Vx-underground дает ссылку на утекший в паблик конструктор ransomware Babuk Locker, про который мы писали сегодня. Конкретный пост мы не приводим, сами найдете, а то еще обвинят нас в распространении вредоносов, как одного товарища.

Если качаете - то на свой страх и риск и исключительно в целях изучения сей гадости. С другой стороны, мы уверены, что все нубохакеры уже скачали себе это вымогательское творение.

Появилась информация про новую атаку на цепочку зависимостей, которая зацепила Microsoft.

Напомним, что эта атака использует недостатки в работе менеджеров пакетов, которые отдают предпочтение загрузке пакета из открытого репозитория перед аналогичной загрузкой частной сборки. Таким образом, если пакет с определенным именем отсутствует в открытом репозитории, то хакер может залить туда поддельный, являющийся на самом деле вредоносом. А тот в свою очередь будет подтянут как вполне легальный.

В феврале этот трюк позволил Алексу Бирсану условно скомпрометировать сети более 35 крупных технологических компаний, включая Microsoft, Apple, PayPal и др.

В этот раз исследователь Рикардо Ирамар дос Сантос изучал опенсорсный пакет SymphonyElectron и наткнулся на зависимость в виде подгружаемого пакета swift-search, который отсутствовал в npmjs .com. Дос Сантос зарегистрировал собственный пакет с тем же именем, который скидывал на его PoC-сервер параметры системы, подтянувшей пакет.

Через несколько часов после публикации исследователь обнаружил, что ̶е̶г̶о̶ ̶в̶ы̶з̶ы̶в̶а̶е̶т̶ ̶Т̶а̶й̶м̶ы̶р̶ ему отвечает игровой сервер Microsoft Halo. Эксперт сообщил данную информацию в Microsoft, а дальше начались обычные ритуальные танцы "я не я, баг а не фича" (сам дос Сантос называет решение сообщить об ошибке в MSRC "ужасной ошибкой").

Сначала они ответили, что это не их дело вообще, а вопрос к поддержке SymphonyElectron. Через час они попросили дос Сантоса воспроизвести компрометацию. А потом затянули стандартную бесконечную бессмысленную переписку, после чего исследователь опубликовал таки информацию об уязвимости в своем блоге.

Остается заметить, что дырку Microsoft таки оперативно прикрыли.

В конце прошлой недели NVIDIA выпустили обновление 3.23 для GeForce Experience, которым исправили уязвимость CVE-2021-1073 с оценкой критичности 8,3 по CVSS.

Путем эксплуатации ошибки хакер с помощью вредоносной ссылки мог перехватить токен сессии, с помощью чего получить доступ к информации пользователя. Критичность уязвимости была снижена, поскольку жертва должна самостоятельно перейти по вредоносной ссылке, что усложняет предполагаемую атаку.

Известных эксплойтов ошибки пока нет, об использовании в дикой природе не сообщается.

Тем не менее, поскольку GeForce Experience устанавливается по умолчанию со всеми картами NVIDIA, рекомендуем обновиться.

The Record пишет, что сегодня трое китайских исследователей из Sangfor опубликовали на GitHub полное техническое описание CVE-2021-1675 и соответствующий PoC. Ошибку они назвали PrintNightmare.

CVE-2021-1675, исправленная в июньском патче Windows, представляет собой дырку в диспетчере очереди печати spoolsv.exe. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE) и позволяет фактически взять атакованную систему под полный контроль.

Вчера китайцы из QiAnXin опубликовали в своем Twitter GIF в плохом разрешении, на котором был показан эксплойт ошибки. Из-за этого первичные китайцы из Sangfor решили выложить свой PoC, который, по их словам они разработали самостоятельно для участия в соревновании Tianfu Cup.

Спустя несколько часов они одумались и удалили материалы из GitHub, но за это время технические подробности и PoC уже успели растащить. В связи с этим ожидаем появления эксплойта CVE-2021-1675 в паблике в ближайшее время.

Вывод, собственно, один - если не обновили свои Windows, то сделайте это как можно быстрее. RCE - это вам, знаете ли, не выступление сборной России по футболу смотреть, а гораздо больнее.

​​В пятницу мы писали про загадочную историю в массовым удалением данных и сброса к заводским настройкам сетевых накопителей My Book от Western Digital.

