​📲 Google запускает функцию толерантной замены слов под названием "inclusive warnings"

Google внедряет в свои сервисы новую технологию распознавания и коррекции текста, которая заставит пользователя избегать использования определенных слов, призывая обойтись более толерантными формулировками без привязки к половой принадлежности, об этом пишет The Telegraph.

Технология под названием "inclusive warnings" будет использоваться как минимум в Google Docs, предлагая пользователю замену таких слов как "policeman" (полицейский) или "landlord" (владелец земли/объекта недвижимости) на что-то более нейтральное, так как эти слова намекают на гендерную принадлежность к мужчине или женщине. По мнению Google, лучшей заменой он видит слова "police officer" и "property owner".

Даже такие технические термины как материнская плата "motherboard" стали жертвами исправления технологии перевода и коррекции слов. Алгоритм считает недопустимым использование в словах "mother", так как это указывает на женский пол, а это уже заявка на нетолерантность к меньшинствам с английской буквой Х в паспорте.

"When Googling John F. Kennedy’s inauguration speech, Google suggests that it should be corrected to ‘for all humankind’ instead of ‘for all mankind"

Некоторые публичные критики уже высказывают своё недовольство в социальных сетях нововведениями компании Google. Директор правозащитной группы Big Brother Watch Силки Карло назвала inclusive warnings “глубоко навязчивой” технологией. Эксперты опасаются того, что навязывание как писать и какие слова использовать может привести к утрате важных смыслов для отдельных пользователей.

“Этот речевой контроль глубоко неуклюж, он жуткий и неправильный, усиливает предвзятость. Подобные агрессивные технологии подрывают частную жизнь, свободу выражения мнений и все большую свободу мысли” - делится размышлениями директор Big Brother Watch

👆Кроме того что Google читает и распознает каждое слово на своих сервисах, теперь вдобавок он ещё подскажет "как и что" писать собеседнику вместо вас.

“With Google’s new assistive writing tool, the company is not only reading every word you type but telling you what to type,” she noted.

А мы предупреждали, что VMware RCE может и будет эксплуатироваться.
 
Так и случилось, согласно данным Morphisec Labs, проиранская АРТ Rocket Kitten нацелился на непропатченные системы, используя недавно исправленную еще 6 апреля уязвимость VMware, чтобы получить первоначальный доступ для разворачивания бэкдора Core Impact в уязвимых системах.
 
Как мы сообщали, CVE-2022-22954 (с оценкой CVSS: 9,8) представляет собой критическую ошибку, связанную с уязвимостью удаленного выполнения кода (RCE) и затрагивающую VMware Workspace ONE Access и Identity Manager.
 
Используя уязвимость RCE, злоумышленник реализует наивысший привилегированный доступ к любым компонентам виртуализированного хоста и гостевой среды.
 
Зафиксированные цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для инсталляции полезной нагрузки следующего этапа - PowerTrash Loader, которая, в свою очередь, внедряет инструмент Core Impact в память для последующих действий.
 
И по факту хакеры получают широкие возможности управления идентификационными данными VMWare в сочетании с беспрепятственным удаленным доступом, что является отличным плацдармом для дальнейших разрушительных действий на объектах в различных отраслях.
 
Собственно, теперь вы понимаете, что мы имели в виду, когда упоминали сегодня об ответных мерах со стороны Ирана, которые могут последовать после отраженной массированной кибератаки.

͏Известный мотив рекламной кампании Coca-Cola теперь напевают вымогатели Stormous, которые ожидают выкупа от крупнейшего в мире производителя безалкогольных напитков.

Хакеры сообщили об успешной атаке на часть серверов американского производителя и анонсировали 161 ГБ украденных данных. Среди упомянутых файлов присутствуют документы, текстовые файлы с админскими аутентификационными данными (электронная почта и паролями), ZIP-архивы учетных записей и платежей, а такж другая конфиденциальная информация.

Coca-Cola подтвердила кибератаку на свою сеть, и в настоящее время она проводит собственное расследование, каких-либо негативных последствий в виде ransomware пока не обнаружено. Привлечены правоохранители.

Неожиданно удивила сумма выкупа, которая составила 1,65 биткойна или примерно 64 000 долларов США. Причем, впервые хакеры опубликовали перечень похищенных сведений.

