Выясняются интересные подробности взлома тайландской авиакомпании Bangkok Airways.
О киберинциденте объявила сама компания еще 23 августа. Утекли личные данные клиентов и сведения об их перелетах в объёме более 200 ГБ.
Признать себя жертвой оператору пришлось после того, как LockBit поставили их на счётчик на сайте утечки, вымогая выкуп.
Но если вы вспомните о том, как мы писали о переговорах вымогателей с IT-гигантом Accenture, то вполне обоснованно можете предположить, что атаки на Bangkok Airways и другого оператора Ethiopian были проведены во многом благодаря доступам к учетным данным, полученным в ходе кейса с Accenture. Правильно, LockBit в ходе давления на жертву как раз сообщали о своих намерениях пошифровать аэропорт, который использовал ПО Accenture.
Новости весьма тревожные, прежде всего, для других клиентов Accenture, особенно осознавая, что недополученную прибыль с которой LockBit компенсируют как раз за их счёт.
О киберинциденте объявила сама компания еще 23 августа. Утекли личные данные клиентов и сведения об их перелетах в объёме более 200 ГБ.
Признать себя жертвой оператору пришлось после того, как LockBit поставили их на счётчик на сайте утечки, вымогая выкуп.
Но если вы вспомните о том, как мы писали о переговорах вымогателей с IT-гигантом Accenture, то вполне обоснованно можете предположить, что атаки на Bangkok Airways и другого оператора Ethiopian были проведены во многом благодаря доступам к учетным данным, полученным в ходе кейса с Accenture. Правильно, LockBit в ходе давления на жертву как раз сообщали о своих намерениях пошифровать аэропорт, который использовал ПО Accenture.
Новости весьма тревожные, прежде всего, для других клиентов Accenture, особенно осознавая, что недополученную прибыль с которой LockBit компенсируют как раз за их счёт.
Telegram
SecAtor
Тайландская авиакомпания Bangkok Airways заявила, что 23 августа обнаружила себя жертвой кибериницдента.
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских…
Первоначальное расследование показало, что утекли личные данные клиентов, включая контактную и паспортную информацию, частичные сведения о банковских…
Еще 20 августа мы разбирались в новом функционале IoT-ботнета Mozi, который обеспечил админам возможность перехвата HTTP-сеансов и выполнения спуфинга DNS, а сегодня сами операторы уже под уголовкой.
Несмотря не то, что подробности арестов и имена подозреваемых не разглашаются. Известно, что админы были в разработке китайских спецслужб, и были арестованы во многом благодаря помощи спецов из Netlab, являющейся подразделением кибербезопасности китайского технологического гиганта Qihoo 360.
В ходе независимого расследования работы группировки, отчеты: 1 и 2, они смогли отследить инфраструктуру ботнета и его авторов.
Наблюдение начали еще в сентябре 2019 года, когда ботнет заразил более 15 тысяч систем. На тот момент развивался за счет сканирования и компрометации сети, к которой было подключено заражённое устройство, используя эксплойты или слабые пароли Telnet. Червеобразный ботнет содержал на вооружении более десяти эксплойтов, что обеспечило ему молниеносный рост, достигнув пика в более чем 1,5 млн. устройств, из которых 830 тыс. были расположены в КНР.
Netlab установили, что помимо упомянутого Microsoft модуля контроля трафика, за две недели до ареста развернули функционал, который подгружал на боты майнеры крипты, что позволяло монетизировать сеть в перерывах между заказами на DDoS.
Работая на протоколе DHT, ботнет реализовывал одноранговую P2P сеть между всеми зараженными устройствами, позволяя ботам напрямую отправлять обновления и рабочие инструкции друг другу, что также позволяет Mozi продолжать работать по сути автономно, в связи с чем остановить его будет достаточно сложной задачей.
Аналогчным образом продолжают существовать зомби-боты ботнета Hoaxcall, который схлопнули в начале этого года.
Пока авторов будут предавать уголовным утехам Mozi, Hajime и Hoaxcalls будут дистанционно радовать своих хозяев, пополняя кошельки криптой и подгружая в сеть новых ботов еще продолжительное время в будущем.
Несмотря не то, что подробности арестов и имена подозреваемых не разглашаются. Известно, что админы были в разработке китайских спецслужб, и были арестованы во многом благодаря помощи спецов из Netlab, являющейся подразделением кибербезопасности китайского технологического гиганта Qihoo 360.
В ходе независимого расследования работы группировки, отчеты: 1 и 2, они смогли отследить инфраструктуру ботнета и его авторов.
Наблюдение начали еще в сентябре 2019 года, когда ботнет заразил более 15 тысяч систем. На тот момент развивался за счет сканирования и компрометации сети, к которой было подключено заражённое устройство, используя эксплойты или слабые пароли Telnet. Червеобразный ботнет содержал на вооружении более десяти эксплойтов, что обеспечило ему молниеносный рост, достигнув пика в более чем 1,5 млн. устройств, из которых 830 тыс. были расположены в КНР.
Netlab установили, что помимо упомянутого Microsoft модуля контроля трафика, за две недели до ареста развернули функционал, который подгружал на боты майнеры крипты, что позволяло монетизировать сеть в перерывах между заказами на DDoS.
Работая на протоколе DHT, ботнет реализовывал одноранговую P2P сеть между всеми зараженными устройствами, позволяя ботам напрямую отправлять обновления и рабочие инструкции друг другу, что также позволяет Mozi продолжать работать по сути автономно, в связи с чем остановить его будет достаточно сложной задачей.
Аналогчным образом продолжают существовать зомби-боты ботнета Hoaxcall, который схлопнули в начале этого года.
Пока авторов будут предавать уголовным утехам Mozi, Hajime и Hoaxcalls будут дистанционно радовать своих хозяев, пополняя кошельки криптой и подгружая в сеть новых ботов еще продолжительное время в будущем.
360 Netlab Blog - Network Security Research Lab at 360
Mozi已死,余毒犹存
背景
360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。
现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的…
360NETLAB于2019年12月首次披露了Mozi僵尸网络,到现在已有将近2年时间,在这段时间中,我们见证了它从一个小规模僵尸网络发展为巅峰时占据了极高比例IOT流量巨无霸的过程。
现在Mozi的作者已经被执法机关处置,其中我们也全程提供了技术协助,因此我们认为后续在相当长的一段时间内它都不会继续更新。但我们知道,Mozi采用了P2P网络结构,而P2P网络的一大“优点”是健壮性好, 即使部分节点瘫痪,整个网络仍然能工作。所以即使Mozi作者不再发布新的更新,它仍然会存活一段时间,残余的…
В даркнете реализован PoC, позволяющий использовать буфер памяти графического процессора для хранения и выполнения вредоносного кода, что обеспечивает ему надежную защиту от антивирусных средств, нацеленных, прежде всего, на оперативную память.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.
Метод оптимизирован под ОС Windows с версией фреймворка OpenCL 2.0 и выше и прошел успешные испытания на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).
