Не так уж macOS и безупречен с точки зрения безопасности и возможно для "кого-то" лазеечку все же оставили.

На днях исследователи из ESET обнаружили ранее неизвестный бэкдор под системы Apple macOS. Причем специалисты назвали вредоносное ПО ШПИОНСКИМ! и обозвали его CloudMensis.

Софт нацелен исключительно на системы macOS и использует только общедоступные облачные хранилища как C2.

По словам экспертов вредоносное ПО было разработано для слежки целевых систем, эксфильтрации документов, фиксации нажатий клавиш и снимков экрана.

CloudMensis был разработан на языке Objective-C, образцы, проанализированные ESET, скомпилированы для архитектур Intel и Apple.

Причем для исследователей до сих пор загадка, как жертвы изначально были скомпрометированы этим шпионским ПО. Известно пока не много, но доподлинно установлено, что вредоносное ПО использовалось в узконаправленных операциях из-за его очень ограниченного распространения.

Вектор атаки, подробно описанный ESET, состоит из двух этапов: на первом этапе вредоносное ПО получает полезную нагрузку от поставщика облачных хранилищ. Далее вредоносный код включает токен доступа для загрузки файла MyExecute.

В образце, проанализированном ESET, вредоносный код использовал провайдера pCloud в качестве хранилища вредоносных программ второго уровня, реализующих шпионские возможности.

Вредоносное ПО первого уровня загружает и устанавливает вредоносное ПО второго уровня в качестве общесистемного демона и на данном этапе злоумышленники уже должны иметь административные привилегии, потому что каталоги могут быть изменены только пользователем root.

В общем разборки шпионских игр всегда интересны общественности, учитывая что цепочка эксплойтов в CloudMensis использует четыре уязвимости, которые были раскрыты в 2017 году, что позволяет предположить о том, что шпионская малварь может быть активна как минимум с 2017 года.

Бэкдор поддерживает приличное количество команд (целых 39) в числе которых: изменение конфигураций CloudMensis (облачные хранилища и токены аутентификации, расширения файлов, которые интересны, частота опроса облачного хранилища и т.д.); просмотр запущенных процессов; захват экрана; список сообщений электронной почты и вложений; список файлов со съемного носителя и многое другое.

Ожидаем в ближайшем будущем разборов полетов, а пока специалистами рекомендуется использовать новые Mac и последнюю версию ОС, чтобы хоть как-то смягчить последствия.

͏Тем временем крупный производитель строительных материалов Knauf Group стал жертвой вымогателей Black Basta.

Компания объявила, что стала объектом кибератаки, которая 29 июня вывела из строя ее инфраструктуру и серьезно повлияла на операционную деятельность, включая и отгрузку товара. К настоящему времени специалисты Knauf ведут работы по устранению ее последствий.

Немецкий производитель стройматериалов обеспечиваю на 81% мировой рынок стеновыми панелями. Корпорация имеет 150 производственных площадок в нескольких странах мира, включая активы дочерних американских компаний USG Corporation и Knauf Insulation. Последняя тоже была сломана и полирована.

Ответственность за кибератаку взяла Black Basta, разместив соответсвующее объявление на своем сайте DLS, указав Knauf в качестве жертвы 16 июля 2022 года, опубликовав 20% файлов, которые они эксфильтровали во время атаки.

В них представлены образцы сообщений электронной почты, учетные данные пользователей, контактная информация сотрудников, производственные документы и сканы удостоверений личности.

Судя по сегментированной подаче украденных данных, переговоры по выкупу с Knauf находятся в самом разгаре.

Google  выпустила очередное обновление для Chrome 103, исправив 11 уязвимостей, в том числе и серьезные.

Пять из них относятся к проблемам использования после освобождения, четыре из которых относятся к категории высокой степени серьезности - CVE-2022-2477, CVE-2022-2478, CVE-2022-2480 и CVE-2022-2481.

Ошибки запускаются, когда программа не очищает указатель после освобождения памяти и затрагивают такие компоненты, как Guest View, PDF, Service Worker API и Views.

