Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.

Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.

Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.

Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.

Вредоносная программа собирает информацию о системе и передает ее на C2.

Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.

Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.

Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.

🍯 70+ бесплатных приманок для ловли хакеров.

• Предлагаем ознакомиться с подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.

• Honeypot — это приманка для хакеров, которая имитирует реальную цель атаки. Он может имитировать любой цифровой актив, например, сервер, приложение, устройство или даже отдельный документ. Такие приманки создаются специально, чтобы привлечь внимание злоумышленников и отвлечь их от настоящих целей.

• В статье описываются 70 open source ханипотов, которые можно поставить и попробовать прямо сейчас: https://habr.com/ru/post/731172/

#ИБ #Honeypot

Не прошло и года после взлома Rockstar Games, как в сети появились исходники Grand Theft Auto 5.

Видимо переговоры зашли в тупик или хакеры просто забили, но факт остается фактом и утечка уже в сети.

Напомним, Rockstar Games был взломан в 2022 году членами хакерской группы Lapsus$, которые получили доступ к внутреннему серверу Slack компании и Confluence wiki.

Все же, тогда злоумышленники не врали, когда утверждали, что украли исходный код GTA 5 и тестовую сборку GTA 6.

Ссылки на скачивание были размещены на многих площадках, включая Discord, Telegram и на теневых ресурсах, которые хакеры использовали для слива утечек.

В телеге некто Phil опубликовал ссылки на украденный исходный код, поделившись скриншотом одной из папок на своем канале и поблагодарил хакера из Lapsus$.

Вероятно, за барыш с Rocksta договориться не получилось и мотивацией злоумышленников стала монетизация читов для игры, на которую повелось не мало любителей GTA.

Специалисты уже оценили утечку, которая выглядит более чем легитимно, но от официальных заявлений отказались поскольку ждут официальных комментариев от Rockstar.

Исследователи из Лаборатории Касперского подвели итоги титанического расследования сложнейшей угрозы, получившей название Операция Триангуляция.

В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.

Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.

Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.

Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.

Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.

В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.

Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.

Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".

В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.

Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.

Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.

Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.

@SE_VirusTotal_bot — проверит Ваш файл или ссылку на предмет угроз и выдаст подробный отчет по итогу анализа.

Бот реализован на api VirusTotal и может осуществить проверку с помощью 70 различных антивирусов.

📦 Готовая лаборатория для анализа уязвимостей Active Directory.

• Репозитории, который представляет из себя уязвимою лабораторию для анализа уязвимостей в среде #AD. Благодаря GOAD, ты можешь получить полезные знания и применить их на практике. Всю необходимую информацию, можно найти тут: https://github.com/Orange-Cyberdefense/GOAD

#Пентест #AD

• Ранее делился с вами одним из самых подробных мануалов по командной строке windows. Пришло время поделиться аналогичным материалом, но только для Linux.

• В файле выше вы найдете руководство по командам Linux. Материал будет полезен для начинающих и может выступать в роли CheatSheet.

#Linux

NCC Group выпустила третье исследование с оценкой безопасности популярных инструментов RMM, в котором представила обзор на 18 уязвимостей в PandoraFMS.

Ранее в поле зрения исследователей попадали множественные уязвимости в Faronics Insight и Nagios XI.

PandoraFMS - это приложение для мониторинга и управления сетью масштаба предприятия, которое предоставляет системным администраторам центральный «концентратор» для наблюдения за состоянием компьютеров (агентов), развернутых в сети.

Консоль PandoraFMS включает обширный набор функций с возможностью выполнять произвольные команды на компьютерах агентов, отслеживать процессы, загрузку ЦП, взаимодействовать через SNMP и обеспечивает прямое соединение SSH/telnet с агентами через индивидуальный интерфейс.

Основные проблемы, одна из которых имеет оценку 9.9 CVSS, лишь обозначим (все подробности по каждой подробно представлены в исследовании):

- Неаутентифицированный захват учетной записи администратора с помощью резервных копий файлов журнала Cron (CVE-2023-4677)
- Резервные копии базы данных доступны любому пользователю (CVE-2023-41786)
- Удаленное выполнение кода через загрузчик файлов MIBS (CVE-2023-41788)
- Неаутентифицированный захват учетной записи администратора с помощью вредоносного агента и XSS (CVE-2023-41789)
- Произвольный файл, читаемый как root через страницу GoTTY (CVE-2023-41808)
- Чтение произвольного файла с помощью средства проверки API (CVE-2023-41787)
- Повышение локальных привилегий Linux через страницу GoTTY (CVE-2023-41807)
- Обход пути в get_file.php (CVE-2023-41790)
- Сохранение межсайтовых сценариев через страницу редактора ловушек SNMP (CVE-2023-41792)
- Сохраненный межсайтовый скриптинг из-за злоупотребления переводом (CVE-2023-41791)
- Сохранение межсайтовых сценариев через поле комментариев профиля пользователя (CVE-2023-41809)
- Отказ системы в обслуживании через страницу GoTTY (CVE-2023-41806)
- Любой пользователь может изменить настройки уведомлений любого другого пользователя (CVE-2023-41813)
- Файлы cookie устанавливаются без флага «ТОЛЬКО HTTP» (CVE-2023-41793)
- Установщик устанавливает MySQL со слабыми учетными данными (CVE еще не присвоены)
- Сохранение межсайтовых сценариев через панель мониторинга (CVE-2023-41810)
- Сохраненный межсайтовый скриптинг через страницу новостей сайта (CVE-2023-41811)
- Учетные данные пользователя, записанные для доступа к входу в систему в виде открытого текста (CVE-2023-41794)

Все эти уязвимости были устранены в версиях v773, v774 и v775. Работа велась с конца июля, когда поставщику впервые сообщили о проблемах.

В назначенную на октябрь дату раскрытия информации, поставщик не смог управиться с разработкой исправлений, пообещав до конца 2023 все устранить, что и было сделано: 29 декабря PandoraFMS выпустила финальный патч.

Как отмечают в NCC Group, несмотря на итоги исследования, в целом уровень безопасности приложения является высоким, и были предприняты значительные усилия для устранения наиболее серьезных недостатков.