Вчера ближе к ночи Apple выкатили обновление iOS 15.3.1.

Выпуск очередной версии спустя всего две недели после 15.3 как бы свидетельствует, что что-то случилось. И действительно - в апдейте закрыли уязвимость CVE-2022-22620, очередную 0-day дырку в многострадальном движке WebKit, позволяющую хакеру добиться RCE aka удаленное выполнение кода.

Причем, как заявили Apple, эта уязвимость "может активно использоваться в дикой природе", сиречь так оно и есть на самом деле. Поэтому всем рекомендуем срочно обновить свои iPhone, iPad и макбуки, поскольку для macOS тоже вышло обновление.

И в очередной раз остается посетовать на странную политику компании Apple, которая не допускает возможность низкоуровневой разработки для сторонних компаний, в связи с чем для iOS невозможны антивирусные решения. Ведь утверждение "iOS - безопасная операционная система и под нее отсутствуют вредоносные программы" давно не соответствует действительности.

А в силу изложенного остается лишь одна объективная причина для купертиновцев продолжать гнуть свою линию с запретом доступа в ядро iOS - там сидит нечто, чего не должен увидеть никто кроме Apple. И других уполномоченных американским правительством лиц.

Sad but true.

⚙️ S.E.Заметка. GitHub дорки.

🖖🏻 Приветствую тебя user_name.

• Для быстрого и удобного поиска скрытой информации касательно GitHub, мы можем использовать всем известные дорки. Сегодня ты узнаешь о полезной табличке, из которой можешь подчеркнуть для себя полезные запросы и найти скрытую информацию.

📌 В дополнение:

• Дорки:
https://xn--r1a.website/S_E_Reborn/1389
http://recruitin.net
https://github.com/techgaun/github-dorks
https://github.com/H4CK3RT3CH/github-dorks
https://github.com/jcesarstef/ghhdb-Github-Hacking-Database

• Инструменты:
https://github.com/BishopFox/GitGot
https://github.com/Talkaboutcybersecurity/GitMonitor
https://github.com/michenriksen/gitrob
https://github.com/tillson/git-hound
https://github.com/kootenpv/gittyleaks
https://github.com/awslabs/git-secrets https://git-secret.io/

• Полезный мануал: https://shahjerry33.medium.com/github-recon-its-really-deep-6553d6dfbb1f

‼️ Другую дополнительную информацию ты можешь найти по хештегу #СИ и #OSINT. Твой S.E.

В результате атаки ransomware вещание самого популярного телеканала Словении Pop TV было серьезно нарушено.

Атака, которая произошла во вторник, повлияла на компьютерную сеть Pop TV и по факту ограничила возможности демонстрации компьютерной графики в вечернем выпуске 24UR, а также в ежедневных новостных шоу. При этом ночной выпуск того же шоу был полностью отменен.

Несмотря на то, что новостные трансляции удалось оперативно восстановить уже на следующий день, другие компоненты сети по-прежнему не функционируют.

Согласно официальному заявлению Pop TV, атака вывела из строя веб-сервера, в том числе VOYO, платформу с подовым видео и лицензионным видеоконтентом. Телевизионщики на время восстановительных работ лишись возможности добавлять новый контент на платформу, транслировать любые каналы, вести прямые трансляции, в том числе спортивных событий. Последнее обстоятельство было воспринято достаточно негативно аудиторией.

Представитель 24UR не сообщил подробностей о инцидента, но журналистам стало известно, что причиной инцидента стала атака вымогателей. К расследованию подключили группу реагирования на компьютерные чрезвычайные ситуации Словении (SI-CERT).

За последнее время телеканалы и медиахолдинга все чаще становятся жертвами атак ransomware, ведь они находятся в зависимом состоянии от эфира и вещания.

Так, только за последние несколько лет кибератакам подверглось несколько крупных телеканалов, в том числе французская M6 (октябрь 2019 г.), The Weather Channel (апрель 2019 г.), Cox Media Group (июнь 2021 г.), Sinclair Broadcast Group в США (октябрь 2021 г.), SIC Португалии (январь 2021 г.) и IRIB Ирана (февраль 2021 г.).

​​Мы неоднократно упоминали об опасности атак на промышленные системы, в том числе АСУТП.

На этой неделе Siemens исправили ряд серьезных уязвимостей, которые могут быть использованы для удаленного сбоя некоторых продуктов SIMATIC.

