Google выпустил обновление Chrome 93.0.4577.82 для Windows, Mac и Linux, исправив в общей сложности 11 уязвимостей безопасности, две из которых CVE-2021-30632 и CVE-2021-30633 эксплуатируются в режиме «нулевого дня» в дикой природе. Однако дополнительной информации об атаках не предоставлено.

Самые серьезные ошибки были раскрыты Google 8 сентября 2021 без указания автора и обе являются ошибками памяти: CVE-2021-30632 - это запись за пределами допустимого диапазона в движке JavaScript V8, а CVE-2021-30633 - это ошибка использования после освобождения в Indexed DB API. Баги при оплетённых условиях позволяют злоумышленникам использовать их для удаленного выполнения кода, выхода из песочницы и других вредоносных действий.

Таким образом, Google патчит уже 10 zeroday в Chrome за этот год.

Теперь, когда они исправлены, эксплуатация будет только расти. А это подчеркивает то внимание, которое хакеры уделяют уязвимостям браузера. Chrome становится явным фаворитом, позволяя упростить доступ к миллионам устройств независимо от ОС.

Так что, настоятельно рекомендуется немедленно обновить Google Chrome до последней версии, дабы не узнать подробности анонсированных атак на себе.

Не часто услышишь от Apple признание потенциальных угроз в безопасности своей OS. И не нужно, все и так понятно.

Apple выпустила патчи обновлений для iOS и macOS с предупреждением о том, что угрозы относятся к категории «активно эксплуатируемых» zeroday. Примечательно, что обновления попали в свет совсем незадолго до презентации новой линейки девайсов.

Стало понятно почему Apple не предоставила никаких сведений о реальных атаках, ибо связано все со шпионскими политическими игрищами, с которыми компания себя ассоциировать никак не хочет.

Спасибо ребятам из Citizen Lab, которые предоставили доказательства, связывающие новые эксплойты KISMET и FORCEDENTRY с шпионским инструментом Pegasus от скандально известного израильского поставщика шпионского ПО NSO Group, а реальные атаки, как стало известно, были нацелены на политических активистов в Бахрейне.

Уязвимости CVE-2021-30858 и CVE-2021-30860 обнаруженные в компонентах WebKit и CoreGraphics, позволяют при обработке вредоносного PDF-файла или веб-контента привести к выполнению произвольного кода.

Угроза касается всех iPhone с версиями iOS до 14.8, все компьютеры Mac с версиями операционной системы до OSX Big Sur 11.6, обновление безопасности 2021-005 Catalina и Apple Watch до watchOS 7.6.2.

Согласно данным SecurityWeek, с начала 2021 года зафиксировано 64 атаки нулевого дня, 15 из которых нацелены на безопасность в операционных системах iOS и macOS, что потихоньку разрушает миф о незыблемой безопасности флагманского производителя Apple.

Обновляемся, не раздумывая.

​​Не так давно мы писали о крупнейшей компрометации поставщика систем безопасности Fortinet, когда в паблик утекли учетные данные от 87 000 VPN-устройств, которые были взломаны с использованием уязвимости двухлетней давности CVE-2018-13379.

Тем временем Fortinet продолжает бить тревогу для владельцев устройств FortiGate SSL-VPN и просит выполнить обновление FortiOS 5.4.13, 5.6.14, 6.0.11, 6.2.8 и более поздних версий, а также сбросить пароли для своих устройств после обновления.

В компании заявили, что если в вашей организации использовалась какая-либо из перечисленных версий, даже если вы обновили свои устройства необходимо сбросить пароль пользователя после обновления в соответствии с бюллетенем поддержки клиентов и другой консультативной информацией по данному инциденту.

В противном случае высока вероятность остаться уязвимым после обновления, если учетные данные пользователей ранее были скомпрометированы.

Но мы прекрасно с вами помним, что утечка все ещё размещена на сервере хранения банды-вымогателей Groove.

​​Армия Трясогузки снова в бою.

Некие хактивисты взломали хостинг MskHost, который они называют антиабьюзным и удалили большую часть серверов. В качестве причины называется массовое размещение фишинговых сайтов и отсутствие реакции на абьюзы. Данные на чернушников обещают слить в полицию, или хотя бы в паблик.

В соответствии с требованиями времени товарищи завели ТГ-канал, на котором все это описывают.

