Операторы системы распределения трафика TDS, владеющие более чем 70 000 доменами, приобрели статус крупного теневого посредника в кампаниях по фишингу и редиректам на вредоносные линки.
Новую группу отследили исследователи Infoblox, которая действует с 2017 года и задействует более 60 групп киберпреступников, включая таких известных операторов, как ClearFake и SocGholish среди прочих.
Infoblox отмечает, что такие партнерства имеют долгосрочный характер, ссылаясь случаи, когда совместная работа длилась до четырех лет, демонстрируя высокий уровень доверия и взаимной выгоды.
Вновь вскрытая угроза оказалась более серьезной нежели Parrot TDS, о которой не так давно сообщалось отчете Unit 42.
Infoblox определил VexTrio как передовую организацию в сфере киберпреступности, управляющую огромной сетью, которая играет центральную роль в распространении вредоносного контента. При этом не будет большим открытием, что львиная доля скомпрометированных сайтов на WordPress.
Платформа выступает в качестве посредника в обмене трафика на деньги группировок киберпреступников, перенаправляя посетителей сайтов, находящихся под ее контролем, на вредоносные направления клиентов.
Динамомашина TDS VexTrio быстро фильтруют трафик на основе информации, полученной из настроек браузера и кэшированных данных, включая операционную систему, местоположение и другие потенциально релевантные данные цели.
Если жертва соответствует целевому профилю, она перенаправляется к вредоносному контенту. Так что под любую страну, какую хочешь ОС трафика нальют столько, сколько нужно, только успевай заносить $.
Дабы избежать обнаружения, VexTrio использует множество трюков, таких как: алгоритм генерации доменов по словарю DDGA для динамической генерации большого количества доменов ежедневно, многоступенчатые связки по перенаправлению TDS, параметры URL-запросов, которые перекрываются ссылками на рефералов, используемых легитимными сетками TDS и т. д.
Интересный и хитрый сценарий, обнаруженный Infoblox, подразумевал распознавание CAPTCHA, дабы заставить пользователей нажать кнопку «Разрешить» на веб-сайте и получить разрешение на отправку push-уведомлений через браузер пользователя.
И в последствии серверы VexTrio могли в любое время отправлять жертве фиктивные уведомления, маскируясь под системные предупреждения, AV-оповещения и другие, казалось бы, заслуживающие доверия оповещения.
Нажатие на мошеннические уведомления может привести жертву на целевые страницы, которые приносят доход от рефералов для VexTrio.
Разнообразие и сложность цепочек атак, в которых участвовало несколько субъектов угроз, затрудняют отсдлеживание, обнаружение и смягчение действий VexTrio.
Infoblox предлагают смягчить угрозу, ограничив просмотр только сайтами, сертифицированными SSL, заблокировав push-уведомления в браузерах и используя инструменты блокировки рекламы.
Новую группу отследили исследователи Infoblox, которая действует с 2017 года и задействует более 60 групп киберпреступников, включая таких известных операторов, как ClearFake и SocGholish среди прочих.
Infoblox отмечает, что такие партнерства имеют долгосрочный характер, ссылаясь случаи, когда совместная работа длилась до четырех лет, демонстрируя высокий уровень доверия и взаимной выгоды.
Вновь вскрытая угроза оказалась более серьезной нежели Parrot TDS, о которой не так давно сообщалось отчете Unit 42.
Infoblox определил VexTrio как передовую организацию в сфере киберпреступности, управляющую огромной сетью, которая играет центральную роль в распространении вредоносного контента. При этом не будет большим открытием, что львиная доля скомпрометированных сайтов на WordPress.
Платформа выступает в качестве посредника в обмене трафика на деньги группировок киберпреступников, перенаправляя посетителей сайтов, находящихся под ее контролем, на вредоносные направления клиентов.
Динамомашина TDS VexTrio быстро фильтруют трафик на основе информации, полученной из настроек браузера и кэшированных данных, включая операционную систему, местоположение и другие потенциально релевантные данные цели.
Если жертва соответствует целевому профилю, она перенаправляется к вредоносному контенту. Так что под любую страну, какую хочешь ОС трафика нальют столько, сколько нужно, только успевай заносить $.
Дабы избежать обнаружения, VexTrio использует множество трюков, таких как: алгоритм генерации доменов по словарю DDGA для динамической генерации большого количества доменов ежедневно, многоступенчатые связки по перенаправлению TDS, параметры URL-запросов, которые перекрываются ссылками на рефералов, используемых легитимными сетками TDS и т. д.
Интересный и хитрый сценарий, обнаруженный Infoblox, подразумевал распознавание CAPTCHA, дабы заставить пользователей нажать кнопку «Разрешить» на веб-сайте и получить разрешение на отправку push-уведомлений через браузер пользователя.
И в последствии серверы VexTrio могли в любое время отправлять жертве фиктивные уведомления, маскируясь под системные предупреждения, AV-оповещения и другие, казалось бы, заслуживающие доверия оповещения.
Нажатие на мошеннические уведомления может привести жертву на целевые страницы, которые приносят доход от рефералов для VexTrio.
Разнообразие и сложность цепочек атак, в которых участвовало несколько субъектов угроз, затрудняют отсдлеживание, обнаружение и смягчение действий VexTrio.
Infoblox предлагают смягчить угрозу, ограничив просмотр только сайтами, сертифицированными SSL, заблокировав push-уведомления в браузерах и используя инструменты блокировки рекламы.
Infoblox Blog
VexTrio at the Center of Affiliate Cybercrime Program | Infoblox
DNS threat actor VexTrio runs a large-scale criminal affiliate program including ClearFake and SocGholish actors.
Не менее урожайной выдалась неделька по части критических проблем вслед за недавними уязвимостями Ivanti, Juniper, Chrome, Citrix, VMware и Atlassian.
Cisco предупреждает о критической RCE-уязвимости, затрагивающей некоторые из ее продуктов Unified Communications Manager (CM) и Contact Center Solutions, реализующими услуги голосовой связи, видео и обмена сообщениями на уровне предприятия, а также взаимодействие с клиентами.
Проблема отслеживается как CVE-2024-20253 и позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве.
Она была обнаружена Synacktiv и получила оценку 9,9 из максимальных 10.
Злоумышленники могут воспользоваться ей, отправив специально созданное сообщение на прослушивающий порт, потенциально получить возможность выполнять произвольные команды с привилегиями пользователя веб-сервисов и устанавливать root-доступ.
Поставщик заявляет, что обходного пути нет, и рекомендует применить доступные обновления безопасности.
Cisco советует администраторам настроить ACL в качестве стратегии смягчения последствий в случае, когда оперативное обновление невозможно.
Пока что поставщику не известно о каких-либо публичных объявлениях или злонамеренном использовании уязвимости. Но это пока.
Разработчики Jenkins устранили девять недостатков безопасности, включая критическую ошибку с оценкой 9,8/10, которая в случае успешной эксплуатации может привести к RCE.
CVE-2024-23897 является уязвимостью чтения произвольного файла через встроенный интерфейс командной строки CLI, который использует библиотеку args4j для анализа аргументов команд и параметров контроллера при обработке команд.
Злоумышленник может злоупотреблять особенностью чтения произвольных файлов в файловой системе контроллера Jenkins, используя кодировку символов по умолчанию процесса контроллера Jenkins, для чтения файлов целиком или с некоторыми ограничениями, включая и содержащие криптографические ключи.
Ошибка была исправлена в Jenkins 2.442, LTS 2.426.3 путем отключения функции синтаксического анализа команд.
В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
Исследовательская группа JFrog Security представили подробности по двум уязвимостям (DoS и RCE) 35-летней давности, которые можно использовать для атаки на среды Linux.
CVE-2023-43786 и CVE-2023-43787 (с высокой степенью серьезности CVSS 7.8) затрагивают все версии широко популярной графической библиотеки X.Org libX11, начиная с 1989 года, и приводят к отказу в обслуживании и удаленному выполнению кода.
