Apple выпустила экстренное обновление безопасности для устранения шестой за год 0-day уязвимости, которую злоумышленники могут использовать в атаках на Mac и Apple Watch.

Согласно вышедшему бюллетеню по безопасности, Apple известно о возможной активной эксплуатации ошибки, которая представляет собой проблему записи за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео) и позволяет приложениям выполнять произвольный код с привилегиями ядра. Об ошибке сообщили анонимные исследователи.

Уязвимость устранена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5, в число уязвимых устройств вошли: Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.

Несмотря на то, что Apple признала эксплуатацию в дикой природе, компания не опубликовала никакой дополнительной информации об атаках. По мнению ресерчеров, 0-day скорее всего, использовался только в целевых атаках.

В дополнение к 0-day  исследователи из Лаборатории безопасных мобильных сетей Технического университета Дармштадта обнаружили проблемы с реализацией режима низкого энергопотребления (LPM) на iPhone, позволяющие запускать вредоносное ПО на выключенных устройствах.

Режим LPM активируется, когда пользователь выключает iPhone или когда устройство выключается из-за низкого заряда батареи. Даже в выключенном состоянии некоторые системы беспроводной связи Bluetooth, NFC и сверхширокополосной (UWB) связи остаются активными.

Чипы Bluetooth и UWB жестко подключены к элементу безопасности (SE) в чипе NFC и хранят секреты, которые должны быть доступны в LPM. Поскольку поддержка LPM реализована аппаратно, ее нельзя убрать программным способом.

После тестов исследователи выяснили, что если злоумышленник имел привилегированный доступ к встроенному ПО после компрометации прошивки, то при выключении устройства он сохранит ограниченный контроль, что может быть полезно для постоянных эксплойтов.

На аппаратным уровнем исследователи смогли изменить прошивку Bluetooth LPM для запуска вредоносных программ на выключенном iPhone 13, что стало возможным в виду того, что прошивка не подписана и не зашифрована, а в чипе Bluetooth не включена безопасная загрузка.

Find My после отключения питания превращает выключенные iPhone в устройства слежения, а реализация в прошивке Bluetooth не защищена от манипуляций. При этом функции слежения могут быть скрытно изменены злоумышленниками с доступом на системном уровне.

Исследователи представили инструменты с открытым исходным кодом — InternalBlue и Frankenstein, которые можно использовать для анализа и модификации прошивки.

Если в случае с 0-day и удастся пофиксить багу, то отключить питание вряд ли, возможно даже в будущем. Apple никак не прокомментировали доводы тайных сотрудников, и скорее всего не будут этого делать.

Уязвимость RCE в плагине Tatsu Builder для WordPress стала причиной миллионов атак.

По данным Wordfence, с 10 по 14 мая заблокировано 5,9 миллиона попыток эксплуатации CVE-2021-25094 в плагине, который установлен почти на 100 000 сайтах.

Tatsu Builder - это достаточно популярный плагин, предлагающий мощные функции редактирования шаблонов, встроенные прямо в веб-браузер. Обнаруженная уязвимость позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (все сборки до 3.3.12).

Ошибка была обнаружена независимым исследователем Винсентом Мишелем, который публично раскрыл ее 28 марта 2022 года вместе с эксплойтом (PoC).

Несмотря на то, что исправления с версией 3.3.13 доступны с начала апреля, в настоящее время эксплуатация активно продолжается, ведь 50 000 сайтов все еще используют уязвимую версию Tatsu Builder.

Атакующие пытаются внедрить дроппер «sp3ctra_XO.php» (имеет хэш MD5 3708363c5b7bf582f8477b1c82c8cbf8) в каталог «wp-content/uploads/typehub/custom/» и скрыть его. При этом Wordfence сообщает, что более миллиона атак было совершено всего с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. 

Всем пользователям плагина Tatsu Builder настоятельно рекомендуется обновиться до версии 3.3.13.

Конечно, представленные индикаторы компрометации не являются стабильными, но добавить IP-адреса в свой черный список все же стоит.

Новая версия вредоносного ПО UpdateAgent для macOS, написанного на Swift, вовсю применяется в дикой природе. Авторы продолжают свои разработки, добавляя в него функциональные возможности. Новый вариант обнаружили исследователи Jamf Threat Labs.

Но одна особенность вредоносного ПО остается неизменной: мальварь полагается на инфраструктуру AWS для размещения различных полезных нагрузок и выполнения обновлений статуса заражения на сервере

Впервые UpdateAgent был обнаружен Microsoft 365 Defender Threat Intelligence Team в конце 2020 года и с тех пор превратился в дроппер вредоносных программ, обеспечивающий полезную нагрузку второго этапа, например от вредоносного до шпионского или рекламного ПО, а также обход средств защиты macOS Gatekeeper. Обладает многими характеристиками типичных программ-дропперов, включая fingerprinting, регистрацию конечных точек и сохраняемость. 

Новая версия на основе Swift маскируется под двоичные файлы Mach-O с именами PDFCreator и ActiveDirectory, которые после выполнения устанавливают соединение с удаленным сервером и извлекают скрипт bash для последующего выполнения. Основное различие между исполняемыми файлами заключается в разных URL-адресам, с которого мальварь должен загрузить сценарий bash. На момент обнаружения бинарный файл не детектировался в VirusTotal.

