Сегодня день не задался у многих: у Microsoft Office с их 365 (на самом деле помним, как было и 364), затем пользователей Xiaomi накрыла волна «окирпичивания» их мобильных девайсов после обновления Hyper OS, а владельцы 3D-принтеров Anycubic по всему миру получили месседж от хакера.

Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.

И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.

В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.

Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.

После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".

Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.

Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.

Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.

📦 Zip-файлы: история, объяснение и реализация.

• Формат Zip был создан более 30 лет назад на основе технологий пятидесятых и семидесятых годов. И хотя с тех пор многое изменилось, Zip-файлы, по сути, остались теми же и сегодня более распространены, чем когда-либо. Думаю, будет полезно хорошо разбираться в том, как они работают.

• В статье очень подробно объясняется, как работают Zip-файлы и схема сжатия: LZ77-сжатие, алгоритм Хаффмана, алгоритм Deflate и прочее.

• История;
- PKZip;
- Info-ZIP and zlib;
- WinZip;
• Сжатие Lempel-Ziv (LZ77);
• Код Хаффмана;
- Алгоритм Хаффмана;
- Канонические коды Хаффмана;
- Эффективное декодирование Хаффмана;
• Deflate;
- Битовые потоки;
- Распаковка (Inflation);
- Несжатые Deflate-блоки;
- Deflate-блоки с применением фиксированных кодов Хаффмана;
- Deflate-блоки с применением динамических кодов Хаффмана;
- Сжатие (Deflation);
• Формат Zip-файлов;
- Обзор;
- Структуры данных;
- Конец записи центрального каталога;
- Центральный заголовок файла;
- Локальный заголовок файла;
- Реализация Zip-считывания;
- Реализация Zip-записи;
• HWZip;
- Инструкции по сборки;
• Заключение;
• Упражнения;
• Полезные материалы.

#Разное

Как мы и полагали, все инсинуации с инфраструктурой вымогателей - лишь небольшой хук, который вряд ли приведет к нокдауну RaaS, с чем также солидарны исследователи Wired.

Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.

Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.

Как и в случае с LockBit разработчики ALPHV не только успешно восстановились после атак спецслужб, но и выкатили новую своего штамма программы-вымогателя.

Новая версия, отслеживаемая как  версия 2.0 или обновление Spynx, уже была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.

Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.

Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.

Будем посмотреть.

Исследователи из BI.ZONE сообщают об обнаружении ранее неизвестного злоумышленника, который активен как минимум с 2022 года и теперь отслеживается как Fluffy Wolf.

Группировка Fluffy Wolf действует просто, но достаточно эффективно: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.

Первоначальный доступ реализуется с помощью фишинговой рассылки с вложенными архивами, защищенными паролем.

Архивы содержат исполняемые файлы, замаскированные под акты сверки расчетов. Основная цель — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.

С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.

В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний с архивом, пароль для которого был в названии файла.

Архив включал Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал коммерческое ВПО Meta Stealer.

Арендовать клон популярного стилера RedLine на месяц можно за 150 долларов, купить пожизненную лицензию - за 1000 долларов, а главное у него отсутствуют ограничения для атак по России и СНГ.

Исследователи также отследили предыдущие кампании Fluffy Wolf и выявили варианты атак с различными комбинациями загрузчиков и полезной нагрузки.

Таким образом злоумышленники продолжают экспериментировать с легитимным ПО для удаленного доступа, добавляя в свой арсенал всё новые варианты.

При этом коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз, позволяя реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.

Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.

Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.

Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.

И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.

Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.

Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.

Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.

Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.