Последние версии X11 содержат исправления для этих уязвимостей.
Cisco предупреждает о критической RCE-уязвимости, затрагивающей некоторые из ее продуктов Unified Communications Manager (CM) и Contact Center Solutions, реализующими услуги голосовой связи, видео и обмена сообщениями на уровне предприятия, а также взаимодействие с клиентами.
Проблема отслеживается как CVE-2024-20253 и позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве.
Она была обнаружена Synacktiv и получила оценку 9,9 из максимальных 10.
Злоумышленники могут воспользоваться ей, отправив специально созданное сообщение на прослушивающий порт, потенциально получить возможность выполнять произвольные команды с привилегиями пользователя веб-сервисов и устанавливать root-доступ.
Поставщик заявляет, что обходного пути нет, и рекомендует применить доступные обновления безопасности.
Cisco советует администраторам настроить ACL в качестве стратегии смягчения последствий в случае, когда оперативное обновление невозможно.
Пока что поставщику не известно о каких-либо публичных объявлениях или злонамеренном использовании уязвимости. Но это пока.
Разработчики Jenkins устранили девять недостатков безопасности, включая критическую ошибку с оценкой 9,8/10, которая в случае успешной эксплуатации может привести к RCE.
CVE-2024-23897 является уязвимостью чтения произвольного файла через встроенный интерфейс командной строки CLI, который использует библиотеку args4j для анализа аргументов команд и параметров контроллера при обработке команд.
Злоумышленник может злоупотреблять особенностью чтения произвольных файлов в файловой системе контроллера Jenkins, используя кодировку символов по умолчанию процесса контроллера Jenkins, для чтения файлов целиком или с некоторыми ограничениями, включая и содержащие криптографические ключи.
Ошибка была исправлена в Jenkins 2.442, LTS 2.426.3 путем отключения функции синтаксического анализа команд.
В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
Исследовательская группа JFrog Security представили подробности по двум уязвимостям (DoS и RCE) 35-летней давности, которые можно использовать для атаки на среды Linux.
CVE-2023-43786 и CVE-2023-43787 (с высокой степенью серьезности CVSS 7.8) затрагивают все версии широко популярной графической библиотеки X.Org libX11, начиная с 1989 года, и приводят к отказу в обслуживании и удаленному выполнению кода.
Последние версии X11 содержат исправления для этих уязвимостей.
Cisco
Cisco Security Advisory: Cisco Unified Communications Products Remote Code Execution Vulnerability
A vulnerability in multiple Cisco Unified Communications and Contact Center Solutions products could allow an unauthenticated, remote attacker to execute arbitrary code on an affected device.
This vulnerability is due to the improper processing of user-provided…
This vulnerability is due to the improper processing of user-provided…
По итогам второго дня итогам Pwn2Own Automotive 2024 в Токио, как сообщила ZDI, хакеры вновь взломали Tesla и продемонстрировали еще 24 0-day.
Команда Synacktiv получила 100 000 долларов после успешной эксплуатации двух ошибок для выхода из песочницы с целью взлома информационно-развлекательной системы Tesla.
Они также реализовали цепочку из трех 0-day эксплойтов для взлома OC Automotive Grade Linux, заработав дополнительно 35 000 долларов.
Эксплойты в отношении зарядных устройств для электромобилей Phoenix Contact, ChargePoint, Autel и JuiceBox принесли исследователям по 30 000 долларов каждый.
Призы по 20 000 долларов были вручены участникам за взлом информационно-развлекательной системы Alpine и частично успешный эксплойт для Autel EV.
В целом за второй день участники продемонстрировали 24 уникальные ошибки и заработали в общей сложности 382 500 долларов США.
На третий день мероприятия была объявлена награда в размере 60 000 долларов США за эксплойт для взлома зарядного устройства Emporia EV.
Кроме того, были также взломаны три зарядных устройства для электромобилей, каждый из которых принес исследователям по 30 000 долларов. Три попытки привели к выплатам в размере от 20 000 до 26 000 долларов США за взлом информационно-развлекательных систем и зарядных устройств для электромобилей.
По итогу Pwn2Own Automotive участники получили в общей сложности 1 323 750 долларов за демонстрацию 49 уникальных и ранее неизвестных уязвимостей, затрагивающих автомобильные продукты.
Конкурс выиграла команда Synacktiv, получившая в общей сложности $ 450 000.
В настоящее время ZDI готовится к Pwn2Own Vancouver 2024, который пройдет 20-22 марта одновременно с конференцией CanSecWest в Ванкувере (Канада). Призовой фонд мероприятия превысит 1 миллион долларов.
Команда Synacktiv получила 100 000 долларов после успешной эксплуатации двух ошибок для выхода из песочницы с целью взлома информационно-развлекательной системы Tesla.
Они также реализовали цепочку из трех 0-day эксплойтов для взлома OC Automotive Grade Linux, заработав дополнительно 35 000 долларов.
Эксплойты в отношении зарядных устройств для электромобилей Phoenix Contact, ChargePoint, Autel и JuiceBox принесли исследователям по 30 000 долларов каждый.
Призы по 20 000 долларов были вручены участникам за взлом информационно-развлекательной системы Alpine и частично успешный эксплойт для Autel EV.
В целом за второй день участники продемонстрировали 24 уникальные ошибки и заработали в общей сложности 382 500 долларов США.
На третий день мероприятия была объявлена награда в размере 60 000 долларов США за эксплойт для взлома зарядного устройства Emporia EV.
Кроме того, были также взломаны три зарядных устройства для электромобилей, каждый из которых принес исследователям по 30 000 долларов. Три попытки привели к выплатам в размере от 20 000 до 26 000 долларов США за взлом информационно-развлекательных систем и зарядных устройств для электромобилей.
По итогу Pwn2Own Automotive участники получили в общей сложности 1 323 750 долларов за демонстрацию 49 уникальных и ранее неизвестных уязвимостей, затрагивающих автомобильные продукты.
Конкурс выиграла команда Synacktiv, получившая в общей сложности $ 450 000.
В настоящее время ZDI готовится к Pwn2Own Vancouver 2024, который пройдет 20-22 марта одновременно с конференцией CanSecWest в Ванкувере (Канада). Призовой фонд мероприятия превысит 1 миллион долларов.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Automotive 2024 - Day Two Results
Welcome to Day Two of the first ever Pwn2Own Automotive. We awarded $722,500 yesterday for 24 unique 0-days. Today’s attempts promise to be just as exciting, with another Tesla attempt at 1300 Japan Standard Time (GMT +9). As always, we’ll be updating this…
Forwarded from Social Engineering
• Для Active Directory существует понятие Kill Chain, которое отражает цепочку действий, необходимых для полной компрометации домена:
- Атакующий компрометирует первую машину и проводит внутреннюю разведку;
- Повышает на машине локальные права;
- Получает привилегированные учетные данные ;
- Проводит разведку с правами администратора;
- Использует удобный способ для удаленного выполнения кода;
- Повторяет шаги 2—5 до получения учетных данных доменного администратора;
- Добивается максимальных привилегий в домене и окончательно закрепляется в системе;
- Находит ценные данные, используя полный доступ ко всем частям системы;
- Выносит найденные данные.
• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2024 году.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатили новые прогнозы на 2024 год от исследователей Лаборатории Касперского, на этот раз в сфере конфиденциальности.
Как и ожидалось, цифровые удостоверения личности все больше заменяют бумажные носители, тенденция будет и дальше усиливаться.
Например, в Калифорнии расширили охват пилотного проекта по внедрению цифровых водительских прав, а новые законы России разрешают покупку алкоголя и табака по биометрическим данным.
Предпринимаются меры для снижения влияния человеческого фактора на безопасность данных, чтобы сократить число инсайдерских угроз и атак с применением методов социнженерии.