Атака состоялась после того, как подписчика канала вымогателей проголосовали за очередную жертву, выбрав большинством голосов Coca-Cola (72% проголосовавших). Хакеры обещали DDoS, кражу исходного кода и клиентских сведений. Со слов хакеров, для взлома им потребовалось всего лишь несколько дней.

Если ранее исследователи высказывали сомнения относительно результатов недавних кампаний Stormous, то сейчас инцидент с Coca-Cola должен расставить все точки.

Госдепартамент США в рамках программы Награда за правосудие предложили до 10 млн. американских расовых долларов за информацию о шести гражданах России, которых американцы называют членами APT Sandworm и сотрудниками ГРУ.

Безотносительно нашего мнения по поводу объективности выдвинутых ранее в отношении указанных лиц обвинений хочется задать один вопрос.

А как отнесется Госдеп к тому, что за членов APT Equation предложат пару миллионов кубометров газа с поставкой в октябре 2022 года?

В коем веке Microsoft нашла критические уязвимости не только у себя, а еще и в операционной системе Linux.

Вчера специалисты из Редмонда раскрыли две уязвимости, которые  могут позволить локальным злоумышленникам повышать привилегии в системах Linux для развертывания вредоносных программ, начиная от бэкдоров и заканчивая программами-вымогателями.

Эти уязвимости, получившие общее название Nimbuspwn, могут быть объединены в цепочку для получения привилегий суперпользователя в системах Linux, позволяя злоумышленникам развертывать полезную нагрузку и выполнять другие вредоносные действия посредством выполнения произвольного кода. Кроме того, уязвимости - отслеживаемые как CVE-2022-29799 и CVE-2022-29800 - также могут быть использованы в качестве вектора для корневого доступа при развертывании более сложных угроз, таких как ransomware.

Недостатки кроются в компоненте networkd-dispatcher - демоне, который отправляет изменения статуса соединения на машинах Linux. В частности, они связаны с комбинацией недостатков обхода каталога (CVE-2022-29799) и так называемой Time-of-check-time-of-use (TOCTOU) (CVE-2022-29800) - уязвимости состояния гонки, это когда приложению, настроенному для управления функциями в фиксированной последовательности, требуется выполнить две или более операций одновременно.

Таким образом первую уязвимость хакеры могут использовать, чтобы выйти из базового каталога «/etc/networkd-dispatcher», а вторую для замены сценариев, которые networkd-dispatcher считает принадлежащими root, на вредоносные сценарии по выбору злоумышленника. Чтобы убедиться, что Linux выполняет предоставленный злоумышленником вредоносный сценарий, а не легитимный, он запускает несколько сценариев, пока один из них не сработает.

В итоге, хакер с минимальным доступом к уязвимому рабочему столу может объединить эксплойты для этих уязвимостей, которые дают ему полный root.

В данной связи, пользователям networkd-dispatcher настоятельно рекомендуется обновиться до последней версии, чтобы уменьшить потенциальную угрозу, возникающую в результате использования уязвимостей.

Количество киберугроз на российские компании продолжает расти.

Что будет в 2022?

«По статистике 86% всех атак были направлены на организации, и если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Хакеры моментально собираются в команды из порой даже незнакомых людей, чтобы совершить быструю и массовую DDoS-атаку.

Проблема в том, что сценарии адаптированы под конкретную жертву, что повышает шансы на успешную кибератаку. Бизнесу приходится адаптироваться к этим условиям на ходу», - рассказал Директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Важно понимать, что жертвой атаки может стать любая компания, но последствия атаки зависят от заранее принятых мер по кибербезопасности.

На канале IT’s positive investing представлена актуальная и важная информация о кибербезопасности и грамотных инвестициях в перспективный сектор, который продолжает активно развиваться.

Подписывайтесь, чтобы узнавать все новости первыми!

Решения для разработки корпоративного программного обеспечения WSO2 подвержены критической уязвимости, которая использовалась в дикой природе.

WSO2 является крупнейшим в мире поставщиком интеграционных решений с открытым исходным кодом, которые могут быть эффективно использованы организациями с цифровым ведением бизнеса. Компания обладает гибридной платформой и предлагает комплексное решение, включающее более чем 20 продуктов.

Разработки компании используются многими крупными компаниями по всему миру, в том числе организациями из списка Fortune 500, в том числе eBay, Cisco, Boeing и др. С использованием технологий интеграции WSO2 выполняется более пяти триллионов транзакций ежегодно, реализуются критически-важные задачи.

