Федеральный апелляционный суд США отменил санкции Министерства финансов США в отношении криптомиксера Tornado Cash.
Суд постановил, что Казначейство США превысило свои полномочия, наложив санкции на сервис в сентябре 2022 года.
По итогу отменил решение Окружного суда США по Западному округу Техаса, подтвердившее санкции против Tornado Cash, который, по данным минфина, использовались для отмывания 455 млн. долл., украденных северокорейской Lazarus Group.
По этому поводу дело, профинансированное Coinbase, было возбуждено по инициативе шести пользователей сервиса, которые заявили, что правительство превысило свои регулирующие полномочия, запретив операции с любой собственностью Tornado Cash.
Суд встал на сторону истцов, полагая, что Казначейство может санкционировать только имущество, а не ПО в виде строк автономного кода в блокчейне для транзакций, которое не квалифицируются как имущество.
При этом вынесший решение судья Дон Уиллетт согласился, что опасения OFAC относительно незаконных иностранных субъектов, отмывающих деньги, несомненно, обоснованы, но пояснил: смарт-контракты Tornado Cash не являются «собственностью» иностранного гражданина или организации.
В свою очередь, юрист Coinbase Пол Грюал отметил это решение в социальных сетях как «историческую победу криптосообщества».
Безусловно, важный прецедент, но желаемый профилактический эффект, по всей видимости, все же был достигнут.
Суд постановил, что Казначейство США превысило свои полномочия, наложив санкции на сервис в сентябре 2022 года.
По итогу отменил решение Окружного суда США по Западному округу Техаса, подтвердившее санкции против Tornado Cash, который, по данным минфина, использовались для отмывания 455 млн. долл., украденных северокорейской Lazarus Group.
По этому поводу дело, профинансированное Coinbase, было возбуждено по инициативе шести пользователей сервиса, которые заявили, что правительство превысило свои регулирующие полномочия, запретив операции с любой собственностью Tornado Cash.
Суд встал на сторону истцов, полагая, что Казначейство может санкционировать только имущество, а не ПО в виде строк автономного кода в блокчейне для транзакций, которое не квалифицируются как имущество.
При этом вынесший решение судья Дон Уиллетт согласился, что опасения OFAC относительно незаконных иностранных субъектов, отмывающих деньги, несомненно, обоснованы, но пояснил: смарт-контракты Tornado Cash не являются «собственностью» иностранного гражданина или организации.
В свою очередь, юрист Coinbase Пол Грюал отметил это решение в социальных сетях как «историческую победу криптосообщества».
Безусловно, важный прецедент, но желаемый профилактический эффект, по всей видимости, все же был достигнут.
Axios
Appeals court reverses sanctions against Tornado Cash
The court's ruling comes down to the definition of "property."
В США вовсю бурлит громкий скандал, связанный с расследованием ФБР в отношении лоббиста Exxon Mobil, который подозревается в организации целевых хакерских атак и краже данных.
По данным Reuters, консультант нефтяной компании якобы привлекал хакеров для совершения атак, нацеленных на представителей экологического сообщества и активистов, причастных к расследованиям и критическим публикациям в отношении Exxon.
Инициированная кибероперация началась в конце 2015 года при непосредственном участии DCI Group, которая на тот момент тесно взаимодействовала с Exxon по вопросам по связей с общественностью и лоббированию интересов.
Именно от нее поступали списки целей, которые затем передавались частному детективу из Израиля, который, в свою очередь, подыскивал исполнителей, передавая заказы на «аутсорсинг».
Украденные данные сотен жертв уходили в Exxon для нейтрализации активности с их стороны.
В ряде случаев нефтяной компании удавалось таким образом противодействовать судебным разбирательствам и прокурорским проверкам по вопросам изменения климата в штатах присутствия своего бизнеса.
Причем некоторые полученные в результате взлома документы демострировались представителями Exxon непосредственно в ходе судебных слушаний.
В 2020 году конвейер атак сломался, после того как Exxon и DCI прекратили сотрудничество, а слухи о хакерской кампании стали циркулировать в деловых кругах, а затем и попали в ленты СМИ, по всей видимости, с подачи подрядчика нефтегиганта.
В свою очередь, в Exxon заявили, что все обвинения в атаках не что иное, как политические манипуляции, направленные на купирование бизнеса компании со стороны недоброжелателей.
В своем заявлении Exxon отметила, что «не была вовлечена и не знала о каких-либо хакерских действиях», назвав это «теориями заговора».
Израильский детектив Амит Форлит, нанятый DCI, был арестован в Лондоне и ожидает экстрадиции в США по обвинению во взломе и мошенничестве с использованием электронных средств связи.
Само дело при этом почему-то засекречено.
Подельник Форлита, другой частный детектив Авирам Азари, непосредственно исполнявший подряды, еще ранее присел в тюрьму на 80 месяцев и обещает раскрыть новые данные, заявляя, что «вы еще не знаете всего».
И, вероятно, так и есть, ведь к делу Азари привлекали исследователей Citizen Lab, а в хакерских махинациях использовалось известное уже всему миру spyware.
Стоит отметить, что в числе жертв оказались Greenpeace, Union of Concerned Scientists, Rockefeller Family Fund и бывший кандидат в президенты от Демократической партии, миллиардер-эколог Том Стейер.
Масштабное расследование продолжается и, судя по фактам, является одной из знаковых вех большого передела рынка коммерческого шпионажа.
Будем следить.
По данным Reuters, консультант нефтяной компании якобы привлекал хакеров для совершения атак, нацеленных на представителей экологического сообщества и активистов, причастных к расследованиям и критическим публикациям в отношении Exxon.
Инициированная кибероперация началась в конце 2015 года при непосредственном участии DCI Group, которая на тот момент тесно взаимодействовала с Exxon по вопросам по связей с общественностью и лоббированию интересов.
Именно от нее поступали списки целей, которые затем передавались частному детективу из Израиля, который, в свою очередь, подыскивал исполнителей, передавая заказы на «аутсорсинг».
Украденные данные сотен жертв уходили в Exxon для нейтрализации активности с их стороны.
В ряде случаев нефтяной компании удавалось таким образом противодействовать судебным разбирательствам и прокурорским проверкам по вопросам изменения климата в штатах присутствия своего бизнеса.
Причем некоторые полученные в результате взлома документы демострировались представителями Exxon непосредственно в ходе судебных слушаний.
В 2020 году конвейер атак сломался, после того как Exxon и DCI прекратили сотрудничество, а слухи о хакерской кампании стали циркулировать в деловых кругах, а затем и попали в ленты СМИ, по всей видимости, с подачи подрядчика нефтегиганта.
В свою очередь, в Exxon заявили, что все обвинения в атаках не что иное, как политические манипуляции, направленные на купирование бизнеса компании со стороны недоброжелателей.
В своем заявлении Exxon отметила, что «не была вовлечена и не знала о каких-либо хакерских действиях», назвав это «теориями заговора».
Израильский детектив Амит Форлит, нанятый DCI, был арестован в Лондоне и ожидает экстрадиции в США по обвинению во взломе и мошенничестве с использованием электронных средств связи.
Само дело при этом почему-то засекречено.
Подельник Форлита, другой частный детектив Авирам Азари, непосредственно исполнявший подряды, еще ранее присел в тюрьму на 80 месяцев и обещает раскрыть новые данные, заявляя, что «вы еще не знаете всего».
И, вероятно, так и есть, ведь к делу Азари привлекали исследователей Citizen Lab, а в хакерских махинациях использовалось известное уже всему миру spyware.
Стоит отметить, что в числе жертв оказались Greenpeace, Union of Concerned Scientists, Rockefeller Family Fund и бывший кандидат в президенты от Демократической партии, миллиардер-эколог Том Стейер.
Масштабное расследование продолжается и, судя по фактам, является одной из знаковых вех большого передела рынка коммерческого шпионажа.
Будем следить.