Это первое боевое применение найденного в 2013 году исследователями из FORTH (Греция) и Колумбийского университета (США) метода, положенного в основу реализации кейлоггера на базе памяти графических процессоров. В расчет не принимается также история с JellyFish, когда в мае 2015 года публиковались PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на базе графического процессора для Windows.
Подробности сделки не раскрываются, и вряд ли будут раскрыты. PoC ушел за две недели и по сути открыл новый этап в хакерской индустрии. Последствия сделки так или иначе скоро проявят себя, ведь вычислительная мощность графического процессора позволяет значительно ускорять выполнение кода со сложными схемами шифрования, нежели чем процессор.
VX-Underground обещают демонстрацию новой техники в самое ближайшее время. Так что ждем.
Как обычно, не дожидаясь реакции от разработчиков Microsoft, частные специалисты вынуждены искать решения самостоятельно, как в случае с Printnightmare и Petitpotam.
Аналогичным образом Уиллу Дорману, аналитику из CERT/CC, удалось найти решение, как заблокировать автоматическую установку незащищенных приложений Windows Plug-and-Play.
Проблема, о которой мы не так давно писали на примере Razer Synapse и SteelSeries, позволяет при инсталляции приложения в ходе подключения устройства к Windows (например, USB-мыши) быстро получать системные привилегии.
Уязвимость напрямую касается приложений, известных как соинсталляторы. Когда разработчики оборудования отправляют драйверы в Microsoft для внедрения через Windows, они выпускают совместные установщики для конкретных устройств, которые впоследствии и запускаются в момент того, как Plug-and-Play установит драйвер.
Эти соустановщики можно использовать для настройки ключей реестра для конкретных устройств, загрузки и установки других приложений или выполнения других функций, необходимых для правильной работы устройства.
Поэтому для блокировки соинсталляторов необходимо настроить значения реестра Windows в разделе HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Device Installer, добавив значение DWORD-32 с именем DisableCoInstallers и установив для него показатель 1.
После манипуляции Windows будет заблокировать по умолчанию установку соинсталляторов при подключении связанного USB-устройства к компьютеру, равно как и автоматическую установку ПО конфигурации устройства (потребуется загрузка и установка его с сайта поставщика вручную).
Ничего удивительного, в случае с Windows всегда приходится находить баланс между юзабилити и security.
Аналогичным образом Уиллу Дорману, аналитику из CERT/CC, удалось найти решение, как заблокировать автоматическую установку незащищенных приложений Windows Plug-and-Play.
Проблема, о которой мы не так давно писали на примере Razer Synapse и SteelSeries, позволяет при инсталляции приложения в ходе подключения устройства к Windows (например, USB-мыши) быстро получать системные привилегии.
Уязвимость напрямую касается приложений, известных как соинсталляторы. Когда разработчики оборудования отправляют драйверы в Microsoft для внедрения через Windows, они выпускают совместные установщики для конкретных устройств, которые впоследствии и запускаются в момент того, как Plug-and-Play установит драйвер.
Эти соустановщики можно использовать для настройки ключей реестра для конкретных устройств, загрузки и установки других приложений или выполнения других функций, необходимых для правильной работы устройства.
Поэтому для блокировки соинсталляторов необходимо настроить значения реестра Windows в разделе HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Device Installer, добавив значение DWORD-32 с именем DisableCoInstallers и установив для него показатель 1.
После манипуляции Windows будет заблокировать по умолчанию установку соинсталляторов при подключении связанного USB-устройства к компьютеру, равно как и автоматическую установку ПО конфигурации устройства (потребуется загрузка и установка его с сайта поставщика вручную).
Ничего удивительного, в случае с Windows всегда приходится находить баланс между юзабилити и security.
Twitter
Will Dormann
Do you not like the fact that connecting a Razer device auto-runs an arbitrary installer w/ privs? Do you suspect that other devices may be exploitable? Fear not! Set HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer\DisableCoInstallers = 1…
Forwarded from Social Engineering
💬 true story... Social Engineering.
• Служба собственной безопасности разбросала на парковке возле правительственного здания несколько компакт-дисков. Часть из них была без опознавательных знаков, а на другие был нанесен логотип DHS. Усевшись за мониторы камер наблюдения, офицеры стали наблюдать за поведением людей.
• 60% дисков без надписей были подобраны и вставлены в приводы рабочих ПК сотрудников самых разных отделов. В группе дисков с логотипом министерства так поступили в отношении 90% болванок. Практически каждый подумал, что нашел ценную пропажу, и захотел почувствовать себя героем шпионской истории.
• Схожая история произошла весной 2018 года с Министерством обороны Израиля. Связанные с ЦАХАЛ компьютерные сети заразили способом, впервые опробованным при распространении примитивного червя ILOVEYOU в 2000 году.
• Для обхода антивирусов авторы воспользовались методом обфускации, но главный фокус заключался в ручной методике распространения. По всем общедоступным адресам израильского МО и его контрагентов разослали электронные письма с темой "Девушки из Армии обороны Израиля" и схожими по смыслу вариациями. Любопытные сотрудники запускали аттач через одного, даже несмотря на предупреждения встроенных систем безопасности о подозрительном вложении.
💬 Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Технические меры безопасности практически не снижают риски от атак методами Социальной Инженерии. «Не существует устройства, которое запретит людям быть идиотами». За два года до инцидента со Сноуденом, в Министерстве внутренней безопасности США (DHS) проверяли людей, которые отвечают за предотвращение угроз в масштабах страны, и они повели себя как малые дети.• Служба собственной безопасности разбросала на парковке возле правительственного здания несколько компакт-дисков. Часть из них была без опознавательных знаков, а на другие был нанесен логотип DHS. Усевшись за мониторы камер наблюдения, офицеры стали наблюдать за поведением людей.
• 60% дисков без надписей были подобраны и вставлены в приводы рабочих ПК сотрудников самых разных отделов. В группе дисков с логотипом министерства так поступили в отношении 90% болванок. Практически каждый подумал, что нашел ценную пропажу, и захотел почувствовать себя героем шпионской истории.
• Схожая история произошла весной 2018 года с Министерством обороны Израиля. Связанные с ЦАХАЛ компьютерные сети заразили способом, впервые опробованным при распространении примитивного червя ILOVEYOU в 2000 году.
• Для обхода антивирусов авторы воспользовались методом обфускации, но главный фокус заключался в ручной методике распространения. По всем общедоступным адресам израильского МО и его контрагентов разослали электронные письма с темой "Девушки из Армии обороны Израиля" и схожими по смыслу вариациями. Любопытные сотрудники запускали аттач через одного, даже несмотря на предупреждения встроенных систем безопасности о подозрительном вложении.
💬 Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E.
Раскрыт набор новых уязвимостей Bluetooth под общим названием BrakTooth.
Группа спецов ASSET Research Group из Сингапурского университета технологий и дизайна в результате изучения библиотек ПО Bluetooth 13 плат SoC от 11 поставщиков обнаружили 16 уязвимостей, влияющих на программный стек.