Обнаруженная уязвимость отслеживается как CVE-2022-29464 и затрагивает продукты WSO2 API Manager, Identity Server, Enterprise Integrator и Open Banking. Ошибка была обнаружена Orange Tsai из DEVCORE. Исследователь описал ее как проблему с загрузкой произвольного файла, которая может привести к удаленному выполнению кода.

Из-за неправильной проверки пользовательского ввода злоумышленник может загрузить произвольный файл в контролируемое пользователем место на сервере. Используя уязвимость загрузки произвольных файлов, можно получить удаленное выполнение кода на сервере.

Технические подробности уязвимости раскрыты, доступен и PoC. Исследователи Rapid7 обнаружили попытки эксплуатации баги в дикой природе. Эксплуатация довольно проста, в связи с чем злоумышленники, по всей видимости, придерживаются первоначального эксплойта и сбрасывают веб-оболочки и майнеры на эксплуатируемые цели. Bad Packets также подтверждают наблюдения своих коллег.

В рекомендациях по CVE-2022-29464 поставщик отметил, что временные меры по снижению риска были уже доступны в январе 2022 года, а исправления вышли в феврале. Пользователям платформы WSO2 рекомендуется как можно скорее устранить уязвимость в соответствии с инструкциями, представленными в бюллетене WSO2.

Логическая ошибка в диспетчере пакетов по умолчанию для среды выполнения JavaScript Node.js открывала возможности для злоумышленников, позволявших выдавать мошеннические библиотеки за доверенные, вводя в заблуждение ничего не подозревающих разработчиков.

Основная фитча заключалась в том, что до недавнего времени NPM позволял добавлять любого в качестве сопровождающего пакета без уведомления этих пользователей или получения их согласия. Фактически злоумышленник мог создавать пакеты с вредоносными ПО и назначать авторитетных специалистов на их сопровождение без их ведома. При этом в качестве своего рода «гарантов» для фейковых пакетов выбирались владельцы уже известных и популярных среди разработчиков библиотек NPM.

Обнаружившие багу исследователи из компании Aqua назвали такую угрозу цепочке поставок «подсадкой пакетов».

В добавок к имеющейся, ресерчеры Aqua обнаружила еще две уязвимости в платформе NPM, связанные с двухфакторной аутентификацией (2FA), которыми можно было злоупотреблять для облегчения атак с захватом учетных записей и публикации вредоносных пакетов.

Сведения об ошибках были раскрыты 10 февраля, а 26 апреля NPM устранил причины возникавших проблем. Конечно же, разработчики несут ответственность за то, какие пакеты с открытым исходным кодом они используют при создании приложений.

Вместе с тем, после недавних инцидентов злонамеренной модификации кода со стороны владельцев пакетов, по нашему мнению, ответственность распределяется по всей цепочке зависимостей: доверяя, не забывай проверять.

Google выпустила Chrome 101 с 30 исправлениями безопасности, в том числе для 25 уязвимостей, обнаруженных внешними исследователями безопасности.

Наиболее серьезная проблема, исправленная в новой версии - ошибка CVE-2022-1477, связанная с использованием после освобождения в 3D-графике и вычислении открытого стандарта Vulkan. О ней сообщил SeongHwan Park (SeHwa), который получил за нее вознаграждение в размере 10 000 долларов США.

В Chrome 101 также устранены 6 других серьезных недостатков, четыре из которых представляют собой уязвимости использования после освобождения, которые влияют на модуль 3D-рендеринга SwiftShader, серверную часть Angle WebGL, API устройства и компонент совместного использования.

Google заявляет, что выплатила по 7000 долларов в качестве вознаграждения за каждую уязвимость в SwiftShader и Angle, а также 6000 и 5000 долларов за проблемы, влияющие на Device API и Sharing соответственно.

Две другие серьезные ошибки, исправленные в последнем выпуске Chrome, — это баги неправильной реализации в WebGL и уязвимость переполнения буфера кучи в WebGPU. Об этих проблемах сообщили Кристоф Диль из Microsoft и Марк Бранд из Google Project Zero. 

Компания за 15 из оставшихся проблем, найденных внешними исследователями, выплатила $82 000 в качестве вознаграждения, но окончательная сумма может быть больше, так как вознаграждение за одну уязвимость еще не определено.

