͏Atlassian исправила критическую уязвимость, связанную с жестко запрограммированными учетными данными в приложении Questions For Confluence (версии 2.7.34, 2.7.35 и 3.0.2) для Confluence Server и Confluence Data Center.

По данным Atlassian, приложение установлено на более чем 8000 серверах Confluence.

CVE-2022-26138 возникает, когда приложение установлено и включено в любой из двух служб, что приводит к созданию учетной записи пользователя Confluence с именем disabledsystemuser.

Учетная запись disabledsystemuser создается при установке приложения с жестко заданным паролем и добавляется в группу пользователей confluence, что по умолчанию позволяет просматривать и редактировать все неограниченные страницы в Confluence.

Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко закодированный пароль, может воспользоваться ошибкой, чтобы войти в Confluence и получить доступ к любым страницам.

В Atlassian не располагают информацией об использовании уязвимости в дикой природе, правда с оговоркой: «пока что».

Все дело в том, что жестко закодированный пароль легко получить после загрузки и просмотра уязвимых версий приложения.

Администраторам следует обратить внимание, что удаление приложения Questions for Confluence не устраняет уязвимость и вектор атаки.

Для понимания потенциальных угроз следует проверить наличие проблемной учетной записи пользователя disabledsystemuser, а также возможную несанкционированную аутентификацию, следуя этим инструкциям.

Учетную запись можно удалить, но лучше всего накатить обновления. Исправленная версия приложения прекратит создание проблемной учетной записи пользователя и удалит ее, если она есть.

🔎 Глобальный поиск. Hacker Search Engines || Поисковые системы для хакера.

🖖🏻 Приветствую тебя user_name.

• Тест на проникновение обычно требует актуального и уникального набора специальных инструментов, но один из них доступен каждому и всегда находится под рукой — это поисковики. Нужно только знать, как пользоваться и какой поисковик лучше подойдет под определенную задачу.

📌 Данный материал будет полезен всем читателям нашего канала (тем кто интересуется методами и инструментами для тестирования на проникновение, социальной инженерией, OSINT и ИБ в целом).

• В этом репозитории, ты можешь найти поисковик на любой вкус и цвет. Рекомендую сохранить ссылку в закладки: https://github.com/edoardottt/awesome-hacker-search-engines

Твой S.E. #OSINT #Пентест #Red_team #ИБ

Cisco устранила серьезные уязвимости в решении для управления ЦОД Cisco Nexus Dashboard, которое позволяет удаленным злоумышленникам выполнять команды и действия с правами root.

Первая критическая уязвимость CVE-2022-20857 позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к API, отправляя специально созданные HTTP-запросы для удаленного выполнения произвольных команд с привилегиями root в любом модуле на узле.

Вторая серьезная уязвимость в веб-интерфейсе CVE-2022-20861 позволяет удаленным злоумышленникам проводить атаку с подделкой межсайтовых запросов, убеждая аутентифицированных администраторов щелкнуть вредоносную ссылку.

Успешный эксплойт может позволить злоумышленнику выполнять действия с правами администратора на уязвимом устройстве.

Другая исправленная ошибка высокой степени серьезности CVE-2022-20858 может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, загружать образы контейнеров или загружать вредоносные образы на уязвимые устройства, открыв TCP-соединение со службой управления образами контейнеров.

Правда вредоносные образы будут запускаться после перезагрузки устройства или перезапуска модуля.

Уязвимости затрагивают Cisco Nexus Dashboard 1.1 и более поздние версии. Cisco исправила недостатки, выпустил обновление 2.2(1e) и рекомендует клиентам как можно скорее перейти на исправленную версию.

Все ошибки были обнаружены исследователями из группы Advanced Security Initiatives Group (ASIG) Cisco в ходе внутреннего аудита. В свою очередь, Cisco (PSIRT) заявила об отсутствии общедоступных эксплойтов или активного использования баг в дикой природе.