Тогда мы предположили, что это провозвестник воли зародившегося в недрах сети SkyNet и уже приготовились ему поклоняться, для чего сделали алтарь из старого EC-1066, пририсовав еще одну шестерку к названию модели. Однако реальность оказалась прозаичнее.

Исследователи Censys установили, что злоумышленники использовали при атаке на My Book недокументированную пока 0-day уязвимость в прошивке, которая позволяет осуществить сброс настроек устройства любому, имеющему к нему удаленный доступ.

Параллельно с этим обнаружилось, что другие хакеры эксплуатируют достаточно старую CVE-2018-18472 для того, чтобы засадить в My Book бота, являющегося частью ботнета Linux.Ngioweb.27.

Эксперты Censys полагают, что массовый сброс к заводским настройкам был одним из элементов борьбы между ботоводами за кормовую базу, то есть это была попытка зачистить уже имеющиеся на устройствах боты и заразить его своими.

Ботоводы дерутся, а у пользователей чубы трещат.

BleepingComputer сообщают о том, что "русские хакеры" взломали и имели доступ к сети Центрального банка Дании в течение 7 месяцев.

Этот самый доступ "русские хакеры" (догадались уже кто? Nobelium) получили в результате кибероперации Sunburst по атаке на цепочку поставок в виде компании SolarWinds, про которую мы все прекрасно знаем (а если кто не знает, ищите SolarWinds у нас на канале, мы много про этом писали).

Свое отношение к этим самым "русским хакерам" как исключительно информационному явлению мы подробно описали здесь, приведя соответствующие аргументы.

А вот то, что в сети датского ЦБ больше полугода сидел бэкдор и никто ничего не увидел - это тревожный звонок для инфосека датского ЦБ.

Дежурные камлания "согласно проведенному анализу, атака не имела каких-либо реальных последствий" прилагаются.

Голландцы из инфосек компании Tesorion выпустили бесплатный дешифратор для очередного штамма ransomware Lorenz, который появился совсем недавно в апреле этого года, но от него уже пострадали больше десятка жертв.

К сожалению дешифратор работает не со всеми типами файлов, а только с наиболее распространенными - PDF, Office, некоторые форматы изображений и видео.

Дешифратор можно скачать с NoMoreRansom. Там же можно найти другие бесплатные дешифраторы для ransomware, поэтому рекомендуем запомнить ссылку.

​​"Да, Ваше Благородие, а еще он Вам в штаны насрал" (с)

Ой, бля....

Тут пишут, что июньский патч безопасности от Microsoft не закрыл CVE-2021-1675 aka PrintNightmare, про которую мы писали вчера и к которой на днях появился PoC.

Напомним, что CVE-2021-1675 - это приводящая к удаленному выполнению кода (RCE) уязвимость в диспетчере очереди печати spoolsv.exe (Print Spooler) в Windows. По умолчанию Print Spooler включен на всех машинах.

Имеем - критическая неисправленная RCE-уязвимость и оказавшийся в паблике PoC ее эксплуатации. Казалось бы, что может пойти не так?

А теперь серьезно - если это правда (а мы узнаем об этом, полагаем, в ближайшие часы), то это пиздецкий пиздец. Вы знаете, мы нечасто материмся, но это именно тот самый случай. Последний раз мы такое в Stuxnet видали.

Рекомендуем профилактически отрубить spoolsv.exe.

P.S. Пока мы писали пост несколько твитов про то, что патч не исправляет CVE-2021-1675 пропали, хотя другие остались. Это очень странно.

🦾9 июля пройдет международный онлайн-тренинг по кибербезопасности Cyber Polygon 2021

BI.ZONE уже в третий раз проводит масштабные киберучения на виртуальной инфраструктуре, моделирующей архитектуру и сервисы коммерческих компаний. Благодаря тренингу организации со зрелыми процессами получают реальный опыт защиты от атак и расследования инцидентов без сопряженного с этим финансового ущерба.

Для тренинга BI.ZONE готовит сценарии атак, с которыми приходилось иметь дело, поэтому они всегда актуальны, и участники получают знания и навыки, которые могут пригодится им уже завтра.

Главная тема в этом году — безопасное развитие экосистем и отражение supply chain attack (или атак на цепочку поставок).

На тренинг зарегистрировалось уже более 160 организаций из 47 стран. Среди них — Сбер, «Тинькофф», Home Credit bank, TimeWeb, SB Crédito, Ventum Consulting, OZON, Агентство кибербезопасности Сингапура, UZCERT и многие другие.