BrakTooth позволяет злоумышленникам вывести из строя или деактивировать устройства, выполнить вредоносный код или вовсе захватить всю систему.
Наиболее печальные выводы сводятся к тому, что программные стеки Bluetooth также используются в 1400 наборах микросхем, применяемых в основе широкого спектра устройств, исчисляемого на миллиарды.
Главная ошибка CVE-2021-28139 позволяет удаленным злоумышленникам запускать вредоносный код на уязвимых устройствах через пакеты Bluetooth LMP, к которым относятся, прежде всего, интеллектуальное и промышленное оборудование на платах ESP32 SoC Espressif Systems.
Некоторые другие уязвимости можно использовать для инициирования сбоя Bluetooth на смартфонах и ноутбуках, переполняя устройства искаженными пакетами Bluetooth LMP, что впервую очередь затрагивает ноутбуки Microsoft Surface, настольные компьютеры Dell и несколько моделей смартфонов на базе Qualcomm.
При этом любая из возможных атак BrakTooth реализуется с помощью стандартного оборудования Bluetooth стоимостью менее 15 долларов.
Уведомления об ошибках были переданы всем 11 поставщикам технологии. И как следовало ожидать, далеко не все из них отреагировали должным образом. Espressif Systems, Infineon и Bluetrum выпустили исправления, в то время как Texas Instruments вообще не намерен этого делать принципе. Оставшиеся ведут долгосрочные исследования своих портфелей продуктов и пока что не готовы к выпуску патчей.
PoC под BrakTooth исследователи полагают выдавать по требованию производителей, публичной огласке не предавать, по крайней мере намеренно. Как будет в жизни, поглядим.
Группа спецов ASSET Research Group из Сингапурского университета технологий и дизайна в результате изучения библиотек ПО Bluetooth 13 плат SoC от 11 поставщиков обнаружили 16 уязвимостей, влияющих на программный стек.
BrakTooth позволяет злоумышленникам вывести из строя или деактивировать устройства, выполнить вредоносный код или вовсе захватить всю систему.
Наиболее печальные выводы сводятся к тому, что программные стеки Bluetooth также используются в 1400 наборах микросхем, применяемых в основе широкого спектра устройств, исчисляемого на миллиарды.
Главная ошибка CVE-2021-28139 позволяет удаленным злоумышленникам запускать вредоносный код на уязвимых устройствах через пакеты Bluetooth LMP, к которым относятся, прежде всего, интеллектуальное и промышленное оборудование на платах ESP32 SoC Espressif Systems.
Некоторые другие уязвимости можно использовать для инициирования сбоя Bluetooth на смартфонах и ноутбуках, переполняя устройства искаженными пакетами Bluetooth LMP, что впервую очередь затрагивает ноутбуки Microsoft Surface, настольные компьютеры Dell и несколько моделей смартфонов на базе Qualcomm.
При этом любая из возможных атак BrakTooth реализуется с помощью стандартного оборудования Bluetooth стоимостью менее 15 долларов.
Уведомления об ошибках были переданы всем 11 поставщикам технологии. И как следовало ожидать, далеко не все из них отреагировали должным образом. Espressif Systems, Infineon и Bluetrum выпустили исправления, в то время как Texas Instruments вообще не намерен этого делать принципе. Оставшиеся ведут долгосрочные исследования своих портфелей продуктов и пока что не готовы к выпуску патчей.
PoC под BrakTooth исследователи полагают выдавать по требованию производителей, публичной огласке не предавать, по крайней мере намеренно. Как будет в жизни, поглядим.
Сегодня под ударом клиенты австралийской IT-компании Atlassian, являющиеся разработчиком решений для управления разработкой программного обеспечения.
Наиболее известные продукты — Jira, Trello и система для командной работы Confluence, с которыми так или иначе сталкивался почти каждый программист, работавший над крупными проектами. Собственно речь идет о выявленных угрозах в корпоративных серверах Confluence, коих по заявлению Atlassian используется в более чем 60 000 организациях, включая такие, как Audi, Hubspot, NASA, LinkedIn, Twilio и Docker.
Выявленная уязвимость CVE-2021-26084 затрагивает Confluence Server и Confluence Data Center, которые обычно устанавливаются на локальных платформах управления проектами, вики-сайтах и платформах для совместной работы.
Как это часто происходит после заявления компаний о выпущенном патче и описании характера угрозы некоторыми энтузиастами инфосек: так это самое печальное и предсказуемое в поведении хакерской тусовки, которая массово начинает активное сканирование и эксплуатацию описанных багов.
Ошибка кроется в языке сценариев OGNL (Object-Graph Navigation Language) для взаимодействия с Java, на которой написано большинство ПО Confluence и может быть использована злоумышленниками для обхода аутентификации и введения вредоносных команд OGNL,!которые позволяют им получить контроль над системой.
Поскольку Confluence является чрезвычайно востребованным продуктом в ряде крупнейших корпораций мира, а уязвимость CVE-2021-26084 чрезвычайно серьезна с точки зрения злоумышленников (оценка 9,8 из 10), ожидается, что в ближайшие дни вырастет как количество атак, так и атакующих преступных групп.
Наиболее известные продукты — Jira, Trello и система для командной работы Confluence, с которыми так или иначе сталкивался почти каждый программист, работавший над крупными проектами. Собственно речь идет о выявленных угрозах в корпоративных серверах Confluence, коих по заявлению Atlassian используется в более чем 60 000 организациях, включая такие, как Audi, Hubspot, NASA, LinkedIn, Twilio и Docker.
Выявленная уязвимость CVE-2021-26084 затрагивает Confluence Server и Confluence Data Center, которые обычно устанавливаются на локальных платформах управления проектами, вики-сайтах и платформах для совместной работы.
Как это часто происходит после заявления компаний о выпущенном патче и описании характера угрозы некоторыми энтузиастами инфосек: так это самое печальное и предсказуемое в поведении хакерской тусовки, которая массово начинает активное сканирование и эксплуатацию описанных багов.
Ошибка кроется в языке сценариев OGNL (Object-Graph Navigation Language) для взаимодействия с Java, на которой написано большинство ПО Confluence и может быть использована злоумышленниками для обхода аутентификации и введения вредоносных команд OGNL,!которые позволяют им получить контроль над системой.
Поскольку Confluence является чрезвычайно востребованным продуктом в ряде крупнейших корпораций мира, а уязвимость CVE-2021-26084 чрезвычайно серьезна с точки зрения злоумышленников (оценка 9,8 из 10), ожидается, что в ближайшие дни вырастет как количество атак, так и атакующих преступных групп.
Twitter
Rahul Maini
Just did Atlassian Confluence UnAuth RCE CVE-2021-26084 along with @rootxharsh. It was relatively simpler than expected :D
Посредством PoC компания Cisco смогла исправить критическую ошибку обхода аутентификации CVE-2021-34746.
Ошибка максимальной степени серьезности обнаружена в механизме аутентификации Enterprise NFV Infrastructure Software (NFVIS) Release 4.5.1. Бага позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, обойти проверку и войти на непропатченное устройство в качестве администратора.