Google не сообщает о каких-либо уязвимостях, которые использовались в дикой природе. Последняя версия Chrome теперь доступна для пользователей Windows, macOS и Linux как Chrome 101.0.4951.41.

Conti тем временем пошифровали новую жертву из Перу.
 
На этот раз с ransomware познакомились сотрудники перуанской спецслужбы.
 
Национальное разведывательное управление располагается теперь на почетном месте DLS банды, ожидающий от секретной службы выкуп, пусть даже символического.

​👨🏻‍💻 Картинки с секретом. Прячем информацию.

🖖🏻 Приветствую тебя user_name.

• Стеганография — впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе.

• Например, недавно была обнаружена фишинговая кампания, которая была нацелена на зарубежные организации в сфере недвижимости и гос. учреждения. Хакеры использовали сложную цепочку заражений, состоящую из документов Microsoft Word, менеджера пакетов Chocolatey и стеганографии.

• По классике, атака начиналась с рассылки фишинговых писем, которое содержало документ word с вредоносным макросом. Если жертва открывала этот документ, вредоносный макрос извлекал на ПК изображение, которое скрывает под собой PowerShell-скрипт. Скрипт грузит диспетчер пакетов Windows Chocolatey, который затем будет использован для установки Python и установщика пакетов PIP. Далее в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора, представляющего собой написанную на Python малварь. Когда скрипт полностью отработает, хакеры получают возможность удаленного управления зараженным устройством: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

• Предлагаю попробовать изучить стеганографию в деле и перейти к практике использования определенных инструментов:

• OpenStego — инструмент имеет поддержку шифрования AES, поддерживает различные плагины и совместим с такими ОС как Windows и Linux. Ознакомиться можно тут: https://github.com/syvaidya/openstego

• SilentEye — софт обладает множеством плагинов и использует современные алгоритмы стеганографии и маскировки. Полное описание: https://achorein.github.io/silenteye/

• imagejs — инструмент можно использовать только в ОС LInux. Однако софт позволяет создать картинки, которые одновременно представляют собой JavaScript - скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена. Вот тут на помощь приходит возможность загрузить туда аватарку, которая одновременно содержит JavaScript payload для дальнейшей атаки. Программа поддерживает внедрение в форматы BMP, GIF, WEBP, PNG и PDF. Подробнее: https://github.com/jklmnn/imagejs

• Steghide — консольная утилита, которая скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. Инструмент умеет не просто упаковывать данные в картинку или трек, а еще и шифровать секретную нагрузку. Ознакомиться: https://github.com/StefanoDeVuono/steghide

• CloakifyFactory — умеет маскировать что угодно не просто в картинках, а еще и в видео, музыке и даже программах. Особенность инструмента в том, что перед маскировкой нагрузки она кодируется в Base64.

• Настоящие стеганографические утилиты не меняют размер файла. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt или тот же RAR.

• Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи. Твой S.E. #Стеганография

Ransomware-мошенники, если так можно назвать, шантажируют жертв, которые даже после выкупа не получают возможности восстановить пошифрованные данные.

Вымогатели Onyx в ходе атаки перезаписывают файлы объемом более 200 Мб случайными данными, вместо шифрования, по факту безвозвратно их уничтожают.

Вскрыть коварную тактику новой группы смогли исследователи MalwareHunterTeam. После изучения исходного кода ими установлено, что деструктивный характер шифрования Onyx является скорее преднамеренным, нежели ошибкой.

Кроме того, заметка о выкупе Onyx в основном является копипастом заметки Conti, впрочем как и сайт утечки, на котором новая группа уже разместила 6 жертв.

Как и большинство современных ransomware, хакеры Onyx крадут данные из сети перед шифрованием устройств. Затем эти данные используются в схемах двойного вымогательства, где они угрожают публично раскрыть данные, если выкуп не будет уплачен.

Но даже если жертва платит выкуп, дешифратор не способен восстанавливать зашифрованные файлы более 200 Мб, что у ресерчеров вызывает определенное беспокойство. Хотя беспокоиться должны сами злоумышленники, ведь дурная репутация оставить их без денег.

Исследователи, в свою очередь, не рекомендуют жертвам платить выкуп. Однако не стоить забывать об эксфильтрации данных, прежде всего объёмных, которые, возможно, могут быть использованы для большего давления, выступая в качестве товара, который жертвы могут вернуть за вознаграждение.