На самом ли деле это хактивисты или происки антиабьюзных конкурентов – мы не знаем. Но это в любом случае прецедент.

​​Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.

В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.

При обнаружении о
8 сентября 2021 подозрительной активности Olympus немедленно мобилизовали спецгруппу реагирования, которой удалось установить, что потенциальный киберинцидент охватил ИТ-системы гиганта в регионе EMEA (Европа, Ближний Восток, Африка).

В рамках расследования Olympus оперативно приостановили передачу данных из зараженных систем и проинформировали соответствующих внешних партнеров. Компания заверила публику, что инцидент не повлиял на безопасность и обслуживание клиентов, масштабы вторжения и сведения об ущербе не сообщаются.

Впрочем, как всегда, пока не завершиться переговорный процесс - и не узнаем. И возможно, никто не узнает, все зависит от желания и возможности выплатить гонорар акторам.

​​После недавнего возвращения
вымогателей из REvil на американские спецслужбы напала печалька и вчера
заместитель директора ФБР Пол Аббейт заявил, что не видит никаких свидетельств того, что Россия борется с ransomware.

Он также сказал, что американцы ожидали взаимодействия с российскими
правоохранительными органами в отношении тех киберпреступников, которых они установили, но не получили никакого отзыва. Ситуация и в самом деле складывается неоднозначная и в ней есть несколько аспектов.

Во-первых, национальные американские пендосы как всегда крутят лукавой
мордой – взаимодействие в их понимании означает «дайте нам вашего
хакера, а мы его тут сами выжмем и на 30 лет посадим, а может против вас
работать заставим». Вместо разумного «вот вам материалы в отношении
противоправной деятельности негодяя, разберитесь с ним по всей строгости
закона».

С другой стороны, российские кибертанковые войска тоже не лыком шиты и, если им дать двух сферических хакеров в вакууме, то они одного сломают, а второго потеряют.

Поэтому с нашей точки зрения вся история с временным исчезновением REvil могла выглядеть следующим образом.

После атаки на Kaseya и последовавшего геополитического кипиша американцы направили российским коллегам данные в отношении Unknown, являвшегося официальным представителем REvil. Товарища хлопнули и получили от него универсальный декриптор, который потом передали представителям Kaseya.

Оставшийся партактив группы вымогателей ушел на дно, а Unknown их либо не сдал, либо просто не знал кто они. В связи с пунктами 1 и 2 (смотри выше) активность российских правоохранителей по дальнейшей борьбе с ransomware быстро сошли на нет. И поэтому спустя несколько месяцев REvil собрались снова и продолжили свою вымогательскую деятельность.

Всем спасибо, все свободны.

P.S. Кстати, а где обличительные пассажи ФБР и CISA в отношении Украины?
Ведь, как показали события этого года, как минимум две крупных
русскоязычных банды ransomware были родом именно оттуда. Хотя, с другой
стороны, их хотя бы хлопнули.

Наконец-то вышел долгожданный сентябрьский патч от Microsoft, который закрывает 60 недостатков безопасности, в том числе 2 критические уязвимости нулевого дня. 

Камнем преткновения стала бага в Windows MSHTML, известная как CVE-2021-40444, мануал по эксплуатации которой стал активно распространятся на хакерских площадках, что вызвало волну инцидентов. Второй zeroday CVE-2021-36968 связан с повышением привилегий в Windows DNS имеет локальный вектор эксплуатации и для обычного обывателя не представляет опасности.

Как известно, Microsoft раскрыла уязвимость в Windows MSHTML, только после того как злоумышленники стали активно использовать ее в фишинговых атаках. Эти атаки распространяли вредоносные документы Word с полезной нагрузкой CVE-2021-40444 для загрузки и выполнения вредоносного файла DLL, который устанавливал Cobalt Strike на компьютер жертвы, что соответственно давало возможность злоумышленникам получать удаленный доступ к устройству.

Вскоре после того, как Microsoft заявила об уязвимости, злоумышленники и исследователи безопасности начали делиться руководством по эксплуатации, что позволило любому начать использовать ее в атаках. Самое интересное, что энтузиастам удалось модифицировать эксплоит для обхода предложенных Microsoft рекомендаций по безопасности и более того обнаружили множество сценариев использования ошибки, что на данный момент пока неясно - исправляет ли обновление безопасности все методы.