Три из них высокой степени серьезности (CVE-2021-37185, CVE-2021-37204 и CVE-2021-37205), которые могут быть использованы удаленным, неаутентифицированным злоумышленником для атак типа «отказ в обслуживании» (DoS) на программируемые логические контроллеры (PLC) SIMATIC S7-1200 и S7-1500, контроллер привода SIMATIC, открытый контроллер ET 200SP, контроллер программного обеспечения S7-1500, SIMATIC S7-PLCSIM Advanced, модуль связи TIM 1531 IRC, а также экстремальные продукты SIPLUS. Баги можно эксплуатировать, отправив специально созданные пакеты по TCP-порту 102 на целевое устройство.

В реальной жизни сбой ПЛК может оказать серьезное воздействие и привести к авариям.

Ошибки стали результатом проводимых с августа 2021 года работ исследователем ICS Гао Цзянем и получили условное наименование S7+:Crash. Все они связаны со стеком протоколов связи OMS+.

ПЛК Siemens уязвимы для такого типа атак, даже если активирована опция «полной защиты», предназначенная для обеспечения безопасности связи между ПЛК и ПК или HMI.

Для понимания того, как в реальности злоумышленник может удалённо остановить производство, отключить электричество или предпринять более радикальные действия, просто оцените эксплойт в действии на видео👇

​​Краудфандинговый сервис GiveSendGo несколько часов назад был взломан, хакеры сделали редирект и слили базы данных.

GiveSendGo - это сервис, который предоставил свою платформу для сбора пожертвований участникам Конвоя Свободы, гигантской колонны траков, водители которых протестуют против ковидных ограничений, введенных канадским правительством. Акция стартовала 22 января, а через неделю дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.

К 31 января на сервисе GoFundMe сочувствующие собрали для протестующих более 9 млн. долларов (канадских), после чего GoFundMe удалили сбор средств в поддержку Конвоя Свободы. Упавшее краудфандинговое знамя подхватили GiveSendGo. А теперь их взломали.

Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, тоже вчера сняли.

Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать.

Не удивляет столь пристальное внимание к NSO и ее скандальному ПО Pegasus.

Как удалось выяснить журналистам Haaretz от анонимных источников внутри компании, представители Моссада достаточно часто посещали штаб-квартиру во главе с предыдущим директором агентства Йосси Коэном, и порой в сопровождении иностранных официальных лиц. Посещали и посещали, казалось бы обычная экскурсия и все дела.

Но в реальности визиты сопровождались неофициальными просьбами глянуть с помощью Pegasus определенные трубки определённых людей и тп. Это все при том, что более 8 лет NSO на право и налево трубит о том, что они только реализуют продукт, а сами ни в коем случае не занимаются взломами.

А вы разве сомневались? Мы нет.

Оператор мобильной связи A1 Hrvatska в Хорватии сообщил об утечке данных.

Согласно предварительным данным, злоумышленники получили доступ к конфиденциальной личной информации 200 тысяч абонентов, включая регданные, личные идентификационные номера, адреса проживания и номера телефонов.

На данный момент оператор мобильной связи не раскрывай дополнительных подробностей о нарушения. Ведется интенсивная работа по установлению всех фактов, связанных с инцидентом безопасности. Представители оператора отдельно отмечают, что финансовая информация, в том числе о банковских картах и счетах, не скомпрометирована и отсутствовала в утекшей базе данных.

Нарушение безопасности не повлияло на обслуживание и работу A1 Hrvatska. Из сообщения стало понятно, что злоумышленник имел продолжительный доступ и оставался в системе жертвы до начала расследования.

Несмотря на то, что утечка затронула лишь 10% ее клиентов, характер слитой информации может указывать на куда более серьезные обстоятельства инцидента, ведь в руки хакерам могли попасть и другие значимые сведения, в том числе биллинговая дата.

Mayday, Mayday для пользователей коммерческих платформ Adobe Commerce и Magento.

В воскресения компания Adobe выпустила экстренный бюллетень с информированием о критической 0-day уязвимости нулевого дня, которая использовалась в атаках. CVE-2022-24086 получила оценку CVSS 9,8. Ошибку описывают как проблему неправильной проверки ввода, которая может привести к выполнению произвольного кода причем без аутентификации.

Угроза безопасности затрагивает платформы электронной коммерции Magento с открытым исходным кодом и Adobe Commerce, в частности версии 2.4.3-p1 и 2.3.7-p2, а также более ранние версии продуктов. Соответствующие патчи исправлений уже доступны для обновлений.