Кроме того, в рамках отдельного бюллетеня Cisco также исправила четвертую уязвимость CVE-2022-20860 в реализации SSL/TLS панели мониторинга Cisco Nexus, которая может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, перехватывать трафик в атаках MiTM.

Успешная эксплуатация позволит злоумышленникам просматривать конфиденциальную информацию, включая учетные данные администратора для затронутых контроллеров.

Крайне интересный и уникальный вредоносный фреймворк для Linux обнаружили специалисты Intezer, который из-за своей модульной архитектуры и множества функций сравнили со швейцарским армейским ножом.

Речь идет о вредоносной среде Lightning Framework, которая позволяет злоумышленникам устанавливать руткиты на целевых системах. Причем из-за обилия функций специалисты назвали его одной из самых сложных сред, разработанных для систем Linux.

Фреймворк имеет как пассивные, так и активные возможности для обратной связи с злоумышленником и полиморфную гибкую конфигурацию C2.

О новой малвари для Linux подробно рассказал исследователь Райан Робинсон в своем отчете.

Центральным элементом вредоносной экосистемы является загрузчик kbioset и основной модуль kkdmflush, первый из которых предназначен для загрузки как минимум семи различных подключаемых модулей с удаленного сервера, которые после вызываются основным модулем.

Собственно основной модуль kkdmflush устанавливает связь с C2 для получения команд, необходимых для выполнения плагинов, а также старается скрыть свое присутствие на скомпрометированной машине.

Функционал малвари позволяет снимать отпечатки системы, запускать cmd, загружать файлы на сервер C2, записывать произвольные данные в файл и даже обновлять и удалять себя с зараженного хоста.

Кроме того, создается сценарий инициализации, который выполняется при загрузке системы, что фактически позволяет автоматически запускать загрузчик.

Пока фактов использования в дикой природе доподлинно не установлено, однако специалистов напрягает тот факт, что появление Lightning Framework делает его уже пятым штаммом вредоносного ПО для Linux, обнаруженным за последние три месяца после BPFDoor, Symbiote, Syslogk и OrBit.

Ряды борцов с поставщиками коммерческого шпионского ПО пополняются.

Вслед за Microsoft, Google и Citizen Lab очередное разоблачение подкатили ресерчеры Avast, которые обнаружили, что израильский поставщик шпионского ПО Candiru использовал уязвимость 0-day в Google Chrome для шпионажа за журналистами и другими лицами на Ближнем Востоке с помощью ПО DevilsTongue.

После наезда Citizen Lab разработчик софта прекратил все операции DevilsTongue и ушел в тень, как оказалось для переоснащения своего арсенала.

На вооружение взяли CVE-2022-2294, которая представляет собой серьезное переполнение буфера динамической памяти в WebRTC и в случае успешного использования может привести к RCE на целевом устройстве.

Патч для баги, как мы сообщали ранее, был выпущен Google 4 июля, однако подробности эксплуатации 0-day тогда не раскрывались. Теперь они представлены в отчете Avast.

Candiru начала применять уязвимость в марте 2022 года, нацеливаясь на цели в Ливане, Турции, Йемене и Палестине.

Операторы шпионского ПО использовали распространенную тактику атаки на водопой, компрометируя целевые или создавая новые веб-сайты, на которые впоследствии с браузеров на основе Chromium обращались жертвы, как правило, после целевого фишинга или использования других методов.

В одном случае злоумышленники подломили веб-сайт информационного агентства в Ливане и внедрили фрагменты JavaScript, которые позволили проводить атаки XXS и перенаправляли действительные цели на сервер с эксплойтом.

После чего жертвы профилировались, а целевые устройства взламывались. Злоумышленники собирали информацию в отношении языка, часового пояса, экрана, типа устройства, плагинов браузера, памяти устройства, функциональности файлов cookie и др.

В случае с Ливаном эксплуатация 0-day позволила актору выполнить шелл-код внутри процесса рендеринга и реализовать другую уязвимостью выхода из песочницы, которую Avast не смогли воспроизвести. Вместе с тем, обнаруженный эксплойт работал только в среде Windows.