Уязвимости могут привести к RCE, DoS или повреждению данных, но, если они сочетаются с другими проблемами - к полной компрометации системы. В Chrome их можно также использовать для выхода из песочницы браузера.

Разработчики выплатил по 16 000 и 7 500 долларов в качестве вознаграждения за две ошибки, сумма по третьей пока не определена, а также 3000 долларов за CVE-2022-2479, проблему высокой серьезности, связанную с недостаточной проверкой ненадежных входных данных в компоненте File.

Шестая уязвимость, о которой сообщили извне, исправленная в этом обновлении Chrome, CVE-2022-2163, проблема низкого уровня и также связана с использованием после освобождения в пользовательском интерфейсе Cast и панели инструментов. За нее исследователю выплачено вознаграждение в размере 7000 долларов США.

Google не сообщает об эксплуатации каких-либо из исправленных уязвимостей в дикой природе. Последнее обновление Chrome в настоящее время распространяется для пользователей Windows, Mac и Linux как версия 103.0.5060.134.

Специалисты из Купертино потрудились на славу и выпустили кучу обновлений почти на все свои платформы.

Группа реагирования безопасности Apple выпустила исправления программного обеспечения как минимум для 39 программных уязвимостей для предшествующих платформ macOS Catalina, iOS и iPadOS.

Патчи закрывают многочисленные недостатки безопасности, некоторые из которых критические и способны подвергать пользователей атакам с удаленным выполнением кода. Возможно, связанных с тем о чем мы вчера писали.

Информационные бюллетени от Apple не содержат каких-либо предупреждений об использовании уязвимостей в дикой природе. Однако в корпорации призывают пользователей iPhone и iPad срочно обратить внимание на обновление iOS 15.6 из-за риска серьезных хакерских атак.

Уязвимости, большинство из которых связаны с проблемами безопасности памяти были устранены в широком спектре компонентов iOS/iPadOS, включая AppleAVD, AppleMobileFileIntegrity, Apple Neural Engine, CoreText, ImageIO и WebKit.

Кроме того, в обновленной macOS Big Sur 11.6.8 исправлено 32 задокументированные уязвимости, а в обновлениях для macOS Monterey 12.5 устранено 56 недостатков программного обеспечения. Также доступны обновления для ошибок в watchOS и tvOS.

Впрочем, раз в Apple просят немедленно обновиться, значит есть весомый аргумент который пока остается за кулисами.

Microsoft вернули автоматическую блокировку макросов VBA в загруженных документах Microsoft Office (Access, Excel, PowerPoint, Visio и Word) после временного отката, который был предпринят разработчиками без официального объявления после негативных отзывов.

Как мы предположили, не совсем публичных юзеров непубличных функций ПО. При том, что последовавшие после этого реальные негативные отзывы как раз и стали причиной возврата улучшенной функции.

Помимо отмены отката, Microsoft доработали специальную документацию по макросам из Интернета в части описания доступных параметров блокировки в различных сценариях.

В ближайшее время разработчик запустит развертывание обновлений, для ручной активации автоматической блокировки макросов Office следует обратиться к настройке групповых политик.

͏Atlassian исправила критическую уязвимость, связанную с жестко запрограммированными учетными данными в приложении Questions For Confluence (версии 2.7.34, 2.7.35 и 3.0.2) для Confluence Server и Confluence Data Center.

По данным Atlassian, приложение установлено на более чем 8000 серверах Confluence.

CVE-2022-26138 возникает, когда приложение установлено и включено в любой из двух служб, что приводит к созданию учетной записи пользователя Confluence с именем disabledsystemuser.

Учетная запись disabledsystemuser создается при установке приложения с жестко заданным паролем и добавляется в группу пользователей confluence, что по умолчанию позволяет просматривать и редактировать все неограниченные страницы в Confluence.

Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко закодированный пароль, может воспользоваться ошибкой, чтобы войти в Confluence и получить доступ к любым страницам.

В Atlassian не располагают информацией об использовании уязвимости в дикой природе, правда с оговоркой: «пока что».