В компании отметили, что CVE-2022-24086 использовалась в дикой природе, но в крайне ограниченных атаках, нацеленных исключительно на продавцов Adobe Commerce.

Никакой другой информации об атаках предоставлено не было и Adobe не упомянула тех, кто сообщил об уязвимости кроме того, что проблема была обнаружена ее внутренней командой безопасности. Пока разработчик программных продуктов не готов делиться дополнительной информацией об уязвимости в интересах защиты безопасности и конфиденциальности своих клиентов.

Все мы прекрасно знаем, как уязвимости программного обеспечения для электронной коммерции пользуются спросом у хакеров и активно используются в массовых атаках. Один недавний пример явно демонстрирует интерес, когда киберпреступниками было атаковано более чем 500 интернет-магазинов, работающих на Magento 1 с целью установки веб-скиммеров для сбора пользовательских данных. Тогда злоумышленники использовали комбинацию уязвимостей, а также то, что Magento 1 больше не получает обновления безопасности.

Исследователи Claroty из группы Team82 выявили 5 уязвимостей с общей оценкой CVSS 10 из 10 в веб-системе управления сетью MXview от Moxa.

Moxa для управления сетью MXview предназначено для настройки и мониторинга сетевых устройств в промышленных системах управления (ICS) и сетях операционных технологий (OT). ПО состоит из нескольких компонентов, в том числе MQTT (Mosquitto), который передает сообщения в различные компоненты среды MXview и обратно.

Исследователи объяснили, что именно в реализации MQTT кроются уязвимости. Доступ к компоненту как раз и позволяет злоумышленнику извлекать конфиденциальные данные и использовать другие уязвимости.

MXview использует сервер MQTT для распространения большинства своих сообщений IPC/RPC, и большинство API-интерфейсов MXview используют протокол MQTT для получения и обработки запросов. Mosquitto поддерживает MQTT через веб-сокеты, чтобы пользователи могли получать данные MQTT через веб-браузер.

Критические ошибки позволяют приводят к удаленному выполнению кода без аутентификации (RCE) в качестве SYSTEM на любом непропатченном сервере MXview, и затрагивают версии ПО с 3.x по 3.2.2.

Цепочка из трех из них как раз и приводит к RCE (CVE-2021-38452, CVE-2021-38460 и CVE-2021-38458), а остальные можно использовать для кражи паролей и другой конфиденциальной информации (CVE-2021-38456, CVE-2021-38454).

CVE-2021-38452, представляет собой уязвимость чтения файлов, которая позволяет злоумышленнику, не прошедшему проверку подлинности, читать любой файл в целевой операционной системе.

Большинство веб-маршрутов MXview требует аутентификации пользователя. Для проверки того, что запрошенный файл не содержит вредоносных символов, а именно символов обхода пути (../), в классе ResourceRoutes используется библиотека sanitize-filename. Однако сервер не обращается к ней для маршрута «/tmp», что позволяет пользователю указывать символы обхода пути, которые извлекают произвольные файлы. Злоумышленник может использовать этот неаутентифицированный примитив чтения файлов для получения секретных паролей и конфигураций (например, пароль к MQTT).

Как только злоумышленник получает доступ к MQTT, в игру вступают CVE-2021-38454 и CVE-2021-38458, которые реализуют RCE посредством внедрения команд. Речь идет о неправильном управлении доступом, позволяющем удаленно подключаться к внутренним каналам связи. Ошибка управления доступом позволяет любому пользователю MQTT выполнять произвольный код с максимально возможными привилегиями: NT AUTHORITY/SYSTEM. 

Ошибка доступа к MQTT также может быть связана с CVE-2021-38458, что позволяет неавторизованному пользователю записывать произвольные файлы в файловую систему хост-сервера, злоупотребляя функцией MXview, которая позволяет пользователям добавлять собственные значки.

Что касается двух других проблем, CVE-2021-38460 допускает утечку пароля, что может позволить злоумышленнику получить учетные данные через незащищенный транспорт. А CVE-2021-38456 — из-за использования жестко закодированных паролей, которые могут позволить злоумышленнику получить доступ к учетным записям, используя пароли по умолчанию.

Ошибки исправлены в версии MXview 3.2.4 - настоятельно рекомендуем обновиться.

Обновляйте свой Chrome как можно скорее.