После первоначального заражения DevilsTongue использовал BYOVD, чтобы повысить привилегии и получить доступ для чтения и записи к памяти скомпрометированного устройства.

Avast установили, что BYOVD, используемый Candiru, также являлся 0-day, который невозможно исправить даже с обновлением.

Ресерчеры Avast не смогли точно идентифицировать конечную стратегическую цель обнаруженной кампании, полагая, что атаки были реализованы для наблюдения за отдельными персоналиями, данные которых также пока не разглашаются.

Но будем посмотреть: похоже, что у этой истории точно будет продолжение.

Европейский финетех сектор стал объектом особых устремлений со стороны APT EvilNum (отслеживается как TA4563) которая использует одноименное вредоносное ПО для нападения на европейские финансовые и инвестиционные организации.

Согласно выводам Proofpoint, злоумышленники фокусируются на организациях, осуществляющих операции с иностранными биржами, криптовалютой и децентрализованными финансовыми активами DeFi.

Сам же EvilNum представляет собой бэкдор позволяющий красть данные и загружать полезную нагрузку. Также он реализует несколько компонентов для уклонения от обнаружения.

Деятельность группы отслежвается с конца 2021 года и в более ранних кампаниях, основным вектором атаки, были файлы ярлыков Windows (LNK), отправляемые с "заряженным" ZIP в виде вложений электронной почты при фишинговых рассылках жертвам.

В самых последних атаках субъект угрозы начал использовать документы MS Office Word, применяя внедрение шаблонов документов для доставки вредоносной полезной нагрузки на компьютеры жертв.

Помимо Proofpoint за активностью EvilNum следят специалисты Zscaler, которые уже сообщали о тактике и методах работы в июне этого года.

Направленность группировки понятна и соответствующие опасения со стороны европейский финансовых организаций тоже, учитывая что вредоносное ПО TA4563 находится в активной разработке и хакеры постоянно корректируют свою работу в очередных попытках взлома.

🔊🏥 Хакеры заставили президента Украины оправдываться за своё самочувствие в запрещенной за экстремизм социальной сети

Неизвестные хакеры взломали сервера 📻TAVR Media (Мелодия FM, Радио Байрактар), после чего в радиоэфире стали появляться сообщения, что президент Украины неважно себя чувствует и находится в реанимации. Об этом вчера написали украинские СМИ.

«Владимир Зеленский находится в 🚑 реанимации в тяжелом состоянии. Временно обязанности президента Украины исполняет глава Верховной Рады Руслан Стефанчук», - говорилось в радиоэфире на "Радио Рокс" и "Мелодия FM".

🇺🇦Президент Украины поспешил отреагировать на эту новость в запрещенной за экстремизм социальной сети, записав короткое видео с опровержением.

Зеленский заявил, что находится в своём кабинете и чувствует себя как обычно.

👆Заочно украинские СМИ обвинили 🇷🇺"русских хакеров".

Вслед за автоматической блокировкой макросов Office в загруженных документах и принудительной MFA в Azure AD Microsoft включает дефолтную блокировку RDP-атак в Windows 11.

В последних сборках Windows 11 (Insider Preview 22528.1000 и новее) по умолчанию включена политика блокировки учетных записей, которая автоматически блокирует учетные записи пользователей (включая учетные записи администратора) после 10 неудачных попыток входа в течение 10 минут.

По мнению разработчиков, новшество должно ослабить вектор брута паролей с использованием автоматизированных инструментов, который является популярной тактикой среди злоумышленников для взлома систем Windows через RDP. На него приходится 70-80% всех сетевых нарушений.

Число атак, нацеленных на RDP-сервисы, резко возросло, по крайней мере, с середины-конца 2016 года, коррелируя развитию гаркнет-площадок, на которых, как правило, и реализуется RDP-доступ к скомпрометированным сетям. Одним из примеров является UAS, крупнейший подпольный киберрынок украденных учетных данных RDP, через который однажды было распродано 1,3 млн. доступов.