Выполнение этого сценария bash является основной задачей исполняемого файла mach-O. После извлечения его из URL-адреса он запускается непосредственно из дроппера Swift, не используя жесткий диск.

Сценарии с именами activedirec.sh или bash_qolveevgclr.sh содержат URL-адрес Amazon S3, обеспечивая загрузку и запуск файла образа диска второго этапа (DMG) на скомпрометированной машине. Приложение копируется в каталог /tmp. Затем путь к вновь созданному приложению сохраняется в созданной ранее переменной $TMPFILE. Вредоносное ПО изменяет файл /etc/sudoers таким образом, что обычный пользователь может выполнить скрипт ($TMPFILE) от имени root, не требуя пароля.

Далее вредоносная программа создает LaunchAgent пользовательского уровня, выполняя серию команд PlistBuddy. Несмотря на то, что он работает от имени пользователя LaunchAgent, он может перейти в root без пароля из-за ранее упомянутой модификации, внесенной в файл /etc/sudoers. После загрузки LaunchAgent вредоносный bash-скрипт ненадолго приостанавливается, а затем выполняет очистку, размонтируя файл DMG и удаляя изменения, внесенные им в файл sudoers.

Исследователи отмечают, что развитие этой вредоносной программы указывает но то, что разработчикам удалось хорошенько поработать с бэкендом, выстроим серьезную инфраструктуру для будущих более серьезных атак с использованием UpdateAgent.

NVIDIA исправили десять уязвимостей, в том числе 4 - высокой степени серьезности и 6 - средней, в драйверах графического процессора Windows для широкого спектра моделей видеокарт.

Обновления доступны для программных продуктов Tesla, RTX/Quadro, NVS, Studio и GeForce, охватывая ветки драйверов R450, R470 и R510. Патч также распространяется на карты серий GTX 600 и GTX 700 Kepler, поддержка которых закончилась в октябре 2021 года.

В числе серьезных баг, эксплуатации которых не требуют высоких привилегий или взаимодействия с пользователем, следующие:

• CVE-2022-28181 (оценка CVSS v3: 8,5) — запись за пределами границ на уровне режима ядра, вызванная специально созданным шейдером, отправленным по сети, что может привести к выполнению кода, отказу в обслуживании, повышению привилегий, информации. разглашение и фальсификация данных.

• CVE-2022-28182 (оценка CVSS v3: 8,5) — ошибка в драйвере пользовательского режима DirectX11, позволяющая неавторизованному злоумышленнику отправлять специально созданный общий ресурс по сети и вызывать отказ в обслуживании, повышение привилегий, раскрытие информации и фальсификацию данных.

• CVE-2022-28183 (оценка CVSS v3: 7,7) — уязвимость на уровне режима ядра, когда непривилегированный обычный пользователь может вызвать чтение за пределами границ, что может привести к отказу в обслуживании и раскрытию информации.

• CVE-2022-28184 (оценка CVSS v3: 7,1) — уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DxgkDdiEscape, связанная с тем, что непривилегированный пользователь может получить доступ к регистрам с привилегиями администратора, что может привести к отказу в обслуживании, раскрытию информации и фальсификация данных.

Cisco Talos, обнаружившие CVE-2022-28181 и CVE-2022-28182, представили  подробный сценарии уязвимости повреждения памяти, предоставив искаженный вычислительный шейдер. Используявредоносный шейдер в браузере с помощью WebAssembly и WebGL, злоумышленники могут запускать эксплуатацию удаленно.

NVIDIA раскрыл подробную информацию обо всех исправлениях в ПО в недавнем бюллетене. Всем пользователям рекомендуется ознакомиться, и применить обновления либо с помощью центрального раздела загрузки либо через NVIDIA GeForce Experience.

Как известно на войне, помимо решения военных задач заинтересованные стороны делят рынки сбыта своих вооружений. И Украина не стала исключением: только демонстрируется не военная техника, а передовые технологии гибридной войны, которые поставляются ведущими американскими поставщиками.

Своеобразным подтверждением стало интервью с генеральным директором Clearview AI Хоан Тон-Тат, компании-разработчика системы распознавания лиц с крупнейшей в мире базой, которую в течение года пополнят еще на 100 миллиардов изображений (то есть по 13 фото каждого человека на планете).

Руководитель Clearview AI открыто признала, что технология распознавания используется военными и спецслужбами Украины (всего в шести ведомствах). Информацию о предоставлении Украине доступа к системе также подтверждает Министерство цифровой трансформации Украины. Помимо доступа сотрудники Clearview проводили обучение работе с системой для украинцев.

Говоря о злоупотреблениях системой, все очень просто: контроль возможных злоупотреблений возложен на самих же пользователей, а точнее закреплённых среди них администраторов из их числа, чей допуск позволяет отрубать токены пользователей. Но, как вы уже поняли, до настоящего момента не отозвано ни одного аккаунта, а руководство сервиса смотрит на это закрытыми глазами, как впрочем и на весь европейский правовой режим.