Google выпустил исправления для 8 ошибок безопасности в веб-браузере Chrome, включая критическую уязвимость, которая активно используется в реальных атаках.

И таким образом гигант официально исправляет первый 0-day в 2022 году. Напомним, что в прошлом году Google устранил в Chrome 17 таких недостатков.

Ошибка CVE-2022-0609 описывается как уязвимость use-after-free в компоненте Animation, которая в случае успешной эксплуатации может привести к повреждению действительных данных и выполнению произвольного кода на уязвимых системах. Багу обнаружили исследователи Адам Вайдеманн и Клеман Лесинь из группы анализа угроз Google (TAG).

При этом сам Google подтверждает информацию о том, что эксплойт для CVE-2022-0609 существует и активно применяется в дикой природе.

Помимо названного Google также устранил четыре других недостатка использования после освобождения, влияющих на файловый менеджер, файловый менеджер, ANGLE и графический процессор, а также ошибку переполнения буфера кучи в группах вкладок, целочисленное переполнение в Mojo и проблему с ненадлежащей реализацией в Gamepad API.

Пользователям Google Chrome настоятельно рекомендуется выполнить обновление до последней версии 98.0.4758.102 для Windows, Mac и Linux, чтобы избежать потенциальной угрозы.

В современном мире инфосек уже давно плотно вошел в сознание общества. IT-гиганты и корпорации тратят огромные усилия по обеспечению необходимого уровня защиты своих продуктов и пользователей. Но парадокс в том, что угрозы информационной безопасности растут как на дрожжах. Печально, но это факт.

В подтверждение сказанному, в понедельник ребята из Risk Based Security опубликовали свой отчет об уязвимостях за 2021 год и показали, что в прошлом году было раскрыто рекордное количество уязвимостей — 28 695, что представляет собой значительное увеличение по сравнению с 23 269 багами, обнаруженными в 2020 году.

Из уязвимостей 2021 года, более 4100 можно использовать удаленно, для них общедоступны соответствующие эксплойты, но также доступны исправления или рекомендации для нивелирования последствий. По данным компании, которые не первый год занимаются анализом уязвимостей и утечек, только сосредоточившись на этих дырах в безопасности, организации уже могут снизить риск на 86%.

Что касается продуктов с наибольшим количеством уязвимостей, обнаруженных в 2021 году, то в первую десятку вошли в основном дистрибутивы Linux. Устройства Google Pixel также вошли в десятку "лучших". Телефоны Pixel заняли 12-е место в 2020 году и поднялись на 5-е место в 2021 году, но количество уязвимостей было примерно одинаковым за два года.

Одно существенное изменение в 2021 году заключается в том, что в топ-10 не входит ни одна версия Windows. Кроме того, в списке ведущих поставщиков Microsoft опустилась со второго места в 2020 году на пятое в 2021 году. Однако это можно объяснить тем, что 2020 год был необычайно плохим для Microsoft, тогда было обнаружено 1600 уязвимостей по сравнению с 940 в 2019.

Собственно, стоит осознать современные реалии и сделать соответствующие выводы. Ну и с кропотливой работой специалистов из Risk Based Security рекомендуем все же ознакомиться.

​​Как мы и предполагали, за атакой на авиакомпанию Swissport действительно стояли вымогатели, а именно BlackCat (ALPHV), которые взяли на себя ответственность за инцидент и приступили к утечке данных.

Напомним, что атака также привела к задержкам рейсов и перебоям в обслуживании. Swissport с доходом в 3 миллиарда евро присутствует в 310 аэропортах в 50 странах, оказывая весь спектр авиауслуг. Swissport насчитывает более 66 000 сотрудников и ежегодно обслуживает до 282 миллиона пассажиров и 4,8 миллиона тонн грузов.

Пока что BlackCat выкатили пруфы, опубликовав небольшие фрагменты украденной информации. Всего же на кону 1.6 TB, которые хакеры намерены перепродать по возможности потенциальному покупателю, в частности, к реализации предлагаются: данные паспортов, внутренняя документация, и даже сведения на кандидатов на работу, с указанием ФИО, национальности, вероисповедания, контактной информации.

В общем классическая схема ransomware в действии.

После своего публичного батла с вымогателями Qlocker и DeadBolt, для противодействия которым тайваньский производитель решений NAS и NVR QNAP Systems был вынужден принудительно запустить обновления устройств без ведома их владельцев, все же небольшие бонусы посыпались на клиентов.