Политика блокировки учетной записи также доступна в системах Windows 10, но не по умолчанию. Администраторы могут настроить эту политику в Windows 10 в консоли управления групповыми политиками.

Atlassian предупреждает об утечке жестко запрограммированного пароля для входа на серверы Confluence Server и Data Center.

На прошлой неделе мы сообщали о критической уязвимости (отслеживаемой как CVE-2022-26138) в приложении Questions for Confluence, при установке которого создается учетная запись disabledsystemuser с жестко заданным паролем.

Ошибка позволяет удаленным злоумышленникам использовать жестко запрограммированные учетные данные для входа на уязвимые серверы Confluence Server и Data Center, получая доступ к страницам группы пользователей confluence.

Как и ожидалось, пароль утек и его уже опубликовали, а значит - все непропатченные системы можно считать скомпрометированными.

SonicWall PSIRT предупреждает о критической ошибке CVE-2022-22280, которая допускает SQL-инъекцию из-за неправильной нейтрализации специальных элементов, используемых в SQL-команде.

Уязвимость затрагивает продукты GMS (Global Management System) и Analytics On-Prem. Она имеет рейтинг серьезности 9,4, ее можно использовать из сети, не требуя аутентификации или взаимодействия с пользователем, а также имеет низкую сложность атаки.

Используя эту уязвимость, злоумышленники могут получить доступ к данным, к которым у них обычно не должно быть доступа, обойти аутентификацию или потенциально удалить данные из базы данных.

Учитывая широкое распространение SonicWall GMS и Analytics, которые используются для централизованного управления, быстрого развертывания, составления отчетов в реальном времени и анализа данных, поверхность атаки значительна и затрагивает в том числе критически важные организации.

SonicWall пока неизвестно о какой-либо активной эксплуатации в дикой природе или о существовании PoC для этой уязвимости.

Для устранения уязвимости рекомендуется выполнить обновление до GMS 9.3.1-SP2-Hotfix-2 и Analytics 2.5.0.3-Hotfix-1 или более поздних версий. Обходной путь для этой уязвимости недоступен.

SonicWall PSIRT настоятельно рекомендует организациям немедленно перейти на соответствующую исправленную версию.

Кроме того, использовать брандмауэр WAF, возможности которого также позволяют блокировать атаки внедрения SQL-кода даже в развертываниях без исправлений.

͏Разработчики Drupal выпустили обновления безопасности, которые необходимо немедленно установить, так как исправления касаются множества проблем в ядре CMS, в том числе критический недостаток, связанный с выполнением кода.

Исправлены множественные уязвимости, связанные с неправильной проверкой настроек домена iframe, что при определенных обстоятельствах может привести к межсайтовому скриптингу, утечке файлов cookie или другим ошибкам (SA-CORE-2022-015), включая критическую RCE в PHP (SA-CORE-2022-014), ошибку обхода доступа и уязвимость раскрытия информации (SA-CORE-2022-013 и SA-CORE-2022-012 соответственно).

Самая серьезная из перечисленных уязвимостей - это как раз таки CVE-2022-25277. Ошибка затрагивает ядро Drupal и может привести к RCE в PHP на веб-серверах Apache путем загрузки специально созданных файлов.

Разработчики Drupal указали, что затронуты только веб-серверы Apache и только с определенными конфигурациями. Все проблемы касаются версий 9.4 и 9.3, но уязвимость раскрытия информации также затрагивает версию 7.

Патчи для этих уязвимостей включены в Drupal 9.4.3, 9.3.19, Drupal 7.91.

Хотя и веб-сайты Drupal не так уязвимы, как WordPress, несколько уязвимостей, обнаруженных в CMS за последние годы, были все же реализованы злоумышленниками, в том числе для спам-кампаний, взлома веб-сайтов и доставки вредоносного ПО.

Гигант в области цифровой безопасности Entrust подтвердил кибератаку и сокрушительные последствия, прежде всего, для своих клиентов, чьи данные были в результате киберинцидента украдены.