Зарегистрировать свою команду можно по ссылке. У вас есть еще несколько дней, чтобы присоединиться к тренингу.

Обратите внимание:
☝️заявки принимаются только от корпоративных команд
☝️на прохождение сценариев тренинга нужно заложить сутки

Также вас ждет экспертный трек с техническими докладами от Сергея Голованова из Лаборатории Касперского, Ивана Новикова из Wallarm, Кирилла Касавченко из Netskope, Артема Синицына из Microsoft и других.

👉За новостями тренинга можно следить в канале организатора Cyber Polygon — компании BI.ZONE.

Присоединяйтесь (если не хотите быть как SolarWinds).

​​Ну и вдогонку к недавнему посту про незакрытую CVE-2021-1675

​​История с критичной уязвимостью PrintNightmare становится все чудесатее и чудесатее, как сказала бы кэрроловская Алиса.

Изначально исследователи китайской Sangfor, которые выложили технические детали и PoC ошибки, предполагали, что найденная ими уязвимость именно CVE-2021-1675 и есть. А CVE-2021-1675 была уже закрыта июньским патчем от Microsoft.

Однако, согласно появившейся информации, найденная китайцами дырка уязвимостью CVE-2021-1675 вовсе не является, это совершенно самостоятельная 0-day. Если это так, то это объясняет вчерашний кейс, когда на полностью пропатченных Windows эксплуатация PrintNightmare продолжала работать.

Кстати, Делпи уже продемонстрировал успешный эксплойт ошибки, а следовательно - до ее использования в Mimikatz осталось недолго.

Напомним, что PrintNightmare позволяет осуществить RCE с позиции любого аутентифицированного пользователя. Так что рекомендация, собственно, та же, что и была вчера - срочно отрубить spoolsv.exe, особенно на контроллерах домена.

​​Как мы и предсказывали, нубохакеры добрались до конструктора ransomware Babuk, который на днях оказался в паблике.

Как сообщает BleepingComputer, 30 июня количество обращений к ID Ransomware от жертв Babuk возросло в десятки раз. При этом сумма выкупа составляет смешные 210 долларов, а для связи злоумышленник использует адрес электронной почты на Tutanota. Ну и жертвами являются не корпоративные структуры, а обычные пользователи, подцепившие вымогатель через зараженный кряк для антивируса.

Именно так забивают гвозди микроскопом.

​​1 июля - День ветеранов боевых действий!

Check Point опубликовали отчет, в котором рассказали про выявленную киберкампанию китайской APT IndigoZebra, направленную на членов Совета национальной безопасности (СНБ) Афганистана.

Первичное заражение осуществлялось посредством фишинговых писем от лица Администрации Президента Афганистана сотрудникам афганского СНБ. Во вложенном архиве содержится дроппер, который подтягивает бэкдор BoxCaon, использующий Dropbox в качестве управляющего центра, что позволяет маскировать связь малвари с С2. После закрепления на атакованной машине актор начинает проводить разведку с помощью BoxCaon.

Проведя поиск по образцам исследователи обнаружили, что самый ранний из схожих датируется еще 2014 годом. Один из найденных образцов упоминался в отчете Лаборатории Касперского 2017 года под названием xCaon и атрибутировался как принадлежащий китайской APT IndigoZebra. Исходя из этого Check Point предположили, что найденный ими вредонос явлется обновленным вариантом xCaon.

Другие найденные штаммы, использующие для связи с управляющим центром HTTP, были нацелены на государственные структуры Киргизстана и Узбекистана.

Китайцам интересно все. Что же, при таком количестве и качестве активных APT они могут себе это позволить.

​​Итак, логичное продолжение истории с уязвимостью PrintNightmare в диспетчере очереди печати Windows spoolsv.exe.

Microsoft таки выдали ошибке новый CVE-2021-34527, фактически подтвердив информацию о том, что это совершенно свежая дырка, отличная от CVE-2021-1675, которая таки была закрыта июньским патчем безопасности. Параллельно Microsoft сообщили, что уязвимость актуальна для всех версий Windows, а также то, что PrintNightmare уже эксплуатируется хакерами в дикой природе (еще бы, PoC-то уже давно в паблике).

Официальные рекомендации Microsoft по снижению уязвимости есть по приведенной ссылке.