Все дело в том, что жестко закодированный пароль легко получить после загрузки и просмотра уязвимых версий приложения.

Администраторам следует обратить внимание, что удаление приложения Questions for Confluence не устраняет уязвимость и вектор атаки.

Для понимания потенциальных угроз следует проверить наличие проблемной учетной записи пользователя disabledsystemuser, а также возможную несанкционированную аутентификацию, следуя этим инструкциям.

Учетную запись можно удалить, но лучше всего накатить обновления. Исправленная версия приложения прекратит создание проблемной учетной записи пользователя и удалит ее, если она есть.

🔎 Глобальный поиск. Hacker Search Engines || Поисковые системы для хакера.

🖖🏻 Приветствую тебя user_name.

• Тест на проникновение обычно требует актуального и уникального набора специальных инструментов, но один из них доступен каждому и всегда находится под рукой — это поисковики. Нужно только знать, как пользоваться и какой поисковик лучше подойдет под определенную задачу.

📌 Данный материал будет полезен всем читателям нашего канала (тем кто интересуется методами и инструментами для тестирования на проникновение, социальной инженерией, OSINT и ИБ в целом).

• В этом репозитории, ты можешь найти поисковик на любой вкус и цвет. Рекомендую сохранить ссылку в закладки: https://github.com/edoardottt/awesome-hacker-search-engines

Твой S.E. #OSINT #Пентест #Red_team #ИБ

Cisco устранила серьезные уязвимости в решении для управления ЦОД Cisco Nexus Dashboard, которое позволяет удаленным злоумышленникам выполнять команды и действия с правами root.

Первая критическая уязвимость CVE-2022-20857 позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к API, отправляя специально созданные HTTP-запросы для удаленного выполнения произвольных команд с привилегиями root в любом модуле на узле.

Вторая серьезная уязвимость в веб-интерфейсе CVE-2022-20861 позволяет удаленным злоумышленникам проводить атаку с подделкой межсайтовых запросов, убеждая аутентифицированных администраторов щелкнуть вредоносную ссылку.

Успешный эксплойт может позволить злоумышленнику выполнять действия с правами администратора на уязвимом устройстве.

Другая исправленная ошибка высокой степени серьезности CVE-2022-20858 может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, загружать образы контейнеров или загружать вредоносные образы на уязвимые устройства, открыв TCP-соединение со службой управления образами контейнеров.

Правда вредоносные образы будут запускаться после перезагрузки устройства или перезапуска модуля.

Уязвимости затрагивают Cisco Nexus Dashboard 1.1 и более поздние версии. Cisco исправила недостатки, выпустил обновление 2.2(1e) и рекомендует клиентам как можно скорее перейти на исправленную версию.

Все ошибки были обнаружены исследователями из группы Advanced Security Initiatives Group (ASIG) Cisco в ходе внутреннего аудита. В свою очередь, Cisco (PSIRT) заявила об отсутствии общедоступных эксплойтов или активного использования баг в дикой природе.

Кроме того, в рамках отдельного бюллетеня Cisco также исправила четвертую уязвимость CVE-2022-20860 в реализации SSL/TLS панели мониторинга Cisco Nexus, которая может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, перехватывать трафик в атаках MiTM.

Успешная эксплуатация позволит злоумышленникам просматривать конфиденциальную информацию, включая учетные данные администратора для затронутых контроллеров.

Крайне интересный и уникальный вредоносный фреймворк для Linux обнаружили специалисты Intezer, который из-за своей модульной архитектуры и множества функций сравнили со швейцарским армейским ножом.

Речь идет о вредоносной среде Lightning Framework, которая позволяет злоумышленникам устанавливать руткиты на целевых системах. Причем из-за обилия функций специалисты назвали его одной из самых сложных сред, разработанных для систем Linux.

Фреймворк имеет как пассивные, так и активные возможности для обратной связи с злоумышленником и полиморфную гибкую конфигурацию C2.

О новой малвари для Linux подробно рассказал исследователь Райан Робинсон в своем отчете.