Reuters
Exclusive: Exxon lobbyist investigated over hack-and-leak of environmentalist emails, sources say
The FBI has been investigating a longtime Exxon Mobil consultant over the contractor's alleged role in a hack-and-leak operation that targeted hundreds of the oil company’s biggest critics, according to three people familiar with the matter.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:
1. Исследователи выяснили, что проблесков маяки на автомобилях экстренных служб вызывают эффект EpileptiCar, фактически ослепляя как коммерческие, так и на открытые системы Advanced Driver-Assistance Systems (ADAS) и способствуя тем самым созданию аварийных ситуаций.
Причем эффект EpileptiCar усиливается в ночное время суток из-за расстояния до автомобилей экстренных служб, а также настроек и возможностей камеры беспилотного автомобиля.
2. SSD Disclosure раскрыла подробности в отношении неисправленной уязвимости локального повышения привилегий в Windows.
Ошибка была продемонстрирована в ходе хакерского конкурса TyphoonPWN 2024 в начале этого года, однако Microsoft посчитала ее дубликатом, заявляя, что она уже исправлена. В свою очередь, исследователи наглядно показали, что эксплойт по-прежнему работает в системах Windows 11.
3. Исследователи Source Incite опубликовали статью, освещая неисправленную до настоящего времени уязвимость в фреймворке Spring Java, которую можно использовать для RCE.
4. ERNW выкатила подробное описание ошибки command injection, которую помогали исправить в Kemp LoadMaster в начале этого месяца. При этом ошибка отслеживается как CVE-2024-7591 и имеет оценку серьезности 10/10.
5. Злоумышленник смог воспользоваться уязвимостью на официальном портале Microsoft Partner. Microsoft раскрыла атаку на этой неделе после того, как выпустила исправление. Какие-либо дополнительные подробности об атаке не раскрываются.
6. Исследователи Nozomi Networks обнаружили около двух десятков уязвимостей безопасности в промышленных точках беспроводного доступа Advantech EKI, некоторые из которых могут быть использованы для обхода аутентификации и выполнения кода с повышенными привилегиями.
6 из 20 уязвимостей (от CVE-2024-50370 до CVE-2024-50375 с CVSS: 9,8) были признаны критическими, позволяя получить постоянный доступ к внутренним ресурсам путем внедрения бэкдора, вызвать DoS и даже перепрофилировать зараженные конечные точки в рабочие станции Linux для обеспечения горизонтального перемещения.
Еще одна CVE-2024-50376 (CVSS: 7,3) может быть связана с CVE-2024-50359 (CVSS: 7,2) для выполнения произвольного кода по беспроводной сети.
7. Разработчики Jenkins анонсировали обновления безопасности для основного кода и двух плагинов.
1. Исследователи выяснили, что проблесков маяки на автомобилях экстренных служб вызывают эффект EpileptiCar, фактически ослепляя как коммерческие, так и на открытые системы Advanced Driver-Assistance Systems (ADAS) и способствуя тем самым созданию аварийных ситуаций.
Причем эффект EpileptiCar усиливается в ночное время суток из-за расстояния до автомобилей экстренных служб, а также настроек и возможностей камеры беспилотного автомобиля.
2. SSD Disclosure раскрыла подробности в отношении неисправленной уязвимости локального повышения привилегий в Windows.
Ошибка была продемонстрирована в ходе хакерского конкурса TyphoonPWN 2024 в начале этого года, однако Microsoft посчитала ее дубликатом, заявляя, что она уже исправлена. В свою очередь, исследователи наглядно показали, что эксплойт по-прежнему работает в системах Windows 11.
3. Исследователи Source Incite опубликовали статью, освещая неисправленную до настоящего времени уязвимость в фреймворке Spring Java, которую можно использовать для RCE.
4. ERNW выкатила подробное описание ошибки command injection, которую помогали исправить в Kemp LoadMaster в начале этого месяца. При этом ошибка отслеживается как CVE-2024-7591 и имеет оценку серьезности 10/10.
5. Злоумышленник смог воспользоваться уязвимостью на официальном портале Microsoft Partner. Microsoft раскрыла атаку на этой неделе после того, как выпустила исправление. Какие-либо дополнительные подробности об атаке не раскрываются.
6. Исследователи Nozomi Networks обнаружили около двух десятков уязвимостей безопасности в промышленных точках беспроводного доступа Advantech EKI, некоторые из которых могут быть использованы для обхода аутентификации и выполнения кода с повышенными привилегиями.
6 из 20 уязвимостей (от CVE-2024-50370 до CVE-2024-50375 с CVSS: 9,8) были признаны критическими, позволяя получить постоянный доступ к внутренним ресурсам путем внедрения бэкдора, вызвать DoS и даже перепрофилировать зараженные конечные точки в рабочие станции Linux для обеспечения горизонтального перемещения.
Еще одна CVE-2024-50376 (CVSS: 7,3) может быть связана с CVE-2024-50359 (CVSS: 7,2) для выполнения произвольного кода по беспроводной сети.
7. Разработчики Jenkins анонсировали обновления безопасности для основного кода и двух плагинов.
Google
Epilepticar
Elad Feldman, Jacob Shams, Satoru Koda, Yisroel Mirsky, Assaf Shabtai, Yuval Elovici, Ben Nassi
Ben-Gurion University of the Negev, Fujitsu Limited
Ben-Gurion University of the Negev, Fujitsu Limited
А исследователи Лаборатории Касперского продолжают отслеживать активность APT-групп и в новом отчете резюмируют значимые события и выводы за третий квартал 2024 года.
Материал объемный и содержит много деталей, со своей стороны остановимся на главном:
- Начиная со второй половины 2022 года внимание ЛК привлекла нацеленная на вьетнамских жертв кампания неизвестного субъекта угроз с новым типом структуры атак, который был назван P8.
Главная цель - реализовать еще одну платформу постэксплуатации, похожую на Cobalt Strike.
Помимо этого субъектом задействовались защищенные USB с вредоносным кодом, внедренным в ПО управления доступом, установленное на накопителе.
Аналогично в 2023 году осуществлялись атаки с помощью троянизированного ПО для управления USB под названием UTetris.
Обе среды были связаны со шпионской деятельностью по всей Юго-Восточной Азии.
- Спустя два года затишья была зафиксирована новая кампания ExCone, включающая фишинг с загрузчиком JavaScript, изображением BMP с шелл-кодом и встроенным PE-файлом - новым бэкдором в качестве конечной полезной нагрузки.
Бэкдор Scieron, инструмент, обычно используемый в кампаниях по кибершпионажу группой Scarab, был обнаружен в новой кампании с переработанной цепочкой заражения, обновленным набором декодеров и загрузчиков.
- Обнаружено более 120 целей Awaken Likho в России, Индии, КНР, Вьетнаме, Тайване, Турции, Словакии, Филиппинах, Австралии, Швейцарии и Чехии и др. странах. В раскрытой кампании хакеры полагаются на использование легитимного инструмента UltraVNC.
Начиная с мая 2024 года Awaken Likho немного скорректировала свои TTP. Злоумышленник очистил свои архивы на основе Golang SFX, удалив неиспользуемые файлы, а также переключился на выполнение скриптов AutoIT после извлечения файлов.
Затем в июне 2024 года злоумышленник продолжал отдавать предпочтение использованию скриптов AutoIT, а также начал использовать протекторы, такие как Themida, для защиты своих образцов. В ряде случаев изменилась конечная полезная нагрузка с UltraVNC на MeshAgent.
- На средневосточном направлении внимание исследователей привлекла последняя версия бэкдора DeadGlyph Executor из арсенала FruityArmor (DeadGlyph), а также импланты на основе VBS/DLL, которые использовались во вторжениях группой MuddyWater APT.
- В Юго-Восточной Азии и на Корейском полуострове ЛК фиксировали активность Dragon Breath, Bitter APT, Tropic Trooper, Kimsuky с отражением в отчете особенностей и изменений в кампаниях, арсенале и TTPs.
Отдельно отмечены заражения PhantomNet.