Если отбросить все мантры про социальный характер системы, позволяющей устанавливать личность военнопленных и погибших, то в реальности представители ВСУ используют сведения системы для отправки угроз и неописуемо мерзких роликов членам семей идентифицированных россиян. Хоан Тон-Тат не скрывает этого и полагает, что таким образом «русские должны почувствовать истинную цену войны».

Кроме того, система используется и для расследования дел о военных преступлениях, для этого в журналах поиска указываются номер и вид дела, а также его уголовная окраска. Приговоры и доказательственную базу, вероятно, также верстать будут на распечатках из Clearview.

Кстати, почти все вопросы в интервью можно заменить утвердительными предложениями, ответы можно не читать. Кроме одного вопроса - в котором прямо указывается на попадание доступа в систему представителями IT-армии Украины, хакеры которой засветили скрины из системы. На него ответа и не требуется.

Если кто-то до сих пор считает и верит в пушистых американки айтишников, которые несут гуманитарную благодать на Украину, то взгляните на одного из топов Clearview, кто конкретно стоял за решением предоставить доступ к технологии: Ли Волоски, входил в Совет национальной безопасности США при трех президентах, занимая должность директора по транснациональным угрозам, неоднократно лично свидетельствовал перед Конгрессом и является пожизненным членом Совета по международным отношениям.

Весь NSO-скандал - спектакль для европейцев, играющих в демократию и борьбу за права человека. Дядя Сэм дал четко понять, что Clearview AI в его исключительной юрисдикции, впрочем как и вся Европа.

Исследователи NCC Group без труда вскрыли Tesla Model 3 и Y в ходе ретрансляционной атаки Bluetooth с низким энергопотреблением (BLE), которая обходит все существующие средства защиты для аутентификации на целевых устройствах.

Технология BLE используется от электроники, такой как ноутбуки, мобильные телефоны, умные замки и системы контроля доступа в здания, до автомобилей, таких как Tesla Model 3 и Model Y. Решения с BLE для аутентификацией на основе сближения защищают от известных методов ретрансляционных атак посредством проверок, основанных на точном количестве задержек, а также с помощью шифрования на уровне канала.

Ретрансляционная атака работает на канальном уровне, что позволяет пересылать зашифрованные PDU канального уровня, а также способен обнаруживать зашифрованные изменения параметров соединения (таких как интервал соединения, WinOffset, режим PHY и карта каналов), продолжая ретранслировать соединения посредством изменений параметров. 

По мнению исследователей, ни шифрование канального уровня, ни изменение параметров зашифрованного соединения не являются защитой от этого типа ретрансляционных атак.
 
Группа NCC разработала инструмент, который работает на канальном уровне с задержкой 8 мс (в пределах допустимого диапазона 30 мс ответа GATT (Generic ATTtribute Profile). Для запуска атаки требуется около десяти секунд, и ее можно повторять бесконечно.
 
Tesla Model 3 и Model Y используют систему входа на основе BLE, поэтому атака NCC может быть использована для разблокировки и запуска автомобиля, чего добились исследователи в ходе тестирования метода на Tesla Model 3 2020 года с использованием iPhone 13 mini с приложением Tesla. Эксперимент также был успешно воспроизведен и на Tesla Model Y 2021 года, поскольку в нем используются аналогичные технологии.  По понятным причинам технические детали новой ретрансляционной атаки BLE не были опубликованы, но оценить тесты вы можете сами на видео.

Исследование NCC Group в отношении новой бесконтактной атаки доступно в трех отдельных бюллетенях: для BLE в целом, одно для автомобилей Tesla и другое для замков Kwikset/Weiser. В целом, проблема влияет на достаточно широкий набор устройств, товаров и решений других производителей.

Производители Tesla также изучали ролики и детали атак, о которых им сообщили 21 апреля, однако спустя неделю компания ответила, что ретрансляционные атаки являются известным ограничением системы пассивного входа. И с ними не поспоришь. Однако всегда принять меры защиты все же возможно.

Среди альтернатив исследователи выделяют: переход на метод аутентификации, требующий взаимодействия с пользователем, использование решения для ограничения расстояния (радиотехнология UWB (сверхширокополосная связь) вместо Bluetooth), использованием функцию «ПИН-кода», отключение функции пассивного входа в мобильном приложении в условиях, когда девайс неподвижен.

VMware исправила критическую уязвимость обхода аутентификации в своих продуктах Workspace ONE Access, VMware Identity Manager (vIDM) и vRealize Automation.

Об уязвимости CVE-2022-22972 сообщил Бруно Лопес из Innotec Security. Как пояснил исследователь, злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации. Последствия ее эксплуатации достаточно серьезны.

Компания также исправила вторую уязвимость локального повышения привилегий высокой степени серьезности, которая отслеживается как CVE-2022-22973 и может позволить злоумышленникам повысить права доступа на неисправленных устройствах до уровня «root». Ошибка затрагивает VMware Workspace ONE, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), Облачный фонд VMware, vRealize Suite.