QNAP объявили о продлении поддержки и выпуске обновления безопасности для некоторых сетевых хранилищ (NAS), которые достигли статуса окончания срока службы (EOL) до октября 2022 года.

Модели EOL зачастую не имеют необходимого объема оперативной памяти или имеют другие технические ограничения, которые не позволяют получать обновленные драйверы компонентов. QNAP обычно поддерживает обновления безопасности в течение 4 лет после того, как продукт истечет срок окончания срока службы, чтобы защитить свои устройства от современных угроз безопасности.

Но обольщаться не стоит, ведь устройства EOL будут получать только обновления безопасности, устраняющие серьезные и критические уязвимости.

QNAP также добавила, что клиентам не следует предоставлять устройствам EOL NAS доступ в Интернет и использовать службу системного администрирования напрямую с внешних IP-адресов, дабы гарантировать, что злоумышленники не скомпрометируют их, используя эксплойты, нацеленные на неисправленные уязвимости.

QNAP также выпустили рекомендации по повышению безопасности устройств NAS  для блокировки вредоносных программ или других типов атак.

​​VMware исправила несколько серьезных уязвимостей в VMware ESXi, Workstation и Fusion, которые были обнаружены на китайском хакерском конкурсе Tianfu Cup, о результатах которого мы ранее сообщали.

Расчехлить решения VMware смогли участники команды Kunlun Lab, ставших авторами широкго спектра эксплойтов на сумма в боле чем 650 000 долларов США, причем 80 000 из них ушли хакерам за за эксплойты VMware Workstation, 180 000 долларов за ESXi. Причем в последнем случае эксплойты позволяли злоумышленнику получить root-права на хосте. 

Вышедший бюллетень содержит описания следующих уязвимостей:

- CVE-2021-22040 — уязвимость использования после освобождения в USB-контроллере XHCI ESXi, Workstation и Fusion, которая позволяет злоумышленнику с правами локального администратора на виртуальной машине (ВМ) выполнять код в качестве процесса VMX ВМ, работающего на хосте;

- CVE-2021-22041 — уязвимость двойной выборки в UHCI USB-контроллере ESXi, Workstation и Fusion, которая позволяет локальному злоумышленнику с правами администратора на виртуальной машине выполнять код как процесс VMX, запущенный на хосте;

- CVE-2021-22042 — уязвимость несанкционированного доступа settingsd в ESXi — связана с тем, что VMX имеет доступ к билетам авторизации settingsd, что позволяет злоумышленнику с привилегиями внутри процесса VMX получить доступ к сервису settingsd, запущенному от имени пользователя с высокими привилегиями;

- CVE-2021-22043 — уязвимость settingsd TOCTOU в ESXi — связана с тем, как обрабатываются временные файлы, позволяет злоумышленнику повышать привилегии, записывая произвольные файлы.

Помимо исправлений для ESXi, Workstation, Fusion и Cloud Foundation, VMware также разработали обходные пути. 

Кстати первоначально, VMware сделали отметку о том, что выявленные уязвимости после обнаружения стали достоянием китайского правительства согласно законодательству КНР, но позже это упоминание исчезло из документа. Согласно вновь принятому в КНР закону исследователи обязаны передавать подробности 0-day в правительство и передавать их за пределы страны исключительно поставщику.

Сделаем оговорку - вероятно, с согласия правительства. Может быть этим и объясняется, что конкурс прошел еще в октябре, а исправления вышли спустя 4 месяца. Хотя журналисты со ссылкой на анонимного источника из числа китайских ресерчеров опровергают существование нормативных требований по раскрытию уязвимостей.

Но как бы ни было, мы присоединяемся к VMware и советуем клиентам немедленно принять меры по устранению уязвимостей.

Вслед за американскими компании-разработчику шпионского ПО NSO Group припаяют еще и европейские.

Служба защиты конфиденциальности Европейского союза (EDPS) призвала чиновников ЕС запретить использование ПО Pegasus в Европе, сославшись на беспрецедентные риски и ущерб личным свободам и верховенству закона.

С момента начала продаж в качестве коммерческого продукта в начале 2010-х годов NSO Group продавала свой инструмент только официальным правоохранительным органам. Во всех случаях ПО реализовывалось в качестве коммерческого пакета «наблюдение как услуга», позволяя заказчикам заражать пользователей, извлекать данные с их устройств и отслеживать их перемещения, а также сетевую активность в режиме реального времени.