- Без внимания не остались группы хактивистов, в отчете упоминаются инструменты, вредоносное ПО и методология группы BlackJack, а также ее связь с ранее известной группой Twelve.
Подробности по каждой из анализируемых APT и другие интересные открытия - в отчете.
Материал объемный и содержит много деталей, со своей стороны остановимся на главном:
- Начиная со второй половины 2022 года внимание ЛК привлекла нацеленная на вьетнамских жертв кампания неизвестного субъекта угроз с новым типом структуры атак, который был назван P8.
Главная цель - реализовать еще одну платформу постэксплуатации, похожую на Cobalt Strike.
Помимо этого субъектом задействовались защищенные USB с вредоносным кодом, внедренным в ПО управления доступом, установленное на накопителе.
Аналогично в 2023 году осуществлялись атаки с помощью троянизированного ПО для управления USB под названием UTetris.
Обе среды были связаны со шпионской деятельностью по всей Юго-Восточной Азии.
- Спустя два года затишья была зафиксирована новая кампания ExCone, включающая фишинг с загрузчиком JavaScript, изображением BMP с шелл-кодом и встроенным PE-файлом - новым бэкдором в качестве конечной полезной нагрузки.
Бэкдор Scieron, инструмент, обычно используемый в кампаниях по кибершпионажу группой Scarab, был обнаружен в новой кампании с переработанной цепочкой заражения, обновленным набором декодеров и загрузчиков.
- Обнаружено более 120 целей Awaken Likho в России, Индии, КНР, Вьетнаме, Тайване, Турции, Словакии, Филиппинах, Австралии, Швейцарии и Чехии и др. странах. В раскрытой кампании хакеры полагаются на использование легитимного инструмента UltraVNC.
Начиная с мая 2024 года Awaken Likho немного скорректировала свои TTP. Злоумышленник очистил свои архивы на основе Golang SFX, удалив неиспользуемые файлы, а также переключился на выполнение скриптов AutoIT после извлечения файлов.
Затем в июне 2024 года злоумышленник продолжал отдавать предпочтение использованию скриптов AutoIT, а также начал использовать протекторы, такие как Themida, для защиты своих образцов. В ряде случаев изменилась конечная полезная нагрузка с UltraVNC на MeshAgent.
- На средневосточном направлении внимание исследователей привлекла последняя версия бэкдора DeadGlyph Executor из арсенала FruityArmor (DeadGlyph), а также импланты на основе VBS/DLL, которые использовались во вторжениях группой MuddyWater APT.
- В Юго-Восточной Азии и на Корейском полуострове ЛК фиксировали активность Dragon Breath, Bitter APT, Tropic Trooper, Kimsuky с отражением в отчете особенностей и изменений в кампаниях, арсенале и TTPs.
Отдельно отмечены заражения PhantomNet.
- Без внимания не остались группы хактивистов, в отчете упоминаются инструменты, вредоносное ПО и методология группы BlackJack, а также ее связь с ранее известной группой Twelve.
Подробности по каждой из анализируемых APT и другие интересные открытия - в отчете.
Securelist
Kaspersky report on APT trends in Q3 2024
The report features the most significant developments relating to APT groups in Q3 2024, including hacktivist activity, new APT tools and campaigns.
This media is not supported in your browser
VIEW IN TELEGRAM
Всем хороших выходных!
Исследователи ACROS сообщают о новой 0-day, которая позволяет злоумышленникам обходить проверку безопасности Mark of the Web (MotW) в операционных системах Windows Server 2012 и Server 2012 R2.
Несмотря на то, что исследователи сообщили об этой проблеме в Microsoft, ошибка до настоящего времени оставалась необнаруженной или, по крайней мере, неисправленной.
Ошибка затрагивает все версии Windows Server 2012, выпущенные за последние два года, присутствует даже на полностью обновленных серверах с расширенными обновлениями безопасности.
При этом поддержка Windows Server 2012 закончилась в октябре 2023 года.
ACROS выпустила собственный микропатч через платформу 0patch для этой ошибки, не дожидаясь пока Microsoft разработает исправления в рамках программы расширенных обновлений безопасности.
Более того, в ACROS Security отметили, что будут раскрывать информацию об уязвимости до тех пор, пока Microsoft их не выпустит.
Сами же разработчики пока никак не комментируют ситуацию.
Несмотря на то, что исследователи сообщили об этой проблеме в Microsoft, ошибка до настоящего времени оставалась необнаруженной или, по крайней мере, неисправленной.
Ошибка затрагивает все версии Windows Server 2012, выпущенные за последние два года, присутствует даже на полностью обновленных серверах с расширенными обновлениями безопасности.
При этом поддержка Windows Server 2012 закончилась в октябре 2023 года.
ACROS выпустила собственный микропатч через платформу 0patch для этой ошибки, не дожидаясь пока Microsoft разработает исправления в рамках программы расширенных обновлений безопасности.
Более того, в ACROS Security отметили, что будут раскрывать информацию об уязвимости до тех пор, пока Microsoft их не выпустит.
Сами же разработчики пока никак не комментируют ситуацию.
0Patch
Windows Server 2012 Mark of the Web Vulnerability (0day, now CVE-2025-27472) - and Free Micropatches for it
[Update April 14, 2025] April 2025 Windows Updates brought a fix for this issue on Windows Server 2012 R2 and assigned it CVE-2025-27472 . ...
Исследователи ANY.RUN раскрыли новую фишинговую кампанию, в рамках которой злоумышленники задействовали функция восстановления файлов Word от Microsoft для обхода систем безопасности.
Отправляя намеренно поврежденные документы Word в качестве вложений в электронные письма злоумышленники обходят программное обеспечение безопасности, песочницы и спам-фильтры, но при этом приложение все равно способно их восстановить.
В новой обнаруженной кампании подобные отправления мимикрируют под уведомления из отделов кадров и бухгалтерии. В целом, используется широкий спектр тем, все из которых вращаются вокруг льгот и бонусов для сотрудников.
Все документы наблюдаемой кампании включают строку в кодировке base64 «IyNURVhUTlVNUkFORE9NNDUjIw», которая декодируется в «##TEXTNUMRANDOM45##».
При открытии вложений Word идентифицирует поврежденный файл и сообщает, что в файле «обнаружено нечитаемое содержимое», а затем запрашивает его восстановление.
При этом фишинговые документы повреждены таким образом, что их легко восстановить, после чего отображается документ с QR-кодом, который следует отсканировать, чтобы получить содержимое.
Причем все эти документы брендированы логотипами целевой компании.
QR перенаправляет пользователя на фишинговый сайт, оформленный под Microsoft, посредством которого происходит кража учетных данных пользователя.
Из всех вложений, использованных в наблюдаемой кампании, большинство имели нулевые сработки [1, 2, 3, 4] на VirusTotal, и только некоторые [1] были детектированы 2 поставщиками.
Безусловно, конечная цель такой фишинговой атаки не нова, но использование поврежденных документов Word - это новая тактика, позволяющая избегать обнаружения, которая используется в дикой природе по крайней мере с августа этого года.
Отправляя намеренно поврежденные документы Word в качестве вложений в электронные письма злоумышленники обходят программное обеспечение безопасности, песочницы и спам-фильтры, но при этом приложение все равно способно их восстановить.
В новой обнаруженной кампании подобные отправления мимикрируют под уведомления из отделов кадров и бухгалтерии. В целом, используется широкий спектр тем, все из которых вращаются вокруг льгот и бонусов для сотрудников.
Все документы наблюдаемой кампании включают строку в кодировке base64 «IyNURVhUTlVNUkFORE9NNDUjIw», которая декодируется в «##TEXTNUMRANDOM45##».
При открытии вложений Word идентифицирует поврежденный файл и сообщает, что в файле «обнаружено нечитаемое содержимое», а затем запрашивает его восстановление.
При этом фишинговые документы повреждены таким образом, что их легко восстановить, после чего отображается документ с QR-кодом, который следует отсканировать, чтобы получить содержимое.