Cisco Enterprise NFVIS - это компонент инфраструктуры на базе Linux, разработанный для виртуализации сетевых сервисов для более легкого управления функциями виртуальной сети (VNF).
Ошибка реализуема благодаря неполной проверке введенных пользователем данных, переданных в сценарий аутентификации во время процесса входа в систему. Эксплойт работает при условии, что на целевом устройстве включена внешняя аутентификация TACACS (функция аутентификации, авторизации и учета (AAA) программного обеспечения). Злоумышленник может воспользоваться этой уязвимостью, введя параметры в запрос аутентификации.
Чтобы проверить, уязвимо ли устройство для эксплойтов CVE-2021-34746, следует, прежде всего, проверить, включена ли TACACS с помощью запроса в командной строке: show running-config tacacs-server, или используя графический интерфейс и перейдя в Configuration> Host> Security> User and Roles, где отображается функция в разделе External Authentication.
Для ошибки отсутствуют обходные пути, чтобы ее исключить требуется накатить обновления Cisco Enterprise NFVIS 4.6.1 и более поздние версии. По данным PSIRT, несмотря на экспериментальный код эксплойта, в дикой природе атак с данным вектором не выявлено. Но это не повод, чтоб не обновиться.
Ошибка максимальной степени серьезности обнаружена в механизме аутентификации Enterprise NFV Infrastructure Software (NFVIS) Release 4.5.1. Бага позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, обойти проверку и войти на непропатченное устройство в качестве администратора.
Cisco Enterprise NFVIS - это компонент инфраструктуры на базе Linux, разработанный для виртуализации сетевых сервисов для более легкого управления функциями виртуальной сети (VNF).
Ошибка реализуема благодаря неполной проверке введенных пользователем данных, переданных в сценарий аутентификации во время процесса входа в систему. Эксплойт работает при условии, что на целевом устройстве включена внешняя аутентификация TACACS (функция аутентификации, авторизации и учета (AAA) программного обеспечения). Злоумышленник может воспользоваться этой уязвимостью, введя параметры в запрос аутентификации.
Чтобы проверить, уязвимо ли устройство для эксплойтов CVE-2021-34746, следует, прежде всего, проверить, включена ли TACACS с помощью запроса в командной строке: show running-config tacacs-server, или используя графический интерфейс и перейдя в Configuration> Host> Security> User and Roles, где отображается функция в разделе External Authentication.
Для ошибки отсутствуют обходные пути, чтобы ее исключить требуется накатить обновления Cisco Enterprise NFVIS 4.6.1 и более поздние версии. По данным PSIRT, несмотря на экспериментальный код эксплойта, в дикой природе атак с данным вектором не выявлено. Но это не повод, чтоб не обновиться.
Cisco
Cisco Security Advisory: Cisco Enterprise NFV Infrastructure Software Authentication Bypass Vulnerability
A vulnerability in the TACACS+ authentication, authorization and accounting (AAA) feature of Cisco Enterprise NFV Infrastructure Software (NFVIS) could allow an unauthenticated, remote attacker to bypass authentication and log in to an affected device as…
И снова ФБР предупреждает об атаках на продовольственный и сельскохозяйственный сектор США.
По заявлению спецслужбистов хакерские группировки стремятся нарушить логистическую работу компаний, вызвать финансовые убытки и негативно повлиять на поставки продуктов питания. Как известно, фермерское хозяйство в США уже выплатило киберпреступникам 9 млн. долларов из-за временного закрытия своих сельскохозяйственных операций после атак программ-вымогателей в начале этого года.
Опасения ФБР основаны на растущем в последние месяцы числе атак, поскольку группы программ-вымогателей нацелены на критические отрасли с большими площадями атак, паралич которых может повлиять на бизнес во всем секторе, от небольших ферм до крупных производителей, переработчиков продукции, рынков и ресторанов.
Всему виной внедрение интеллектуальных технологий промышленного контроля и систем автоматизации, доступных через сеть Интернет, что собственно киберпреступники активно и используют для поиска и эксплуатации уязвимостей с последующим шифрования данных, потерей конфиденциальной и личной информации, которые также могут понести репутационный ущерб в результате атак программ-вымогателей.
Мы прекрасно помним инцидент, произошедший в марте 2021 года, когда банда вымогателей нарушила работу, производство и отгрузку продукции американской компании по производству напитков. Точно так же в июле 2021 года в результате инцидента с Kaseya в США, когда производитель хлеба и кондитерских продуктов US bakery потеряла доступ к своему серверу, файлам и приложениям, из-за чего компания прекратила производство и отгрузку.
Но самая известная атака с использованием программ-вымогателей произошла в мае, когда банда REvil ударила по мясоперерабатывающей компании JBS Foods, почти на неделю прервав переработку мяса в Австралии и Северной Америке. В связи с чем, агентство призывает организации пищевой промышленности и сельского хозяйства США серьезно отнестись к угрозе программ-вымогателей и инвестировать в защиту своих ИТ-сетей от наиболее распространенных методов, используемых злоумышленниками.
По заявлению спецслужбистов хакерские группировки стремятся нарушить логистическую работу компаний, вызвать финансовые убытки и негативно повлиять на поставки продуктов питания. Как известно, фермерское хозяйство в США уже выплатило киберпреступникам 9 млн. долларов из-за временного закрытия своих сельскохозяйственных операций после атак программ-вымогателей в начале этого года.
Опасения ФБР основаны на растущем в последние месяцы числе атак, поскольку группы программ-вымогателей нацелены на критические отрасли с большими площадями атак, паралич которых может повлиять на бизнес во всем секторе, от небольших ферм до крупных производителей, переработчиков продукции, рынков и ресторанов.
Всему виной внедрение интеллектуальных технологий промышленного контроля и систем автоматизации, доступных через сеть Интернет, что собственно киберпреступники активно и используют для поиска и эксплуатации уязвимостей с последующим шифрования данных, потерей конфиденциальной и личной информации, которые также могут понести репутационный ущерб в результате атак программ-вымогателей.
Мы прекрасно помним инцидент, произошедший в марте 2021 года, когда банда вымогателей нарушила работу, производство и отгрузку продукции американской компании по производству напитков. Точно так же в июле 2021 года в результате инцидента с Kaseya в США, когда производитель хлеба и кондитерских продуктов US bakery потеряла доступ к своему серверу, файлам и приложениям, из-за чего компания прекратила производство и отгрузку.
Но самая известная атака с использованием программ-вымогателей произошла в мае, когда банда REvil ударила по мясоперерабатывающей компании JBS Foods, почти на неделю прервав переработку мяса в Австралии и Северной Америке. В связи с чем, агентство призывает организации пищевой промышленности и сельского хозяйства США серьезно отнестись к угрозе программ-вымогателей и инвестировать в защиту своих ИТ-сетей от наиболее распространенных методов, используемых злоумышленниками.
Исправлена серьезная уязвимость CVE-2020-1910 (оценка по CVSS: 7,8) в мессенджере WhatsApp, которая позволяла отправлять вредоносное изображение и получать доступ к конфиденциальной информации из памяти приложения.