Центральным элементом вредоносной экосистемы является загрузчик kbioset и основной модуль kkdmflush, первый из которых предназначен для загрузки как минимум семи различных подключаемых модулей с удаленного сервера, которые после вызываются основным модулем.

Собственно основной модуль kkdmflush устанавливает связь с C2 для получения команд, необходимых для выполнения плагинов, а также старается скрыть свое присутствие на скомпрометированной машине.

Функционал малвари позволяет снимать отпечатки системы, запускать cmd, загружать файлы на сервер C2, записывать произвольные данные в файл и даже обновлять и удалять себя с зараженного хоста.

Кроме того, создается сценарий инициализации, который выполняется при загрузке системы, что фактически позволяет автоматически запускать загрузчик.

Пока фактов использования в дикой природе доподлинно не установлено, однако специалистов напрягает тот факт, что появление Lightning Framework делает его уже пятым штаммом вредоносного ПО для Linux, обнаруженным за последние три месяца после BPFDoor, Symbiote, Syslogk и OrBit.

Ряды борцов с поставщиками коммерческого шпионского ПО пополняются.

Вслед за Microsoft, Google и Citizen Lab очередное разоблачение подкатили ресерчеры Avast, которые обнаружили, что израильский поставщик шпионского ПО Candiru использовал уязвимость 0-day в Google Chrome для шпионажа за журналистами и другими лицами на Ближнем Востоке с помощью ПО DevilsTongue.

После наезда Citizen Lab разработчик софта прекратил все операции DevilsTongue и ушел в тень, как оказалось для переоснащения своего арсенала.

На вооружение взяли CVE-2022-2294, которая представляет собой серьезное переполнение буфера динамической памяти в WebRTC и в случае успешного использования может привести к RCE на целевом устройстве.

Патч для баги, как мы сообщали ранее, был выпущен Google 4 июля, однако подробности эксплуатации 0-day тогда не раскрывались. Теперь они представлены в отчете Avast.

Candiru начала применять уязвимость в марте 2022 года, нацеливаясь на цели в Ливане, Турции, Йемене и Палестине.

Операторы шпионского ПО использовали распространенную тактику атаки на водопой, компрометируя целевые или создавая новые веб-сайты, на которые впоследствии с браузеров на основе Chromium обращались жертвы, как правило, после целевого фишинга или использования других методов.

В одном случае злоумышленники подломили веб-сайт информационного агентства в Ливане и внедрили фрагменты JavaScript, которые позволили проводить атаки XXS и перенаправляли действительные цели на сервер с эксплойтом.

После чего жертвы профилировались, а целевые устройства взламывались. Злоумышленники собирали информацию в отношении языка, часового пояса, экрана, типа устройства, плагинов браузера, памяти устройства, функциональности файлов cookie и др.

В случае с Ливаном эксплуатация 0-day позволила актору выполнить шелл-код внутри процесса рендеринга и реализовать другую уязвимостью выхода из песочницы, которую Avast не смогли воспроизвести. Вместе с тем, обнаруженный эксплойт работал только в среде Windows.

После первоначального заражения DevilsTongue использовал BYOVD, чтобы повысить привилегии и получить доступ для чтения и записи к памяти скомпрометированного устройства.

Avast установили, что BYOVD, используемый Candiru, также являлся 0-day, который невозможно исправить даже с обновлением.

Ресерчеры Avast не смогли точно идентифицировать конечную стратегическую цель обнаруженной кампании, полагая, что атаки были реализованы для наблюдения за отдельными персоналиями, данные которых также пока не разглашаются.

Но будем посмотреть: похоже, что у этой истории точно будет продолжение.

Европейский финетех сектор стал объектом особых устремлений со стороны APT EvilNum (отслеживается как TA4563) которая использует одноименное вредоносное ПО для нападения на европейские финансовые и инвестиционные организации.

Согласно выводам Proofpoint, злоумышленники фокусируются на организациях, осуществляющих операции с иностранными биржами, криптовалютой и децентрализованными финансовыми активами DeFi.