Entrust специализируется на управлении идентификацией и аутентификацией, предлагая широкий спектр услуг, включая зашифрованную связь, безопасные цифровые платежи и решения для выдачи удостоверений личности.

Среди клиентов правительственные учреждения США, такие как Министерство энергетики, Министерство внутренней безопасности, Министерство финансов, Министерство здравоохранения и социальных служб, Министерство по делам ветеранов, Министерство сельского хозяйства и многие другие.

В зависимости от того, какие данные были украдены, атака может затронуть достаточно внушительное число весьма статусных организаций. 

Как стало известно, Entrust был взломан 18 июня, а совсем недавно компания подтвердила событие официально, уведомив своих клиентов.

Расследование инцидента все еще продолжается и, по заявлению компании, проблема не повлияла на работу или безопасность продуктов и услуг.

При этом кражу конфиденциальных данных из внутренних систем Entrust не отрицает, равно и не сообщает были ли это чисто корпоративные данные или информация клиентов и поставщиков.

Несмотря на то, что Entrust не разглашает дополнительных подробностей об атаке, журналистам BleepingComputer все же удалось узнать, что за атакой стоит известная банда вымогателей.

В качестве начального вектора были использованы скомпрометированные учетные данные Entrust для взлома внутренней сети, которые были приобретены через доверенную сеть продавцов сетевого доступа. Впоследствии инфраструктура Entrust подверглась шифрованию и эксфильтрации.

Вероятно, сейчас проходит переговорный процесс. Причем, как известно, даже в случае выплаты выкупа, нет никаких гарантий, что украденная информация на клиентов не будет перепродана.

Будем посмотреть.

Крупнейшего оператора мобильной связи T-Mobile так и нагнули, заставив выплатить клиентам компенсацию.

T-Mobile согласилась выплатить 350 миллионов долларов, после коллективного иска от потерпевших в августе прошлого года, когда компания сообщила, что личные данные, такие как номера социального страхования, были украдены в результате кибератаки.

В заявлении, поданном в Комиссию по ценным бумагам США, мобильный оператор заявил, что средства пойдут на оплату претензий участников процесса, юридические услуги адвокатов истцов и расходы на административное урегулирование.

Также в компании сказали, что потратят еще 150 миллионов долларов на укрепление безопасности своих данных и других технологий.

При всем при этом в T-Mobile заявили, что мировое соглашение не содержит признания ответственности, правонарушений или ответственности со стороны кого-либо из ответчиков.

Как мы когда-то писали, в результате взлома пострадали почти 80 миллионов абонентов США. Помимо номеров социального страхования, была взломана и другая информация, включая имена и информацию из водительских прав и других документов удостоверяющих личность.

Весьма показательный прецедент, когда за свои ошибки и недобросовестное хранение критической информации следует адекватная фактическим последствиям инцидента расплата.

Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием вредоносной ПО CosmicStrand UEFI.

При этом более раннюю версию CosmicStrand в 2017 году исследовали аналитики Qihoo360, которые назвали его Spy Shadow Trojan.

В своем отчете специалисты Лаборатории Касперского проанализировали активность CosmicStrand, начиная от зараженного компонента UEFI до развертывания имплантата на уровне ядра в системе Windows при каждой загрузке.

Неясно, как руткит был внедрен в образы прошивки целевых машин, поскольку этот процесс предполагал либо физический доступ к устройству, либо использование вредоносного ПО с возможностью перезаписи UEFI.

Все указывает на существование распространенной уязвимости, которая и позволила злоумышленникам внедрить руткит в образ прошивки.

Доподлинно известно лишь, что загадочный руткит UEFI размером всего 96,84 КБ был обнаружен преимущественно в образах прошивок материнских плат Gigabyte и ASUS, имеющих общий дизайн с использованием чипсета H81, которые поставлялись в период с 2013 по 2015 год, а настоящий момент сняты с производства.