Как мы знаем Microsoft классифицирует уязвимость, как уязвимость нулевого дня, только если она публично раскрыта или активно используется без выпуска официальных обновлений безопасности. Поэтому на сколько локализованы реальные угрозы остаётся только гадать, но пренебрегать обновлениями все же не стоит.

Интересный факт в том, что Microsoft не предоставила дополнительных сведений о реальных атаках или каких-либо индикаторов компрометации, чтобы помочь представителям инфосека найти признаки злонамеренной активности.

Тем не менее, в разделе атрибуции бюллетеня Microsoft содержится достаточно признаков, по которым можно предположить, что это работа APT-субъектов, а это уже совсем другая история и не про мамкиных хацкеров.

Xiaomi решила перестать блокировать смартфоны в «запрещённых» регионах

Помните, как жители Кубы, Крыма и других регионов столкнулись с полной блокировкой телефонов Xiaomi только из-за своего местоположения?

Так вот, компания сообщила, что она снимет эту блокировку в ближайшее время.

Как пояснил представитель Xiaomi, эта временная блокировка была связана с отслеживанием контрабанды.

Из его слов, конечно, мало что понятно, но пользователям больше ничего не угрожает.

Тем временем HP прикрыли серьезную уязвимость повышения привилегий в командном центре HP OMEN.

Расковыряли багу CVE-2021-3437 с оценкой CVSS 7,8 спецы из SentinelLabs. Ошибка касается миллионов устройств по всему миру, включая широкий спектр игровых ноутбуков и настольных компьютеров OMEN, а также моделей HP Pavilion и HP ENVY.

Игровой центр используется для управления настройками в соответствии с предпочтениями геймера, включая скорость вращения вентиляторов и разгон, а также для мониторинга общей производительности ПК и сети.

Применяемый в ПО HP драйвер HpPortIox64.sys выступает главным носителем угроз безопасности, которые перекочевали туда из WinRing0.sys, драйвера OpenLibSys, используемого для управления действиями, включая чтение/запись памяти ядра.

В прошлом в драйвере WinRing0.sys также обнаруживались ошибки повышения и привилегий, которые позволяли крутить интерфейс IOCTL для выполнения действий на более высоком уровне. В целом, уязвимость может позволить хакеру обходить решения безопасности.

Ошибки коснулись HP OMEN Gaming Hub до версии 11.6.3.0 и HP OMEN Gaming Hub SDK до 1.0.44. Свидетельств того, что ошибка была использована в дикой природе до настоящего времени не получено.

Об уязвимостях SentinelLabs сообщили ещё 17 февраля. К 14 мая HP разработали патч, однако он оказался малоэффективен. В итоге уязвимая функция была времени отключена до 7 июня. Исправленная версия ПО стала доступна 27 июля в Microsoft Store.

Кроме того, все же рекомендуем почитать на досуге рекомендации HP по CVE-2021-3437 и позаботиться о своих системах соответсвующим образом, пока о них не позаботились другие.

В результате атаки ransomware, произошедшей 6 сентября, в ЮАР оказались недоступны все электронные операции как для граждан, так и для чиновников.

Министерство юстиции и конституционного развития, чьи системы и службы полностью зашифровались, приостановило операции, будь то выплаты алиментов на детей, выдача доверенностей, услуги по освобождению под залог, электронная почта и многое другое.

В стране введен план действий в чрезвычайных ситуациях, чтобы обеспечить продолжение работы госаппарата. Судебная система и органы юстиции перешли на ручной режим оформления документации.

К настоящему времени удалось восстановить сервера электронной почты. Сколько потребуется ресурсов для нормализации остальных систем пока не ясно. Равно как и непонятно, кто стоит за этой атакой. До сих пор об атаке не заявляла ни одна из известных групп.

По заявлениям ИТ-специалистов Министерства, признаков компрометации данных не обнаружено. Но принимая в расчет столь долгий временной интервал после инцидента, хакеры, вероятно, так и не дождались выкупа и вскоре мы непременно узнаем все подробности атаки, как говориться из первых рук.

Siemens и Schneider Electric выпустили 25 рекомендаций по устранению более 40 уязвимостей в производимых системах промышленного управления (ICS).

Siemens предоставила 21 новую и обновила 25 ранее опубликованных рекомендаций по закрытию 36 уязвимостей, в том числе критических.