Сам же EvilNum представляет собой бэкдор позволяющий красть данные и загружать полезную нагрузку. Также он реализует несколько компонентов для уклонения от обнаружения.

Деятельность группы отслежвается с конца 2021 года и в более ранних кампаниях, основным вектором атаки, были файлы ярлыков Windows (LNK), отправляемые с "заряженным" ZIP в виде вложений электронной почты при фишинговых рассылках жертвам.

В самых последних атаках субъект угрозы начал использовать документы MS Office Word, применяя внедрение шаблонов документов для доставки вредоносной полезной нагрузки на компьютеры жертв.

Помимо Proofpoint за активностью EvilNum следят специалисты Zscaler, которые уже сообщали о тактике и методах работы в июне этого года.

Направленность группировки понятна и соответствующие опасения со стороны европейский финансовых организаций тоже, учитывая что вредоносное ПО TA4563 находится в активной разработке и хакеры постоянно корректируют свою работу в очередных попытках взлома.

🔊🏥 Хакеры заставили президента Украины оправдываться за своё самочувствие в запрещенной за экстремизм социальной сети

Неизвестные хакеры взломали сервера 📻TAVR Media (Мелодия FM, Радио Байрактар), после чего в радиоэфире стали появляться сообщения, что президент Украины неважно себя чувствует и находится в реанимации. Об этом вчера написали украинские СМИ.

«Владимир Зеленский находится в 🚑 реанимации в тяжелом состоянии. Временно обязанности президента Украины исполняет глава Верховной Рады Руслан Стефанчук», - говорилось в радиоэфире на "Радио Рокс" и "Мелодия FM".

🇺🇦Президент Украины поспешил отреагировать на эту новость в запрещенной за экстремизм социальной сети, записав короткое видео с опровержением.

Зеленский заявил, что находится в своём кабинете и чувствует себя как обычно.

👆Заочно украинские СМИ обвинили 🇷🇺"русских хакеров".

Вслед за автоматической блокировкой макросов Office в загруженных документах и принудительной MFA в Azure AD Microsoft включает дефолтную блокировку RDP-атак в Windows 11.

В последних сборках Windows 11 (Insider Preview 22528.1000 и новее) по умолчанию включена политика блокировки учетных записей, которая автоматически блокирует учетные записи пользователей (включая учетные записи администратора) после 10 неудачных попыток входа в течение 10 минут.

По мнению разработчиков, новшество должно ослабить вектор брута паролей с использованием автоматизированных инструментов, который является популярной тактикой среди злоумышленников для взлома систем Windows через RDP. На него приходится 70-80% всех сетевых нарушений.

Число атак, нацеленных на RDP-сервисы, резко возросло, по крайней мере, с середины-конца 2016 года, коррелируя развитию гаркнет-площадок, на которых, как правило, и реализуется RDP-доступ к скомпрометированным сетям. Одним из примеров является UAS, крупнейший подпольный киберрынок украденных учетных данных RDP, через который однажды было распродано 1,3 млн. доступов.

Политика блокировки учетной записи также доступна в системах Windows 10, но не по умолчанию. Администраторы могут настроить эту политику в Windows 10 в консоли управления групповыми политиками.

Atlassian предупреждает об утечке жестко запрограммированного пароля для входа на серверы Confluence Server и Data Center.

На прошлой неделе мы сообщали о критической уязвимости (отслеживаемой как CVE-2022-26138) в приложении Questions for Confluence, при установке которого создается учетная запись disabledsystemuser с жестко заданным паролем.

Ошибка позволяет удаленным злоумышленникам использовать жестко запрограммированные учетные данные для входа на уязвимые серверы Confluence Server и Data Center, получая доступ к страницам группы пользователей confluence.

Как и ожидалось, пароль утек и его уже опубликовали, а значит - все непропатченные системы можно считать скомпрометированными.

SonicWall PSIRT предупреждает о критической ошибке CVE-2022-22280, которая допускает SQL-инъекцию из-за неправильной нейтрализации специальных элементов, используемых в SQL-команде.