Скомпрометированные образы прошивки поставлялись с модифицированным драйвером CSMCORE DXE, который обеспечивает устаревший процесс загрузки. Драйвер был изменен таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику.

Другими словами, цель атаки состояла в том, чтобы вмешиваться в процесс загрузки ОС для развертывания имплантата уровня ядра на машине с Windows каждый раз, когда она загружается.

Затем использовать его для запуска шелл-кода, который подключается к удаленному серверу для получения фактической вредоносной полезной нагрузки.

Полезная нагрузка извлекается из «update.bokts[.]com» в виде серии пакетов, содержащих 528 байт данных, которые впоследствии собираются и интерпретируются как шелл-код.

Идентифицированные Лабораторией Касперского жертвы - это по большей части разрозненные частные лица в Китае, Иране, Вьетнаме и России, не связанные с какой-либо организацией или сферой деятельности.

Вместе с тем, ресерчеры полагают, что руткит прошивки CosmicStrand UEFI может сохраняться в системе на протяжении всего срока службы компьютера и использоваться в операциях годами.

Исследователи связали CosmicStrand с китайскоязычным субъектом на основе шаблонов кода, которые также были замечены в ботнете для криптомайнинга MyKings, в котором, в свою очередь, аналитики Sophos обнаружили артефакты на китайском языке, а также в MoonBounce.

Самый поразительный аспект заключается в том, что имплантат UEFI использовался в дикой природе с конца 2016 года — задолго до того, как атаки UEFI в принципе начали публично раскрываться.

Claroty обнаружила две критические уязвимости в системе управления мобильными устройствами FileWave (MDM).

FileWave MDM — это кроссплатформенное решение для управления мобильными устройствами, которое позволяет управлять и контролировать все устройства организации, включая мобильные телефоны, планшеты, ноутбуки, рабочие станции и смарт-телевизоры.

MDM может также использоваться для установки обязательного ПО и обновлений на устройства, изменения настроек устройств, блокировки и при необходимости удаленной очистки устройств.

Ошибки позволяют злоумышленнику обойти механизмы аутентификации и получить полный контроль над платформой MDM и всеми управляемыми ей стройствами.

Вскрытые проблемы связаны с обходом аутентификации (CVE-2022-34907) и использованием жестко запрограммированного криптографического ключа (CVE-2022-34906).

В случае успешной эксплуатации уязвимостей удаленный злоумышленник может получить несанкционированный привилегированный доступ ко всем цифровым активам в сети.

Он сможет также злоупотреблять функциями для эксфильтрации данных, хранящихся на устройствах, включая имена пользователей, адреса электронной почты, IP-адреса, геолокацию и т.п., а также а также устанавливать вредоносное программное обеспечение на управляемые устройства

Claroty нашли более 1100 уязвимых серверов FileWave в сети Интернет, в том числе принадлежащих госорганам, объектам образования и крупным предприятиям, каждый из которых включает широкую линейку управляемых устройств.

Проблемы исправлены в обновленной версии 14.7.2, выпущенной 14 июля 2022 года. Пользователям FileWave настоятельно рекомендуется установить обновление.

Пользователям простого и удобного движка PrestaShop для своего интернет-магазина стоит всерьез обеспокоится о безопасности ибо злоумышленники активно эксплуатируют 0-day, отслеживаемый как CVE-2022-36408, позволяющий выполнить произвольный код и украсть платежную информацию клиентов.

Платформа PrestaShop используется по меньшей мере в 300 000 интернет-магазинах по всему миру и доступен на 60 языках. Сами разработчики позиционируют свой продукт как ведущее решение для электронной коммерции с открытым исходным кодом в Европе и Латинской Америке.

Угроза затрагивает PrestaShop версии от 1.6.0.10 и версии от 1.7.8.2, в которых работают модули, уязвимые для SQL-инъекций (например, модуль Wishlist 2.0.0–2.1.0).

Как сообщают эксперты злоумышленники нацелены на веб-сайты, использующие устаревшее программное обеспечение или модули, на которых уже обнаружены известные недостатки и уязвимости нулевого дня.