Учитывая критический характер выявленных баг, разработки призывает как можно скорее применить обновления в соответствии с инструкциями в VMSA-2021-0014
 
VMware предлагает также обходные пути для администраторов, которые не могут возможности оперативно пропатчить свои устройства. Эти меры предполагают отключение всех пользователей, кроме одного администратора, с последующим входом в систему через SSH для перезапуска службы Horizon-Workspace.

В тоже время компания не рекомендует их применять, склоняясь к единственному надежному варианта - установке соответствующих исправлений для уязвимых продуктов.

VMware не раскрывает сведений об использовании уязвимостей в дикой природе, однако если обратить внимание на вышедшую вчера чрезвычайную директиву 22-03 Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в отношении исправления CVE-2022-22972 и CVE-2022-22973 в течение 5 дней, то вероятнее всего, риск атак потенциально неизбежен.

В прошлый раз злоумышленникам понадобилось 48 часов на реверс-инжинеринг патчей (апрельские исправления CVE-2022-229600 и CVE-2022-22954) и разработку эксплойта для начала атак.

Буквально на прошлой неделе в посте про взлом Rutube мы написали, что для серьезного усиления информационной безопасности в России требуется "для начала создать российский аналог CISA с соответствующими полномочиями выпускать правила и ТРЕБОВАТЬ их исполнения от всех организаций, государственных и коммерческих".

И вот сегодня эффективное использование подобного подхода нам показывают наши "найкращi друзi назавжди", а именно - расовые национальные пендосы в лице Министерства национальной безопасности США (DHS).

Bleeping Computer сообщает, что DHS издало приказ (!) всем агентствам FCEB (Federal Civilian Executive Branch - короче, всем федеральным ведомствам, включая министерства) в пятидневный срок обновить или удалить из своих сетей все продукты VMware. Кто не сделает - тому пожизненный эцих с гвоздями.

Связано это в первую очередь с тем, что буквально сегодня VMware исправили две уязвимости, одна из которых критическая. А относительно прошлых дырок, которые компания устранила в апреле, стало известно, что хакеры начали использовать их в дикой природе спустя всего 48 часов после выхода патча - реверс-инжиниринг рулит.

Таким образом авторитарный подход DHS по принуждению IT-подразделений федеральных ведомств к срочному обновлению уязвимого ПО представляется крайне необходимым в сложившихся условиях. И, хотя в США в текущем моменте является нашим геостратегическим противником, поучиться хорошим правильным практикам в области инфосек - это дело совершенно богоугодное.

Аналитики Wordfence Threat Intelligence обнаружили ряд уязвимостей в плагинах Jupiter Theme и JupiterX Core для WordPress, одна из которых CVE-2022-1654 имеет оценку CVSS 9,9 (критическая).

Jupiter — это высококачественный конструктор тем для сайтов WordPress, используемый более чем 90 000 популярных блогов, онлайн-журналов и платформ с большим трафиком пользователей.

Уязвимость CVE-2022-1654 позволяет любому прошедшему проверку подлинности пользователю на сайте, использующему уязвимые подключаемые модули, получить административные привилегии.

После эксплуатации уязвимости злоумышленники могут совершать на сайте неограниченное количество действий, включая изменение его содержимого, внедрение вредоносных скриптов или полное его удаление. Для этого достаточно быть простым подписчиком или клиентом на сайте.

CVE-2022-1654 затрагивает следующие версии: Jupiter Theme версии 6.10.1 и старше (исправлено в 6.10.2), JupiterX Theme версии 2.0.6 и старше (исправлено в 2.0.7) и JupiterX Core Plugin версии 2.0.7. и старше (исправлено в 2.0.8).

Проблема связана с функцией uninstallTemplate, которая перезагружает сайт после удаления темы и повышает привилегии до администратора. Если вошедший в систему пользователь отправляет запрос AJAX с параметром действия для вызова функции, он может повысить свои привилегии без какой-либо проверки.

Исследователи обнаружили проблему 5 апреля 2022 г., после чего уведомили разработчика модуля, предоставив полными техническими подробности. 28 апреля 2022 г. поставщик выпустил частичное исправление, а 10 мая Artbees выпустила полный патч.

В обновление также были включены исправления и других менее серьезных недостатков, среди которых: CVE-2022-1656 (оценка CVSS: 6,5, произвольная деактивация плагина и изменение настроек); CVE-2022-1657 (оценка CVSS: 8,1, обход пути и включение локального файла); CVE-2022-1658 (произвольное удаление подключаемого модуля средней серьезности, оценка CVSS: 6,5); CVE-2022-1659 (раскрытие информации, модификация и отказ в обслуживании средней степени серьезности, оценка CVSS: 6,3).

Для решения проблем с безопасностью владельцам сайтов WordPress с плагином рекомендуем как можно скорее обновиться до последних доступных версий, или же деактивировать плагин, заменив тему сайта.

Тайваньский производитель сетевых хранилищ (NAS) QNAP вновь вынужден вступить в противостояние с вымогателями DeadBolt, которые организовали новую волну атак.

Настоящая дуэль между производителем и хакерами началась в январе этого года после волны массового шифрования NAS-устройств вымогателями DeadBolt, когда QNAP были вынуждены принудительно накатить патчи или позже вовсе рекомендовать отключать устройства от сети.