Но согласно последним расследованиям инцидентов, связанных с Pegasus, стало понятно, что шпионское ПО использовалось вопреки заявленным целям и обнаруживалось на телефонах журналистов, политиков и активистов в Венгрии, Польше, Сальвадоре, Финляндии и Израиле.

Именно в свете последних разоблачений EDPS в консультативном порядке призвал законодателей ЕС по вопросам защиты данных и конфиденциальности запретить использование шпионского программного обеспечения в странах ЕС.

В качестве мотивировки своего решения EDPS указала расширенные функции шпионского ПО, его способность получать неограниченный доступ к телефонам и возможность удаленного заражения. При этом EDPS полагает, что Pegasus нельзя использовать в Европе без каких-либо ограничений или надзора, что поощряет злоупотребления со стороны клиентов NSO.

EDPS вместе с тем, оставили вопрос открытым для рассмотрения в части запрета. Но, как мы полагаем, помимо запрета конкретно Pegasus, под жесткие рамки попадет и другой софт, предназначенный для решения спецзадач.

🇷🇺 По данным "Лаборатории Касперского" в 2021 году в России с применением программ-шифровальщиков было атаковано почти 🩸16'000 компаний

Лаборатория Касперского сообщила об обнаружении 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всем мире в 2021. Примечательно, что локеры стали чаще использовать сборки Linux систем, чтобы увеличить поверхность атак.

"Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик", - комментирует эксперт по кибербезопасности "Лаборатории Касперского" Федор Синицын

Кто говорил, что шифровальщики не атакуют СНГ?🤔

Исследователи DevOps-компании JFrog раскрыли подробности уже исправленной серьезной уязвимости в Apache Cassandra, которая может быть использована для удаленного выполнения кода (RCE).

Apache Cassandra — это распределенная система управления базами данных NoSQL с открытым исходным кодом для управления очень большими объемами структурированных данных на обычных серверах.

Как отмечают исследователи, уязвимость в системе безопасности Apache достаточно легко использовать, но, к счастью, проявляется только в нестандартных конфигурациях Cassandra.

CVE-2021-44521 (оценка CVSS: 8,4) связана с конкретным сценарием, в котором включена конфигурация определяемых пользователем функций (UDF), что позволяет злоумышленнику эффективно использовать движок Nashorn JavaScript, чтобы выйти из песочницы и добиться выполнения ненадежного кода.

К такой конфигурации относятся следующие параметры cassandra.yaml: enable user defined functions: true; enable scripted user defined functions: true; enable user defined functions threads: false.

Когда для параметра enable user defined functions hreads установлено значение false, все вызываемые UDF-функции выполняются в Cassandra daemon, у которого есть менеджер безопасности с некоторыми разрешениями. Тем самым позволяя злоумышленнику отключить менеджера безопасности, выйти из песочницы и запускать произвольные команды оболочки на сервере.

Пользователям Apache Cassandra рекомендуется обновиться до версий 3.0.26 , 3.11.12 и 4.0.2, чтобы избежать возможной эксплуатации. В новом исполнении для allow extra insecure udfs устанавливается по умолчанию значение false и блокируется отключение менеджера безопасности.

Исследователи из Secureworks подробно разобрали вредоносное ПО ShadowPad.

ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.

В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.

ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.

ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.

Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.

Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.

Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.

Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.

В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.

По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).

Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.

​❗️ Релиз Kali Linux 2022.1

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.

🖖🏻 Приветствую тебя user_name.

• Состоялся релиз дистрибутива Kali Linux 2022.1. Для загрузки подготовлены несколько вариантов iso-образов, размером 471 МБ, 2.8 ГБ, 3.5 ГБ и 9.4 ГБ — это полная сборка "kali-linux-everything", включающая все имеющиеся пакеты (кроме Kaboxer) для самодостаточной установки на системы, не имеющие подключения к сети. Размер сборки 9.4 ГБ и она доступна для загрузки только через BitTorrent.

В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.

Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.

• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.

• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile

• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/

‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.

Наверное прозвучит забавно и не так пафосно как мы привыкли. Но! Нигерийские хакеры … Да, да и такие есть, ведут активную противоправную деятельность в многолетних атаках в сфере авиации и транспорта организаций Северной Америки, Европы и Ближнего Востока.

О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).

Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.

Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.

Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.

Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.

Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.