Успешное использование уязвимости может позволить злоумышленнику отправить специально созданный запрос, который дает возможность выполнять произвольные инструкции, например внедрить поддельную платежную форму на странице оформления заказа для сбора информации о кредитной карте.

Вектор атаки примерно выглядит так:

Во-первых, злоумышленник отправляет запрос POST на конечную точку, уязвимую для внедрения SQL;

Во-вторых, примерно через одну секунду злоумышленник отправляет GET-запрос на домашнюю страницу без параметров, что приводит к созданию PHP-файла с именем blm.php в корне каталога магазина;

Далее злоумышленник отправляет запрос GET в новый созданный файл blm.php, что позволяет ему выполнять произвольные инструкции.

Исследователи предоставили индикаторы компрометации, но отметили, что отсутствие описанного паттерна в журналах не обязательно означает, что ваш магазин не пострадал от атаки. Эксплойт достаточно сложный и существует несколько способов его выполнения. Кроме того, злоумышленники могут попытаться скрыть свое присутствие.

Дабы избавить себя от проблем администраторам необходимо установить PrestaShop версии 1.7.8.7.

😈 Атаки на Active Directory: от 0 до 0,9.

Для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.

🖖🏻 Приветствую тебя user_name.

• Помните пост про "Active Directory in Red Teaming"? Было зафиксировано более 360+ обращений в бота и пару сотен (примерно) регистраций на форуме XSS. Отсюда я смог сделать вывод, что тема достаточно интересная и многие нуждаются в полезном и интересном материале для дальнейшего изучения.

• В дополнение к предыдущему посту, делюсь с тобой ссылкой на очень крутой материал по #AD: https://zer1t0.gitlab.io/posts/attacking_ad. Очень много полезной информации, начиная с самых основ, заканчивая методами и инструментами для атакующих.

📌 В дополнение:

Серия статей, которые освещают тему взлома Active Directory на русском языке:

• Атаки на Active Directory: часть 1;
• Атаки на Active Directory: часть 2;
• Атаки на Active Directory: часть 3;
• Атаки на Active Directory: часть 4;
• Атаки на Active Directory: часть 5;
• Атаки на Active Directory: часть 6;
• Атаки на Active Directory: часть 7.

Твой S.E. #AD

͏LockBit тем временем атаковали и пошифровали сеть итальянской налоговой службы (L'Agenzia delle Entrate).

Прихватив при этом более 100 ГБ конфиденциальных данных (включая документы компании, сканы, финансовые отчеты и контракты), которые будут опубликованы, если налоговое агентство не исполнит требование о выкупе к 1 августа.

Итальянские налоговики не признали нарушения, заявив о «предполагаемой краже данных» и запросив необходимые пояснения из Sogei (Società Generale d'Informatica) SpA, публичной компании Министерства экономики и финансов, в чьем ведении находится взломанная технологическая инфраструктура.

Sogei SpA также управляет ИТ-инфраструктурой, используемой другими итальянскими ведомствами, в том числе министерствами юстиции, внутренних дел и образования, генеральным прокурором и министерством финансов.

Более того, после проведенных технических расследований Sogei исключило возможность кибератаки на веб-сайт агентства. Компания поделилась официальным заявлением, в котором говорится, что она не нашла доказательств кибератаки, затронувшей итальянское налоговое агентство.

Вместе с тем, зачем-то Sogey SpA добавила, что в настоящее время реализует совместное расследование, которое координируется Национальным агентством кибербезопасности Италии и полицией.

Скиньте уже Sogei адрес DLS LockBit, может все же кибератака обнаружится. Как бы то ни было, 1 августа мы все увидим, правда если выкуп уже не был переведен.

Резонансная кампания против поставщиков коммерческого шпионского ПО продолжается.

На этот раз в результате аудита, инициированного Европарламентом, выявлена атака на телефон греческого депутата Никоса Андрулакиса с использованием ПО Predator от разработчика из Северной Македонии Cytrox.