Согласно расследованию QNAP PSIRT атака была нацелена на устройства NAS серий TS-x51 и TS-x53, использующие QTS 4.3.6 и QTS 4.4.1. 

QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, по возможности отключить переадресацию порта службы управления NAS (порт 8080 и 433 по умолчанию) портов маршрутизатора и функцию UPnP QNAP NAS.

Кроме того, QNAP выпустили подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.

Для тех, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD-WAN.

Поскольку на устройства QNAP нацелены и другие штаммы ransomware, включая Qlocker и eCh0raix, владельцам следует позаботиться о своей безопасности для защиты данных.

Стартовал Pwn2Own Vancouver 2022, участники которого должны будут проявить себя в категориях веб-браузера, виртуализации, локального повышения привилегий, серверов, корпоративных коммуникаций и автомобилей.

В первый день которого хакеры взломали операционную систему Microsoft Windows 11 и коммуникационную платформу Teams, продемонстрировали успешную эксплуатацию 16 0-day и сорвали куш в 800 000 долларов США.

Первой полегла Microsoft Teams в категории корпоративных коммуникаций после того, как Гектор Перальта воспользовался неправильной конфигурацией. После чего команда STAR Labs (в составе: Билли Дженг Бинг-Джхонг, Мухаммад Алифа Рамдхан и Нгуен Хоанг Тхок) красиво отработала свою цепочку эксплойтов с нулевым кликом из двух ошибок (внедрение и запись произвольного файла).

Третий раз Microsoft Teams был взломан в третий раз Масато Кинугавой, который использовал цепочку из трех ошибок: внедрение, неправильная конфигурация и выход из песочницы.

Каждая атака с использованием 0-day в Microsoft Teams принесла участника по 150 000 долларов.

Команда STAR Labs смогла дополнительно заработать 40 000 долларов США после за демонстрацию успешного повышения привилегий в ОС Windows 11 с использованием уязвимости Use-After-Free и еще 40 000 долларов США за повышение привилегий в Oracle Virtualbox.

Без внимания хакеров не осталась Mozilla Firefox и Apple Safari, который препарировал Манфред Пол и смог реализовать две ошибки (загрязнение прототипа и неправильная проверка ввода), за что получил вознаграждение в размере 150 000 долларов.

Свои 0-day в Windows 11 и Ubuntu Desktop в ходе первого дня Pwn2Own также показали Марцин Визовски, Team Orca из Sea Security и Кит Йео.

Вообще в период с 18 по 20 мая участники смогут заработать более 1 000 000 долларов наличными и призами, включая автомобили Tesla Model 3 и Tesla Model S. Самая крупная награда назначена за взлом Tesla и составляет 600 000 долларов (бонусом сам автомобиль), что и предстоит хакерам на следующем этапе.

͏Если уходишь - уходи красиво.

Именно так и поступили Conti, историю которых, по мнению исследователей Advanced Intel, официально можно считать законченной. Последняя беспрецедентная атака на Коста-Рику, по замыслу вымогателей, должна была стать отвлекающим маневром и создавать видимость их активности.

В реальности вместо заявленных 10, а потом 20 миллионов долларов, запрошенная сумма выкупа была намного меньше 1 миллиона. Такая цифра фигурировала во внутренней переписке членов группы.

Проводившие плотное наблюдение за группировкой исследователи полагают, что как бренда ransomware Conti больше нет, в то время как участники перегруппировались и заняли позиции в нижестоящих по иерархии группах.

К настоящему времени инфраструктура Conti отключена. Генеральный директор Advintel Виталий Кремез вообще утверждает,  что технически программа-вымогатель Conti была свернута еще две недели назад, преемники Ryuk с того времени прекратили выпускать новые сборки. Несмотря на то, что «Conti News» и сайты переговоров все еще висят в сети, внутренние панели и хосты не работают, что свидетельствует о начале передела цифровой структуры группы.

Вместо традиционного ребрендинга руководители Conti решили раствориться в разветвленной сети ransomware-банд, которые им удалось собрать вокруг себя, начиная с 2021 года, включая HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и многих других.

В рамках нового партнерства небольшие банды вымогателей получают приток опытных пентестеров, переговорщиков и операторов бывших Conti, а киберсиндикат получает мобильность и большую способность уклоняться от правоохранительных органов, разделяясь на более мелкие «ячейки», управляемые центральным руководством.

Кроме того, Advanced Intel заявляет, что к настоящему моменту Conti были созданы новые автономные группы, которые сосредоточены исключительно на краже данных и включают Karakurt, BlackByte и Bazarcall.

Ресерчеры полагают, что даже используя ransomware и ресурсы для переговоров других брендов, участники по-прежнему будут являться частью более крупного объединения, но уже без официального наименования Conti.

Эстафету есть кому передать, на подходе обновленные REvil, да и LockBit в ударе. Можно сказать грамотный ход со стороны участников банды, за головы которых американскими властями назначено вознаграждение в размере 15 миллионов долларов США.

СЕНСАЦИЯ! ИНФОСЕК ИНДУСТРИЯ В ШОКИ! КИБЕРВОЙНЫ ЗАКОНЧИЛИСЬ!