Одна из которых, например, касается платформы управления зданием Desigo CC и станции управления Cerberus (DMS), которые в случае подключения к Интернет несут риск выполнения неаутентифицированным злоумышленником произвольного кода в уязвимой системе.

Другая связана с проблемами вводом команд в приложении Siveillance Open Interface Services (OIS) для систем управления зданиями Siemens, и может использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Серьезные ошибки также устранены: в веб-сервере для устройств автоматизации APOGEE (вызывает переполнение буфера для выполнения произвольного кода с привилегиями root), приложении Siemens Industrial Edge (позволяет неаутентифицированному злоумышленнику изменять пароль любого пользователя в системе, выдавать себя за этого пользователя), реле SIPROTEC 5 (дает возможность вызывать состояние отказа в обслуживании (DoS) или выполнять произвольный код).

Исправления также коснулись устройств Ruggedcom ROX (получение контроля над устройством), Simcenter STAR-CCM и Viewer (выполнение кода или извлечение данных), Siemens NX (нарушение доступа и выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключатели SCALANCE (DoS), Teamcenter (захват учетной записи и несанкционированный доступ к данным), модули SIMATIC NET CP (DoS), LOGO CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалы (выполнение кода) и SINEMA Remote Connect Server (DoS), Teamcenter Active Workspace, SINEMA Server и Simcenter Fema (раскрытие информации, перехват соединения и обход пути).

Schneider Electric выпустила исправления для 7 уязвимостей, в том числе 2 критические баги в StruxureWare Data Center Expert, который предназначен для управления физической инфраструктурой. Ошибки дают возможность злоумышленнику удаленно выполнить произвольный код, что, по словам промышленного гиганта, может привести к простою или отключению оборудования.

Уязвимости в EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect могут быть реализованы злоуымшленником лишь после открытия жертвой файла вредоносного проекта, тогда он получит доступ для выполнения произвольного кода.

Еще 3 серьезных недостатка исправлены в компонентах веб-сервера ПЛК Modicon M340, которые позволяли получать конфиденциальную информацию или вызывать состояние DoS.

Ответственным за ICS следует внимательно отнестись к рекомендациям и исправлениям производителей, ведь мы прекрасно помним о том, что промышленные системы были и остаются в фокусе кибератак.

​​Отличился и немецкий разработчик SAP, выпустив 17 новых и обновив 2 прежних рекомендаций по безопасности, при этом 7 из них связаны с критическими уязвимостями в продуктах компании.

Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.

Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.

Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.

На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.

Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.

Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.

Клиентам немецкого разработчика - в работу.

Производитель сетевого оборудования MikroTik призывает своих клиентов поменять пароли к своим корпоративным девайсам, так как маршрутизаторы, которые были взломаны с помощью эксплоита CVE-2018-14847 Winbox, а так же те кто до сих пор не обновились, сами того не осознавая служат верой и правдой в интересах крупнейшего ботнета Mēris, известного своими DDoS-атаками с рекордными 21,8 миллионов запросов в секунду, которые обрушились на "непотопляемого" интернет-гиганта Яндекс.

Представители MicroTik заявили, что в этих атаках используются те же маршрутизаторы, которые были взломаны ещё в 2018 году, когда в MikroTik RouterOS была обнаружена уязвимость. Багу быстро исправили, но далеко не все успели накатить соответствующий патч.

Ну, и помня о правиле 72 часов - эмпирически выявленный временной интервал, когда есть возможность без последствий успеть обновиться, после официальной публикации уязвимости. Однако, закрытие уязвимости не обеспечило немедленной защиты маршрутизаторов и если кто-то установил пароль от устройства в 2018.

Исследователи Qrator Labs, которые предоставили подробную информацию об атаке на Яндекс заявили, что Mēris - ботнет, созданный на основе вредоносного кода Mirai - в настоящее время продолжает контролировать более 250 000 устройств, большинство из которых являются сетевыми шлюзами и маршрутизаторами MikroTik.

Как обезопасить свой роутер MikroTik, представители компании рассказали в блоге. Если вкратце, то все очень прозаично - нужно выбирать надежные пароли, которые должны защищать устройства от атак bruteforce и поддерживать обновления в актуальном состоянии.

​​Совсем недавно мы писали, как неизвестные хактивисты объявили вендетту антиабьюзному хостингу MskHost, сливая данные клиентов чернушников в сеть.