Причем все эти документы брендированы логотипами целевой компании.
QR перенаправляет пользователя на фишинговый сайт, оформленный под Microsoft, посредством которого происходит кража учетных данных пользователя.
Из всех вложений, использованных в наблюдаемой кампании, большинство имели нулевые сработки [1, 2, 3, 4] на VirusTotal, и только некоторые [1] были детектированы 2 поставщиками.
Безусловно, конечная цель такой фишинговой атаки не нова, но использование поврежденных документов Word - это новая тактика, позволяющая избегать обнаружения, которая используется в дикой природе по крайней мере с августа этого года.
X (formerly Twitter)
ANY.RUN (@anyrun_app) on X
🚨 ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (3/3)
⚠️ Although broken and corrupted, the file remains undetectable by security tools, yet user applications handle it seamlessly due to built-in recovery mechanisms exploited…
⚠️ Although broken and corrupted, the file remains undetectable by security tools, yet user applications handle it seamlessly due to built-in recovery mechanisms exploited…
Исследователи из Лаборатории Касперского сообщают об обнаружении атак с довольно нестандартным использованием техники Right-to-Left Override (RLO), жертвами которых стали российские компании в сфере реализации ПО для автоматизации бизнес-процессов.
Эта техника связана со специальным управляющим символом Unicode (U+202E), который меняет порядок отображения текста: все, что следует за U+202E, будет показано задом наперед. Злоумышленники используют его для создания иллюзии, что файл или ссылка безопасны, подменяя видимое имя и расширение файла.
Анализируя новый кластер вредоносной активности, исследователи заметили, что злоумышленники распространяли вредоносные файлы в архивах, несмотря на то, что архиваторы в большинстве своем не обрабатывают символ RLO и отображают имя файла с правильным расширением.
Практически во всех известных случаях атака начиналась с рассылки фишинговых писем о имени одной из существующих компаний в сфере автоматизацией технологических процессов с просьбой ознакомиться с техническим заданием, которое якобы находится в приложенном архиве.
Изначально во вредоносном архиве был замечен только один исполняемый файл, использующий технику RLO. Однако в ходе дальнейшего исследования встречались архивы, в которых находились карточка предприятия с документом в формате PDF, а также LNK-файл.
В случае открытия LNK через mshta.exe выполняется вредоносный файл, который представляет собой HTA-скрипт. Он скачивает и запускает еще два файла: документ-приманку и конечную вредоносную нагрузку в виде бэкдора Remcos.
В данном случае Remcos был сконфигурирован для общения с тремя С2: wmpssvc[.]online:8080, weventlog[.]store:80 и wscsvc[.]online:4080. Кроме того, в его настройках был обнаружен идентификатор кампании Sun004 и мьютекс Sun003-SHQIGL.
По схожей схеме другой ярлык приводил к скачиванию архива file.zip, содержащего интерпретатор скриптового языка AutoIt и скрипт noscript.a3x. В результате этой цепочки заражения выполнялось вредоносное ПО DarkGate.
Замеченный образец использовал серверы tnecharise[.]me и tnecharise[.]biz в качестве С2, а также значение Gh0st в качестве идентификатора кампании и дополнительный маркер Sun011.
Схема с единственным исполняемым файлом в архиве не подразумевала промежуточных стадий. Исполняемый файл сам по себе является полезной нагрузкой, в качестве которой выступали Remcos и DarkGate.
Однако, кроме уже известных семейств Remcos и DarkGate, в октябре 2024 года исследователи обнаружили ранее неизвестный бэкдор BrockenDoor, который при запуске связывается с одним из двух С2 — wmiadap[.]cfd или wmiadap[.]sbs, используя нестандартный порт 6180.
Всего BrockenDoor поддерживает следующие четыре команды, но для некоторых из них можно указать подкоманду.
На одном из зараженных устройств также обнаружили команду, с помощью которой злоумышленники загружали в систему жертвы сравнительно новый пентестинговый инструмент Tuoni, до этого не фигурировавший в известных кибератаках.
На данный момент приписать эту активность какой-либо известной группе не удалось, но в ЛК продолжают следить за развитием этой кампании.
Эта техника связана со специальным управляющим символом Unicode (U+202E), который меняет порядок отображения текста: все, что следует за U+202E, будет показано задом наперед. Злоумышленники используют его для создания иллюзии, что файл или ссылка безопасны, подменяя видимое имя и расширение файла.
Анализируя новый кластер вредоносной активности, исследователи заметили, что злоумышленники распространяли вредоносные файлы в архивах, несмотря на то, что архиваторы в большинстве своем не обрабатывают символ RLO и отображают имя файла с правильным расширением.
Практически во всех известных случаях атака начиналась с рассылки фишинговых писем о имени одной из существующих компаний в сфере автоматизацией технологических процессов с просьбой ознакомиться с техническим заданием, которое якобы находится в приложенном архиве.
Изначально во вредоносном архиве был замечен только один исполняемый файл, использующий технику RLO. Однако в ходе дальнейшего исследования встречались архивы, в которых находились карточка предприятия с документом в формате PDF, а также LNK-файл.
В случае открытия LNK через mshta.exe выполняется вредоносный файл, который представляет собой HTA-скрипт. Он скачивает и запускает еще два файла: документ-приманку и конечную вредоносную нагрузку в виде бэкдора Remcos.
В данном случае Remcos был сконфигурирован для общения с тремя С2: wmpssvc[.]online:8080, weventlog[.]store:80 и wscsvc[.]online:4080. Кроме того, в его настройках был обнаружен идентификатор кампании Sun004 и мьютекс Sun003-SHQIGL.
По схожей схеме другой ярлык приводил к скачиванию архива file.zip, содержащего интерпретатор скриптового языка AutoIt и скрипт noscript.a3x. В результате этой цепочки заражения выполнялось вредоносное ПО DarkGate.
Замеченный образец использовал серверы tnecharise[.]me и tnecharise[.]biz в качестве С2, а также значение Gh0st в качестве идентификатора кампании и дополнительный маркер Sun011.
Схема с единственным исполняемым файлом в архиве не подразумевала промежуточных стадий. Исполняемый файл сам по себе является полезной нагрузкой, в качестве которой выступали Remcos и DarkGate.
Однако, кроме уже известных семейств Remcos и DarkGate, в октябре 2024 года исследователи обнаружили ранее неизвестный бэкдор BrockenDoor, который при запуске связывается с одним из двух С2 — wmiadap[.]cfd или wmiadap[.]sbs, используя нестандартный порт 6180.
Всего BrockenDoor поддерживает следующие четыре команды, но для некоторых из них можно указать подкоманду.
На одном из зараженных устройств также обнаружили команду, с помощью которой злоумышленники загружали в систему жертвы сравнительно новый пентестинговый инструмент Tuoni, до этого не фигурировавший в известных кибератаках.
На данный момент приписать эту активность какой-либо известной группе не удалось, но в ЛК продолжают следить за развитием этой кампании.
Securelist
Целевая вредоносная кампания доставляет Remcos, DarkGate и BrockenDoor
Вредоносная кампания, нацеленная на организации, специализирующиеся на внедрении ПО для автоматизации бизнеса, использует RLO, доставляет Remcos, DarkGate и новый бэкдор BrockenDoor.
Forwarded from Russian OSINT
По информации Ведомостей, фонд «Сайберус», созданный основателем Positive Technologies Юрием Максимовым, совместно с частными инвесторами создадут новую компанию АО «Будущее» в области информбезопасности (ИБ) на базе активов F.A.C.C.T. (бывшая Group-IB).
В тг-канале компании написано, что сумма сделки не разглашается.
👆Ведомости со ссылкой на экспертов пишут, что всю группу F.A.C.C.T. оценивают примерно в 4-5 млрд рублей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Zabbix предупреждает об уязвимости критической степени серьезности в своем решении с открытым исходным кодом для мониторинга корпоративных сетей, которая может позволить злоумышленникам внедрять произвольные SQL-запросы и скомпрометировать данные или систему.