В 2023 году проблема человеческого фактора усугубилась в связи с повсеместным использованием чат-ботов в рабочих целях. При этом такие крупные компании, как Amazon, Apple и Spotify, ограничивают использование подобных инструментов для предотвращения утечек данных.
Исследователи преполагали, что в центре дискуссий по конфиденциальности окажутся метавселенные, однако их оттеснили инструменты на основе генеративного ИИ.
Тем не менее Европейская комиссия представила новую стратегию по виртуальным мирам, признав их влияние на жизнь граждан ЕС потенциально значимым.
Несмотря на отсутствие конкретных предложений по регулированию метавселенных, уже возникли практические кейсы. К примеру, британская полиция расследует дело о виртуальном изнасиловании, а в Колумбии был проведен первый судебный процесс в метавселенной.
В 2023 году не наблюдалcя всплеск спроса на страхование конфиденциальности со стороны физических лиц. Однако страховщики часто включают риски утечки данных в полисы личного киберстрахования. По данным Statista, ожидается значительный рост этого рынка к 2025 году.
То же самое можно сказать и о прошлогоднем прогнозе относительно диверсификации рынка веб-трекеров. В 2023 году существенных изменений в распределении трекеров не произошло.
Но поскольку интернет продолжает сегментироваться и некоторые ресурсы оказываются под запретом в определенных странах, можно предположить, что в ближайшем будущем ситуация с трекерами изменится.
Что касается 2024, исследователи выделили несколько прогнозов по ключевым событиям, которые произойдут в сфере защиты данных:
- Расширение понятия «конфиденциальные данные»;
- Носимые устройства с ИИ могут дать толчок новым дискуссиям о конфиденциальности;
- Развитие AR и VR приведет к появлению новых стандартов конфиденциальности в 2024 году;
- Утечка паролей будет вызывать меньше беспокойства (если пароли вообще не уйдут в прошлое);
- Повышение уровня конфиденциальности с появлением ботов-ассистентов.
Посмотрим, поглядим.
Как и ожидалось, цифровые удостоверения личности все больше заменяют бумажные носители, тенденция будет и дальше усиливаться.
Например, в Калифорнии расширили охват пилотного проекта по внедрению цифровых водительских прав, а новые законы России разрешают покупку алкоголя и табака по биометрическим данным.
Предпринимаются меры для снижения влияния человеческого фактора на безопасность данных, чтобы сократить число инсайдерских угроз и атак с применением методов социнженерии.
В 2023 году проблема человеческого фактора усугубилась в связи с повсеместным использованием чат-ботов в рабочих целях. При этом такие крупные компании, как Amazon, Apple и Spotify, ограничивают использование подобных инструментов для предотвращения утечек данных.
Исследователи преполагали, что в центре дискуссий по конфиденциальности окажутся метавселенные, однако их оттеснили инструменты на основе генеративного ИИ.
Тем не менее Европейская комиссия представила новую стратегию по виртуальным мирам, признав их влияние на жизнь граждан ЕС потенциально значимым.
Несмотря на отсутствие конкретных предложений по регулированию метавселенных, уже возникли практические кейсы. К примеру, британская полиция расследует дело о виртуальном изнасиловании, а в Колумбии был проведен первый судебный процесс в метавселенной.
В 2023 году не наблюдалcя всплеск спроса на страхование конфиденциальности со стороны физических лиц. Однако страховщики часто включают риски утечки данных в полисы личного киберстрахования. По данным Statista, ожидается значительный рост этого рынка к 2025 году.
То же самое можно сказать и о прошлогоднем прогнозе относительно диверсификации рынка веб-трекеров. В 2023 году существенных изменений в распределении трекеров не произошло.
Но поскольку интернет продолжает сегментироваться и некоторые ресурсы оказываются под запретом в определенных странах, можно предположить, что в ближайшем будущем ситуация с трекерами изменится.
Что касается 2024, исследователи выделили несколько прогнозов по ключевым событиям, которые произойдут в сфере защиты данных:
- Расширение понятия «конфиденциальные данные»;
- Носимые устройства с ИИ могут дать толчок новым дискуссиям о конфиденциальности;
- Развитие AR и VR приведет к появлению новых стандартов конфиденциальности в 2024 году;
- Утечка паролей будет вызывать меньше беспокойства (если пароли вообще не уйдут в прошлое);
- Повышение уровня конфиденциальности с появлением ботов-ассистентов.
Посмотрим, поглядим.
securelist.ru
Прогнозы «Лаборатории Касперского» в сфере конфиденциальности на 2024 год
Эксперты «Лаборатории Касперского» оценивают свои прогнозы на 2023 год, анализируют тренды и пытаются предсказать, что ждет нас в 2024 году в сфере конфиденциальности данных.
Уже давно не секрет, что противостояние Израиля и Ирана давно ведется и в киберпространсте, о чем повествует недавно вышедшая статья Wired, где подробно сообщается о деятельности хакерской группы Predatory Sparrow.
Она непосредственно связана с Израилем и неоднократно проводила кибератаки против Ирана, которые перешли все разумные рамки и негласные правила, вызвав серьезные последствия для функционирования критической инфраструктуры, фактически сопоставимые по ущербу с диверсионными или террористическими актами.
Одним из самых разрушительных и одиозных примеров деятельности группировки стало нападение на металлургический завод в иранской провинции Хузестан в июне 2022 года.
Тогда хакеры взломали систему управления предприятием и заставили огромный ковш с расплавленным металлом перевернуться, что привело к возгоранию и аварии, а видео с места происшествия было опубликовано в Telegram-канале Predatory Sparrow.
С определенной регулярностью атакам подвергается железнодорожная отрасль Ирана и системы оплаты на большинстве иранских АЗС.
Причем, последняя атака фиксировалась в прошлом месяце и привела к отключению терминалов оплаты на более чем 4000 заправках, что вызвало широкий общественный резонанс и привело к национальному топливному кризису.
Проиранские группировки, конечно, тоже на такие мягкие и пушистые и, как правило, деятельность Predatory Sparrow следует в ответ на действия Ирана, как в киберпространстве, так и в военных действиях.
Но, саботаж металлургического завода в Хузестане представляет собой один из немногих примеров в истории кибератак с физическими разрушительными последствиями.
Однако для Predatory Sparrow это всего лишь часть многолетней войны в цифровом (и не только) поле, которое включает в себя ряд самых агрессивных инцидентов и взломов, из когда-либо задокументированных.
Она непосредственно связана с Израилем и неоднократно проводила кибератаки против Ирана, которые перешли все разумные рамки и негласные правила, вызвав серьезные последствия для функционирования критической инфраструктуры, фактически сопоставимые по ущербу с диверсионными или террористическими актами.
Одним из самых разрушительных и одиозных примеров деятельности группировки стало нападение на металлургический завод в иранской провинции Хузестан в июне 2022 года.
Тогда хакеры взломали систему управления предприятием и заставили огромный ковш с расплавленным металлом перевернуться, что привело к возгоранию и аварии, а видео с места происшествия было опубликовано в Telegram-канале Predatory Sparrow.
С определенной регулярностью атакам подвергается железнодорожная отрасль Ирана и системы оплаты на большинстве иранских АЗС.
Причем, последняя атака фиксировалась в прошлом месяце и привела к отключению терминалов оплаты на более чем 4000 заправках, что вызвало широкий общественный резонанс и привело к национальному топливному кризису.
Проиранские группировки, конечно, тоже на такие мягкие и пушистые и, как правило, деятельность Predatory Sparrow следует в ответ на действия Ирана, как в киберпространстве, так и в военных действиях.
Но, саботаж металлургического завода в Хузестане представляет собой один из немногих примеров в истории кибератак с физическими разрушительными последствиями.
Однако для Predatory Sparrow это всего лишь часть многолетней войны в цифровом (и не только) поле, которое включает в себя ряд самых агрессивных инцидентов и взломов, из когда-либо задокументированных.