В этот раз EpikFail настал для сторонников Трампа, альтернативных правых и ультраправых организаций, а вместе с ними и для владельцев весьма пикантных Интернет-ресурсов.

Все дело в том, что ещё 28 февраля хактивисты Anonymous взломали мутного хостинг-оператора и регистратора доменов Epik. А в понедельник опубликовали дампы баз данных всех пользователей, дополнительно анонсировав утечку на интернет-форуме 4chan.

Хостинг все опроверг и не сознается в протечке, однако исследователи, проводившие расследование, утверждают об обратном. Якобы пруфы есть.

В торрент-файле объемом 32 ГБ, размещенном на портале DDoSecrets, хакеры включили несколько дампов базы данных SQL, содержащих массивы конфиденциальной информации такой, как сведения о владельце домена, транзакциях домена, данные учетнвх записей и точек входа. Кроме того, хакеры украли и ключи SSH, исходные коды, содержимое почтовых ящиков и множество закрытых ключей.

Только за последние несколько лет Epik хостил Gab, Parler и The Donald. По мнению хактивистов, больший интерес может представлять содержащаяся в дампах информация о доменах, связанных с национальными хакерскими группами, операциями влияния, террористическими объектами и нацистскими сайтами, а также порноресурсами.

Базу Epik в настоящее время распространяются через независимый портал журналистских расследований DDoSecrets, который ранее слил в сеть 296 ГБ внутренних данных правоохранительных органов США, украденных Anonymous в июне 2020 года после протестов Black Lives Matter.

Нынешнюю операцию EpikFail хакеры связывают с проектом OperationJane, направленным на компрометацию и противодействие законопроекту Техас 8, который серьезно ограничивает права женщин на аборты. Незадолго до этого они предпринимали атаки на Республиканскую партию Техаса, стоявшую за указанными инициативами.

Похоже, что останавливаться они не намерены и, точно, припрятали пару козырей. В любом случае, легенда у ребят так себе конечно, но кураторы по партийной линии согласовали, собственно как и цели.

Ой, ну надо же. Какие страсти-то творятся.

А скажите, и в магазине можно так же стенку приподнять? (с)

https://xn--r1a.website/potokchannel/177

​​Пошла жара. Критическую багу CVE-2021-40539 в Zoho начали активно эксплуатировать АРТ, о чем мы предупреждали еще на прошлой неделе.

Ошибка в ПО Zoho ManageEngine ADSelfService Plus позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации. Атаки фиксируются с августа 2021 года.

Но уже на этой неделе ФБР и CISA, и даже Киберкомандование береговой охраны (CGCYBER), выпустили совместное заявление с предупреждением о рисках использования ManageEngine ADSelfService Plus для критически важных инфраструктурных компаний, американских оборонных подрядчиков, академических институтов и прочих организаций в сфере транспорта, информационных технологий, производства, связи, логистики и финансов, которые уже попали под удар хакеров.

В выявленных инцидентах с применением эксплойтов под CVE-2021-40539 злоумышленники развертывали веб-оболочку JavaServer Pages (JSP), замаскированную под сертификат x509, которая в дальнейшем позволяла им проводить постэксплуатационные действия: компрометацию учетных данных администратора, выполнение бокового перемещения через инструментарий управления Windows (WMI), доступ к контроллерам домена, дампам NTDS.dit, значениям реестра SECURITY/SYSTEM, файлам Active Directory.

Опасения американских правоохранителей обоснованы, ведь в список клиентов Zoho входят три из пяти компаний из списка Fortune 500, включая Apple, Intel, Nike, PayPal, HBO и многие другие.

6 сентября 2021 Zoho выпустила исправления Zoho ManageEngine ADSelfService Plus build 6114 и уведомила клиентов об использовании уязвимости в дикой природе.

Полагаем, что к словам ФБР, CISA и CGCYBER следует отнестись более чем серьезно и принять соответствующие меры: накатить обновление ADSelfService Plus build 6114, сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), ограничить доступ к ADSelfService Plus из открытой сети.

​​Seventh Inferno - такое наименование получила третья и, пожалуй, самая серьезная уязвимость в интеллектуальных коммутаторах Netgear, технические подробности которой и РоС преданы общественности.

Описание прошлых дыр, о которых мы писали, стали известны вскоре после выпуска исправлений, еще 3 сентября 2021.