CVE-2024-42327 имеет оценку CVSS 9,9 и существует в классе CUser в функции addRelatedObjects, которая вызывается из функции CUser.get и доступна каждому пользователю, имеющему доступ к API.
Учетная запись пользователя без прав администратора на интерфейсе Zabbix с ролью пользователя по умолчанию или с любой другой ролью, предоставляющей доступ к API, может быть использована для реализации уязвимости.
Исследователи Qualys также отмечают, что эксплуатация может позволить злоумышленникам повысить привилегии и получить полный контроль над уязвимыми серверами Zabbix из 83 000, открытых для доступа в сети Интернет.
Уязвимость затрагивает версии Zabbix 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0, исправления для этой проблемы были включены в версии 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1, выпущенные в июле.
В исправленных версиях также устранена CVE-2024-36466 (CVSS 8,8) - проблема обхода аутентификации, которая может позволить злоумышленнику подписать поддельный файл cookie zbx_session и войти в систему с правами администратора.
Zabbix версии 7.0.1rc1 также закрывает CVE-2024-36462 - уязвимость неконтролируемого потребления ресурсов, которая может позволить злоумышленнику вызвать состояние DoS.
Компания не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в дикой природе.
Тем не менее, пользователям рекомендуется обновить свои установки до исправленной версии как можно скорее.
CVE-2024-42327 имеет оценку CVSS 9,9 и существует в классе CUser в функции addRelatedObjects, которая вызывается из функции CUser.get и доступна каждому пользователю, имеющему доступ к API.
Учетная запись пользователя без прав администратора на интерфейсе Zabbix с ролью пользователя по умолчанию или с любой другой ролью, предоставляющей доступ к API, может быть использована для реализации уязвимости.
Исследователи Qualys также отмечают, что эксплуатация может позволить злоумышленникам повысить привилегии и получить полный контроль над уязвимыми серверами Zabbix из 83 000, открытых для доступа в сети Интернет.
Уязвимость затрагивает версии Zabbix 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0, исправления для этой проблемы были включены в версии 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1, выпущенные в июле.
В исправленных версиях также устранена CVE-2024-36466 (CVSS 8,8) - проблема обхода аутентификации, которая может позволить злоумышленнику подписать поддельный файл cookie zbx_session и войти в систему с правами администратора.
Zabbix версии 7.0.1rc1 также закрывает CVE-2024-36462 - уязвимость неконтролируемого потребления ресурсов, которая может позволить злоумышленнику вызвать состояние DoS.
Компания не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в дикой природе.
Тем не менее, пользователям рекомендуется обновить свои установки до исправленной версии как можно скорее.
В Южной Корее силовики арестовали генерального директора и пятерых сотрудников за внедрение функционала DDoS в прошивку 240 000 спутниковых ресиверов, поступивших в продажу с января 2019 года, по просьбе клиента.
Название компании не уточняется, но сотрудничество с заказчиком велось с 2017 года.
В ноябре 2018 года компания-покупатель сделала специальный запрос на включение функциональности DDoS, а южнокорейский производитель его успешно реализовал.
Согласно заявлениям, клиент утверждал, что столкнулся с DDoS-атаками со стороны одного из своих конкурентов, что и побудило его разместить заказ на DDoS, который использовался для противодействия атакам конкурирующей организации.
Точный механизм работы DDoS-модуля на устройствах не раскрывается, но в любом случае такое усовершенствование не вписалось в нормы уголовного законодательства.
Более того, пользователи спутниковых ресиверов невольно принимали участие в атаках и, по всей видимости, сталкивались со снижением производительности устройств во время подобных инцидентов.
Начиная с января 2019 года производитель устройств отгрузил 240 000 спутниковых ресиверов, 98 000 из которых имели предустановленный модуль DDoS. Остальные получили функционал через обновление прошивки.
Корейская полиция раскрыла вредоносную схему после получения информации от Интерпола.
Теперь шестерым гражданам Кореи предъявлены обвинения, а активы компании попали под арест и конфискацию (всего 61 млрд корейских вон или 4 350 000 долларов США).
Заказчику оборудования удалось покинуть страну, но бегать ему недолго, соответствующая красная карточка уже размещена в базе розыска Интерпола.
Странно только, что во всей этой истории не упоминается судьба конкурентов, которые первыми ввязалась в аналогичные DDoS-авантюры.
PS: Любой каприз за ваши деньги✊
Название компании не уточняется, но сотрудничество с заказчиком велось с 2017 года.
В ноябре 2018 года компания-покупатель сделала специальный запрос на включение функциональности DDoS, а южнокорейский производитель его успешно реализовал.
Согласно заявлениям, клиент утверждал, что столкнулся с DDoS-атаками со стороны одного из своих конкурентов, что и побудило его разместить заказ на DDoS, который использовался для противодействия атакам конкурирующей организации.
Точный механизм работы DDoS-модуля на устройствах не раскрывается, но в любом случае такое усовершенствование не вписалось в нормы уголовного законодательства.
Более того, пользователи спутниковых ресиверов невольно принимали участие в атаках и, по всей видимости, сталкивались со снижением производительности устройств во время подобных инцидентов.
Начиная с января 2019 года производитель устройств отгрузил 240 000 спутниковых ресиверов, 98 000 из которых имели предустановленный модуль DDoS. Остальные получили функционал через обновление прошивки.
Корейская полиция раскрыла вредоносную схему после получения информации от Интерпола.
Теперь шестерым гражданам Кореи предъявлены обвинения, а активы компании попали под арест и конфискацию (всего 61 млрд корейских вон или 4 350 000 долларов США).
Заказчику оборудования удалось покинуть страну, но бегать ему недолго, соответствующая красная карточка уже размещена в базе розыска Интерпола.
Странно только, что во всей этой истории не упоминается судьба конкурентов, которые первыми ввязалась в аналогичные DDoS-авантюры.
PS: Любой каприз за ваши деньги✊
Хакеры MASSGRAVE сообщают о разработке своего пиратского метода, который позволяет обойти почти всю схему защиты лицензирования ПО Microsoft Windows и Office.
Причем, как утверждают MAS, их обход может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.
Хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows 7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server, а также для ESU и CSVLK.
По словам хакеров, такие методы активации HWID и KMS применялись годами: первый с 2018 года, второй - более 17 лет.
Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.
В качестве пруфов MASSGRAVE опубликовали скрины активированных версий Windows с ESU, подтверждая все свои заявления.
Хакеры намерены выкатить свой инструмент в паблик в ближайшие месяцы. Чем ответит Microsoft - будем посмотреть.
Причем, как утверждают MAS, их обход может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.
Хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows 7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server, а также для ESU и CSVLK.
По словам хакеров, такие методы активации HWID и KMS применялись годами: первый с 2018 года, второй - более 17 лет.
Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.
В качестве пруфов MASSGRAVE опубликовали скрины активированных версий Windows с ESU, подтверждая все свои заявления.
Хакеры намерены выкатить свой инструмент в паблик в ближайшие месяцы. Чем ответит Microsoft - будем посмотреть.
ghacks.net
Hackers claim to have cracked Microsoft's software licensing protection almost entirely
Hackers have claimed that they have broken almost all of Microsoft's entire activation system for Windows and Office.
Исследователи Binarly выкатили новые подробности в отношении недавно обнаруженнего буткита Linux UEFI под названием Bootkitty.
Вредоносное ПО BootKitty UEFI задействует уязвимость LogoFAIL, отлеживаемую как CVE-2023-40238, для реализации атак на компьютеры, работающие на уязвимой прошивке.
Bootkitty был впервые обнаружен ESET, которая отметила, что это первый UEFI-буткит, специально нацеленный на Linux.
На данный момент вредоносная программа UEFI пребывает в состоянии разработки и работает только на определенных версиях Ubuntu.