Пока же о такой схеме исследователи не сообщают: Onyx находится на стадии становления.

Популярный на хакерских площадках RIG Exploit Kit получил обновление и направлен на заражение компьютеров трояном RedLine Stealer.

Свою вредоносную деятельность эксплоит-пак начал еще в конце 2013 года и эксплуатировал уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight. А вот малварь RedLine Stealer была обнаружена в марте 2020 года. Зверюга крайне эффективная и способна извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и реквизиты криптовалютных кошельков.

При запуске троян выполняет разведку целевой системы включая имя пользователя, аппаратное обеспечение, установленные браузеры, антивирусное программное обеспечение, а затем передает данные на C&C.

Новая кампания с арсеналом эксплойтов, использует относительно свежую уязвимость Internet Explorer, исправленную Microsoft еще в прошлом году. Большинство случаев заражения приходится на Бразилию и Германию, за которыми следуют США, Египет, Канада, Китай и Польша.

Основной метод заражения, используемый злоумышленниками осуществляется через скомпрометированные веб-сайты, при посещении которых пользователи перенаправляются с помощью JS-скрипта, внедренного на скомпрометированную страницу с эксплойт-паком, чтобы в конечном итоге отправить полезную нагрузку RedLine Stealer для проведения последующих атак.

Уязвимость, о которой идет речь — это CVE-2021-26411 (оценка CVSS: 8,8) приводит к повреждению памяти в Internet Explorer. Для справки эта же бага использовалась в атаках северокорейскими APT.

Кроме того, образец RedLine Stealer, предоставленный в обновленном RIG Exploit Kit, упакован в несколько уровней шифрования, чтобы избежать обнаружения и распаковка вредоносного ПО проходит целых шесть этапов.

Отчет об угрозах предоставил румынский разработчик антивирусов, файрволов и корпоративных средств защиты Bitdefender, но даже эти демоны ограничили доступ к своему ресурсы.

Специалисты в области облачной безопасности Wiz, раскрывшие схему глобального шпионажа на основе уязвимостей DNSaaS, на этот раз порадовали новыми результатами исследований, обнаружив критические уязвимости в облачных сервисах Microsoft.

Выявленные баги в совокупности отслеживаются как ExtraReplica (ошибки затрагивают облачные сервисы, идентификаторы CVE не назначались) — название связано с тем, что уязвимости затрагивали функцию репликации базы данных. Они затрагивают базу данных Azure для гибкого сервера PostgreSQL — полностью управляемую базу данных как услугу PostgreSQL.

Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов.

Ресерчеры уведомили об уязвимостях Microsoft 11 января 2022 года, в течение 48 часов разработчики исправили проблемы, выплатив 40 000 долларов США специалистам, обнаружившим багу, в качестве вознаграждения.

По результатам собственного расследования, Microsoft не смогли обнаружить злонамеренной эксплуатации уязвимостей в дикой природе, впрочем как понять сколько баз данных было подвержено уязвимостям. По мнению Wiz, клиенты Azure для гибкого сервера PostgreSQL в любом регионе, настроенном на доступ к общедоступной сети, независимо от правил брандмауэра, были уязвимы. При этом ошибка не распространялось на экземпляры с одним сервером или гибкие серверы с явной конфигурацией сети виртуальной сети.

Исследователи выявили две уязвимости: недостаток повышения привилегий и обход аутентификации между учетными записями с использованием поддельного сертификата. 

В ходе атаки ExtraReplica злоумышленнику для начала необходимо идентифицировать целевой экземпляр PostgreSQL Flexible Server и получить его общее имя и уникальный идентификатор из служб прозрачности сертификатов. Затем добыть специально созданный сертификат с поддельным общим именем, совпадающим с именем цели.

На следующем этапе злоумышленник должен определить целевой регион Azure, сопоставив IP-адрес домена базы данных с общедоступными диапазонами IP-адресов Azure, и создать базу данных в этом регионе.

Только после этого хакер мог использовать первую уязвимость в своем собственном экземпляре, чтобы повысить привилегии и добиться выполнения произвольного кода, получая возможность сканировать подсеть в поисках целевого экземпляра и эксплуатации уязвимости обхода аутентификации для обеспечения доступа к чтению в целевой базе данных с конфиденциальными данными.