В общей сложности Netgear исправила в своих интеллектуальных коммутаторах 3 критические уязвимости: Demon's Cries (оценка по CVSS: 7,8), Draconian Fear (CVSS: 9,8) and Seventh Inferno (CVSS: 9,8), которые могут быть использованы злоумышленниками для удаленного выполнения вредоносного кода и получения контроля над уязвимыми устройствами.

Если Demon's Cries и Draconian Fear предоставляют злоумышленнику возможность изменять пароль администратора без необходимости знать предыдущий пароль, а также перехватить информацию о загрузке сеанса для полной компрометации устройства, то в Seventh Inferno основная проблема связана с ошибкой внедрения новой строки в поле ввода пароля во время аутентификации в веб-интерфейсе.

Данная бага позволяет злоумышленнику создавать поддельные файлы сеанса и что более интересно сочетать это с отказом в обслуживании при перезагрузке с последующим внедрением полезной нагрузки после аутентификации, чтобы получить полностью действующий сеанс и выполнить любой код от имени пользователя root.

Еще раз напомним, что все три компоненты дыр в коммутаторах Netgear эффективно эксплуатируются, в том числе пополняя ботами ZHtrap и Mozi, в связи с чем настоятельно рекомендуем обновить свои устройства как можно скорее.

Румынская инфосек-компания Bitdefender опубликовала универсальную утилиту дешифрования для жертв вымогателей REvil (Sodinokibi), которые подвергались атакам ransomware до момента таинственного исчезновения группы, то есть до 13 июля 2021 года.

Особо не скрывая, Bitdefender признали, что дешифратор был разработан в сотрудничестве с доверенным правоохранительным партнером, и, сославшись на продолжающееся расследование, не стали уточнять детали операции.

Напомним, что с 7 сентября, после двухмесячного перерыва, группа вернулась в дело. По данным Avast и AdvIntel, операторы REvil развернули свои старые сайты, создали новые профили на форумах и в течение двух дней начали проводить новые вторжения.

Все это еще раз подтверждает наши предположения о том, что после передачи информации спецслужбами США силовики прихватили представителей группировки, оставшаяся часть которой ненадолго прикрыла лавочку и перебазировалась. После небольшой реорганизации REvil вновь приступили к прежней работе, а со стороны США, в очередной раз, прозвучали критические высказывания.

Но стоит отметить, что Bitdefender сослались на расследование, последствиями которого могут стать новые задержания или публичные обвинения с занесениями в списки «самых разыскиваемых» преступников по версии ФБР.

Под гнетом общественного внимания и всплеском инцидентов Microsoft таки пролили свет и раскрыли подробности целевой фишинг-кампании, которая использовала уязвимость нулевого дня в MSHTML. Microsoft Threat Intelligence Center сообщает, что уязвимость CVE-2021-40444 использовалась для начального доступа с последующим развертыванием Cobalt Strike Beacon в скомпрометированных системах Windows.

Механизм доставки эксплойтов реализован путем отправки электронных писем, выдающих себя за контракты и юридические соглашения, размещенные на сайтах обмена файлами. Открытие документа, зараженного вредоносным ПО, приводит к загрузке файла архива кабинета, содержащего DLL с расширением файла INF, который при распаковке выполнял функции в этой DLL. Библиотека, в свою очередь, извлекает удаленно размещенный шелл-код - пользовательский загрузчик Cobalt Strike Beacon - и загружает его в инструмент импорта адресов Microsoft. Наблюдаемый вектор атаки основан на вредоносном элементе управления ActiveX, который может быть загружен механизмом визуализации браузера с использованием вредоносного документа Office.

Самое интересное что эти загрузчики взаимодействовали с инфраструктурой, которую Microsoft связывает с несколькими киберпреступными кампаниями, включая ransomware. В ходе независимого расследования дочерняя компания Microsoft RiskIQ с высокой степенью уверенности заявила, что к атакам причастен синдикат Wizard Spider, отметив, что сетевая инфраструктура, использовалась в прошлом для доставки полезной нагрузки BazaLoader и Trickbot, обеспечивает управление модулями Cobalt Strike Beacon и охватывает более 200 активных серверов.

Не менее смелым стало и заявление о том, что готовые инструменты с использованием уязвимости CVE-2021-40444 нашли свое применение у АРТ, нацеленных на традиционный шпионаж, которые также используют контролируемую преступниками инфраструктуру, чтобы ввести в заблуждение и затруднить атрибуцию.