WIRED
How a Group of Israel-Linked Hackers Has Pushed the Limits of Cyberwar
From repeatedly crippling thousands of gas stations to setting a steel mill on fire, Predatory Sparrow’s offensive hacking has now targeted Iranians with some of history's most aggressive cyberattacks.
This media is not supported in your browser
VIEW IN TELEGRAM
Всем продуктивных выходных!
Исследователи CloudSek сообщили об одной из крупнейших утечек в Индии, которая затрагивает более чем 750 миллионов граждан, почти 85% всего населения.
Гигантская база данных недавно появилась в продаже в киберподполье и, по заявлениям селлеров, включает данные нескольких индийских операторов мобильной связи.
Злоумышленники, как полагают исследователи, смогли добыть ее через уязвимости либо в правительственных системах либо непосредственно на стороне оператора.
Утечка включает полные личные данные, адреса проживания, идентификаторы в Aadhaar (аналог местных госуслуг), актуальные номера мобильных телефонов, а также данные на членов семьи.
Объявления о продаже были опубликованы UNIT8200 в Telegram, а также CyboDevil в даркнете. Обе, как известно, являются частью группы CYBOCREW, которая была основана примерно в июле 2023 года.
Группа уже была связана с серьезными инцидентами, вкелючая Netplus Co, Zivame, Giva Co, а также причастна к утечке данных Hyundai, затронувшей 2,1 миллиона человек.
Несмотря на все предположения, обстоятельства и источник утечки пока не установлены. Сами хакеры намекают на то, что выкрали сведения у силовых структур.
Вообще же, Индия в плане инфобеза и конфиденциальности продолжает удерживать лидерство во всех антирейтингах.
Согласно только официально статистике, с января 2018 года по октябрь 2023 года в стране зафиксировано 165 утечек данных граждан.
Так что регион вполне определенно столкнется с продолжением в виде атак с использованием ansomware, социнженерии, в том числе сопряженных с различными видами мошенничества и скама.
Гигантская база данных недавно появилась в продаже в киберподполье и, по заявлениям селлеров, включает данные нескольких индийских операторов мобильной связи.
Злоумышленники, как полагают исследователи, смогли добыть ее через уязвимости либо в правительственных системах либо непосредственно на стороне оператора.
Утечка включает полные личные данные, адреса проживания, идентификаторы в Aadhaar (аналог местных госуслуг), актуальные номера мобильных телефонов, а также данные на членов семьи.
Объявления о продаже были опубликованы UNIT8200 в Telegram, а также CyboDevil в даркнете. Обе, как известно, являются частью группы CYBOCREW, которая была основана примерно в июле 2023 года.
Группа уже была связана с серьезными инцидентами, вкелючая Netplus Co, Zivame, Giva Co, а также причастна к утечке данных Hyundai, затронувшей 2,1 миллиона человек.
Несмотря на все предположения, обстоятельства и источник утечки пока не установлены. Сами хакеры намекают на то, что выкрали сведения у силовых структур.
Вообще же, Индия в плане инфобеза и конфиденциальности продолжает удерживать лидерство во всех антирейтингах.
Согласно только официально статистике, с января 2018 года по октябрь 2023 года в стране зафиксировано 165 утечек данных граждан.
Так что регион вполне определенно столкнется с продолжением в виде атак с использованием ansomware, социнженерии, в том числе сопряженных с различными видами мошенничества и скама.
Cloudsek
CloudSEK XVigil - External Digital Risk Protection
Safeguard your digital assets with CloudSEK XVigil - an advanced external threat intelligence platform. With real-time monitoring, proactive alerts, and customisable dashboards.
Критическая уязвимость Jenkins RCE обзавелась общедоступными PoC-эксплойтами, некоторые из которых активно используются в реальных атаках.
Речь идет об уязвимостях, обнаруженных SonarSource, которые позволяют получать доступ к данным на уязвимых серверах и выполнять произвольные команды CLI при определенных условиях.
Первая CVE-2024-23897 позволяет неаутентифицированным злоумышленникам с разрешением «общее/чтение» читать данные из произвольных файлов на сервере Jenkins.
При определенных условиях она также может привести к повышению привилегий администратора и произвольному удаленному выполнению кода.
Вторая CVE-2024-23898 представляет собой проблему межсайтового перехвата WebSocket, при которой злоумышленники могут выполнять произвольные команды CLI, обманным путем заставляя пользователя щелкнуть вредоносную ссылку.
SonarSource сообщила об ошибках команде безопасности Jenkins 13 ноября 2023, а 24 января были выпущены исправления в версиях 2.442 и LTS 2.426.3 со всеми необходимыми рекомендациями.
Располагая обширной технической информацией по проблемам в Jenkins, многие исследователи разработали и представили в GitHub рабочие PoC-эксплойты, прежде всего, для CVE-2024-23897.
Причем многие из этих PoC уже проверены, поэтому отрабатывающим доступные серверы злоумышленникам не придется прилагать много усилий для реализации сценария атак, которые уже вовсю фиксируются.
Речь идет об уязвимостях, обнаруженных SonarSource, которые позволяют получать доступ к данным на уязвимых серверах и выполнять произвольные команды CLI при определенных условиях.
Первая CVE-2024-23897 позволяет неаутентифицированным злоумышленникам с разрешением «общее/чтение» читать данные из произвольных файлов на сервере Jenkins.
При определенных условиях она также может привести к повышению привилегий администратора и произвольному удаленному выполнению кода.
Вторая CVE-2024-23898 представляет собой проблему межсайтового перехвата WebSocket, при которой злоумышленники могут выполнять произвольные команды CLI, обманным путем заставляя пользователя щелкнуть вредоносную ссылку.
SonarSource сообщила об ошибках команде безопасности Jenkins 13 ноября 2023, а 24 января были выпущены исправления в версиях 2.442 и LTS 2.426.3 со всеми необходимыми рекомендациями.
Располагая обширной технической информацией по проблемам в Jenkins, многие исследователи разработали и представили в GitHub рабочие PoC-эксплойты, прежде всего, для CVE-2024-23897.
Причем многие из этих PoC уже проверены, поэтому отрабатывающим доступные серверы злоумышленникам не придется прилагать много усилий для реализации сценария атак, которые уже вовсю фиксируются.
Sonarsource
Excessive Expansion: Uncovering Critical Security Vulnerabilities in Jenkins
This blog uncovers two vulnerabilities, a Critical and High severity, recently discovered by our research team. Exploiting these vulnerabilities, attackers have the potential to gain Remote Code Execution on a Jenkins instance.
Ложное срабатывание привело исследователей Sophos к вполне реальным проблемам, но только на стороне конкурента.
Расследуя в июле 2023 года потенциальный инцидент со злоупотреблением драйверами с целью отключения продуктов EDR на защищаемом компьютере, исследователи вышли на три уязвимости в драйвере pskmad_64.sys поставщика антивирусных решений Panda Security.
Найденные уязвимости теперь отслеживаются как CVE-2023-6330, CVE-2023-6331 и CVE-2023-6332, которые Panda Security устраняла почти полгода с момента уведомления в августе 2023.
Проблемы затрагивают WatchGuard EPDR (EPP, EDR, EPDR) и Panda AD360 до 8.00.22.0023, а также Panda Dome до 22.02.01 (версии Essential, Advanced, Complete и Premium).
Первая с CVSS 6,4 связана с тем, что pskmad_64.sys неправильно проверяет содержимое значений реестра. Злоумышленник может поместить вредоносный контент в CSDBuildNumber или CSDVersion, что приведет к переполнению памяти.
Минимальное воздействие — отказ в обслуживании. При дополнительных исследованиях злоумышленник сможет добиться RCE, связав CVE-2023-6330 с другими уязвимостями.