Наглядно атака ExtraReplica представлена в демонстрационном видео.

Synology предупредила клиентов об уязвимости ее сетевых хранилищ NAS перед атаками с использованием критических уязвимостей Netatalk.

Netatalk — это реализация с открытым исходным кодом AFP (сокращение от Apple Filing Protocol), которая позволяет системам с *NIX/*BSD выступать в качестве файловых серверов AppleShare (AFP) для клиентов macOS (т. е. получать доступ к файлам, хранящимся на устройствах Synology NAS).

К настоящему моменту Synology работают над тремя критическими ошибками (CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194), которые также позволяют злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на устройствах.

Ошибки позволяют удаленным злоумышленникам получать конфиденциальную информацию и, потенциально, выполнять произвольный код в Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).

Впервые уязвимостью в системе безопасности CVE-2022-23121 с оценкой серьезности 9,8 воспользовались EDG группы NCC для удаленного выполнения кода без аутентификации на сетевом хранилище Western Digital PR4100 с прошивкой My Cloud OS в рамках Pwn2Own 2021. Спустя три месяца команда разработчиков Netatalk исправила ошибки безопасности, выпустив 22 марта версию 3.1.1.

Однако производители еще не успели выпустить исправления для своих продуктов.

Synology обещают выпустить исправления в срок, не превышающий 90 дней, а для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уязвимости Netatalk уже исправлены.

Куда хуже дела обстоят у QNAP, уязвимости Netatalk затрагивают несколько версий операционной системы QTS и QuTS, а также QuTScloud, оптимизированную для облачных вычислений операционную систему NAS компании.

Специалисты при этом также работают не только над исправлениями Netatalk, но и над Dirty Pipe и уязвимостями OpenSSL.

В виду неизбежности производитель призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности.

П - поддержка.

​🇺🇸👮Подрядчик АНБ и ЦРУ получил престижную награду за технологию мониторинга DarkWeb

Технология CACI Dark Web Analytics компании CACI International Inc получила престижную награду Edison Award Gold за платформу DarkBlue Intelligence Platform - облачную технологию анализа данных, распространяемой по модели Software-as-a-Service («ПО как услуга») и разработанную аналитиками для аналитиков, чтобы помочь агентствам в поиске и анализе критически важных данных в Deep Web, DarkNet и на некоторых OSINT платформах. В CACI работает около 22 000 сотрудников.

Ни для кого не секрет, что система мониторинга 🕷Даркента "DarkBlue" широко используется оборонными предприятиями, спецслужбами и разведкой. Изначально технология была разработана компанией Bluestone Analytics, лидером в области сбора и анализа информации в Дарке, но позже была приобретена компанией CACI в 2021 году.

"Для CACI большая честь получить награду Edison Award за платформу DarkBlue Intelligence Platform для углубленных цифровых расследований и выявления уникальных угроз. Эта награда - дань уважения инновационным сотрудникам CACI, которые разработали эту уникальную технологию для поддержки национальной безопасности". - СEO CACI Джон Менгуччи.

Премия Edison Awards присуждается за инновации, продукты, услуги самого высокого уровня, а также ими награждаются лидеры отрасли. Эти награды являются одними из наиболее высоко ценимых и престижных, ими отмечаются образцовые технологии и инновации. Важно отметить, компания CACI получает награду Edison Award уже в третий раз и второй год подряд.

Что под капотом "DarkBlue"? Платформа предоставляет доступ к более чем 5 миллиардам записей c возможностью высокоэффективного поиска и фильтрации данных. В основе технологии лежит искусственный интеллект (ИИ), способный точечно обнаруживать и отыскивать высокоценную информацию для конкретных задач.

👆Спецслужбы США всё больше ресурсов вкладывают в инструменты киберразведки с использованием ИИ.

͏Cisco выпустила рекомендации по безопасности для Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) и Firepower Management Center (FMC).

Производитель упоминает в общей сложности 19 уязвимостей в продуктах безопасности Cisco, в том числе 11, которым присвоена «высокая» степень серьезности.

Наиболее серьезная из них CVE-2022-20746 (с оценкой CVSS 8,8) затрагивает безопасность FTD, которая возникает из-за неправильной обработки потоков TCP и может быть использована удаленно без аутентификации, чтобы вызвать состояние DoS. Для этого злоумышленнику необходимо отправить созданный поток TCP-трафика через уязвимое устройство, что позволит перезагрузить устройство и приведет к DoS.