Под угрозой были приложения WhatsApp и WhatsApp Business для Android версий до v2.21.1.13. Баг заключался в ошибке фильтрации изображения, а именно в функции applyFilterIntoBuffer, которая берет исходное изображение, применяет фильтр, выбранный пользователем и копирует результат в буфер.
Исследователи обнаружили, что уязвимая функция основана на том, что исходное и отфильтрованное изображения имеют одинаковые размеры, а также один и тот же цветовой формат RGBA. Учитывая, что каждый пиксель RGBA хранится в виде 4 байтов, а вредоносное изображение, имеющее только 1 байт на пиксель, могло быть использовано для получения доступа к памяти за пределами границ, поскольку функция пытается прочитать и скопировать в 4 раза больше выделенного участка памяти исходного изображения.
Еще в ноябре 2020 года специалисты Check Point Research, сообщали о проблемах фильтрации изображений в Facebook, так как им удавалось вывести из строя приложение WhatsApp, переключаясь между различными фильтрами вредоносных файлов GIF.
Хотя по заявлению представителей WhatsApp эта ошибка не затронула пользователей, но есть и альтернативное мнение на этот счет.
Под угрозой были приложения WhatsApp и WhatsApp Business для Android версий до v2.21.1.13. Баг заключался в ошибке фильтрации изображения, а именно в функции applyFilterIntoBuffer, которая берет исходное изображение, применяет фильтр, выбранный пользователем и копирует результат в буфер.
Исследователи обнаружили, что уязвимая функция основана на том, что исходное и отфильтрованное изображения имеют одинаковые размеры, а также один и тот же цветовой формат RGBA. Учитывая, что каждый пиксель RGBA хранится в виде 4 байтов, а вредоносное изображение, имеющее только 1 байт на пиксель, могло быть использовано для получения доступа к памяти за пределами границ, поскольку функция пытается прочитать и скопировать в 4 раза больше выделенного участка памяти исходного изображения.
Еще в ноябре 2020 года специалисты Check Point Research, сообщали о проблемах фильтрации изображений в Facebook, так как им удавалось вывести из строя приложение WhatsApp, переключаясь между различными фильтрами вредоносных файлов GIF.
Хотя по заявлению представителей WhatsApp эта ошибка не затронула пользователей, но есть и альтернативное мнение на этот счет.
Check Point Research
Now Patched Vulnerability in WhatsApp could have led to data exposure of users - Check Point Research
Research by Dikla Barda & Gal Elbaz As of 2021, WhatsApp is the most popular global mobile messenger app worldwide with approximately two billion monthly active users. It allows users to send text and voice messages, make voice and video calls, and share…
К весьма неутешительным выводам пришли специалисты Positive Technologies по результатам исследований информационной безопасности предприятий в сфере промышленности.
В 2020 промышленный сектор был второй по популярности целью для хакеров после государственного. Основные угрозы для промышленных компаний - это шпионаж (84%) и финансовые потери (36%).
Более 9 из 10 (91%) промышленных организаций уязвимы для кибератак, в ходе которых внешние нарушители могут проникнуть в целевую корпоративную сеть и добраться до учетных данных, получая полный контроль над инфраструктурой в 100% случаев.
Как правило, украсть конфиденциальные данные организации, включая информацию о партнерах и сотрудниках компании, а также внутреннюю документацию, удается в 69% случаев. С вероятностью в 75% реализуется доступ к технологическому сегменту сети, а 56% случаев - и к их АСУ ТП, что открывает перед хакерами широкий спектр возможностей для нанесения реального экономического ущерба, вызывая прерывание работы (как например, остановка производства на заводах Honda после атаки ransomware), нарушение технологических процессов (вспомните недельный простой в мае 2021 года поставщика топлива в США Colonial Pipeline), нарушение бизнес-процессов (в результате вмешательства Clop хорватская нефтяная компания INA не могла вести операционную финансовую деятельность).
Практическому исполнению такие сценариев способствуют различные факторы, в числе которых Позитивы выделили:
- использование словарных паролей,
- устаревшее программное обеспечение,
- недостатки сегментации сети и фильтрации трафика,
- недостатки конфигураций устройств, низкий уровень защиты от проникновения хакеров в производственную сеть, а также периметра внешней сети, доступного из сети Интернет.
Кроме того, параметры подключения, адреса, схемы и пароли для систем в промышленных сетях часто хранятся в открытом виде (например, в электронных таблицах Excel) на компьютерах инженеров и других ответственных лиц.
Важным моментов является также рост количества уязвимостей в компонентах АСУ ТП в последние годы, о чем рапортовали не один раз спецы из Claroty.
Вектор атаки на критически важные системы может быть простым. Например, при оценке безопасности одной промышленной компании Positive Technologies проникли в корпоративную сеть и получили максимальные привилегии в домене. Затем они собрали информацию об узлах промышленной сети, получили схемы подключения оборудования АСУ ТП и выяснили, что один компьютер подключен к сети АСУ ТП. Используя этот узел, специалисты получили доступ к промышленной сети.
Все возможные сценарии отрабатывались также в рамках The Standoff 2021, в ходе которого злоумышленникам удалось в течение двух дней захватить контроль над воображаемой АЗС, прекратить подачу газа и в итоге взрывать станцию.
Позитивы отмечают, что в последние годы промышленный сектор становится все более привлекательным для хакеров. Атаки становятся все более успешными, а их сценарии более сложными. Зачастую, жертвы часто не могут самостоятельно обнаружить целевую кибератаку и годами остаются в иллюзии безопасности, не проводя своевременно проверку защищенности инфраструктуры.
Делайте выводы.
В 2020 промышленный сектор был второй по популярности целью для хакеров после государственного. Основные угрозы для промышленных компаний - это шпионаж (84%) и финансовые потери (36%).
Более 9 из 10 (91%) промышленных организаций уязвимы для кибератак, в ходе которых внешние нарушители могут проникнуть в целевую корпоративную сеть и добраться до учетных данных, получая полный контроль над инфраструктурой в 100% случаев.
Как правило, украсть конфиденциальные данные организации, включая информацию о партнерах и сотрудниках компании, а также внутреннюю документацию, удается в 69% случаев. С вероятностью в 75% реализуется доступ к технологическому сегменту сети, а 56% случаев - и к их АСУ ТП, что открывает перед хакерами широкий спектр возможностей для нанесения реального экономического ущерба, вызывая прерывание работы (как например, остановка производства на заводах Honda после атаки ransomware), нарушение технологических процессов (вспомните недельный простой в мае 2021 года поставщика топлива в США Colonial Pipeline), нарушение бизнес-процессов (в результате вмешательства Clop хорватская нефтяная компания INA не могла вести операционную финансовую деятельность).
Практическому исполнению такие сценариев способствуют различные факторы, в числе которых Позитивы выделили:
- использование словарных паролей,
- устаревшее программное обеспечение,
- недостатки сегментации сети и фильтрации трафика,
- недостатки конфигураций устройств, низкий уровень защиты от проникновения хакеров в производственную сеть, а также периметра внешней сети, доступного из сети Интернет.
