После попадания в рейтинги самых длинных сериалов в мире по версии канала SecAtor, наряду с Санта-Барбарой, Симпсонами и Путеводным светом, новый сезон в Списке критических 0-day в решениях Ivanti обещает быть не менее занятным и авантюрным.

После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.

И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.

Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).

Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.

Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.

Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).

Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.

Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.

Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.

Но будем посмотреть.

Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.

Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.

Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.

Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.

Вредоносная программа собирает информацию о системе и передает ее на C2.

Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.

Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.

Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.

🍯 70+ бесплатных приманок для ловли хакеров.

• Предлагаем ознакомиться с подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.

• Honeypot — это приманка для хакеров, которая имитирует реальную цель атаки. Он может имитировать любой цифровой актив, например, сервер, приложение, устройство или даже отдельный документ. Такие приманки создаются специально, чтобы привлечь внимание злоумышленников и отвлечь их от настоящих целей.

• В статье описываются 70 open source ханипотов, которые можно поставить и попробовать прямо сейчас: https://habr.com/ru/post/731172/

#ИБ #Honeypot

Не прошло и года после взлома Rockstar Games, как в сети появились исходники Grand Theft Auto 5.

Видимо переговоры зашли в тупик или хакеры просто забили, но факт остается фактом и утечка уже в сети.

Напомним, Rockstar Games был взломан в 2022 году членами хакерской группы Lapsus$, которые получили доступ к внутреннему серверу Slack компании и Confluence wiki.

Все же, тогда злоумышленники не врали, когда утверждали, что украли исходный код GTA 5 и тестовую сборку GTA 6.

Ссылки на скачивание были размещены на многих площадках, включая Discord, Telegram и на теневых ресурсах, которые хакеры использовали для слива утечек.

В телеге некто Phil опубликовал ссылки на украденный исходный код, поделившись скриншотом одной из папок на своем канале и поблагодарил хакера из Lapsus$.

Вероятно, за барыш с Rocksta договориться не получилось и мотивацией злоумышленников стала монетизация читов для игры, на которую повелось не мало любителей GTA.

Специалисты уже оценили утечку, которая выглядит более чем легитимно, но от официальных заявлений отказались поскольку ждут официальных комментариев от Rockstar.

Исследователи из Лаборатории Касперского подвели итоги титанического расследования сложнейшей угрозы, получившей название Операция Триангуляция.

В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.

Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.

Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.

Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.

Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.

В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.

Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.

Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".

В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.

Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.

Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.

Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.

@SE_VirusTotal_bot — проверит Ваш файл или ссылку на предмет угроз и выдаст подробный отчет по итогу анализа.

Бот реализован на api VirusTotal и может осуществить проверку с помощью 70 различных антивирусов.