Согласно опубликованным сообщениям из Греции, Андрулакис, глава греческой социалистической партии, получил на свой мобильный телефон текстовое сообщение с вредоносным URL-адресом, посредством которого запускается в один клик сложный эксплойт под устройства Apple.

Операция по разоблачению Cytrox и PSOA была проведена Citizen Lab совместно группой разведки угроз Meta и стала продолжением прошлогоднего расследования, в котором было исследовано вредоносное ПО Predator для слежки за устройствами iPhone.

Как тогда выяснили ресерчеры, вредоносная программа могла заразить последнюю на тот момент версию iOS (14.6) с помощью ссылок, отправленных в один клик через WhatsApp. Жертвами атак стали два известных политика из Египта.

В отдельном бюллетене, выпущенном командой безопасности Meta, Cytrox упоминается наряду с Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями в списке частных компаний, занимающихся кибернаблюдением.

Таким образом ближайшее время помимо израильской NSO Group в эпицентре глобального шпионского скандала, с вытекающими из него крупными корпоративными исками и суровыми санкциями со стороны США, окажутся и их коллеги по цеху.

Собственно, ничего нового - все о чем, мы уже говорили.

͏После отбывания «каникул» REvil вернулись к работе, добавив новую жертву на свой DLS.

Новая история до боли известной группы вымогателей начинается с OptiproERP, компании по разработке ПО для управления ресурсами предприятий из Калифорнии.

Будем внимательно посмотреть, новым претендентам на выкуп приготовиться.

У системных администраторов остается еще меньше времени на исправление обнаруженных уязвимостей безопасности, чем считалось ранее.

Новый отчет за 2022 год Palo Alto Unit 42 показывает, что злоумышленники сканируют уязвимые хосты в течение 15 минут после того, как новый CVE становится общедоступным.

Palo Alto Unit 42 заметили, что хакеры постоянно отслеживают объявления поставщиков ПО на предмет новых уязвимостей, которые можно использовать для начального доступа к корпоративной сети или для RCE.

Однако скорость, с которой злоумышленники начинают поиск уязвимостей и предпринимать попытки эксплуатации значительно выросла.

Поскольку сканирование не требует особых усилий низкоквалифицированные злоумышленники ведут моментальный поиск уязвимых конечных точек и перепродают в течение нескольких часов результаты своей работы в даркнете более опытным хакерам, способным их эксплуатировать.

Так, критическая RCE-уязвимость CVE-2022-1388 в F5 BIG-IP была раскрыта 4 мая 2022 года, и, по данным Unit 42, спустя десять часов с момента объявления, было зафиксировано 2552 попытки сканирования и эксплуатации.

Согласно аналитике Palo Alto, среди наиболее эксплуатируемых уязвимостей для доступа к сети в первом полугодии 2022 года ресерчеры выделили цепочку эксплойтов ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), на которую приходится до 55% от общего числа зарегистрированных инцидентов. 

На втором месте закрепился Log4Shell с 14%, далее различные CVE SonicWall — 7%, ProxyLogon — 5%, а RCE в Zoho ManageEngine ADSelfService Plus был использован в 3% случаев.

Как видно из этой статистики, львиная доля в объеме эксплуатации приходится не самые свежие, а уже достаточно известные CVE, что связанная с размером поверхности атаки, сложности эксплуатации и практической реализации.

Наиболее привилегированные и защищенные жертвы атакуются чаще с использованием 0-day или свежеобъявляемых уязвимостей.

По данным Unit 42, использование уязвимостей ПО для первоначальной компрометации сети составляет примерно одну треть статистики всех нарушений.

В 37% случаев фишинг был предпочтительным способом получения начального доступа. В 15% случаев хакеры проникали в сети с помощью перебора или использования скомпрометированных учетных данных.

Социальная инженерия или подкуп инсайдера для получения доступа к сети соответствует 10% инцидентов.

Выводы делайте сами: статистика весьма показательна.