Вторая с CVSS 6,4 может быть вызвана отправкой драйверу вредоносно созданного пакета через IRP-запрос с кодом IOCTL 0xB3702C08, что приведет к записи за пределами памяти.
Помимо DoS, злоумышленник сможет добиться удаленного выполнения кода, если CVE-2023-6331 сочетается с другими уязвимостями.
Из-за недостаточной проверки драйвера ядра злоумышленник может отправить запрос IOCTL с кодом 0xB3702C08 для чтения непосредственно из памяти ядра, что приведет к произвольному чтению (CVE-2023-6332).
Злоумышленник может использовать эту уязвимость для утечки конфиденциальных данных или связать ее с другими уязвимостями для создания более сложного и более опасного эксплойта.
Уязвимости устранены в Panda Dome — 22.02.01, WatchGuard EPDR и AD360 - 8.0.22.0023.
Расследуя в июле 2023 года потенциальный инцидент со злоупотреблением драйверами с целью отключения продуктов EDR на защищаемом компьютере, исследователи вышли на три уязвимости в драйвере pskmad_64.sys поставщика антивирусных решений Panda Security.
Найденные уязвимости теперь отслеживаются как CVE-2023-6330, CVE-2023-6331 и CVE-2023-6332, которые Panda Security устраняла почти полгода с момента уведомления в августе 2023.
Проблемы затрагивают WatchGuard EPDR (EPP, EDR, EPDR) и Panda AD360 до 8.00.22.0023, а также Panda Dome до 22.02.01 (версии Essential, Advanced, Complete и Premium).
Первая с CVSS 6,4 связана с тем, что pskmad_64.sys неправильно проверяет содержимое значений реестра. Злоумышленник может поместить вредоносный контент в CSDBuildNumber или CSDVersion, что приведет к переполнению памяти.
Минимальное воздействие — отказ в обслуживании. При дополнительных исследованиях злоумышленник сможет добиться RCE, связав CVE-2023-6330 с другими уязвимостями.
Вторая с CVSS 6,4 может быть вызвана отправкой драйверу вредоносно созданного пакета через IRP-запрос с кодом IOCTL 0xB3702C08, что приведет к записи за пределами памяти.
Помимо DoS, злоумышленник сможет добиться удаленного выполнения кода, если CVE-2023-6331 сочетается с другими уязвимостями.
Из-за недостаточной проверки драйвера ядра злоумышленник может отправить запрос IOCTL с кодом 0xB3702C08 для чтения непосредственно из памяти ядра, что приведет к произвольному чтению (CVE-2023-6332).
Злоумышленник может использовать эту уязвимость для утечки конфиденциальных данных или связать ее с другими уязвимостями для создания более сложного и более опасного эксплойта.
Уязвимости устранены в Panda Dome — 22.02.01, WatchGuard EPDR и AD360 - 8.0.22.0023.
Sophos News
Multiple vulnerabilities discovered in widely used security driver
A false-alarm incident involving Panda Security software leads to three very real CVEs
Покидающий свою родину немецкий автогигант Mercedes-Benz напоследок слил все свои наработки, оставив в сети токен доступа GitHub Enterprise Server Mercedes, который давал неограниченный и неконтролируемый доступ.
Утечку ключа в общедоступном репозитории GitHub обнаружили исследователи из RedHunt Labs в ходе планового сканирования в январе.
Репозитории содержали большой объем интеллектуальной собственности, включая ключи доступа к Microsoft Azure и AWS, чертежи, проектную документацию, пароли, ключи API, базу данных Postgres и исходный код Mercedes, а также другую важную корпоративную информацию.
Mercedes проинформировали о проблеме безопасности в понедельник. В среду представитель Mercedes подтвердил, что компания отозвала соответствующий токен API и немедленно удалила публичный репозиторий.
Mercedes неизвестно, обнаружил ли кто-либо еще, кроме RedHunt Labs, открытый ключ, который был опубликован в конце сентября 2023 года. При этом в компании отказались раскрывать сведения о возможном доступе третьих лиц к раскрытым данным.
Но будем посмотреть.
Утечку ключа в общедоступном репозитории GitHub обнаружили исследователи из RedHunt Labs в ходе планового сканирования в январе.
Репозитории содержали большой объем интеллектуальной собственности, включая ключи доступа к Microsoft Azure и AWS, чертежи, проектную документацию, пароли, ключи API, базу данных Postgres и исходный код Mercedes, а также другую важную корпоративную информацию.
Mercedes проинформировали о проблеме безопасности в понедельник. В среду представитель Mercedes подтвердил, что компания отозвала соответствующий токен API и немедленно удалила публичный репозиторий.
Mercedes неизвестно, обнаружил ли кто-либо еще, кроме RedHunt Labs, открытый ключ, который был опубликован в конце сентября 2023 года. При этом в компании отказались раскрывать сведения о возможном доступе третьих лиц к раскрытым данным.
Но будем посмотреть.
TechCrunch
How a mistakenly published password exposed Mercedes-Benz source code
Mercedes-Benz accidentally exposed a trove of internal data after leaving a private key online that gave “unrestricted access” to the company’s source code, according to the security research firm that discovered it.
В АНБ США признались, что покупали данные об активности пользователей Интернета у брокеров данных для идентификации веб-сайтов и приложений, которые добропорядочные американцы используют в повседневной жизни.
Вопрос легитимности такой деятельности остается открытым, причем как со стороны покупателя, так и продавца, о чем заявил сенатор Рон Уайден, который обратился к главе Национальной разведки с претензией, что правительство США не должно финансировать и легитимизировать сомнительную индустрию, грубо нарушая приватность американских граждан.
Ответ на претензии был, однако, интересный и в АНБ заявили, что «разработали системы соблюдения норм и принимают меры для минимизации сбора информации о гражданах США, но пока продолжает приобретать только наиболее полезные данные, соответствующие требованиям миссии».
Типа постараемся не собирать, но все равно будем. Также в агентстве заверили, что не покупают и не используют данные о местоположении, полученных с телефонов, используемых в США, без судебного приказа.
Да да да, с телефонов то может и не собирают, а вот с приложений, которые их используют...
Покупка чувствительных данных осуществляется в серой правовой зоне и брокеры данных, которые собирают и перепродают эти массивы, не известны конечным потребителям и часто остаются в неведении о том, с кем и как их данными делятся.
Закон что дышло, ведь еще одним примечательным аспектом этой теневой практики обработки данных является то, что приложения сторонних производителей, включающие SDK от этих брокеров данных и поставщиков рекламных технологий, не уведомляют пользователей о продаже и совместном использовании данных о местоположении, будь то в целях рекламы или национальной безопасности.
Такой вот лайфхак от АНБ, как обходить судебные и прочие законодательные препоны для получения потенциально конфиденциальных данных. Наверно, у израильтян научились.
Вопрос легитимности такой деятельности остается открытым, причем как со стороны покупателя, так и продавца, о чем заявил сенатор Рон Уайден, который обратился к главе Национальной разведки с претензией, что правительство США не должно финансировать и легитимизировать сомнительную индустрию, грубо нарушая приватность американских граждан.
Ответ на претензии был, однако, интересный и в АНБ заявили, что «разработали системы соблюдения норм и принимают меры для минимизации сбора информации о гражданах США, но пока продолжает приобретать только наиболее полезные данные, соответствующие требованиям миссии».
Типа постараемся не собирать, но все равно будем. Также в агентстве заверили, что не покупают и не используют данные о местоположении, полученных с телефонов, используемых в США, без судебного приказа.
Да да да, с телефонов то может и не собирают, а вот с приложений, которые их используют...
Покупка чувствительных данных осуществляется в серой правовой зоне и брокеры данных, которые собирают и перепродают эти массивы, не известны конечным потребителям и часто остаются в неведении о том, с кем и как их данными делятся.
