пор используют уязвимую версию плагина ниже 2.8. Так что, праздники продолжаются.