В свою очередь, LogoFAIL представляет собой набор уязвимостей в коде анализа образов прошивок UEFI, используемых различными поставщиками, которые могут быть реализованы с помощью вредоносных образов или логотипов, размещенными в системном разделе EFI (ESP).
В процессе их анализа во время загрузки, уязвимость может быть активирована, при этом контролируемая злоумышленником полезная нагрузка может быть произвольно выполнена для перехвата потока выполнения и обхода функций безопасности.
Согласно последнему отчету Binarly, Bootkitty встраивает шелл-код в файлы BMP (logofail.bmp и logofail_fake.bmp), чтобы обойти защиту Secure Boot, внедряя поддельные сертификаты в вариант MokList.
Файл logofail.bmp встраивает шелл-код в свой конец, а отрицательное значение высоты (0xfffffd00) запускает уязвимость записи за пределами выделенной памяти во время синтаксического анализа.
Легитимный MokList заменяется мошенническим сертификатом, что фактически авторизует вредоносный загрузчик (bootkit.efi).
После перенаправления выполнения на шелл-код Bootkitty восстанавливает перезаписанные области памяти в уязвимой функции (RLE8ToBlt) с использованием исходных инструкций, поэтому любые признаки очевидного вмешательства стираются.
Binarly утверждает, что Bootkitty может быть нацелен на любое устройство, не защищенное от LogoFAIL, но его текущий шелл-код подстроен под модули прошивки Acer, HP, Fujitsu и Lenovo.
Анализ файла bootkit.efi показал, что устройства Lenovo на базе Insyde являются наиболее уязвимыми, поскольку Bootkitty ссылается на определенные имена переменных и пути, используемые этим брендом.
При этом некоторые широко распространенные устройства работают на прошивках, которые по-прежнему уязвимы для эксплойтов LogoFAIL: IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 и Lenovo Yoga 9-14IRP8.
Новыми подробностями поделились сегодня и в ESET, обновив первоначальную статью про BootKitty.
По их данным, разработка ведется студентами ИБ в рамках корейской программы обучения Best of the Best (BoB) в научных и исключительно исследовательских целях.
Подробности своих изысканий обещают раскрыть позже, так что будем следить.
Вредоносное ПО BootKitty UEFI задействует уязвимость LogoFAIL, отлеживаемую как CVE-2023-40238, для реализации атак на компьютеры, работающие на уязвимой прошивке.
Bootkitty был впервые обнаружен ESET, которая отметила, что это первый UEFI-буткит, специально нацеленный на Linux.
На данный момент вредоносная программа UEFI пребывает в состоянии разработки и работает только на определенных версиях Ubuntu.
В свою очередь, LogoFAIL представляет собой набор уязвимостей в коде анализа образов прошивок UEFI, используемых различными поставщиками, которые могут быть реализованы с помощью вредоносных образов или логотипов, размещенными в системном разделе EFI (ESP).
В процессе их анализа во время загрузки, уязвимость может быть активирована, при этом контролируемая злоумышленником полезная нагрузка может быть произвольно выполнена для перехвата потока выполнения и обхода функций безопасности.
Согласно последнему отчету Binarly, Bootkitty встраивает шелл-код в файлы BMP (logofail.bmp и logofail_fake.bmp), чтобы обойти защиту Secure Boot, внедряя поддельные сертификаты в вариант MokList.
Файл logofail.bmp встраивает шелл-код в свой конец, а отрицательное значение высоты (0xfffffd00) запускает уязвимость записи за пределами выделенной памяти во время синтаксического анализа.
Легитимный MokList заменяется мошенническим сертификатом, что фактически авторизует вредоносный загрузчик (bootkit.efi).
После перенаправления выполнения на шелл-код Bootkitty восстанавливает перезаписанные области памяти в уязвимой функции (RLE8ToBlt) с использованием исходных инструкций, поэтому любые признаки очевидного вмешательства стираются.
Binarly утверждает, что Bootkitty может быть нацелен на любое устройство, не защищенное от LogoFAIL, но его текущий шелл-код подстроен под модули прошивки Acer, HP, Fujitsu и Lenovo.
Анализ файла bootkit.efi показал, что устройства Lenovo на базе Insyde являются наиболее уязвимыми, поскольку Bootkitty ссылается на определенные имена переменных и пути, используемые этим брендом.
При этом некоторые широко распространенные устройства работают на прошивках, которые по-прежнему уязвимы для эксплойтов LogoFAIL: IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 и Lenovo Yoga 9-14IRP8.
Новыми подробностями поделились сегодня и в ESET, обновив первоначальную статью про BootKitty.
По их данным, разработка ведется студентами ИБ в рамках корейской программы обучения Best of the Best (BoB) в научных и исключительно исследовательских целях.
Подробности своих изысканий обещают раскрыть позже, так что будем следить.
www.binarly.io
LogoFAIL Exploited to Deploy Bootkitty, the first UEFI bootkit for Linux
Binarly researchers find a direct connection between the newly discovered Bootkitty Linux bootkit and exploitation of the LogoFAIL image parsing vulnerabilities reported more than a year ago
Исследователи Fortinet выкатили отчет в отношении новой программы-вымогателя Interlock, главной особенностью которой является наличие версии для FreeBSD помимо шифровальщика Windows.
Первый в своем роде штамм впервые был замечен в начале октября 2024 года, но по всей видимости распространялся намного ранее.
Interlock представлен в двух версиях: для Windows (Vista, 7, 8, 8.1 и 10) и FreeBSD, и традиционно реализует шифрование файлов на компьютерах жертв, заявляя требования по выкупу за их расшифровку с помощью соответствующих записок с меткой «!__README__!.txt».
Начальный вектор заражения Interlock в точности неизвестен.
Однако, как сообщает исследователь Сина Хейрха, на машине жертвы был обнаружен ранее неизвестный бэкдор Supper, через который могла быть развернута ransomware.
После запуска программы-вымогателя она шифрует файлы на компьютерах жертв с помощью алгоритма шифрования AES-CBC и добавляет к зашифрованным файлам расширение «.interlock».
В ходе шифрования реализованы исключения по типу файлов и директориям.
Причем версия программы-вымогателя Interlock для FreeBSD пропускает файлы с расширением «.interlock» из процесса шифрования.
На момент расследования на сайте DLS Interlock было указано шесть жертв, пять из которых находились в США, а одна — в Италии.
Для каждой жертвы на DLS в TOR представлена отдельная страница с описанием организации жертвы и списком украденных файлов.
Однако данные телеметрии потенциально указывают на более широкую виктимологию.
Образцы программы-вымогателя Interlock были замечены в Индии, Италии, Японии, Германии, Перу, Южной Корее, Турции и США.
Костяк жертв приходится на сектора образования, финансов, госуправления, здравоохранения и производства, что указывает на отсутствие у Interlock каких-либо ограничений по части выбора жертв.
Индикаторы компрометации - в отчете.
Первый в своем роде штамм впервые был замечен в начале октября 2024 года, но по всей видимости распространялся намного ранее.
Interlock представлен в двух версиях: для Windows (Vista, 7, 8, 8.1 и 10) и FreeBSD, и традиционно реализует шифрование файлов на компьютерах жертв, заявляя требования по выкупу за их расшифровку с помощью соответствующих записок с меткой «!__README__!.txt».
Начальный вектор заражения Interlock в точности неизвестен.
Однако, как сообщает исследователь Сина Хейрха, на машине жертвы был обнаружен ранее неизвестный бэкдор Supper, через который могла быть развернута ransomware.
После запуска программы-вымогателя она шифрует файлы на компьютерах жертв с помощью алгоритма шифрования AES-CBC и добавляет к зашифрованным файлам расширение «.interlock».
В ходе шифрования реализованы исключения по типу файлов и директориям.
Причем версия программы-вымогателя Interlock для FreeBSD пропускает файлы с расширением «.interlock» из процесса шифрования.
На момент расследования на сайте DLS Interlock было указано шесть жертв, пять из которых находились в США, а одна — в Италии.