По всем новостным лентам понеслась информация от АНБ о том, что русские хакеры из ГЦСС ГРУ задействовали Kubernetes для брутфорса учетных данных сотрудников американских и европейских правительственных и коммерческих организаций еще с середины 2019 года. ГЦСС, если кто забыл, считается альма-матер APT 28 aka Fancy Bear.

Если кому интересно - то оригинал здесь. TTPs, как обычно, никаких - АНБ вообще товарищи на технические подробности скупые.

И что-то больше никаких новостей особо нет. Разве что Альперович радуется, что, по словам американского заместителя советника по нацбезопасности Энн Нойбергер, "Белый Дом вскоре официально возложит ответственность за масштабные атаки на Microsoft Exchange". На кого Нойбергер ответственность возложит в явном виде не сказано, но подразумевается, что на китайскую APT Hafnium. В обратную сторону подразумевается, что Китай положит на то, что Нойбергер что-то на кого-то возложит.

Для "скорого возложения" американской администрации понадобилось всего-то полгода - атаки ProxyLogon начались в январе этого года, а Microsoft официально прикрыла четыре 0-day уязвимости, которые эксплуатировались Hafnium, спустя два месяца. Для сравнения - про "причастность русских хакеров" к атаке Sunburst на SolarWinds американская администрация заявила чуть ли не раньше, чем FireEye рассказала о самой атаке.

Ну а в конце рабочей недели прекрасная история про монгольский инфосек. На конях и с Тамерланом. А поведала нам ее компания Avast.

В конце марта текущего года Avast обнаружили бэкдор, который, как выяснилось, был загружен с официального сайта MonPass - одного из основных центров сертификации в Монголии. Исследователи связались с MNCERT и MonPass, после чего центр сертификации скинул им образ своего веб-сервера для изучения.

Результаты были интересные - сервер был взломан предположительно 8 раз, поскольку эксперты Avast обнаружили 8 разных веб-шеллов и бэкдоров. Кроме того, в период с 8 февраля по 3 марта этого года доступный к загрузке клиент MonPass также был заряжен бэкдором на основе Cobalt Strike. В медицине такое называется "суперраспространитель", а в народе "трисичуха" - "трипер, сифилис, чума, холера".

В начале мая Avast сообщили о результатах исследования в MonPass, а к концу июня монгольские кибербатыры залатали дыры в своей площадке и уведомили клиентов об их возможной компрометации.

Остается добавить, что ответственных за атаки хакеров Avast не назвали, но, судя по геополитическому раскладу в этом районе Азии, можно с большой долей уверенности утверждать, что это таки Китай.

Ну и ещё немного, расскажем вам о реальных достоинствах и прелести умных домов. В жизни максимальные бонусы от девайсов получают не только их жители, но и незванные гости.

Which совместно с NCC Group и Global Cyber Alliance выяснили, что современный умный дом за одну неделю подвергается 12 000 кибератак. Узнать об этом исследователи смогли благодаря эксперименту, в рамках которого был создан полигон с многочисленными устройствами IoT, включая телевизоры, термостаты, интеллектуальные системы безопасности и пр.

За неделю наблюдений удалось зафиксировать 12 807 попыток взломов и сканирований, подавляющее большинство из которых происходили из США, Индии, Китая и Нидерландов.

Наиболее распространенным методом была попытка входа в систему с использованием слабых имен пользователей и паролей по умолчанию, таких как admin: всего было совершено 2435 попыток перебора или же 14 в час. При этом большинство устройств показали высокую защищенность. Сплоховала беспроводная камера ieGeek от Amazon, к управлению которой злоумышленник получил полный доступ. Сразу после эксперимента устройство было снято с продажи на площадках Amazon, несмотря на почти 8 500 положительных отзывов покупателей.

Стоит отметки, что многие производители обезопасили будущих владельцев, следуя политике применения уникальных паролей по умолчанию. Отличились Epson, Yale, Samsung.

По оценкам Which, 97% всех атак на интеллектуальные устройства преследовали цель добавления их в ботнет Mirai, состоящий из множества небезопасных сетевых устройств и представляющий собой мощный хакерский инструмент. Например, только в 2016 году с его помощью были положены Twitter, Amazon и другие известные веб-сайты.

Ну вот, и отличное занятие нарисовалось на вечер пятницы: желаем поскорее добраться до админок и потереть заводские пароли к своим умным вещам, а самым замороченным - накатить свежие update.