Уязвимость затрагивает продукты GMS (Global Management System) и Analytics On-Prem. Она имеет рейтинг серьезности 9,4, ее можно использовать из сети, не требуя аутентификации или взаимодействия с пользователем, а также имеет низкую сложность атаки.

Используя эту уязвимость, злоумышленники могут получить доступ к данным, к которым у них обычно не должно быть доступа, обойти аутентификацию или потенциально удалить данные из базы данных.

Учитывая широкое распространение SonicWall GMS и Analytics, которые используются для централизованного управления, быстрого развертывания, составления отчетов в реальном времени и анализа данных, поверхность атаки значительна и затрагивает в том числе критически важные организации.

SonicWall пока неизвестно о какой-либо активной эксплуатации в дикой природе или о существовании PoC для этой уязвимости.

Для устранения уязвимости рекомендуется выполнить обновление до GMS 9.3.1-SP2-Hotfix-2 и Analytics 2.5.0.3-Hotfix-1 или более поздних версий. Обходной путь для этой уязвимости недоступен.

SonicWall PSIRT настоятельно рекомендует организациям немедленно перейти на соответствующую исправленную версию.

Кроме того, использовать брандмауэр WAF, возможности которого также позволяют блокировать атаки внедрения SQL-кода даже в развертываниях без исправлений.

͏Разработчики Drupal выпустили обновления безопасности, которые необходимо немедленно установить, так как исправления касаются множества проблем в ядре CMS, в том числе критический недостаток, связанный с выполнением кода.

Исправлены множественные уязвимости, связанные с неправильной проверкой настроек домена iframe, что при определенных обстоятельствах может привести к межсайтовому скриптингу, утечке файлов cookie или другим ошибкам (SA-CORE-2022-015), включая критическую RCE в PHP (SA-CORE-2022-014), ошибку обхода доступа и уязвимость раскрытия информации (SA-CORE-2022-013 и SA-CORE-2022-012 соответственно).

Самая серьезная из перечисленных уязвимостей - это как раз таки CVE-2022-25277. Ошибка затрагивает ядро Drupal и может привести к RCE в PHP на веб-серверах Apache путем загрузки специально созданных файлов.

Разработчики Drupal указали, что затронуты только веб-серверы Apache и только с определенными конфигурациями. Все проблемы касаются версий 9.4 и 9.3, но уязвимость раскрытия информации также затрагивает версию 7.

Патчи для этих уязвимостей включены в Drupal 9.4.3, 9.3.19, Drupal 7.91.

Хотя и веб-сайты Drupal не так уязвимы, как WordPress, несколько уязвимостей, обнаруженных в CMS за последние годы, были все же реализованы злоумышленниками, в том числе для спам-кампаний, взлома веб-сайтов и доставки вредоносного ПО.

Гигант в области цифровой безопасности Entrust подтвердил кибератаку и сокрушительные последствия, прежде всего, для своих клиентов, чьи данные были в результате киберинцидента украдены.

Entrust специализируется на управлении идентификацией и аутентификацией, предлагая широкий спектр услуг, включая зашифрованную связь, безопасные цифровые платежи и решения для выдачи удостоверений личности.

Среди клиентов правительственные учреждения США, такие как Министерство энергетики, Министерство внутренней безопасности, Министерство финансов, Министерство здравоохранения и социальных служб, Министерство по делам ветеранов, Министерство сельского хозяйства и многие другие.

В зависимости от того, какие данные были украдены, атака может затронуть достаточно внушительное число весьма статусных организаций. 

Как стало известно, Entrust был взломан 18 июня, а совсем недавно компания подтвердила событие официально, уведомив своих клиентов.

Расследование инцидента все еще продолжается и, по заявлению компании, проблема не повлияла на работу или безопасность продуктов и услуг.

При этом кражу конфиденциальных данных из внутренних систем Entrust не отрицает, равно и не сообщает были ли это чисто корпоративные данные или информация клиентов и поставщиков.