Закон что дышло, ведь еще одним примечательным аспектом этой теневой практики обработки данных является то, что приложения сторонних производителей, включающие SDK от этих брокеров данных и поставщиков рекламных технологий, не уведомляют пользователей о продаже и совместном использовании данных о местоположении, будь то в целях рекламы или национальной безопасности.
Такой вот лайфхак от АНБ, как обходить судебные и прочие законодательные препоны для получения потенциально конфиденциальных данных. Наверно, у израильтян научились.
CNN
The NSA buys Americans’ internet data, newly released documents show
The National Security Agency has been buying Americans’ web browsing data from commercial data brokers, intelligence officials disclosed in documents made public by a US senator Thursday.
Juniper Networks выпустила срочные обновления ОС Junos для устранения серьезных недостатков в сериях SRX и EX, которые могут быть использованы для получения контроля над уязвимыми системами.
Уязвимости отслеживаются как CVE-2024-21619 и CVE-2024-21620 и затрагивают компонент J-Web, влияя на все версии ОС Junos.
CVE-2024-21619 (CVSS: 5,3) связана с отсутствием аутентификации для критической функции, которая может привести к раскрытию конфиденциальной системной информации о конфигурации.
Другая CVE-2024-21620 (CVSS: 8,8) представляет собой XSS-уязвимость, которая может привести к выполнению произвольных команд с разрешениями цели, администратора, посредством специально созданного запроса.
Обе проблемы обнаружили исследователи watchTowr Labs, о чем соответствующим образом проинформировали поставщика.
Выпущены обновления, а в качестве временной меры, пока исправления не будут развернуты, Juniper рекомендует пользователям отключить J-Web или ограничить доступ только доверенным хостам.
Уязвимости отслеживаются как CVE-2024-21619 и CVE-2024-21620 и затрагивают компонент J-Web, влияя на все версии ОС Junos.
CVE-2024-21619 (CVSS: 5,3) связана с отсутствием аутентификации для критической функции, которая может привести к раскрытию конфиденциальной системной информации о конфигурации.
Другая CVE-2024-21620 (CVSS: 8,8) представляет собой XSS-уязвимость, которая может привести к выполнению произвольных команд с разрешениями цели, администратора, посредством специально созданного запроса.
Обе проблемы обнаружили исследователи watchTowr Labs, о чем соответствующим образом проинформировали поставщика.
Выпущены обновления, а в качестве временной меры, пока исправления не будут развернуты, Juniper рекомендует пользователям отключить J-Web или ограничить доступ только доверенным хостам.
watchTowr Labs
The Second Wednesday Of The First Month Of Every Quarter: Juniper 0day Revisited
Who likes vulnerabilities in appliances from security vendors? Everyone loves appliance vulnerabilities! If, by 'everyone', you mean various ransomware and APT groups of course (and us).
Regular watchTowr-watchers (meta-towr-watchers?) will remember our…
Regular watchTowr-watchers (meta-towr-watchers?) will remember our…
Forwarded from Russian OSINT
На форуме популярного проекта 🌦 Syncthing, который часто позиционируется, как "безопасное" альтернативное облачное решение в противовес Dropbox и Google Drive, задаются вопросом почему антивирусы ругаются на ПО в последней версии 1.27.1? На VirusTotal установочный файл помечен у четырёх компаний красным цветом. Разрабы утверждают, что они не виноваты и это якобы ложное срабатывание.
Примечательно, что ранее создатели проекта активно донатили 🇺🇦Украине, после чего потеряли часть своей аудитории из России. Некоторые пользователи связывали свои опасения с активацией возможных закладок отношении тех, кто имеет российский IP.
https://forum.syncthing.net/t/trojan-in-latest-release/21385
Ранее уже встречались случаи внедрения зловредного кода в открытые проекты [Composer], поэтому оценить все риски стоит только самому пользователю.
👆Когда open-source проекты играют в политику, то ничего хорошего не жди.
✋ @Russian_OSINT
Примечательно, что ранее создатели проекта активно донатили 🇺🇦Украине, после чего потеряли часть своей аудитории из России. Некоторые пользователи связывали свои опасения с активацией возможных закладок отношении тех, кто имеет российский IP.
https://forum.syncthing.net/t/trojan-in-latest-release/21385
Ранее уже встречались случаи внедрения зловредного кода в открытые проекты [Composer], поэтому оценить все риски стоит только самому пользователю.
👆Когда open-source проекты играют в политику, то ничего хорошего не жди.
Please open Telegram to view this post
VIEW IN TELEGRAM
По критической Jenkins RCE все еще хуже, чем предполагалось ранее с появлением реально работающих общедоступных PoC-эксплойтов для CVE-2024-23897, проблемы чтения произвольных файлов, которая может привести к выполнению произвольных команд интерфейса командной строки (CLI).
Все это привело к началу кампании по эксплуатации, о которой сообщают многие исследователи, наблюдающие за попытками атак на приманки.
И, по всей видимости, кампания обещает быть весьма результативной, ведь, как отмечают в Shadowserver, более 45 тысяч доступных в сети серверов Jenkins уязвимы к CVE-2024-23897, реализуя достаточно масштабную поверхность атаки.
Большинство уязвимых экземпляров находятся в Китае (12 000) и США (11 830), за которыми следуют Германия (3 060), Индия (2 681), Франция (1 431) и Великобритания (1 029).
При этом в России их тоже немало и составляет - 939.
Учитывая потенциально серьезные последствия в случае успешной эксплуатации, пользователям Jenkins следует незамедлительно применить обновления, следуя всем рекомендациям согласно бюллетеню по безопасности Jenkins.
Все это привело к началу кампании по эксплуатации, о которой сообщают многие исследователи, наблюдающие за попытками атак на приманки.
И, по всей видимости, кампания обещает быть весьма результативной, ведь, как отмечают в Shadowserver, более 45 тысяч доступных в сети серверов Jenkins уязвимы к CVE-2024-23897, реализуя достаточно масштабную поверхность атаки.
Большинство уязвимых экземпляров находятся в Китае (12 000) и США (11 830), за которыми следуют Германия (3 060), Индия (2 681), Франция (1 431) и Великобритания (1 029).
При этом в России их тоже немало и составляет - 939.
Учитывая потенциально серьезные последствия в случае успешной эксплуатации, пользователям Jenkins следует незамедлительно применить обновления, следуя всем рекомендациям согласно бюллетеню по безопасности Jenkins.
X (formerly Twitter)
The Shadowserver Foundation (@Shadowserver) on X
Around 45K exposed Jenkins instances vulnerable to CVE-2024-23897 (Arbitrary file read vulnerability through the CLI can lead to RCE). If you run Jenkins & receive an alert from us make sure to read Jenkins advisory: https://t.co/aPPOHT1WXx
World map: h…
World map: h…
Французского гиганта в сфере энергетики и автоматизации Schneider Electric с нагнула банда вымогателей Cactus, которой удалось выкрасть корпоративные данные.
Как выяснилось, атака была направлена на подразделение компании по устойчивому развитию и повлияла на работу облачной платформы Resource Advisor, которая до сих пор продолжает испытывать сбои.
Как известно, Cactus ransomware активна с марта 2023 года и с тех пор банда атаковала не один десяток компаний.
Действуют, можно сказать, по методичке, проникая в корпоративные сети через фишинг, эксплуатацию уязвимостей, скопрометированные учетные данные или действуя в партнерстве с операторами вредоносного ПО.
Получав доступ к сети, реализуют горизонтальное перемещение, похищая корпоративные данные на серверах, после чего шифруют файлы и оставляют записки о выкупе. В случае игнорирования требований, жертва оказывается на DLS и по истечении отведенного времени данные сливаются.
В случае со Schneider Electric предполагается, что украденные данные могут включать конфиденциальную информацию клиентов, прежде всего относящуюся к энергопотреблению, системам промавтоматизации, а также в отношении соблюдения экологических и энергетических нормативов.