Кроме того, параметры подключения, адреса, схемы и пароли для систем в промышленных сетях часто хранятся в открытом виде (например, в электронных таблицах Excel) на компьютерах инженеров и других ответственных лиц.
Важным моментов является также рост количества уязвимостей в компонентах АСУ ТП в последние годы, о чем рапортовали не один раз спецы из Claroty.
Вектор атаки на критически важные системы может быть простым. Например, при оценке безопасности одной промышленной компании Positive Technologies проникли в корпоративную сеть и получили максимальные привилегии в домене. Затем они собрали информацию об узлах промышленной сети, получили схемы подключения оборудования АСУ ТП и выяснили, что один компьютер подключен к сети АСУ ТП. Используя этот узел, специалисты получили доступ к промышленной сети.
Все возможные сценарии отрабатывались также в рамках The Standoff 2021, в ходе которого злоумышленникам удалось в течение двух дней захватить контроль над воображаемой АЗС, прекратить подачу газа и в итоге взрывать станцию.
Позитивы отмечают, что в последние годы промышленный сектор становится все более привлекательным для хакеров. Атаки становятся все более успешными, а их сценарии более сложными. Зачастую, жертвы часто не могут самостоятельно обнаружить целевую кибератаку и годами остаются в иллюзии безопасности, не проводя своевременно проверку защищенности инфраструктуры.
Делайте выводы.
ptsecurity.com
Leader in result-driven cybersecurity
Protecting business and government from non-tolerable events using the latest technology
А что-то мы пропустили, что в торжественный парад заднеприводных стройными рядами влились разработчики из немецкого SAP.
Как сообщают Positive Technologies, немцы с благодарностью приняли информацию об двух выявленных в их продуктах уязвимостях, одна из которых имеет оценку критичности 9,9. Однако заметили, что не будут сообщать Позитивам какие CVE ошибкам присвоены и отказались публично заявлять о факте выявления. Потому что американские санкции!
Сами PT полагают, что речь идет CVE-2021-33690 и CVE-2021-33691, которые были закрыты SAP в августовском обновлении.
Собственно, по этому поводу у нас предложений ровно два. Одно к SAP, другое к Positive.
SAP необходимо срочно выпилить хотфикс этих уязвимостей, ибо такие настоящие гендерквиры, как они, никогда не принимают помощь от гадких бинарных исследователей, да еще из тоталитарной России. Будьте последовательны, пидорасы!
А Positive Technologies рекомендуем в следующий раз при выявлении критических уязвимостей в продуктах SAP сразу выкладывать их технические подробности в паблик с комментарием "в связи с отказом производителя ПО от коммуникаций". Пусть жалуются в Лигу Наций.
Как сообщают Positive Technologies, немцы с благодарностью приняли информацию об двух выявленных в их продуктах уязвимостях, одна из которых имеет оценку критичности 9,9. Однако заметили, что не будут сообщать Позитивам какие CVE ошибкам присвоены и отказались публично заявлять о факте выявления. Потому что американские санкции!
Сами PT полагают, что речь идет CVE-2021-33690 и CVE-2021-33691, которые были закрыты SAP в августовском обновлении.
Собственно, по этому поводу у нас предложений ровно два. Одно к SAP, другое к Positive.
SAP необходимо срочно выпилить хотфикс этих уязвимостей, ибо такие настоящие гендерквиры, как они, никогда не принимают помощь от гадких бинарных исследователей, да еще из тоталитарной России. Будьте последовательны, пидорасы!
А Positive Technologies рекомендуем в следующий раз при выявлении критических уязвимостей в продуктах SAP сразу выкладывать их технические подробности в паблик с комментарием "в связи с отказом производителя ПО от коммуникаций". Пусть жалуются в Лигу Наций.
Команда FireEye Mandiant Advanced Practices обнаружила новый штамм вредоносного ПО PRIVATELOG с установщиком - STASHLOG.
По аналогии с методом задействования памяти GPU для хранения и выполнения вредоносного кода во избежание обнаружения средствами защиты, PRIVATELOG использует общую файловую систему журнала CLFS для сокрытия полезной нагрузки второго уровня в файлах транзакций реестра.
CLFS - это подсистема журналирования общего назначения в Windows, доступная как для режима ядра, так и для приложений пользовательского режима, таких как системы баз данных, системы OLTP, клиенты обмена сообщениями и системы управления сетевыми событиями, прежде всего, для создания и совместного использования высокопроизводительных журналов транзакций.
Поскольку формат файла широко не используется и не документируется, нет доступных инструментов, которые могли бы анализировать файлы журнала CLFS, злоумышленник получает отличные возможности для сокрытия своих данных в виде записей журнала с доступом через функции API Windows.
Таким образом, PRIVATELOG способен уверенно закрепляться на зараженных устройствах и избегать обнаружения за счет использования запутанных строк и методов управления потоком, специально разработанных для затруднения статического анализа, а установщик STASHLOG принимает в качестве аргумента полезную нагрузку следующего этапа, содержимое которой впоследствии сохраняется в определенном файле журнала CLFS.
PRIVATELOG в виде обфусцированной 64-битной DLL с именем prntvpt.dll поддерживает технику перехвата порядка поиска DLL, чтобы загрузить вредоносную библиотеку, когда она вызывается программой-жертвой, в данном случае, сервисом PrintNotify. PRIVATELOG также использует редко встречающуюся технику для выполнения полезной нагрузки DLL, которая полагается и на транзакции NTFS, процесс впрыска при этом схож Phantom DLL hollowing.
Конкретные данные о личности злоумышленника или их мотивах остаются неясными. Учитывая, что вредоносное ПО в дикой природе не было еще обнаружено, равно как и какие-либо полезные нагрузки второго уровня, Mandiant полагает, что PRIVATELOG находится в стадии разработки, которая ведется в рамках более крупной целевой операции.
Обнаружить PRIVATELOG и STASHLOG можно посредством правил YARA от Mandiant, которые также представили возможные варианты обнаружения, основанные на различных методологиях и уникальных строках, которые применяет ПО. Кроме того, спецы разработали правила для обнаружения контейнеров CLFS, соответствующих структурам PRIVATELOG или содержащих зашифрованные данные.
По аналогии с методом задействования памяти GPU для хранения и выполнения вредоносного кода во избежание обнаружения средствами защиты, PRIVATELOG использует общую файловую систему журнала CLFS для сокрытия полезной нагрузки второго уровня в файлах транзакций реестра.
CLFS - это подсистема журналирования общего назначения в Windows, доступная как для режима ядра, так и для приложений пользовательского режима, таких как системы баз данных, системы OLTP, клиенты обмена сообщениями и системы управления сетевыми событиями, прежде всего, для создания и совместного использования высокопроизводительных журналов транзакций.
Поскольку формат файла широко не используется и не документируется, нет доступных инструментов, которые могли бы анализировать файлы журнала CLFS, злоумышленник получает отличные возможности для сокрытия своих данных в виде записей журнала с доступом через функции API Windows.