Несмотря на то, что Entrust не разглашает дополнительных подробностей об атаке, журналистам BleepingComputer все же удалось узнать, что за атакой стоит известная банда вымогателей.

В качестве начального вектора были использованы скомпрометированные учетные данные Entrust для взлома внутренней сети, которые были приобретены через доверенную сеть продавцов сетевого доступа. Впоследствии инфраструктура Entrust подверглась шифрованию и эксфильтрации.

Вероятно, сейчас проходит переговорный процесс. Причем, как известно, даже в случае выплаты выкупа, нет никаких гарантий, что украденная информация на клиентов не будет перепродана.

Будем посмотреть.

Крупнейшего оператора мобильной связи T-Mobile так и нагнули, заставив выплатить клиентам компенсацию.

T-Mobile согласилась выплатить 350 миллионов долларов, после коллективного иска от потерпевших в августе прошлого года, когда компания сообщила, что личные данные, такие как номера социального страхования, были украдены в результате кибератаки.

В заявлении, поданном в Комиссию по ценным бумагам США, мобильный оператор заявил, что средства пойдут на оплату претензий участников процесса, юридические услуги адвокатов истцов и расходы на административное урегулирование.

Также в компании сказали, что потратят еще 150 миллионов долларов на укрепление безопасности своих данных и других технологий.

При всем при этом в T-Mobile заявили, что мировое соглашение не содержит признания ответственности, правонарушений или ответственности со стороны кого-либо из ответчиков.

Как мы когда-то писали, в результате взлома пострадали почти 80 миллионов абонентов США. Помимо номеров социального страхования, была взломана и другая информация, включая имена и информацию из водительских прав и других документов удостоверяющих личность.

Весьма показательный прецедент, когда за свои ошибки и недобросовестное хранение критической информации следует адекватная фактическим последствиям инцидента расплата.

Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием вредоносной ПО CosmicStrand UEFI.

При этом более раннюю версию CosmicStrand в 2017 году исследовали аналитики Qihoo360, которые назвали его Spy Shadow Trojan.

В своем отчете специалисты Лаборатории Касперского проанализировали активность CosmicStrand, начиная от зараженного компонента UEFI до развертывания имплантата на уровне ядра в системе Windows при каждой загрузке.

Неясно, как руткит был внедрен в образы прошивки целевых машин, поскольку этот процесс предполагал либо физический доступ к устройству, либо использование вредоносного ПО с возможностью перезаписи UEFI.

Все указывает на существование распространенной уязвимости, которая и позволила злоумышленникам внедрить руткит в образ прошивки.

Доподлинно известно лишь, что загадочный руткит UEFI размером всего 96,84 КБ был обнаружен преимущественно в образах прошивок материнских плат Gigabyte и ASUS, имеющих общий дизайн с использованием чипсета H81, которые поставлялись в период с 2013 по 2015 год, а настоящий момент сняты с производства.

Скомпрометированные образы прошивки поставлялись с модифицированным драйвером CSMCORE DXE, который обеспечивает устаревший процесс загрузки. Драйвер был изменен таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику.

Другими словами, цель атаки состояла в том, чтобы вмешиваться в процесс загрузки ОС для развертывания имплантата уровня ядра на машине с Windows каждый раз, когда она загружается.

Затем использовать его для запуска шелл-кода, который подключается к удаленному серверу для получения фактической вредоносной полезной нагрузки.

Полезная нагрузка извлекается из «update.bokts[.]com» в виде серии пакетов, содержащих 528 байт данных, которые впоследствии собираются и интерпретируются как шелл-код.

Идентифицированные Лабораторией Касперского жертвы - это по большей части разрозненные частные лица в Китае, Иране, Вьетнаме и России, не связанные с какой-либо организацией или сферой деятельности.

Вместе с тем, ресерчеры полагают, что руткит прошивки CosmicStrand UEFI может сохраняться в системе на протяжении всего срока службы компьютера и использоваться в операциях годами.