Для каждой жертвы на DLS в TOR представлена отдельная страница с описанием организации жертвы и списком украденных файлов.
Однако данные телеметрии потенциально указывают на более широкую виктимологию.
Образцы программы-вымогателя Interlock были замечены в Индии, Италии, Японии, Германии, Перу, Южной Корее, Турции и США.
Костяк жертв приходится на сектора образования, финансов, госуправления, здравоохранения и производства, что указывает на отсутствие у Interlock каких-либо ограничений по части выбора жертв.
Индикаторы компрометации - в отчете.
Fortinet Blog
Ransomware Roundup - Interlock
Interlock is a recent ransomware variant that has victimized organizations in the United States and Italy, but may have hit other countries. The ransomware affects not only Windows, but also the Fr…
Veeam выпустила обновления безопасности для устранения достаточно большого количества уязвимостей, включая критическую в Service Provider Console (VSPC).
VSPC описывается как удаленно управляемая платформа BaaS (Backend as a Service) и DRaaS (Disaster Recovery as a Service) для мониторинга работоспособности и безопасности резервных копий, а также для управления защищенными Veeam виртуальными активами.
Уязвимость отслеживается как CVE-2024-42448 и имеет оценку CVSS 9,9 из максимальных 10,0. Она была обнаружена в ходе внутреннего тестирования.
Ошибка позволяет реализовать RCE на машине сервера VSPC с машины агента управления.
Veeam также устранила уязвимость высокой степени серьезности (CVE-2024-42449), которая позволяет злоумышленникам красть NTLM-хэш учетной записи службы сервера VSPC и использовать полученный доступ для удаления файлов на сервере.
Однако, как пояснила компания, обе уязвимости могут быть успешно использованы только в том случае, если агент управления авторизован на целевом сервере.
Уязвимости затрагивают VPSC 8.1.0.21377 и все более ранние версии, включая сборки 8 и 7, но при этом ныне неподдерживаемые версии продукта, вероятно, также подвержены влиянию и должны считаться уязвимыми, даже если они не были протестированы.
Компания призывает поставщиков услуг, использующих поддерживаемые версии Veeam Service Provider Console (версии 7 и 8), обновиться до последнего накопительного пакета исправлений, а в случае с неподдерживаемыми версиями - обновиться до последней доступной.
Недавняя масштабная эксплуатация уязвимостей Veeam показала, что медлить в этом вопросе нельзя. Akira, Frag и Fog не дадут соврать.
VSPC описывается как удаленно управляемая платформа BaaS (Backend as a Service) и DRaaS (Disaster Recovery as a Service) для мониторинга работоспособности и безопасности резервных копий, а также для управления защищенными Veeam виртуальными активами.
Уязвимость отслеживается как CVE-2024-42448 и имеет оценку CVSS 9,9 из максимальных 10,0. Она была обнаружена в ходе внутреннего тестирования.
Ошибка позволяет реализовать RCE на машине сервера VSPC с машины агента управления.
Veeam также устранила уязвимость высокой степени серьезности (CVE-2024-42449), которая позволяет злоумышленникам красть NTLM-хэш учетной записи службы сервера VSPC и использовать полученный доступ для удаления файлов на сервере.
Однако, как пояснила компания, обе уязвимости могут быть успешно использованы только в том случае, если агент управления авторизован на целевом сервере.
Уязвимости затрагивают VPSC 8.1.0.21377 и все более ранние версии, включая сборки 8 и 7, но при этом ныне неподдерживаемые версии продукта, вероятно, также подвержены влиянию и должны считаться уязвимыми, даже если они не были протестированы.
Компания призывает поставщиков услуг, использующих поддерживаемые версии Veeam Service Provider Console (версии 7 и 8), обновиться до последнего накопительного пакета исправлений, а в случае с неподдерживаемыми версиями - обновиться до последней доступной.
Недавняя масштабная эксплуатация уязвимостей Veeam показала, что медлить в этом вопросе нельзя. Akira, Frag и Fog не дадут соврать.
Veeam Software
KB4679: Veeam Service Provider Console Vulnerability (CVE-2024-42448 | CVE-2024-42449)
На прошлой неделе вымогатели чуть устроили в Коста-Рике настоящий энергетический коллапс, парализовав крупнейший нефтеперерабатывающий завод RECOPE, что вынудило его перейти на «ручное» управление и обратиться за помощью к зарубежным партнерам.
Компания Refinadora Costarricense de Petróleo, известная как RECOPE, импортирует, перерабатывает и поставляет нефтепродукты по всей стране, а также реализует управление сетями трубопроводов от Карибского моря до побережья Тихого океана, являясь крупнейшей в всей Центральной Америке.
RECOPE заявила, что обнаружила инцидент с ransomware в среду утром и начала расследование.
Чиновники были вынуждены проводить продажи топлива вручную в свете атаки, которая вывела из строя все цифровые системы, используемые для проведения платежей, в том числе на танкерных терминалах.
RECOPE теперь оперативно работает с Министерством науки, инноваций, технологий и телекоммуникаций страны (MICITT) над разрешением ситуации, пытаясь избежать дефицита топлива.
Помимо этого власти Коста-Рики вынуждены были вновь обратиться за помощью к США как и в 2022 году, когда в результате атаки банды вымогателей Conti были выедены из строя практически вся государственная инфраструктура, а в стране был объявлен режим ЧС.
Конечно, не Stuxnet, но последствия ransomware-атаки для Коста-Рики более чем серьезные, а при некоторых условиях - могли привести к региональному энергетическому кризису.
Компания Refinadora Costarricense de Petróleo, известная как RECOPE, импортирует, перерабатывает и поставляет нефтепродукты по всей стране, а также реализует управление сетями трубопроводов от Карибского моря до побережья Тихого океана, являясь крупнейшей в всей Центральной Америке.
RECOPE заявила, что обнаружила инцидент с ransomware в среду утром и начала расследование.
Чиновники были вынуждены проводить продажи топлива вручную в свете атаки, которая вывела из строя все цифровые системы, используемые для проведения платежей, в том числе на танкерных терминалах.
RECOPE теперь оперативно работает с Министерством науки, инноваций, технологий и телекоммуникаций страны (MICITT) над разрешением ситуации, пытаясь избежать дефицита топлива.
Помимо этого власти Коста-Рики вынуждены были вновь обратиться за помощью к США как и в 2022 году, когда в результате атаки банды вымогателей Conti были выедены из строя практически вся государственная инфраструктура, а в стране был объявлен режим ЧС.
Конечно, не Stuxnet, но последствия ransomware-атаки для Коста-Рики более чем серьезные, а при некоторых условиях - могли привести к региональному энергетическому кризису.
therecord.media
Costa Rica state energy company calls in US experts to help with ransomware attack
Officials said they were forced to conduct fuel sales manually in light of the attack, which took down all of the digital systems used to facilitate payments.
На западе продолжают рефлексировать по поводу вездесущих китайских кибершпионов из Salt Typhoon (Earth Estries, FamousSparrow, GhostEmperor и UNC2286), нацеленных в недавних кампаниях на поставщиков телекоммуникационных услуг.
На этот раз свое мнение относительно широкомасштабной кампании кибершпионажа высказали агентства по кибербезопасности из стран, входящих в FiveEyes.
Специалисты отметили, что выявленные инциденты, связанные с деятельностью китайских хакеров, обусловлены, прежде всего, существующими упущениями в сфере ИБ в инфраструктуре жертв.
При этом злоумышленники до сих пор сохраняют доступ к американским телекоммуникационным сетям даже по прошествии шести месяцев активного расследования.
В связи с чем, для противодействия атакам спецслужбы выпустили совместное руководство по передовым методам, которые следует адаптировать для защиты корпоративных сетей.
Абстрагируюсь от геополитического подтекста, названный документ, безусловно, будет полезен для специалистов, задействованных в обеспечении ИБ отечественных операторов отрасли связь.