Таким образом, PRIVATELOG способен уверенно закрепляться на зараженных устройствах и избегать обнаружения за счет использования запутанных строк и методов управления потоком, специально разработанных для затруднения статического анализа, а установщик STASHLOG принимает в качестве аргумента полезную нагрузку следующего этапа, содержимое которой впоследствии сохраняется в определенном файле журнала CLFS.
PRIVATELOG в виде обфусцированной 64-битной DLL с именем prntvpt.dll поддерживает технику перехвата порядка поиска DLL, чтобы загрузить вредоносную библиотеку, когда она вызывается программой-жертвой, в данном случае, сервисом PrintNotify. PRIVATELOG также использует редко встречающуюся технику для выполнения полезной нагрузки DLL, которая полагается и на транзакции NTFS, процесс впрыска при этом схож Phantom DLL hollowing.
Конкретные данные о личности злоумышленника или их мотивах остаются неясными. Учитывая, что вредоносное ПО в дикой природе не было еще обнаружено, равно как и какие-либо полезные нагрузки второго уровня, Mandiant полагает, что PRIVATELOG находится в стадии разработки, которая ведется в рамках более крупной целевой операции.
Обнаружить PRIVATELOG и STASHLOG можно посредством правил YARA от Mandiant, которые также представили возможные варианты обнаружения, основанные на различных методологиях и уникальных строках, которые применяет ПО. Кроме того, спецы разработали правила для обнаружения контейнеров CLFS, соответствующих структурам PRIVATELOG или содержащих зашифрованные данные.
Мы уже писали ранее, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Последние события если не дополняют нашу версию, то во всяком случае не противоречат уж точно. Microsoft Threat Intelligence Center раскрыли более подробную информацию об июльских атаках на SolarWinds, обвинив в атаках действующую из Китая DEV-0322.
В середине июля этого года техасский поставщик программного обеспечения SolarWinds выпустил экстренное обновление безопасности, чтобы исправить ошибку нулевого дня в своей технологии передачи файлов Serv-U, которая активно эксплуатировалась на тот момент в дикой природе.
В основе реализованной хакерами CVE-2021-35211 лежит отсутствующая защита рандомизация адресного пространства ASLR в двоичных файлах Serv-U, в связи с чем воспользоваться багой было «не так уж сложно», по мнению специалистов.
APT нацелена на SSH-серверы SolarWinds Serv-U, которые подвержены уязвимости удаленного выполнения кода до авторизации, которая может быть легко и надежно использована в конфигурации по умолчанию. Подключившись к открытому порту SSH и отправив искаженный запрос на предварительную аутентификацию, DEV-0322 запускают вредоносный код в целевой системе и захватывают уязвимые устройства. Что э происходило дальше, как в июльских атаках - не разглашается, но все и так понимают.
Ну, а мы все же настаиваем, что обвинения российских хакеров в атаке на SolarWinds являются не более, чем политическими манипуляциями, когда перевести стрелки на Россию выгодно. До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Последние события если не дополняют нашу версию, то во всяком случае не противоречат уж точно. Microsoft Threat Intelligence Center раскрыли более подробную информацию об июльских атаках на SolarWinds, обвинив в атаках действующую из Китая DEV-0322.
В середине июля этого года техасский поставщик программного обеспечения SolarWinds выпустил экстренное обновление безопасности, чтобы исправить ошибку нулевого дня в своей технологии передачи файлов Serv-U, которая активно эксплуатировалась на тот момент в дикой природе.
В основе реализованной хакерами CVE-2021-35211 лежит отсутствующая защита рандомизация адресного пространства ASLR в двоичных файлах Serv-U, в связи с чем воспользоваться багой было «не так уж сложно», по мнению специалистов.
APT нацелена на SSH-серверы SolarWinds Serv-U, которые подвержены уязвимости удаленного выполнения кода до авторизации, которая может быть легко и надежно использована в конфигурации по умолчанию. Подключившись к открытому порту SSH и отправив искаженный запрос на предварительную аутентификацию, DEV-0322 запускают вредоносный код в целевой системе и захватывают уязвимые устройства. Что э происходило дальше, как в июльских атаках - не разглашается, но все и так понимают.
Ну, а мы все же настаиваем, что обвинения российских хакеров в атаке на SolarWinds являются не более, чем политическими манипуляциями, когда перевести стрелки на Россию выгодно. До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Microsoft Security Blog
A deep-dive into the SolarWinds Serv-U SSH vulnerability | Microsoft Security Blog
We're sharing technical information about the vulnerability tracked as CVE-2021-35211, which was used to attack the SolarWinds Serv-U FTP software in limited and targeted attacks.
Испытываем сложные чувства: вышел в свет не плохой ликбез по ransomware's для мамкиных хацкеров, исходники программы-вымогателя Babuk просочились на хакерские площадки еще и в русегменте.
Babuk Locker, известный как Babyk, - это программа-вымогатель, попавшая в поле зрения в начале 2021 года, когда она начала активно использоваться для кражи и шифрования данных с помощью атак с двойным вымогательством.
Известность локер получил после дерзкого нападения на Управление полиции Вашингтона, но почувствовав накал страстей со стороны правоохранительных органов США, банда вымогателей заявила, что якобы прекратила свою деятельность.
Фактически же члены группы отделились и выпустили Babuk V2, посредством которой продолжают шифровать жертв по сей день. Но данный инцидент даже для этих, далеко не самых этичных ребят сыграл ключевую роль.
Известно, что причиной публикации исходников стал раскол среди группировки, несмотря на то что один админ группы заявил, что страдает неизлечимой формой рака и поэтому решил опубликовать исходный код, содержащий различные проекты вымогателей для шифровальщиков VMware ESXi, NAS и Windows. При этом утечка, по мнению экспертов, содержит все, что необходимо злоумышленнику для создания функционального исполняемого файла вымогателя.
В приватах не мало интриг по поводу внутренней кухни Babyk, но учитывая с каким бэкграундом ребята получили общественную известность следить за их деятельностью становится все более интересно.
Babuk Locker, известный как Babyk, - это программа-вымогатель, попавшая в поле зрения в начале 2021 года, когда она начала активно использоваться для кражи и шифрования данных с помощью атак с двойным вымогательством.
Известность локер получил после дерзкого нападения на Управление полиции Вашингтона, но почувствовав накал страстей со стороны правоохранительных органов США, банда вымогателей заявила, что якобы прекратила свою деятельность.
Фактически же члены группы отделились и выпустили Babuk V2, посредством которой продолжают шифровать жертв по сей день. Но данный инцидент даже для этих, далеко не самых этичных ребят сыграл ключевую роль.
Известно, что причиной публикации исходников стал раскол среди группировки, несмотря на то что один админ группы заявил, что страдает неизлечимой формой рака и поэтому решил опубликовать исходный код, содержащий различные проекты вымогателей для шифровальщиков VMware ESXi, NAS и Windows. При этом утечка, по мнению экспертов, содержит все, что необходимо злоумышленнику для создания функционального исполняемого файла вымогателя.