Исследователи связали CosmicStrand с китайскоязычным субъектом на основе шаблонов кода, которые также были замечены в ботнете для криптомайнинга MyKings, в котором, в свою очередь, аналитики Sophos обнаружили артефакты на китайском языке, а также в MoonBounce.

Самый поразительный аспект заключается в том, что имплантат UEFI использовался в дикой природе с конца 2016 года — задолго до того, как атаки UEFI в принципе начали публично раскрываться.

Claroty обнаружила две критические уязвимости в системе управления мобильными устройствами FileWave (MDM).

FileWave MDM — это кроссплатформенное решение для управления мобильными устройствами, которое позволяет управлять и контролировать все устройства организации, включая мобильные телефоны, планшеты, ноутбуки, рабочие станции и смарт-телевизоры.

MDM может также использоваться для установки обязательного ПО и обновлений на устройства, изменения настроек устройств, блокировки и при необходимости удаленной очистки устройств.

Ошибки позволяют злоумышленнику обойти механизмы аутентификации и получить полный контроль над платформой MDM и всеми управляемыми ей стройствами.

Вскрытые проблемы связаны с обходом аутентификации (CVE-2022-34907) и использованием жестко запрограммированного криптографического ключа (CVE-2022-34906).

В случае успешной эксплуатации уязвимостей удаленный злоумышленник может получить несанкционированный привилегированный доступ ко всем цифровым активам в сети.

Он сможет также злоупотреблять функциями для эксфильтрации данных, хранящихся на устройствах, включая имена пользователей, адреса электронной почты, IP-адреса, геолокацию и т.п., а также а также устанавливать вредоносное программное обеспечение на управляемые устройства

Claroty нашли более 1100 уязвимых серверов FileWave в сети Интернет, в том числе принадлежащих госорганам, объектам образования и крупным предприятиям, каждый из которых включает широкую линейку управляемых устройств.

Проблемы исправлены в обновленной версии 14.7.2, выпущенной 14 июля 2022 года. Пользователям FileWave настоятельно рекомендуется установить обновление.

Пользователям простого и удобного движка PrestaShop для своего интернет-магазина стоит всерьез обеспокоится о безопасности ибо злоумышленники активно эксплуатируют 0-day, отслеживаемый как CVE-2022-36408, позволяющий выполнить произвольный код и украсть платежную информацию клиентов.

Платформа PrestaShop используется по меньшей мере в 300 000 интернет-магазинах по всему миру и доступен на 60 языках. Сами разработчики позиционируют свой продукт как ведущее решение для электронной коммерции с открытым исходным кодом в Европе и Латинской Америке.

Угроза затрагивает PrestaShop версии от 1.6.0.10 и версии от 1.7.8.2, в которых работают модули, уязвимые для SQL-инъекций (например, модуль Wishlist 2.0.0–2.1.0).

Как сообщают эксперты злоумышленники нацелены на веб-сайты, использующие устаревшее программное обеспечение или модули, на которых уже обнаружены известные недостатки и уязвимости нулевого дня.

Успешное использование уязвимости может позволить злоумышленнику отправить специально созданный запрос, который дает возможность выполнять произвольные инструкции, например внедрить поддельную платежную форму на странице оформления заказа для сбора информации о кредитной карте.

Вектор атаки примерно выглядит так:

Во-первых, злоумышленник отправляет запрос POST на конечную точку, уязвимую для внедрения SQL;

Во-вторых, примерно через одну секунду злоумышленник отправляет GET-запрос на домашнюю страницу без параметров, что приводит к созданию PHP-файла с именем blm.php в корне каталога магазина;

Далее злоумышленник отправляет запрос GET в новый созданный файл blm.php, что позволяет ему выполнять произвольные инструкции.

Исследователи предоставили индикаторы компрометации, но отметили, что отсутствие описанного паттерна в журналах не обязательно означает, что ваш магазин не пострадал от атаки. Эксплойт достаточно сложный и существует несколько способов его выполнения. Кроме того, злоумышленники могут попытаться скрыть свое присутствие.

Дабы избавить себя от проблем администраторам необходимо установить PrestaShop версии 1.7.8.7.