При этом среди клиентов фигурируют такие крупняки, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo, Walmart, и др
Пока неизвестно, какие системы Schneider Electric пострадали, какой объем и характер данных был украден, но сообщается, что злоумышленники украли терабайты корпоративной информации и теперь требуют выкуп, угрожая раскрыть утечку.
В компании подтвердили, что подверглись ransomware-атаке 17 января и пока данные не обнародованы, вероятно, идут договорняки по поводу того, будет ли Schneider Electric платить выкуп или нет.
При этом в Schneider Electric заверяют, что атака была ограничена только одним структурным подразделением, компании удалось локализовать угрозу и защитить другие активы.
Насколько это им удалось, поглядим.
Как выяснилось, атака была направлена на подразделение компании по устойчивому развитию и повлияла на работу облачной платформы Resource Advisor, которая до сих пор продолжает испытывать сбои.
Как известно, Cactus ransomware активна с марта 2023 года и с тех пор банда атаковала не один десяток компаний.
Действуют, можно сказать, по методичке, проникая в корпоративные сети через фишинг, эксплуатацию уязвимостей, скопрометированные учетные данные или действуя в партнерстве с операторами вредоносного ПО.
Получав доступ к сети, реализуют горизонтальное перемещение, похищая корпоративные данные на серверах, после чего шифруют файлы и оставляют записки о выкупе. В случае игнорирования требований, жертва оказывается на DLS и по истечении отведенного времени данные сливаются.
В случае со Schneider Electric предполагается, что украденные данные могут включать конфиденциальную информацию клиентов, прежде всего относящуюся к энергопотреблению, системам промавтоматизации, а также в отношении соблюдения экологических и энергетических нормативов.
При этом среди клиентов фигурируют такие крупняки, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo, Walmart, и др
Пока неизвестно, какие системы Schneider Electric пострадали, какой объем и характер данных был украден, но сообщается, что злоумышленники украли терабайты корпоративной информации и теперь требуют выкуп, угрожая раскрыть утечку.
В компании подтвердили, что подверглись ransomware-атаке 17 января и пока данные не обнародованы, вероятно, идут договорняки по поводу того, будет ли Schneider Electric платить выкуп или нет.
При этом в Schneider Electric заверяют, что атака была ограничена только одним структурным подразделением, компании удалось локализовать угрозу и защитить другие активы.
Насколько это им удалось, поглядим.
SecNews.gr
Schneider Electric: Θύμα του Cactus ransomware
H Schneider Electric φέρεται να δέχτηκε επίθεση από το Cactus ransomware, που οδήγησε σε κλοπή εταιρικών δεδομένων.
Исследователи BI.ZONE продолжают отслеживать Scaly Wolf и сообщают о новых реализуемых ей кампаниях, нацеленных на объекты логистики и промышленности РФ.
Злоумышленники работаю по классической схеме с использованием фишинга, осуществляя рассылку письма от лица отечественных государственных служб (Роскомнадзор, СледКом, Военная прокуратура) и побуждая получателей запустить вредоносный файл, после чего доставляют на компьютер жертвы стилер White Snake.
Практикуемая модель malware‑as‑a‑service позволяет атакующим не тратить время на разработку ВПО и сразу получить готовый продукт. Более того, коммерческое ВПО, подобно легитимному, часто оказывается в публичном доступе в виде «взломанных» версий.
White Snake — главный инструмент в арсенале Scaly Wolf.
Впервые инфостилер засветился в феврале 2023 года в теневом сегменте интернета как средство для реализации целевых атак. Аренда стилера на рынке доступна всего за 140 $ в месяц.
White Snake имеет возможность кросс‑платформенного запуска с помощью загрузчика на языке Python.
На платформе Windows стилер реализует функциональные возможности трояна удаленного доступа, включая кейлогер, поддерживает настройку в зависимости от XML‑конфигурации.
Помимо этого, стилер использует сервис Serveo.net для SSH‑доступа ĸ зараженной машине, что дает атакующему возможность выполнять ĸоманды на скомпрометированном хосте.
Еще одна функциональность стилера — отправка оповещений о новых зараженных устройствах в бот Telegram.
Группировка при этом, как отмечают исследователи, действует предельно грамотно по юридической части, выверяя текст таким образом, что он выглядит достаточно убедительно, не вызывая у многих пользователей никаких подозрений.
Еще одним отличительным признаком является то, что вредоносное ПО почти всегда находится в защищенном ZIP‑архиве, пароль от которого содержится в имени файла архива.
Кроме того, Scaly Wolf сумели обойти ограничения разработчиков стилера, запрещающих применять его на территории России и СНГ.
Для этого злоумышленники модифицировали функционал ПО, выпилив оттуда IP-фильтрацию на предмет принадлежности жертвы к заблокированному сегменту.
Судя по нарастающей активности АРТ, исследователи делают вывод о том, что атаки будут продолжаться еще продолжительное время, скорее всего, по той же схеме — с использованием фишинговых рассылок для распространения стилера.
Индикаторы компрометации, подробное описание всех кампаний и TTPs - в отчете компании.
Злоумышленники работаю по классической схеме с использованием фишинга, осуществляя рассылку письма от лица отечественных государственных служб (Роскомнадзор, СледКом, Военная прокуратура) и побуждая получателей запустить вредоносный файл, после чего доставляют на компьютер жертвы стилер White Snake.
Практикуемая модель malware‑as‑a‑service позволяет атакующим не тратить время на разработку ВПО и сразу получить готовый продукт. Более того, коммерческое ВПО, подобно легитимному, часто оказывается в публичном доступе в виде «взломанных» версий.
White Snake — главный инструмент в арсенале Scaly Wolf.
Впервые инфостилер засветился в феврале 2023 года в теневом сегменте интернета как средство для реализации целевых атак. Аренда стилера на рынке доступна всего за 140 $ в месяц.
White Snake имеет возможность кросс‑платформенного запуска с помощью загрузчика на языке Python.
На платформе Windows стилер реализует функциональные возможности трояна удаленного доступа, включая кейлогер, поддерживает настройку в зависимости от XML‑конфигурации.
Помимо этого, стилер использует сервис Serveo.net для SSH‑доступа ĸ зараженной машине, что дает атакующему возможность выполнять ĸоманды на скомпрометированном хосте.
Еще одна функциональность стилера — отправка оповещений о новых зараженных устройствах в бот Telegram.
Группировка при этом, как отмечают исследователи, действует предельно грамотно по юридической части, выверяя текст таким образом, что он выглядит достаточно убедительно, не вызывая у многих пользователей никаких подозрений.
Еще одним отличительным признаком является то, что вредоносное ПО почти всегда находится в защищенном ZIP‑архиве, пароль от которого содержится в имени файла архива.
Кроме того, Scaly Wolf сумели обойти ограничения разработчиков стилера, запрещающих применять его на территории России и СНГ.
Для этого злоумышленники модифицировали функционал ПО, выпилив оттуда IP-фильтрацию на предмет принадлежности жертвы к заблокированному сегменту.
Судя по нарастающей активности АРТ, исследователи делают вывод о том, что атаки будут продолжаться еще продолжительное время, скорее всего, по той же схеме — с использованием фишинговых рассылок для распространения стилера.
Индикаторы компрометации, подробное описание всех кампаний и TTPs - в отчете компании.
BI.ZONE
Scaly Wolf применяет стилер White Snake против российской промышленности
Группировка, за которой мы наблюдаем с лета 2023 года, провела несколько фишинговых кампаний, маскируя письма под требования российских регуляторов и правоохранительных органов
GitLab вновь рапортует об исправлении новой критической уязвимости в Community Edition (CE) и Enterprise Edition (EE) после недавней 10-ти бальной CVE-2023-7028.
Уязвимость отслеживается как CVE-2024-0402 и имеет оценку CVSS 9,9 из максимальных 10.