Проблем а решения с выпуском версий FDT 6.6.5.2 и 7.1.0.1. Компания также планирует включение исправлений в выпуски FDT 6.4.0.15 и 7.0.2 в следующем месяце. Несколько других DoS-уязвимостей высокой степени серьезности, которые также влияют на ASA, были устранены в выпусках ASA 9.12.4.38, 9.14.4, 9.15.1.21, 9.16.2.14 и 9.17.1.7.

Другие пропатченные ошибки могут привести к повышению привилегий или к фальсификации данных, передаваемых через VPN-туннель IPsec IKEv2.

Cisco также устранила специфичную для ASA уязвимость, которая позволяет злоумышленнику получить доступ к памяти процесса, содержащей конфиденциальную информацию.

Злоумышленник может воспользоваться этой уязвимостью, загрузив специальный файл на устройство, на котором запущено уязвимое программное обеспечение, что позволит ему сохранить вредоносные файлы на устройстве, к которым он может получить доступ позже для проведения дополнительных атак, включая выполнение произвольного кода на пораженном устройстве с привилегиями root.

На этой неделе также вышли выпуски 6.6.5.2 и 7.1.0.1 Firepower Management Center (FMC), которые устраняют уязвимость обхода системы безопасности, которую можно использовать удаленно.

Бюллетень также подробно описывает исправления для восьми уязвимостей средней степени серьезности в рассмотренных продуктах.

Сложно сказать, насколько актуальны будут все исправления для отечественного сегмента в будущем, но на текущий момент железо пока используется и работает.

В дикой природе замечен Bumblebee и к сожалению речь не о трансформере, который защищает человечество от плохих пришельцев, а о новом загрузчике вредоносных программ, используемом далеко не в самых благих намерениях, как вы понимаете.

Кибергруппировки, которые ранее использовали BazaLoader и IcedID в рамках своих кампаний по распространению вредоносных программ, вооружились новой малварью под названием Bumblebee, который сейчас находится в активной разработке.

Как сообщают специалисты из Proofpoint, кампании по распространению нового загрузчика, начались в марте 2022 года, при этом они частично совпадают с действиями банд Conti и Diavol, что вероятно может выступать в качестве предвестника атак программ-вымогателей. Собственно исследователи прямо так и заявили, что «субъекты угроз, использующие Bumblebee, связаны с полезными нагрузками, которые в свою очередь использовались в последующих кампаниях по вымогательству».

Bumblebee написан на C++ и спроектирован так, чтобы действовать как загрузчик для выполнения полезных нагрузок следующего этапа, включая Cobalt Strike, Sliver, Meterpreter и др.

Интересно, что рост числа обнаружений загрузчика в ландшафте угроз соответствует падению числа развертываний BazaLoader с февраля 2022 года, еще одного популярного загрузчика, используемого для доставки программ шифрования файлов и разработанного канувшей в лету бандой TrickBot, которая с тех пор была национализирована Conti.

Вектор атак, распространяющих Bumblebee, реализуется посредством фишинговых приманок электронной почты под брендом DocuSign, включающих вредоносные ссылки или вложения HTML, которые приводили потенциальных жертв к файлу ISO, размещенному на Microsoft OneDrive. Более того, встроенный URL-адрес во вложении HTML использовал систему перенаправления трафика (TDS), известную как Prometheus и доступную для продажи на закрытых хакерских площадках всего за 250 баксов в месяц.

Загрузчик необычен тем, что большая его часть стянута в одну функцию, не смотря на то, что большинство вредоносных программ разбивают инициализацию, отправку запросов и обработку ответов. Кроме того, его конфигурация хранится в виде открытого текста, хотя исследователи Proofpoint предполагают, что в будущем будут использоваться функции обфускации.

Также Bumblebee включает в себя сложные методы, позволяющие избежать обнаружения, и пока находится на активной стадии развития. Так, за последний месяц добавлены такие методы, как проверка против виртуальных машин и песочниц, а совсем недавно добавлен уровень шифрования в собственные процедуры сетевой связи, а также проверки, которые определяют, используются ли инструменты для анализа вредоносных программ в целевой системе или нет.

Малварь довольно сложная и демонстрирует постоянную активную разработку, в которой используются новые методы уклонения от обнаружения. Предполагаем, что очень скоро мы осветим не один incident response с его участием.