Британское издание Evening Standart вчера вечером выпустило статью, в которой рассказало о разработанном исследователями Университета Кардиффа инструменте, которые "уничтожает кибератаки за 0.3 секунды". Краткое содержание статьи - производители антивирусного ПО тупые, а исследователи из Кардиффа умные.

Народ ржет и отправляет индустрию на пенсию. Ну потому что кибератаки - все! Уничтожены за 0.3 секунды.

Следующими открытиями исследователей из Кардиффа, видимо, будут Баролгин (понижает риск, уничтожает простату и стимулирует выделения) и способ по борьбе с расследованием терроризма.

"Британские ученые", грохоча мослами, ворвались в информационную безопасность.

Всегда удивляли сцены из известных блокбастеров, будь то Миссия невыполнима или Форсаж, когда членам команды Доминика Торетто или спецу Итона Ханта удавалось взламывать системы видеонаблюдения и отслеживать передвижения машин в потоке.

На деле оказывается и взламывать ничего не нужно. Исследовательская группа Cybernews обнаружила в свободном доступе 24 ГБ данных с камер автоматического распознавания номерных знаков (ANPR) со всего Соединенного Королевства.

База данных Elasticsearch была размещена в облаке AWS и включала 17 миллионов записей, включая зарегистрированную скорость транспортного средства и ограничение скорости в конкретном районе, расположение камер контроля скорости, номерные знаки обнаруженных транспортных средств и направление их движения относительно камеры. Кроме того, в доступе были и сведения в отношении списка угнанных, подозрительных и прочих интересующих полицию автомобилей.

Исследователи также выяснили, что база данных ANPR обновлялась в режиме реального времени, что позволяла при использовании интерфейса Kibana отслеживать передвижения в режиме онлайн. Потенциальный злоумышленник также мог планировать маршруты передвижения, не попадающие под камеры ANPR.

Помимо прочего, открытая база данных была также уязвима для редактирования ее содержимого, что предоставляло широкие возможности для фальсификации доказательств или наоборот чистки значимых событий.

По оценкам исследователей, на момент открытия набор данных обновлялся почти 500 записями каждую минуту или до 720 000 записей каждые 24 часа. Учитывая, что камеры ANPR ежедневно формируют 60 миллионов записей, обнаруженная база составляет 1,2% от общего ежедневного учета. В общем мотивированный злоумышленник теоретически может отслеживать 1,7 миллиона автомобилей, или 4,5% от общего числа автомобилей в Великобритании.

Исследовательская группа проинформировала Министерство транспорта Великобритании и Национальный центр кибербезопасности (NCSC) о находке, после чего доступ ограничили.

В целом, масштабы инцидента впечатляют.

Но больше впечатляет то, что мы писали об аналогичном ещё два года назад, когда в результате неправильно сконфигурированной системы автоматического распознавания автомобильных номеров (ANPR) в открытый доступ уже попадали 8,6 млн. записей поездок жителей городского округа Шеффилд.

​🔖 S.E.Заметка. Полезные ресурсы для OSINT.

🖖🏻 Приветствую тебя user_name.

• В нашем канале собраны тысячи инструментов и сотни статей на тему OSINT. Данная тема тесно связана с социальной инженерией и является основополагающей на первоначальном этапе, перед большой и целенаправленной атакой. Именно поэтому мы стараемся пополнять нашу коллекцию материала, благодаря которой, ты можешь получить ценный опыт и уникальные знания.

• Как и было сказано, сегодня мы пополним нашу коллекцию материала, и начнем с крутой подборки материала по GEOINT:

➖ Инструменты OSINT для геолокации: моря, горы, улицы.
➖ OSINT по спутниковым изображениям;
➖ Radar Interference Tracker — инструмент OSINT для обнаружения действующих радаров;
➖ Конкурсы и задачи по OSINT и геолокации;
➖ Анализ теней: 5 примеров использования SunCalc для OSINT расследований;
➖ Инструменты OSINT: изображения и видео;
➖ Инструменты OSINT: Социальные сети.

• Идем дальше. Что делать если у тебя есть лишь часть от домена электронной почты (например SEAdmin@n*******t.n**), как определить настоящий домен? В этом нам поможет инструмент https://github.com/novitae/Aet-s-Tools/tree/main/EmDoFi. Тулза содержит более 6000 провайдеров и поможет тебе, если скормить ей необходимые данные. Пример тут.

• На очереди инструмент SkypeSearch. По названию становится ясно для чего он предназначен. Благодаря этому небольшому скрипту, который написан на Python, мы можем найти следующую информацию пользователя Skype: Адрес электронной почты, пол, ID, имя, место нахождения, дата создания аккаунта и т.д. Подробнее тут: https://github.com/8C/SkypeSearch

• Помните я писал пост про блок-схемы с алгоритмами сбора информации о цели? Если нет, то рекомендую к изучению, это очень полезный материал. Сегодня пополним нашу коллекцию еще одной схемой, только на этот раз, схема будет описывать алгоритмы сбора информации из Snapchat: https://github.com/sinwindie/OSINT/blob/master/Snapchat/Snapchat%20OSINT%20Attack%20Surface.pdf

‼️ Если понравилась подборка и материал оказался для тебя полезным, поделись им с другом, пусть тоже прокачает свои навыки OSINT. Дополнительный материал сможешь найти по соответствующему хештегу. Твой S.E. #OSINT

͏Результаты исследований аналитиков из Университета Тренто в Италии могут изменить все ваши представления об информационной безопасности (но только, если Вы не читали наш канал).

В недавнем отчете команда исследователей провела ручной разбор APT-атак за период с 2008 по 2020 год, проанализировав данные в отношении 86 APT и 350 кампаний из числа их жертв, а также изучив векторы атак, эксплуатируемые уязвимости. затронутое программное обеспечение и его версии.

Выводы указывают на то, что APT в подавляющем большинстве атак на организации ориентируются на известные уязвимости, вопреки общераспространенному убеждению о нацеленности APT на атаки с использованием 0-day.

Действительно, из 86 исследованных APT только восемь: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor - использовали 0-day. При этом не все реализуемые АРТ кампании настолько сложны, как многие думают, хакеры довольно часто используют популярные инструменты, вредоносное ПО и уязвимости.

Исследователи обнаружили, что как правило, у организаций обычно уходит более 200 дней, чтобы привести в соответствие до 90 % своих систем в соответствие с последними исправлениями ПО, что целом оправдано, потому как не все уязвимости эксплуатируются в дикой природе.

Фактически оперативное обновление могло бы значительно снизить вероятность взломов, но в реальности обновляться сразу после выпуска невозможно в ряде случаев. Согласно данным ресерчеров, если организация ждет один месяц для обновления, вероятность того, что она будет скомпрометирована, возрастает в 4,9 раз, а если в течение трех месяцев - вероятность увеличивается в 9,1 раз.

С другой стороны, исследователи обнаружили, что оперативное исправление не гарантирует безопасности: такие компании могут быть также скомпрометированы в 14–33% случаев.

В целом, исследователи признали, что APT представляют собой уникальную проблему в сфере организации ИБ. Согласно их выводам, следует отдавать приоритет более быстрому исправлению, а не поиску 0-day уязвимостей в рамках общей стратегии обеспечения ИБ.

При этом они рекомендуют оптимизированный подход, предлагая обращать внимание на исправления недостатков, которые используются APT, снижая риск потенциальных атак.

Завершился Pwn2Own Vancouver 2022.

По итогам трехдневной хакерской конференции 17 участников заработали в общей сложности 1 155 000 долларов за реализованные 0-day и цепочки эксплойтов в продуктах Microsoft, Ubuntu и Tesla.

Во второй день участники снова поломали ОС Microsoft Windows 11, а также положили и Tesla Model 3.

Команда Synacktiv успешно проэксплуатировала две уникальные ошибки (Double-Free и OOBW) с выходом из песочницы при нацеливании на мультимедиа Tesla Model 3, заработав 75 000 долларов. Их соперники Jedar_LZ, атаковавшие Tesla, продемонстрировали свой эксплойт, однако использовать 0-day в отведенное временя им не удалось. Тем не менее Zero Day Initiative (ZDI) Trend Micro все подробности эксплойта передала в Tesla.

Также T0 была продемонстрирована третья 0-day уязвимость повышения привилегий в Windows 11, связанная с неправильной ошибкой управления доступом, а вот namnp не уложились в отведенное время и не смогли повысить привилегии.

После чего Ubuntu Desktop дважды подвергся взлому: Бьен Фам (bienpnn) и команда TUTELARY из Северо-Западного университета осуществили повышение привилегий, используя две ошибки Use After Free, заработав по 40 000 долларов.

В последний день исследователи nghiadt12 из Viettel Cyber Security, Бруно Пужос из REverse Tactics и vinhthp1712 окончательно добили Microsoft Windows 11, трижды взломав ОС с использованием 0-day эксплойтов (через Integer Overflow, используя Use-After-Free и Improper Access Control соответственно).

Билли Дженг Бинг-Джхонг из STAR Labs положил Ubuntu Desktop, используя Use-After-Free эксплойт. Натиск атак смогла выдержать Microsoft Teams, участники Team DoubleDragon не уложились в отведенное время. По итогу участники заработали 160 000 долларов.

В распоряжении разработчиков и поставщиков ПО 90 дней со дня окончания Pwn2Own для выпуска исправлений, по окончании срока Trend Micro Zero Day Initiative раскроет все технические секреты хакеров.

Исследователи Cyble обнаружили вредоносную кампанию, нацеленную на представителей Infosec-сообщества, в рамках которой используется поддельным PoC-эксплойт для доставки Cobalt Strike.

Все началось с сообщения в Twitter, автор которого разоблачил малварь, замаскированный под эксплойт Proof of Concept для уязвимости удаленного выполнения кода RPC Runtime Library (CVE-2022-26809 с оценкой CVSS 9.8), который распространяли таким образом через GitHub.