Ошибка затрагивает все версии от 16.0 до 16.5.8, от 16.6 до 16.6.6, от 16.7 до 16.7.4 и от 16.8 до 16.8.1.
Она позволяет аутентифицированному пользователю записывать файлы в произвольные места на сервере GitLab при создании рабочей области.
Компания также отметила, что исправления для этой ошибки были перенесены в версии 16.5.8, 16.6.6, 16.7.4 и 16.8.1.
Также GitLab исправила четыре ошибки средней серьезности, которые могут привести к DoS с использованием регулярных выражений (ReDoS), внедрению HTML и раскрытию общедоступного адреса электронной почты пользователя через RSS-канал тегов.
Пользователям рекомендуется как можно скорее обновиться до исправленной версии, чтобы снизить потенциальные риски.
В средах GitLab.com и GitLab Dedicated уже используется последняя версия.
Уязвимость отслеживается как CVE-2024-0402 и имеет оценку CVSS 9,9 из максимальных 10.
Ошибка затрагивает все версии от 16.0 до 16.5.8, от 16.6 до 16.6.6, от 16.7 до 16.7.4 и от 16.8 до 16.8.1.
Она позволяет аутентифицированному пользователю записывать файлы в произвольные места на сервере GitLab при создании рабочей области.
Компания также отметила, что исправления для этой ошибки были перенесены в версии 16.5.8, 16.6.6, 16.7.4 и 16.8.1.
Также GitLab исправила четыре ошибки средней серьезности, которые могут привести к DoS с использованием регулярных выражений (ReDoS), внедрению HTML и раскрытию общедоступного адреса электронной почты пользователя через RSS-канал тегов.
Пользователям рекомендуется как можно скорее обновиться до исправленной версии, чтобы снизить потенциальные риски.
В средах GitLab.com и GitLab Dedicated уже используется последняя версия.
GitLab
GitLab Critical Security Release: 16.8.1, 16.7.4, 16.6.6, 16.5.8
Learn more about GitLab Critical Security Release: 16.8.1, 16.7.4, 16.6.6, 16.5.8 for GitLab Community Edition (CE) and Enterprise Edition (EE).
В Германии задержанный подозреваемый по уголовному делу перевел почти 50 000 биткойнов или 2 млрд. евро на кошельки федеральной криминальной полиции, где они будут «временно защищены».
На подобный шаг решился предполагаемый оператор платформы пиратского сайта Movie2k, который действовал с 2013 года и был одним из крупнейших нелегальных потоковых сервисов в Германии.
По сообщению криминальной полиции Саксонии, это самая масштабная конфискация биткойнов правоохранительными органами Федеративной Республики.
Всего по делу проходят два лица - 40-летний немец и 37-летний поляк, которые подозреваются в несанкционированном коммерческом использовании произведений, защищенных авторским правом, с целью получения прибыли и последующем отмывании денег.
По данным golem.de, двух предполагаемых операторов Movie2k в августе 2020 года обвинили в распространении в составе с другими участниками более 880 000 нелегальных копий фильмов в период с осени 2008 года по май 2013 года через сервера в Румынии.
До окончания расследования конкретное решение об использовании полученных на доходы от Movie2k биткойнов еще не принято. Пока что власти не разглашают никакой дополнительной информации до завершения расследования.
Расследование велось Генеральной прокуратурой Дрездена, Управлением государственной криминальной полиции Саксонии и местной налоговой инспекцией при поддержке ФБР США и мюнхенской судебно-медицинской экспертной компании.
Причем отщипнуть кеш от Movie2k силовикам удавалось и в начале 2020 года, когда привлеченный к админке сайта программист также добровольно передал властям 25 млн. евро в биткойнах в качестве «компенсации за ущерб» после задержания в 2019 году.
Ох уж этот старый добрый терморектальный криптоанализ.
На подобный шаг решился предполагаемый оператор платформы пиратского сайта Movie2k, который действовал с 2013 года и был одним из крупнейших нелегальных потоковых сервисов в Германии.
По сообщению криминальной полиции Саксонии, это самая масштабная конфискация биткойнов правоохранительными органами Федеративной Республики.
Всего по делу проходят два лица - 40-летний немец и 37-летний поляк, которые подозреваются в несанкционированном коммерческом использовании произведений, защищенных авторским правом, с целью получения прибыли и последующем отмывании денег.
По данным golem.de, двух предполагаемых операторов Movie2k в августе 2020 года обвинили в распространении в составе с другими участниками более 880 000 нелегальных копий фильмов в период с осени 2008 года по май 2013 года через сервера в Румынии.
До окончания расследования конкретное решение об использовании полученных на доходы от Movie2k биткойнов еще не принято. Пока что власти не разглашают никакой дополнительной информации до завершения расследования.
Расследование велось Генеральной прокуратурой Дрездена, Управлением государственной криминальной полиции Саксонии и местной налоговой инспекцией при поддержке ФБР США и мюнхенской судебно-медицинской экспертной компании.
Причем отщипнуть кеш от Movie2k силовикам удавалось и в начале 2020 года, когда привлеченный к админке сайта программист также добровольно передал властям 25 млн. евро в биткойнах в качестве «компенсации за ущерб» после задержания в 2019 году.
Ох уж этот старый добрый терморектальный криптоанализ.
У Splunk новые проблемы: поставщик представил исправления для трех уязвимостей высокой степени серьезности в своих продуктах.
Первая CVE-2023-46230 имеет оценку CVSS 8,2 и связана с раскрытием конфиденциальной информации во внутренних файлах журналов в Splunk Add-on Builder.
Уязвимость требует либо локального доступа к файлам журналов, либо административного доступа к внутренним индексам, который по умолчанию получает только администратор.
CVE-2023-46231 с CVSS 8,8 обусловлена тем, что в версиях Splunk Add-on Builder ниже 4.1.4 приложение записывает токены сеанса пользователя во внутренние файлы журналов.
Уязвимость требует либо локального доступа к файлам журналов, либо административного доступа к внутренним индексам, который по умолчанию получает только роль администратора.
Последняя проблема отслеживается как CVE-2023-32681 и CVE-2022-25883, которые затрагивают сторонние пакеты в Splunk Add-on Builder.
Для устранения проблем необходимо обновить Splunk Add-on Builder до версии 4.1.4 или выше, удалить все события и файлы журналов, а также изменить учетные данные, токены и конфиденциальную информацию, хранящуюся в параметрах ввода данных и параметрах настройки надстроек для модульных входов.
Более подробные рекомендации по устранению недостатков представлены в рекомендациях по безопасности поставщика. Меры по смягчению отсутствуют.
Первая CVE-2023-46230 имеет оценку CVSS 8,2 и связана с раскрытием конфиденциальной информации во внутренних файлах журналов в Splunk Add-on Builder.
Уязвимость требует либо локального доступа к файлам журналов, либо административного доступа к внутренним индексам, который по умолчанию получает только администратор.
CVE-2023-46231 с CVSS 8,8 обусловлена тем, что в версиях Splunk Add-on Builder ниже 4.1.4 приложение записывает токены сеанса пользователя во внутренние файлы журналов.
Уязвимость требует либо локального доступа к файлам журналов, либо административного доступа к внутренним индексам, который по умолчанию получает только роль администратора.
Последняя проблема отслеживается как CVE-2023-32681 и CVE-2022-25883, которые затрагивают сторонние пакеты в Splunk Add-on Builder.
Для устранения проблем необходимо обновить Splunk Add-on Builder до версии 4.1.4 или выше, удалить все события и файлы журналов, а также изменить учетные данные, токены и конфиденциальную информацию, хранящуюся в параметрах ввода данных и параметрах настройки надстроек для модульных входов.
Более подробные рекомендации по устранению недостатков представлены в рекомендациях по безопасности поставщика. Меры по смягчению отсутствуют.
Splunk Vulnerability Disclosure
Splunk Security Advisories Archive