На этот раз свое мнение относительно широкомасштабной кампании кибершпионажа высказали агентства по кибербезопасности из стран, входящих в FiveEyes.
Специалисты отметили, что выявленные инциденты, связанные с деятельностью китайских хакеров, обусловлены, прежде всего, существующими упущениями в сфере ИБ в инфраструктуре жертв.
При этом злоумышленники до сих пор сохраняют доступ к американским телекоммуникационным сетям даже по прошествии шести месяцев активного расследования.
В связи с чем, для противодействия атакам спецслужбы выпустили совместное руководство по передовым методам, которые следует адаптировать для защиты корпоративных сетей.
Абстрагируюсь от геополитического подтекста, названный документ, безусловно, будет полезен для специалистов, задействованных в обеспечении ИБ отечественных операторов отрасли связь.
Cybersecurity and Infrastructure Security Agency CISA
Enhanced Visibility and Hardening Guidance for Communications Infrastructure | CISA
This guide provides network engineers and defenders of communications infrastructure with best practices to strengthen their visibility and harden their network devices against successful exploitation carried out by PRC-affiliated and other malicious cyber…
В программном обеспечении SailPoint для управления идентификацией и доступом (IAM) IdentityIQ была обнаружена критическая уязвимость, которая позволяет осуществлять несанкционированный доступ к содержимому, хранящемуся в каталоге приложения.
Уязвимость, отслеживаемая как CVE-2024-10905, имеет максимальную оценку CVSS 10,0 и затрагивает версии IdentityIQ 8.2, 8.3, 8.4 и все предыдущие версии.
Согласно описанию уязвимости NIST, IdentityIQ разрешает HTTP-доступ к статическому контенту в каталоге приложения IdentityIQ, который должен быть защищен.
Уязвимость связана с неправильной обработкой имен файлов, идентифицирующих виртуальные ресурсы (CWE-66), что может быть использовано для чтения иным образом недоступных файлов.
В настоящее время каких-либо других подробностей об этой уязвимости не имеется. Сама SailPoint также не выпустила никаких рекомендации по безопасности.
Будем следить.
Уязвимость, отслеживаемая как CVE-2024-10905, имеет максимальную оценку CVSS 10,0 и затрагивает версии IdentityIQ 8.2, 8.3, 8.4 и все предыдущие версии.
Согласно описанию уязвимости NIST, IdentityIQ разрешает HTTP-доступ к статическому контенту в каталоге приложения IdentityIQ, который должен быть защищен.
Уязвимость связана с неправильной обработкой имен файлов, идентифицирующих виртуальные ресурсы (CWE-66), что может быть использовано для чтения иным образом недоступных файлов.
В настоящее время каких-либо других подробностей об этой уязвимости не имеется. Сама SailPoint также не выпустила никаких рекомендации по безопасности.
Будем следить.
Sailpoint
IdentityIQ: Comprehensive identity security
See how IdentityIQ delivers full lifecycle and compliance management for custom-built, comprehensive identity security for complex enterprises.
Fortinet сообщает о возвращении вредоносного ПО SmokeLoader, которое использовалось в замеченной исследователями фишинговой кампании, нацеленной на тайваньские компании в сфере IT, производства и здравоохранения.
SmokeLoader впервые засветился на хакерских форумах еще в 2011 году, хорошо известен своей универсальностью и передовыми методами уклонения, а его модульная конструкция позволяет ему выполнять широкий спектр атак: от кражи данных до майнинга крипты.
Несмотря на то, что SmokeLoader, в первую очередь, выполняет функцию загрузчика для доставки другого вредоносного ПО, в данном случае он реализует саму атаку, загружая плагины со своего сервера С2.
SmokeLoader способен детектировать среды анализа, генерировать поддельный сетевой трафик и скрывать код, избегая обнаружения и затрудняя анализ.
Операторы этого штамма вредоносного ПО ведут постоянную разработку, расширяя его функционал, внедряя новые функции и применяя методы обфускации для затруднения анализа.
Активность SmokeLoader значительно снизилась после инициированной в мае 2024 Европолом операции Endgame, в результате которой была нейтрализована инфраструктура IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee и TrickBot.
Тогда было демонтировано около 1000 доменов C2, связанных с SmokeLoader, а более 50 000 активных заражений были удаленно зачищены.
Тем не менее, вредоносное ПО продолжает использоваться группами угроз для распространения полезных нагрузок через новую инфраструктуру C2.
По данным Zscaler, это во многом связано с многочисленными взломанными версиями, доступными в Интернет.
Начальной точкой цепочки атак, обнаруженной FortiGuard Labs, является фишинговое письмо с вложением Microsoft Excel, которое при запуске реализует многолетние уязвимости безопасности (в том числе, CVE-2017-0199 и CVE-2017-11882) для установки загрузчика Ande Loader, который затем используется для развертывания SmokeLoader на скомпрометированном хосте.
SmokeLoader включает два компонента: stager и main module.
Целью stager является расшифровка, распаковка и внедрение main module в процесс explorer.exe. При этом main module отвечает за установление персистентности, связь с C2 и обработку команд.
Вредоносная ПО поддерживает несколько плагинов, которые могут красть данные для входа и учетные данные FTP, адреса электронной почты, файлы cookie и другую информацию из браузеров, Outlook, Thunderbird, FileZilla и WinSCP.
Технический разбор всей цепочки заражения, а также IOCs - в отчете.
SmokeLoader впервые засветился на хакерских форумах еще в 2011 году, хорошо известен своей универсальностью и передовыми методами уклонения, а его модульная конструкция позволяет ему выполнять широкий спектр атак: от кражи данных до майнинга крипты.
Несмотря на то, что SmokeLoader, в первую очередь, выполняет функцию загрузчика для доставки другого вредоносного ПО, в данном случае он реализует саму атаку, загружая плагины со своего сервера С2.
SmokeLoader способен детектировать среды анализа, генерировать поддельный сетевой трафик и скрывать код, избегая обнаружения и затрудняя анализ.
Операторы этого штамма вредоносного ПО ведут постоянную разработку, расширяя его функционал, внедряя новые функции и применяя методы обфускации для затруднения анализа.
Активность SmokeLoader значительно снизилась после инициированной в мае 2024 Европолом операции Endgame, в результате которой была нейтрализована инфраструктура IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee и TrickBot.
Тогда было демонтировано около 1000 доменов C2, связанных с SmokeLoader, а более 50 000 активных заражений были удаленно зачищены.
Тем не менее, вредоносное ПО продолжает использоваться группами угроз для распространения полезных нагрузок через новую инфраструктуру C2.
По данным Zscaler, это во многом связано с многочисленными взломанными версиями, доступными в Интернет.
Начальной точкой цепочки атак, обнаруженной FortiGuard Labs, является фишинговое письмо с вложением Microsoft Excel, которое при запуске реализует многолетние уязвимости безопасности (в том числе, CVE-2017-0199 и CVE-2017-11882) для установки загрузчика Ande Loader, который затем используется для развертывания SmokeLoader на скомпрометированном хосте.
SmokeLoader включает два компонента: stager и main module.
Целью stager является расшифровка, распаковка и внедрение main module в процесс explorer.exe. При этом main module отвечает за установление персистентности, связь с C2 и обработку команд.
Вредоносная ПО поддерживает несколько плагинов, которые могут красть данные для входа и учетные данные FTP, адреса электронной почты, файлы cookie и другую информацию из браузеров, Outlook, Thunderbird, FileZilla и WinSCP.
Технический разбор всей цепочки заражения, а также IOCs - в отчете.
Fortinet Blog
SmokeLoader Attack Targets Companies in Taiwan
FortiGuard Labs has uncovered an attack targeting companies in Taiwan with SmokeLoader, which performs its attack with plugins this time. Learn more.…
Forwarded from Social Engineering
🗞 Paged Out #5.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно chatgpt и deepl).
• Так вот, неделю назад был опубликован 5-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно chatgpt и deepl).
• Так вот, неделю назад был опубликован 5-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT