Ресерчеры Forescout's Vedere Labs раскрыли 56 уязвимостей в промышленных устройствам десяти ведущих вендоров, которые используются в том числе на объектах критической инфраструктуры.

В совокупности обнаруженная коллекция получила наименование Icefall и затрагивает Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS и Yokogawa.

Выявленные путем тщательного ручного и автоматизированного анализа программного обеспечения, встроенного ПО и аппаратных компонентов Vedere Labs проблемы касаются, в первую очередь, безопасности учетных данных, манипулирования прошивкой и конфигурацией, удаленного выполнения кода, обхода аутентификации, состояния отказа в обслуживании (DoS).

Forescout отмечает в своем отчете, что «многие уязвимости связаны с небезопасным по своей конструкции характером OT, нарушением многих схем аутентификации, что свидетельствует о принятии производителями недостаточных мер безопасности на этапе реализации.

В качестве примера: многие устройства использовали учетные данные в виде открытого текста, слабую криптографию, жестко закодированные ключи и аутентификацию на стороне клиента.

Учитывая, что Icefall влияет на широкий спектр устройств во многих отраслях промышленности, уязвимости обязательно будут реализованы в ходе атак, прежде всего, прогосударственными АРТ.

Среди возможных сценариев таких атак Forescout выделяют: создание ложных тревог, изменение заданных значений потока, нарушение операций SCADA или отключение систем аварийного отключения и пожарной безопасности.

Серьезность своих выводов исследователи продемонстрировали на примере объектов в сфере энергетики, связав различные компоненты из набора Icefall в цепочку для достижения более глубоких уровней компрометации.

При этом аналитики использовали Shodan для сканирования Интернет на наличие уязвимых систем, и результаты оказались весьма неутешительными: 2924 устройств Honeywell Saia Burgess; 1305 контроллеров Omron; 705 устройств Phoenix Contact DDI, а также от 100 до 200 устройств ProConOS SOCOMM, Honeywell Trend Controls, Emerson Fanuc PACSystems в странах Европы, Азии и Северной Америки.

Все уязвимости описаны в более подробном техническом отчете.

В качестве возможных мер безопасности Forescout рекомендует применять последние обновления встроенного ПО от поставщика, сегментировать сеть, отслеживать трафик и активность устройств, а также устанавливать физические коммутаторы.

7 и 8 июля 2022 пройдёт шестая международная конференция по безопасности платежей #PAYMENTSECURITY - значимое ежегодное событие для профессионалов из инфосек и финтеха.

Организатор конференции - поставщик услуг по ИБ - компания Deiteriy.

#PAYMENTSECURITY проводятся с 2015 года и собирают тысячи участников из разных регионов. Материалы #PAYMENTSECURITY востребованы среди представителей отрасли и за годы проведения конференций образовали внушительную базу знаний в области инфосек.

В этом году мероприятие пройдёт в формате онлайн-трансляции, в ходе которой эксперты обсудят актуальные вопросы информационной безопасности платёжной индустрии, расскажут о произошедших в отрасли изменениях, обсудят будущее международных стандартов, а также поделятся эффективными решениями обеспечения безопасности в условиях импортозамещения и санкционных ограничений.

Программный комитет конференции принимает заявки на участие в конкурсе докладов (call for papers, CFP). Лучшие из них на тему безопасности платёжных и финансовых технологий войдут в программу #PAYMENTSECURITY и будут озвучены в эфире трансляции.

Для участия в CFP необходимо прислать заявку по адресу сfp@paymentsecurity.ru до 23 июня 2022 года.

На #PAYMENTSECURITY - запланирован традиционный воркшоп по ИБ Practical Security Village (PSV), в рамках которого пентестеры Deiteriy на примере заданий в воссозданной инфраструктуре поделятся с участниками основами этичного хакинга. Организаторы воркшопа также расскажут о различных видах уязвимостей, способах их эксплуатации и методах их локализации.

Регистрация на воркшоп - на www.practicalsecurityvillage.ru.

В ходе конференции также будет проведён авторский семинар Deiteriy - PCI DSS TRAINING, который поможет слушателям разобраться с требованиями новой версии стандарта и подготовиться к аудитам по PCI DSS v. 4.0.

Несмотря на изменения в отрасли, требования стандартов PCI продолжают быть актуальными и являются обязательными для участников платёжной системы «Мир», знание требований действующей версии стандарта PCI DSS сохраняет свою значимость, а прохождение PCI DSS TRAINING становится дополнительной точкой опоры при подготовке к сертификации.

Всех участников #PAYMENTSECURITY ожидает бесплатный доступ к эссенции профильных знаний, мнений экспертов и новостей в сфере инфосек.

Актуальная информация по конференции - на www.paymentsecurity.ru.

С учетом обстановки в мире оптимизацией своей профессиональной деятельности, также активно занимаются и представители теневого сегмента.

Мошенники, которые использовали RIG Exploit Kit теперь пытаются инсталировать банковский троян Dridex вместо стилера Raccoon.

Тенденцию выявили специалисты из лаборатории Bitdefender Cyber Threat Intelligence Lab. Причем переход на новый троян произошел, когда стало известно, что один из разработчиков Raccoon Stealer был убит во время спецоперации на Украине.

Raccoon был впервые обнаружен в апреле 2019 года и предназначался исключительно для кражи реквизитов банковских карт жертв, учетных данных электронной почты, криптовалютных кошельков и других конфиденциальных сведений.

Стилер написан на C++, продвигался исключительно на русскоязычных хакерских форумах и предлагался к продаже как услуга в виде автоматизированной панели управления, абузоустойчивого хостинга и круглосуточной поддержки клиентов и все это добро всего за 200 баксов в месяц.

Учитывая, что троян больше не работает, злоумышленники в рамках активной кампании по распространению RIG быстро адаптировались и заменили вредоносное ПО Raccoon на Dridex, чтобы максимально использовать текущие возможности.

По факту ситуация демонстрирует эффективность комплекта эксплойтов RIG, который позволяет операторам быстро подменять полезную нагрузку в случае обнаружения или компрометации.

Bitdefender также опубликовал технический документ о вредоносном ПО, в котором содержатся интересные подробности об угрозе.

На этой неделе Google выпустила стабильную версию Chrome 103,
исправив 14 уязвимостей.

Наиболее серьезной из исправленных ошибок является критическая CVE-2022-2156 в Base, связанная с использованием после освобождения, которая может привести к выполнению произвольного кода, повреждению данных или отказу в обслуживании.

Уязвимость обнаружил Марк Брэнд из Google Project Zero.

В сочетании с другими проблемами в безопасности ошибка может привести к выходу из песочницы браузера или полной компрометации системы.

В новой версии Chrome 103 устранены также три другие уязвимости использования после освобождения, влияющие на компоненты:

- Interest groups (CVE-2022-2157, высокая степень серьезности, об ошибке сообщили Нан Ван и Гуан Гун из 360 Alpha Lab),
- WebApp Provider (CVE-2022-2161, средняя степень серьезности, раскрыл Чжихуа Яо из KunLun Lab),
- Cast UI and Toolbar (CVE-2022-2163, низкий уровень, сообщил Чаоюань Пэн).

Последнее обновление Chrome также устраняет уязвимость, связанную с путаницей типов высокой степени серьезности, в движке V8 JavaScript и WebAssembly - CVE-2022-2158, которую обнаружил Бохан Лю из Tencent Security Xuanwu Lab.

Кроме того, закрыты и другие проблемы средней и низкой степени серьезности, включая недостаточное применение политик в DevTools (CVE-2022-2160), API файловой системы (CVE-2022-2162), недопустимую реализацию в Extensions API (CVE-2022-2164 и недостаточную проверку данных в форматировании URL (CVE-2022-2165).

Google отмечает, что выплатила в общей сложности 44 000 долларов США в качестве вознаграждения за обнаружение ошибок, данными об использовании недостатков в дикой природе не располагает.

Последний выпуск Chrome в настоящее время доступен для Windows, Mac и Linux как версия 103.0.5060.53, так что всем пользователям браузера рекомендуем обновиться.

Тайваньский производитель QNAP, похоже что, нашел причину новых атак на владельцев своих сетевых хранилищ (NAS). Разработчики сейчас находятся в стадии активного исправления критической уязвимости PHP трехлетней давности, которая приводит к RCE.

Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11 с кривой конфигурацией nginx (с конфигурациями, отличными от настроек по умолчанию) .

Она отслеживается как CVE-2019-11043 и имеет рейтинг серьезности 9,8 из 10 в системе оценки CVSS. При этом требуется, чтобы Nginx и php-fpm работали на устройствах, использующих следующие версии операционной системы (и выше): QTS 5.0.x; QTS 4.5.x; Hero QuTS h5.0.x; Hero QuTS h4.5.x, а также QuTScloud c5.0.x.

Поскольку в QTS, QuTS hero или QuTScloud по умолчанию не установлен nginx, QNAP NAS не подвержены этой уязвимости в состоянии по умолчанию. Кроме того, проблему уже устранили в версиях ОС QTS 5.0.1.2034 build 20220515 и Hero QuTS h5.0.0.2069 сборка 20220614.

Тем не менее QNAP продолжает тщательное расследование зафиксированной волны атак с использованием ransomware DeadBolt, нацеленных на устройства QNAP NAS, на которых установлены устаревшие версии QTS 4.x.

Однако пока производитель пытается бороться с DeadBolt, владельцев NAS с выходных начали атаковать вымогатели ech0raix, согласно отчетам пользователей и образцам, представленным на платформе ID Ransomware. При этом вектор заражения, используемый в новых кампаниях DeadBolt и ech0raix, остается неизвестным.

До момента выяснения всех обстоятельств QNAP рекомендует клиентам перейти на новейшую версию операционных систем QTS или QuTS hero, а также отключить устройства от Интернет. Если устройства имеют такие подключения, то пользователям следует отключить функцию переадресации портов маршрутизатора и UPnP QNAP NAS.

Будем следить за результатами расследования.

Специалисты Лаборатории Касперского представили нового серьезного актора ToddyCat.

Более полутора лет ранее неизвестная АРТ нацелена на жертв высокого статуса, включая правительственные организации, военные ведомства и подрядчиков в сфере вооружений.

Операции ToddyCat характеризуются использованием бэкдора Samurai и трояна Ninja, двух ранее неизвестных штаммов вредоносного ПО, которые предоставляют злоумышленникам полный удаленный контроль над зараженными системами.

Первые атаки ToddyCat были зафиксированы в декабре 2020 года и акцентировались на серверах трех организаций Тайваня и Вьетнама с помощью неизвестного эксплойта. 

Позже с февраля по май 2021 года АРТ переориентировалась на ряд других целей в Европе и Азии, включая Россию, Индию, Иран и Великобританию, используя на этот раз уязвимости ProxyLogon Microsoft Exchange для первоначального доступа.

На следующем этапе до февраля 2022 года ToddyCat нацелился на тот же кластер стран, добавив в список организации из Индонезии, Узбекистана и Кыргызстана.

Было замечено, что группа применяла уязвимость ProxyLogon для целевых организаций в Афганистане, Индии, Индонезии, Иране, Кыргызстане, Малайзии, Пакистане, России, Словакии, Таиланде, Соединенном Королевстве и Узбекистан. При этом с сентября 2021 года АРТ нацелилась на настольные системы в Центральной Азии с помощью нового набора загрузчиков для трояна Ninja.

На скомпрометированных машинах хакеры разворачивали веб-оболочки China Chopper, которая, в свою очередь, использовалась для запуска многоступенчатой цепочки заражения.

Получая доступ к уязвимым серверам Exchange, ToddyCat применяли пассивный бэкдор Samurai, который обычно работает на портах 80 и 443, поддерживает выполнение произвольного кода и используется с несколькими модулями, позволяющими управлять сервером и перемещаться внутри целевой сети.

Благодаря модульной архитектуре вредоносное ПО позволяло злоумышленникам удаленно управлять зараженной машиной, извлекать файлы, запускать прокси-соединения и проводить боковое перемещение. Бэкдор использует обфускацию и другие методы сокрытия от обнаружения и детектирования.

В некоторых случаях бэкдор использовался для запуска трояна Ninja, который мог быть частью неизвестного эксклюзивного инструментария пост-эксплуатации ToddyCat.

Загружаемая в память вредоносная программа функционирует инструмент совместной работы, который позволяет одновременно нескольким операторам управлять скомпрометированной машиной, обеспечивая поддержку широкого спектра команд.

Малварь также способна управлять запущенными процессами, управлять файловой системой, запускать сеансы обратной оболочки, внедрять код, загружать дополнительные модули, включая прокси.

Ninja поддерживает связь по нескольким протоколам и реализует защиту от обнаружения. Интересной особенностью троянца является функция настройки времени сивей активности, задавая интервалы для предотвращения своего обнаружения.

Ресерчеры не связывают ToddyCat с другими APT-группами, однако выделяют совпадение их таргета с традиционными объектами заинтересованности китайских акторов.

Более того, Лаборатория Касперского обнаружила, что использующая бэкдор FunnyDream прокитайскоязычная APT взломала 3 организации одновременно с ToddyCat, что неудивительно, учитывая высокий статус жертв, которые представляют интерес для многих групп.

ToddyCat - достаточно профессиональная и сложная APT, полную цепочку заражения или более поздние этапы вредоносного ПО выявленных кампаний смогли глубоко изучить в Лаборатории Касперского, в отличие от ESET и вьетнамской GTSC, чьи отчеты ограничиваются вектором заражения и развертыванием первого дроппера.

Все подробности и индикаторы компрометации (IOC) ToddyCat можно найти отчете Лаборатории.

​🇷🇺 #ЧтоТамПоХакерам? [23.06.2022]

1️⃣ В центре внимания «KillNet» сейчас 🇱🇹Литва, об этом сообщается в📲Telegram-канале:

👮 Департамент полиции при МВД в Вильнюсе, Литва.
📞 Мобильный провайдер Литвы - Telia
🏦 Авторизация в крупной платёжной системе Литвы - LPB
📧 Литовская электронная почта
👨‍💻 Госуслуги Литвы
🚇 АО «Литовские железные дороги»

❌🚚 Литва блокировала для России транзит грузов через свою территорию в Калининградскую область из других регионов России.

2️⃣ Хакеры «ЛЕГИОН - КИБЕР СПЕЦНАЗ РФ» также заявили в своём 📲Telegram-канале об атаках на 🇱🇹Литву:

🗺 Логистические ресурсы, Таможня
🏦 Финансовый сектор, Банки
🏭 Энергетический сектор
🕵️ Средства Массовой Информации
👮 Государственные Сайты включая МВД, МИД, Правительство Литвы, сайт Президента Литвы

3️⃣ Хакеры «NoName057(16)» поддержали тренд и всю неделю в Прибалтике было жарко, об этом сообщается в 📲Telegram-канале:

🛳 Cайт литовской компании Baltic shipping, которая занимается морскими перевозками и является одной из ведущих в этой сфере в странах Балтии
✈️ Атаковали сайты литовских международных аэропортов Каунаса, Вильнюса и Паланга
🚢 Досталось и компании «Ферри Букингс» (паромные переправы)

4️⃣ «Народная CyberАрмия» положила с помощью ⚔️DDoS-атак сайт "Украинской бронетехники" и украинский сайт для проведения DDoS-атак против РФ.

*Конструкторско-производственное предприятие "Украинская бронетехника" - это ведущий в Украине производитель бронированной техники и вооружения [написано на сайте компании].

5️⃣ Активности на канале хакеров «XakNet Team» пока не наблюдается, но посты кошерные.

6️⃣ «Немезида» aka RaHDIt дали интервью РИА Новости, где рассказали, что к протестам в Казахстане причастна украинская военная "фабрика троллей"

7️⃣ «Beregini» в традиционном формате подачи контента делятся очень интересными документами

Порой от некоторых "решений" фаворитов программного обеспечения из категории массмаркет волосы дыбом встают и созревает больше вопросов, чем ответов.

В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.

Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.

Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.

Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.

Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.

Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.

Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.

В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.

В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.

Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.

Как и ожидалось, вопрос урегулирования скандала NSO Group точно не закончится банальным захватом актива фактически за бесценок, о чем мы сообщали совсем недавно.

Это, конечно, хороший бонус всей международной операции американских спецслужб, но стратегическая цель немного другая.

На этой неделе, по информации Politico, израильский поставщик шпионского ПО признал перед Европарламентом нарушения, связанные с применением технологии для наблюдения Pegasus на территории 5 стран союза.

Кроме того, по случаю летней сессии Парламентской ассамблеи Советом Европы был представлен новый доклад о влиянии шпионского ПО Pegasus на права человека.

Орган отметил в отчете, что применение Pegasus не требует сотрудничества с телекоммуникационными компаниями, и он может легко преодолеть шифрование, SSL, проприетарные протоколы и любые препятствия, связанные со сложными коммуникациями по всему миру, что создает серьезные риски для гарантии основных прав и свобод.

Раскрытие информации произошло в результате проведенного созданным в апреле 2022 года специальным следственным комитетом расследования предполагаемых нарушений законодательства ЕС в рамках инцидента с ПО Pegasus, который использовался для контроля устройств ведущих политиков, дипломатов и общественных деятелей.

Ранее еще в феврале этого года Европейский инспектор по защите данных (EDPS) и вовсе призвал запретить разработку и использование коммерческого шпионского ПО.

И это все к чему?

Отвечаем словами самих NSO Group: признав допущенные ошибки, компания подчеркнула необходимость международного стандарта, регулирующего использование правительством шпионского ПО.

Таким образом, Pegasus и другие аналоги, такие как FinFisher и Cytrox, теперь либо ложиться под большого брата, либо объявляются вне закона со всеми вытекающими последствиями.

Вероятно, в ближайшем будущем рынок шпионского ПО полностью ляжет под штаты и их европейских сателлитов, всех несогласных - в «черный» список Минфина США.

͏Пожалуй, все помнят: «Тридцать тысяч просмотров! Наше ограбление порвало интернет!... Блин, нас пристрелят…» (цитата из к/ф «Большой куш»).

Только в реальной жизни киберпреступники провернули делюгу почти на 99 334 302, 58 долларов США (или 85 837,252 Ethereum), которые незаметно стащили у Harmony через экосистему межсетевых переводов.

В результате вредоносной атаки на проприетарный мост Horizon Ethereum хакеры провернули несколько транзакций, которые скомпрометировали мост, а вместе с ним токены 11 транзакций на солидную сумму.

Блестящая афера была раскрыта, но, к несчастью для Harmony, уже после того, как активы утекли, а остался лишь блок на мост, веселые приключения с ФБР США и изрядно подпорченная репутация.

Конечно, остаются надежды на «белую шляпу», но этого, вероятно, ожидать не стоит. В любом случае, будем посмотреть.

На просторах хакерских форумов появился новый инструмент Quantum LNK Builder, предназначенный для создания вредоносных ярлыков Windows, известных как файлы .LNK.

lnk — это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия.

Софт достаточно эффективный и позволяет подделывать почти любое расширение и выбирать из более чем 300 вариантов, не говоря уже о поддержке UAC и обхода Windows SmartScreen.

На борту имеется несколько полезных нагрузок для файлов .LNK, а также предлагаются возможности для создания полезной нагрузки файлов .HTA и образов диска .ISO.

Quantum Lnk Builder выставлен на продажу на нескольких подпольных площадках и цена зависит от плана подписки. Например: 189 евро в месяц, 355 евро на два месяца, 899 евро на шесть месяцев или 1500 евро на бессрочное использование.

По такой цене можно сказать, что почти даром. И, вероятно, не зря исследователи из Cyble стали наблюдать всплеск использования файлов .lnk несколькими семействами вредоносных программ, такими как Emotet, Bumblebee , Qbot и Icedid.

Причем некоторые APT, также используют эти файлы для первоначального выполнения, чтобы доставить конечную полезную нагрузку.

Более того, специалистами утверждается, что Quantum Builder имеет общие связи с северокорейскими хакерами Lazarus.

Утверждение сделано на основе совпадения исходного кода в инструменте и методах работы последнего по использованию файлов .LNK для доставки дополнительных полезных нагрузок в своих атаках.

Примечательно, что Windows по умолчанию скрывает расширение .lnk. Если файл называется имя_файла.txt.lnk, то пользователю будет виден только файл имя_файла.txt, даже если включена опция отображения расширения файла. Собственно, очевидно почему злоумышленники используют файлы ярлыков в качестве маскировки.

📖 Complete A+ Guide to It Hardware and Software: Comptia A+ Exams 220-1100 & 220-1102, 9th Edition.

• Дата выхода: 19 Сентября 2022 года.
• Рейтинг: ⭐️⭐️⭐️⭐️⭐️(5 out of 5)

• VT.

• Master IT hardware and software installation, configuration, repair, maintenance, and troubleshooting and fully prepare for the CompTIA A+ Core 1 (220-1101) and Core 2 (220-1102) exams. This is your all-in-one, real-world, full-color guide to connecting, managing, and troubleshooting modern devices and systems in authentic IT scenarios. Its thorough instruction is built on the CompTIA A+ Core 1 (220-1101) and Core 2 (220-1102) exam objectives, making this the definitive resource for mastering the tools and technologies you’ll encounter in real IT and business environments. The emphasis on both technical and soft skills will help you rapidly become a well-qualified, professional, and customer-friendly technician.

🧩 Софт для чтения.

#CompTIA #Eng

Крестовый поход по переделу рынка коммерческого шпионажа продолжается и входит в активную фазу.

Скормленная общественности NSO Group послужила отличной основой для создания широкого резонанса и обоснования рейдерских амбиций штатов, по указанию которых действуют правозащитники, европейские регуляторы и блок западных технологических компаний.

Вслед за Predator исследователи группы анализа угроз Google (TAG) расчехлили на этой неделе детище итальянского конгломерата RCS Labs и Tykelab Srl, предварительный отчет по которому на днях также выпустили Lookout. На лицо по факту - новая информационная кампания вокруг следующего из списка 30 отслеживаемых Google поставщиков.

Речь идет о шпионском ПО Hermit, следы которого обнаружились в Италии и Казахстане.

Согласно Lookout, Hermit представляет собой модульное ПО для наблюдения, которое может записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.

В новом отчете Google TAG раскрывает комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения, для целевых мобильных пользователей как на iOS, так и на Android.

Шпионское ПО RCS Labs обычно создается по уникальной ссылке, отправляемой жертве. После перехода по ссылке жертве предлагается загрузить и установить вредоносное приложение.

Они нашли доказательства того, что операторы ПО в некоторых случаях работали совместно с интернет-провайдерами жертв, отключая с их помощью мобильную передачу данных.

После чего злоумышленник отправлял вредоносную ссылку целям через SMS с просьбой установить приложение для восстановления подключения к данным.

Использовалась также подложная страница поддержки якобы для помощи потенциальным жертвам восстановить их заблокированные учетные записи Facebook, Instagram или WhatsApp.

Большинство подставных приложений маскировались под приложения мобильных операторов или под приложения для обмена сообщениями.

При этом они недоступны в App Store, но были подписаны сертификатом компании 3-1 Mobile SRL, который удовлетворяет всем требованиям к подписи кода iOS на любых устройствах iOS, поскольку она была зарегистрирована в Apple Developer.

Изученное ресерчерами приложение включало эксплойты для шести CVE, включая 2 0-day: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883, а также CVE-2021-30983.

Все они использовались до 2021 года и основаны на общедоступных эксплойтах, написанных различными сообществами джейлбрейкеров, позволяющих повышать привилегии на скомпрометированном устройстве и красть файлы.

Вредоносные приложения для Android поставлялись без эксплойтов. Тем не менее, у них были возможности, которые позволяли загружать и выполнять дополнительные модули с помощью API DexClassLoader.

Свои доводы ответственные за подготовку отчета аналитики Google TAG Бенуа Севенс и Клемент Лесиня уже довели в акурат вчера на слушаниях в Европейском парламенте по теме «Большие технологии и шпионское ПО». Официальные расследования и реакции не заставят себя ждать.

Такие дела.

Целых шесть месяцев ушло у Oracle для исправления критической уязвимости Fusion Middleware.

Критическая CVE-2022–21445 имеет оценку CVSS 9,8 и описывается как десериализация ненадежных данных, которая может быть использована для RCE. Проблема обнаружена в компоненте ADF Faces и может быть использована удаленно без аутентификации.

Еще в октябре 2021 года ресерчеры Питер Джейсон из VNG Corporation и Нгуен Ян из VNPT сообщили о своей находке в Oracle, а позже и в BestBuy, Dell, NAB Group, Regions Bank, Starbucks, USAA и другим заинтересованным организациям.
 
По их мнению, ошибку RCE перед аутентификацией они охарактеризовали мега-уязвимостью, которая затрагивает все приложения с ADF Faces, включая Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite и Transportation Management.

В дополнение к ней ресерчеры обнаружили также другую серьезную ошибку CVE-2022–21497 (с оценкой CVSS 8,1) подделки запросов на стороне сервера (SSRF). При этом она непосредственно может быть связана с предыдущей для реализации RCE перед аутентификацией в Oracle Access Manager, который обеспечивает единый вход в онлайн-сервисы Oracle.
 
Разработанный The Miracle Exploit затрагивает все онлайн-системы и облачные сервисы Oracle, использующие ADF Faces. На самом деле, как говорят исследователи, любой веб-сайт, использующий фреймворк ADF Faces, уязвим. Свои доводы исследователи также продемонстрировали на видео (1 и 2).

Исправления выпущены Oracle в рамках критического обновления в апреле 2022 года, спустя через шесть месяцев после первоначального отчета. Учитывая потенциальную опасность уязвимости, вы знаете, что нужно сделать.

В американской прессе начинаются осторожные попытки закинуть тему причастности русских хакеров к крупной аварии на заводе СПГ Freeport LNG. Пока устами маргинальных журналистов, но лиха беда начало.

Напомним, что произошедшая 8 июня авария на Freeport LNG разом сократила экспорт американского СПГ почти на 20% по меньшей мере до конца июня. Европа взвыла, а цены на газ на внутреннем американском рынке сразу пошли вниз, что сильно обрадовало местный электорат.

21 июня в американском издании Washington Examiner вышла статья, в которой со ссылкой на двух неназванных источников утверждается, что в конце февраля, параллельно с началом СВО на Украине, хакеры ГРУ провели кибероперацию, направленную на Freeport LNG. А следовательно и июньский взрыв на заводе СПГ является последствием атаки русских хакеров.

В качестве атакующего актора автором статьи названа группа XENOTIME, ответственная за атаку на один из саудовских НПЗ в 2017 году с использованием специализированного вредоноса Triton. По сути деструктивной атаки тогда не было, Triton был сугубо кибершпионским ПО, но в силу недостатков разработки уронил некоторые из элементов АСУ ТП, после чего и был обнаружен. В 2019 году FireEye связали разработчика Triton с московским Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ), однако атрибуция была весьма сомнительна.

Теперь автор статьи, американский журналист Том Роган, утверждает, что "очевидный отказ систем безопасности Freeport LNG соответствует методам работы XENOTIME", что указывает на его полную некомпетентность.

Сам Том Роган - личность одиозная, он штатный редактор Washington Examiner и сотрудничает с рядом крупных американских изданий, в частности является обозревателем Washington Times по вопросам национальной безопасности. В 2018 году отметился скандальной статьей "Украина должна взорвать Крымский мост Путина", которая вызвала дипломатический скандал, а Рогана после этого заабьюзили Лексус и Вован.

В ответ на статью Freeport LNG дали 23 июня официальный комментарий, в котором заявили, что кибератака исключена в качестве причины аварии на производстве.

Тем не менее, 24 июня авторитетное отраслевое издание American Military News понесло вброс Тома Рогана дальше, вместе с его комментарием об отсутствии у Freeport LNG систем безопасности АСУ ТП (проводим аудит ИБ дистанционно за 5 минут, не гербалайф).

Пока информационная волна невелика, надо посмотреть будет ли развитие. В качестве одной из вероятных целей предполагаем основание для проведения в будущем кибератак на критическую инфраструктуру России.

Спецы по безопасности цепочек поставок ПО Sonatype обнаружили очередные вредоносные пакеты Python PyPi, посредством которых подтягивалась конфиденциальная информация, включая учетные данные AWS.

Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.

При этом первые два пакета закамуфлированы под известные проекты на PyPI, вводя в заблуждение невнимательных или неопытных разработчиков в ходе их имплементации, последние три не имеют явного таргетинга, но все имеют сходство кода или взаимосвязи.

Как выяснили аналитики, пакеты loglib-modules и pygrata-utils изначально имели фунционал кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Пакет Pygrata хотя и не реализовывал кражу, но в качестве зависимости был функционально связан с pygrata-utils.

Перехватываемые данные хранились в формате TXT и передавались через домен PyGrata[.]com. При этом конечная точка не была защищена должным образом, в связи с чем аналитики могли ознакомиться со всем, что утекло.

После того, как ресерчеры публично разоблачили злоумышленников, доступ был закрыт. Объяснений, как и полагается, также не поступило.

Пакеты были удалены достаточно оперативно, однако pygrata все же провисела в доступе еще какое-то время.

Этично или нет поступили владельцы пакетов, даже если это было сделано из альтруистических соображений - утекшие невольных участников этого эксперимента в конечном счете были раскрыты.

В любом случае, таргет был направлен на разработчиков, заинтересованных в определенных инструменты для своих проектов, трюки с опечатками и игрой символов отпадают.

Как бы то ни было, доверяй, но проверяй - следует четко изучать историю выпусков, даты загрузки, ссылки на домашнюю страницу, описания пакетов и номера загрузок, что в совокупности помогает определить, является ли пакет Python настоящим или подсадной подделкой.

Codesys объявили об исправлении более десятка уязвимостей.

Программные решения для промышленной автоматизации, предоставляемые немецкой компанией используются у крупнейших в мире производителей систем промышленного управления (ICS) и уязвимости продуктов Codesys, могут затронуть значительное количество устройств.

Причем о проблемах в продуктах немецкой компании сообщили исследователи из китайской фирмы по кибербезопасности NSFocus. Видимо не весь инофсек поднебесной по совместительству подрабатывает в APT.

В общей сложности специалистами было обнаружено 13 уязвимостей в продуктах Codesys V2, которым присвоен идентификатор CVE. Две баги были устранены Codesys еще в октябре 2021 года, а 11 были исправлены с обновлениями от 23 июня 2022 года.

Уязвимости очень просты и могут быть использованы для утечки конфиденциальной информации, перехода ПЛК в состояние критической ошибки и выполнения произвольного кода, а в сочетании с промышленными сценариями на местах эти баги могут парализовать промышленное производство и повредить оборудование.

Двум уязвимостям, связанным с неправильной защитой паролей присвоен «критический» рейтинг серьезности, а нескольким другим — «высокий». Причем более половины недостатков могут быть использованы для атак типа «отказ в обслуживании» (DoS).

В своих бюллетенях Codesys признает, что уязвимости могут быть использованы удаленным злоумышленником, но во многих случаях хакеру требуется какой-либо доступ к целевой системе.

В настоящее время пока не известно о каких-либо общедоступных эксплойтах, нацеленных на выявленные уязвимости.

Однако энтузиасты не поленились и опубликовали видео, как потенциальный злоумышленник может запустить DoS и попытаться закирпичить ПЛК ABB.

Новую точку входа вымогателей обнаружили исследователи CrowdStrike в ходе расследования инцидента с ransomware. Актор использовал 0-day в устройствах Mitel VOIP, расположенных на периметре сети, применив новый эксплойт для удаленного выполнения кода и методы сокрытия своей активности.

Речь идет о критической уязвимости, исправленной Mitel без подтверждения использования и затрагивающей компонент MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA).

Ресерчеры CrowdStrike точно зафиксировали 0-day в процессе расследования предполагаемой атаки на этапе начального доступа к среде. Активность исходила со внутреннего IP-адреса устройства Mitel VOIP на базе Linux, находящегося в сетевом периметре. Устройство было переведено в автономный режим и получено изображение для дальнейшего анализа, что и привело к обнаружению новой RCE-уязвимости.

Кроме того, злоумышленник попытался стереть свою активность на устройстве Mitel после того, как Falcon Complete обнаружил их активность и предотвратил их боковое перемещение.

Эксплойт включал два GET-запроса. Первый запрос предназначался для get_url параметра файла php, заполняя параметр URL-адресом локального файла на устройстве. Это привело к тому, что второй запрос исходил от самого устройства, что привело к эксплуатации.

Как только обратная оболочка была установлена, субъект создал то, что выглядело как веб-шелл с именем pdf_import.php. После чего также загрузил инструмент Chisel на устройство VOIP, переименовав его memdump. Этот двоичный файл выступал в качестве обратного прокси-сервера, позволяющего актору проникать в окружающую среду через устройство VOIP.

CrowdStrike опубликовал техническую документацию об уязвимости (отслеживается как CVE-2022-29499) и рекомендовал пользователям Mitel VOIP установить доступные исправления поставщиков.

Вывод такой, что своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным.

Крайне важно иметь несколько уровней защиты, максимально изолируя критически важные активы от устройств периметра, в частности, целесообразно ограничить доступ к хостам виртуализации или серверам управления, таким как ESXi и vCenter, насколько это возможно.

Одна из крупных государственных сталелитейных компаний Ирана Khuzestan Steel Co. была вынуждена остановить производство после того, как подверглась кибератаке.

Хакеры также атаковали также два других отраслевых предприятия, что в совокупности стало беспрецедентным нападением на стратегический промышленный сектор страны за последнее время.

По данным Associated Press, Khuzestan Steel Co. базируется в Ахвазе провинции Хузестан и обладает монополией на производство стали в Иране наряду с двумя названными госкомпаниями.

Правительство рассматривает сталь критическим сектором. 

По данным Всемирной ассоциации производителей стали, Иран является ведущим производителем стали на Ближнем Востоке и входит в десятку крупнейших производителей стали в мире. Его железорудные рудники обеспечивают сырье для внутреннего производства и экспортируются в десятки стран, включая Италию, Китай и Объединенные Арабские Эмираты.

Ни правительство Тегерана, ни Khuzestan Steel Company не приписали нападение конкретному злоумышленнику, равно как и ни один из заводов не подтвердил каких-либо повреждений или остановки работы в результате инцидента.

Генеральный директор Khuzestan Steel Амин Эбрахими заявил, что им удалось отбить кибератаку и предотвратить ущерб производству, который мог повлиять на цепочки поставок. Местный новостной канал Jamaran отметил, что атака не состоялась, поскольку на тот период фабрика не работала из-за отключения электроэнергии.

Тем не менее Khuzestan Steel Co. пришлось приостановить работу из-за технических проблем.

Ответственность за атаку взяла на себя анонимная хакерская группа Gonjeshke Darande, заявив, что атака была направлена против трех крупнейших сталелитейных компаний Ирана и является возмездием за «агрессию Исламской Республики».

В качестве доказательств своей причастности хакеры опубликовали видеозапись с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.

Ранее эта же группа заявляла о причастности к кибератаке на иранскую систему распределения топлива, которая состоялась в октябре 2021 года и парализовала работу сети заправочных станций по всей стране.

Безусловно, не называя ни имен, ни стран, ни обстоятельств инцидента компетентные органы Ирана, вероятно, уже завершили расследование и подготовили ответные меры. Не проводя параллелей, к слову, отметим, что пару недель назад два муниципалитета Израиля становились объектом атак неизвестного актора. Жители отделались ложными сработками системы оповещения.

По всей видимости, наметившаяся кибернапряженность на Ближнем Востоке входит в терминальную фазу противостояния, последствиями которого могут стать новые более разрушительные инциденты. Но, будем посмотреть.

Системы автоматизации зданий (BAS) — достаточно редкая цель для продвинутых злоумышленников, а их компрометация, как правило, носит случайный характер.

Как раз с таким актором пришлось иметь дело ресерчерам Лаборатории Касперского, по мнению которых хакеры после взлома BAS могут скомпрометировать другие части целевой инфраструктуры, включая, помимо прочего, их системы информационной безопасности. Кроме того, эти системы автоматизации могут быть ценным источником высококонфиденциальной информации.

В октябре 2021 года Kaspersky ICS CERT обнаружил ранее неизвестного китайскоязычного злоумышленника, атакующего телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.

Предположительно, волна атак началась еще в марте 2021 года, группа использовала уязвимость CVE-2021-26855 в Microsoft Exchange для развертывания вредоносного ПО ShadowPad и проникновения в системы автоматизации зданий.

Атаки имели уникальный набор TTP, что навело ресерчеров на мысль, что за ними стоит одна и та же китайскоязычная угроза. При этом актор использовал инженерные компьютеры в системах автоматизации зданий в качестве точки проникновения.

В ходе расследования исследователи обнаружили дополнительные инструменты и команды, используемые злоумышленником после первоначального заражения. Так, с марта по октябрь 2021 года бэкдор ShadowPad загружался на компьютеры жертв в виде файла mscoree.dll, который запускался AppLaunch.exe — совершенно легитимным приложением.

Позже злоумышленники запускали ShadowPad с помощью перехвата DLL в легитимном приложении для просмотра объектов OLE-COM (OleView). После первоначального заражения злоумышленники сначала отправляли команды вручную, затем автоматически через интерфейс командной строки (cmd.exe).

Позже злоумышленники стали распространять вредоносный скрипт для cmd.exe по сетям атакуемых организаций. Скрипт был практически полностью идентичен (по своему содержанию и последовательности команд) обнаруженной ранее последовательности ручных действий. Он не только доставлялся по сети, но и добавлялся злоумышленниками в планировщик задач для ежедневного выполнения.

Важно отметить, что именно эта часть ТТП достаточно уникальна, и атрибутирует подобную деятельность с ранее неизвестной китаеязычной АРТ.

В числе других инструментов использовались: CobaltStrike, загружаемый на машины-жертвы с помощью утилиты certutil.exe, скомпилированных веб-оболочек aspx, инструментов procdump и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к веб-серверу), а также Nextnet (для сканирования сетевых узлов).

Для связи с C2 злоумышленники использовали домены, зарегистрированные в NameSilo, GoDaddy.com и ENOM. Большинство C2 размещались на арендованных выделенных серверах Choopa.

При анализе атак исследователи обнаружили совпадения с другой китайской APT, отслеживаемой как Hafnium, которая, как известно, также использовала эксплойты Exchange ProxyLogon. Однако представленных артефактов недостаточно, чтобы говорить о причастности HAFNUM к атакам, описанным в отчете.

Конечную цель актора ресерчерам не удалось установить, однако, по всей видимости, группа нацелена на сбор данных. Kaspersky ICS CERT полагают, что актор может иметь более широкие географические интересы и соответственно список жертв.

Специалисты из Cyble предупреждают о кампании вредоносного ПО Matanbuchus и не просто так, а по причине того, что загрузчик активно используется и доступен на хакерских форумах.

Вполне адекватный прайс $2500 за тулзу оснащенную возможностями для запуска файлов .EXE и .DLL в памяти и выполнения произвольных команд PowerShell.

Matanbuchus, как и другие загрузчики вредоносных программ, такие как BazarLoader, Bumblebee и Colibri, разработан для загрузки и выполнения исполняемых файлов с серверов управления и контроля (C&C).

Малварь попала в поле зрения в феврале 2021 года, когда стала предоставляться как услуга и распространяться посредством фишинговых кампаний. Создатель Matanbuchus - некий господин, известный в сети как BelialDemon, а в преисподней, вероятно как падший ангел (от ивр. - «не имеющий жалости»).

В Cyble начали свое расследование после того, как наткнулись на сообщение в Твиттере от Unit 42, предупреждающего о распространении загрузчика через спам-кампании. К тому же, исследователи из Palo Alto ранее заявляли, что BelialDemon уже участвовал в разработке загрузчиков. Так, например наш "безжалостный" считается основным разработчиком TriumphLoader, загрузчика, который также был замечен на некоторых теневых площадках.

Впрочем, если получите письмо с Matanbuchus, то оно будет с вложением ZIP-файла, содержащим HTML-ку, которая при открытии декодирует содержимое Base64, встроенное в файл и загрузит вам в систему другой ZIP-файл с установщиком MSI. Далее, пока будете читать поддельное сообщение об ошибке вам на систему фоново установится файл «main.dll», действующий как загрузчик реальной DLL Matanbuchus с C&C-сервера.

Полезная нагрузка Matanbuchus устанавливает соединение с инфраструктурой C&C для получения полезных нагрузок следующего уровня например Cobalt Strike, как описали специалисты в своем отчете.