В приватах не мало интриг по поводу внутренней кухни Babyk, но учитывая с каким бэкграундом ребята получили общественную известность следить за их деятельностью становится все более интересно.
Telegram
SecAtor
Управление полиции Вашингтона, столицы США, стало жертвой ransomware Babuk.
Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.
В результате успешной атаки, произошедшей, вероятно…
Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.
В результате успешной атаки, произошедшей, вероятно…
Forwarded from Social Engineering
👨🏻💻 Форензика. Интересные задачи по цифровой криминалистике.
🧷 https://www.ashemery.com/dfir.html
За ссылку отдельное спасибо @OrderOfSixAngles
• Обязательно обрати внимание на дополнительный материал: https://www.ashemery.com/publications.html
• Полезный видеоматериал по форензике, ты можешь найти на ютубе и в нашем канале по хештегу #Форензика
SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты: https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Задачи на форензику (криминалистику) в соревнованиях Capture The Flag делятся на несколько больших типов: анализ оперативной памяти, жесткого диска и исследование дампов трафика. Ниже по ссылке, ты найдешь отличный ресурс, где собраны 5 полезных задач посвящённых форензике. Благодаря этим задачам, ты сможешь прокачать свой скилл в области цифровой криминалистики:🧷 https://www.ashemery.com/dfir.html
За ссылку отдельное спасибо @OrderOfSixAngles
• Обязательно обрати внимание на дополнительный материал: https://www.ashemery.com/publications.html
• Полезный видеоматериал по форензике, ты можешь найти на ютубе и в нашем канале по хештегу #Форензика
SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты: https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
ProtonMail официально все. В смысле - еще теплый, но уже начал подванивать.
Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.
Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.
И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.
Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.
Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.
И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.
Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.
Мы-то сами уже давненько с Proton свалили...
Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.
Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.
И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.
Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.
Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.
И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.
Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.
Мы-то сами уже давненько с Proton свалили...
Proton
Important clarifications regarding arrest of climate activist | Proton
We would like to provide important clarifications regarding the case of the climate activist who was arrested by French police.
Известная своими громкими «крестовыми походами» на компании-миллиардеры банда вымогателей Ragnar Locker обещает применять жесткие санкции к своим нынешним и потенциальным жертвам, которые будут ими уличены в связях с правоохранительными органами, спецслужбами или инфосек компаниями.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.
К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.
Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.
Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.
Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.
Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.
Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.
Если в вашей сети используются девайсы производителя Netgear, то самое время накатить патч, который компания экстренно выпустила для прошивки интеллектуальных коммутаторов, преимущественно используемых в корпоративных сетях.
Все дело в том, что в 20 различных моделях серий GC, GS и MS различных версий были обнаружены 3 критические уязвимости безопасности PSV-2021-0140, PSV-2021-0144, PSV-2021-0145 с крайне высокой степенью риска, так как позволяет злоумышленнику управлять облачным хранилищем и производить настройку оборудования через Интернет.
Технические подробности и PoC для двух баг уже были опубликованы Гинваэлем Колдвиндом, который как раз и обнаружил их.
Первая уязвимость Demon's Cries позволяет обходить аутентификацию, что может позволить злоумышленнику получить контроль над уязвимым устройством. Главным условием реализации сценария является включенная функция Netgear Smart Control Center (SCC), которая в конфигурациях по умолчанию отключена.
Вторая ошибка Draconian Fear определяется как «захват аутентификации». Для ее воплощения злоумышленнику потребуется тот же IP-адрес, что и у администратора, чтобы «захватить информацию о начальной загрузке сеанса». В результате атаки он сможет получить полный доступ к пользовательскому веб-интерфейсу устройства, что обеспечит ему контроль над устройством.
Подробности о третьей уязвимости, получившей название Seventh Inferno, станут доступны лишь 13 сентября.
Мы уже писали о том, как эффективно эксплуатируются уязвимости Netgear операторами ботнетов ZHtrap и Mozi, поэтому дожидаться новых анонсов не стоит, лучше всего сразу перейти к патчам.
Все дело в том, что в 20 различных моделях серий GC, GS и MS различных версий были обнаружены 3 критические уязвимости безопасности PSV-2021-0140, PSV-2021-0144, PSV-2021-0145 с крайне высокой степенью риска, так как позволяет злоумышленнику управлять облачным хранилищем и производить настройку оборудования через Интернет.
Технические подробности и PoC для двух баг уже были опубликованы Гинваэлем Колдвиндом, который как раз и обнаружил их.
Первая уязвимость Demon's Cries позволяет обходить аутентификацию, что может позволить злоумышленнику получить контроль над уязвимым устройством. Главным условием реализации сценария является включенная функция Netgear Smart Control Center (SCC), которая в конфигурациях по умолчанию отключена.
Вторая ошибка Draconian Fear определяется как «захват аутентификации». Для ее воплощения злоумышленнику потребуется тот же IP-адрес, что и у администратора, чтобы «захватить информацию о начальной загрузке сеанса». В результате атаки он сможет получить полный доступ к пользовательскому веб-интерфейсу устройства, что обеспечит ему контроль над устройством.
Подробности о третьей уязвимости, получившей название Seventh Inferno, станут доступны лишь 13 сентября.
Мы уже писали о том, как эффективно эксплуатируются уязвимости Netgear операторами ботнетов ZHtrap и Mozi, поэтому дожидаться новых анонсов не стоит, лучше всего сразу перейти к патчам.
NETGEAR KB
Security Advisory for Multiple Vulnerabilities on Some Smart Switches, PSV-2021-0140, PSV-2021-0144, PSV-2021-0145
First published: 2021-09-03 NETGEAR has released fixes for multiple security vulnerabilities on the following product models: GC108P GC108PP GS108Tv3 GS110TPP GS110TPv3 GS110TUP GS308T GS310TP GS710TUP GS716TP GS716TPP GS724TPP GS724TPv2 GS728TPPv2 GS728TPv2…
Forwarded from Эксплойт | Live
ProtonMail убрал пункт в политике конфиденциальности об отсутствии отслеживания IP-адреса
Случилось это почти сразу после того, как её обязали передать IP одного из экоактивистов — это привело к его аресту.
До этого сайт ProtonMail гласил, что она по умолчанию не ведёт журналы IP, которые могут быть связаны с анонимной учётной записью электронной почты.
Теперь же, в политике конфиденциальности сервиса указано: «если пользователь нарушает швейцарский закон, ProtonMail может быть юридически вынуждена зарегистрировать ваш IP-адрес».
Случилось это почти сразу после того, как её обязали передать IP одного из экоактивистов — это привело к его аресту.
До этого сайт ProtonMail гласил, что она по умолчанию не ведёт журналы IP, которые могут быть связаны с анонимной учётной записью электронной почты.
Теперь же, в политике конфиденциальности сервиса указано: «если пользователь нарушает швейцарский закон, ProtonMail может быть юридически вынуждена зарегистрировать ваш IP-адрес».