Два года назад мы делали обзор на АРТ TA410, фишинговые кампании которой на поставщиков энергетических услуг по всей территории США в 2019 году попали в поле зрения калифорнийской инфосек компании Proofpoint.

АРТ использовала написанные на высоком уровне трояны удаленного доступа (RAT) LookBack и FlowCloud с серьезным функционалом: доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам.

Proofpoint на тот момент увидели сходство по TTPs между TA410 и APT10 aka Stone Panda, н окончательный вывод не смогли сделать, полагаясь на подделку TTPs для указания на ожного исполнителя киберкампании. Позже деятельность АРТ отслеживали под условным наименованием TALONITE ресерчеры Dragos, отметившие склонность злоумышленника смешивать методы и тактики, чтобы обеспечить успешное вторжение.

Наблюдения за АРТ продолжили исследователи ESET, которым удалось выяснить, что TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog, работающих независимо, но имеющих общую группу доступа, сетевую инфраструктуру, а также стратегию разведки.

TA410 был замечен в атаках на американские организации в сфере коммунальных услуг, дипломатические учреждения на Ближнем Востоке и в Африке, производственную компанию в Японии, горнодобывающий бизнес в Индии и благотворительную организацию в Израиле.

Кроме того, исследователи ESET увидели новую версию FlowCloud, которая позволяет записывать звук с помощью микрофона компьютера, отслеживать события буфера обмена и управлять подключенными камерами для съемки. Помимо фишинга TA410 также сосредоточились на уязвимых интернет-приложениях, прежде всего, Microsoft Exchange, SharePoint и SQL Server, для получения начального доступа.

При этом каждая команда в TA410 использует разные наборы инструментов. JollyFrog полагается на готовые вредоносные программы, такие как QuasarRAT и Korplug (он же PlugX), LookingFrog использует X4, базовый имплантат с функциями удаленного управления, и LookBack.

FlowingFrog применяет загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второй бэкдор, основанный на Gh0stRAT (он же Farfli).

По мнению ESET, АРТ TA410 представляет профессиональный хакерский синдикат, реализующий целевые атаки на достаточно высоком уровне координации и оснащения. Опять же все больше доводов о том, что TA410 является самостоятельной АРТ, о чем свидетельствует зонтичная структура. Но утверждать не будем, поглядим.

Почти всегда уязвимости ассоциируются с атаками или угрозами их совершения. Однако бывают случаи, когда обнаружение баг вызывает беспокойство у самих злоумышленников.

Анализируя штаммы ransomware, исследователь безопасности hyp3rlinx в рамках проекта Malvuln (специализирующемся на поиске уязвимостей в различных вредоносных программах) выяснил, что образцы ПО уязвимы для захвата DLL — метода, который обычно используется злоумышленниками для внедрения вредоносного кода. Примечательно, что ошибки были обнаружены в ПО известных групп: Conti, REvil, Black Basta, LockBit и AvosLocker.

Эксплуатация уязвимости позволяет заблокировать процесс шифрования файлов. Перехват DLL возможен исключительно в системах с ОС на базе Windows и заключается в возможности загрузки DLL из пути за пределами своего каталога для ПО с недостаточной проверкой, повысив привилегии или выполнив нежелательный код.

По каждому штамму ransomware исследователь предоставил отчет, в котором описал тип обнаруженной уязвимости, хэш образца, PoC и демонстрационный ролик. Доступны здесь: Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker.

Рабочий эксплойт позволяет выполнять код, реализующий контроль и прекращение предварительного шифрования. После загрузки DLL процесс ransomware должен завершиться до начала операции шифрования данных.

Код эксплойта необходимо скомпилировать в DLL с определенным именем, чтобы вредоносный код распознал его как свой и подгрузил до начала шифрования данных. При этом DLL желательно разместить там, где хакеры потенциально могут запускать свои ransomware.

Несмотря на блокировку антивирусных решений на скомпрометированной машине, малварь не способен каким-либо образом повлиять на DLL.

Но всегда нужно помнить, что даже при успешном блокировке шифрования, обнаруженная уязвимость не спасет жертву от эксфильтрации. Кроме того, вымогатели уже верстают исправления для своего ПО и будут атаковать обновленным арсеналом уже в ближайшей перспективе.