В ходе расследования нашелся и другой замаскированный под POC-эксплойт для CVE-2022-24500 вредоносный образец, который также размещался в GitHub. При этом оба репозитория принадлежат одному и тому же владельцу, являющемуся главным актором всей кампании. Кроме того, ресерчеры отследили обсуждения, которые инициировали злоумышленники на ИБэшных форумах для распространения вредоносных ПО под видом PoC.

Анализ образцов ПО показал, что они представляют собой двоичный файл .Net, упакованный ConfuserEX, при этом никаким образом не содержат в коде ни строчки упомянутых в PoC уязвимостей. По факту малварь визуально имитирует попытку эксплуатации уязвимости, запуская в фоне шелл-код.

Программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки, которая представляет собой Cobalt-Strike. Затем злоумышленники могут использовать его для загрузки дополнительных полезных данных и выполнения боковых перемещений.

Присоединяемся к Cyble и категорически настаиваем на предварительной проверке достоверности и надежности источников. В этом плане подготовленный исследователями отчет будет полезен с точки зрения общих рекомендаций, а также в нем представлены индикаторами компрометации (IoC) касательно выявленной кампании.

- Партнёрский пост -

Бизнесу нужны специалисты по кибербезопасности

Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.

25 мая в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Как построить карьеру в кибербезопасности».
На онлайн‑дискуссии вы узнаете:
1️⃣ какие возможности открывает обучение в магистратуре и зададите вопросы руководителю программы;
2️⃣ какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
3️⃣ какие документы необходимы, этапы поступления и варианты оплаты обучения.

Присоединяйтесь → https://netolo.gy/imZ

Не дает Ростех покоя расовым азиатским хакерам (тысячи их!). Два года назад северокорейцы из APT Kimsuky пытались взять на абордаж одно из подразделений госкомпании.

На сей раз наши китайские друзья решили пощупать внешний периметр двух российских оборонных научно-исследовательских институтов, входящих в состав Ростеха. Все согласно известной китайской пословице - "Сотня мужчин может разбить лагерь, но для постройки дома нужна женщина, а для постройки современного высокотехнологичного оружия - взломанный русский НИИ".

По крайней мере, так утверждает израильская инфосек компания Check Point.

По данным еврейских исследователей, ориентировочно с июня 2021 года ранее не замеченной хакерской группой проводится кибершпионская кампани, направленная на российские ресурсы. В ее рамках в конце марта этого года в адрес нескольких российских оборонных НИИ, а также в адрес неустановленного лица в Минске (приманка немного отличалась от российской), была сделана фишинговая рассылка, содержавшая ссылку на сайт minzdravros .com, имитирующий сайт Минздрава России и вредоносный документ.

Естественно, что при открытии и того, и другого, подтягивалось вредоносное ПО, а точнее безфайловый загрузчик, который имеет несколько зашифрованных слоев и догружает полезную нагрузку. В виде оригинального авторского бэкдора Spinner. Который, свою очередь, судя по скудному первичному функционалу, подсасывает с управляющего центра необходимые функциональные модули.

В ходе анализа полученных сэмплов Check Point нашли несколько схожих дропперов, все из которых использовали в качестве приманки документы, ориентированные на российских пользователей (например, поддельный Указ Президента РФ).

Полученные в ходе анализа TTPs указывают на схожесть этой новой APT, которую израильтяне назвали Twisted Panda, с китайскими группами Mustang Panda и Stone Panda aka APT 10.

Вместе с тем, по нашему мнению, их недостаточно, чтобы однозначно привязать киберкампании к действию китайских хакерских групп. Мы бы также рассмотрели возможность операции под чужим флагом, но израильские специалисты, по понятным геополитическим причинам, этого не делают.

Удалось ли взломать хакерам наши НИИ из отчета Check Point непонятно. Одно ясно точно - инструктаж должностных лиц Ростеха на предмет недопущения перехода по всяким фишинговым ссылкам и прочим вредоносным документам должен быть усилен. Желательно описанием последствий в виде "а то будет бо-бо".

Когда речь идет об уязвимостях в WordPress, то в 9 из 10 случаев проблема кроется в каком-либо плагине, где можно выполнить произвольный PHP-код.

И сегодняшняя бага не исключение и затрагивает плагин School Management Pro, предназначенный для удобства управления школой с доступами пользователей на основе ролей от родителя до директора школы.

Проблема очень серьезная и предоставляет злоумышленнику полный контроль над уязвимыми веб-сайтами. Бага обнаружена в премиальных версиях до 9.9.7 и получила идентификатор CVE-2022-1609 с максимальной оценкой серьезности 10.

О проблеме сообщил Харальд Эйлертсен из Jetpack в своей статье, а индийская компания Weblizar, которая является создателем плагина утверждает, что более 340 000 клиентов используют его премиальные и бесплатные темы и плагины WordPress.

Специалисты по безопасности обнаружили имплантат 4 мая после того, как их предупредили о наличии сильно запутанного кода в исходниках проверки лицензии плагина. Причем уязвимость не влияет на бесплатную версию School Management, так как не содержит кода для проверки лицензий.

Тайной, покрытой мраком, остается тот факт, что никто не знает, как и когда код попал в их программное обеспечение.

Учитывая достаточно широкий горизонт угроз, исчисляемый в сотни тысяч школ, пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.