Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием вредоносной ПО CosmicStrand UEFI.

При этом более раннюю версию CosmicStrand в 2017 году исследовали аналитики Qihoo360, которые назвали его Spy Shadow Trojan.

В своем отчете специалисты Лаборатории Касперского проанализировали активность CosmicStrand, начиная от зараженного компонента UEFI до развертывания имплантата на уровне ядра в системе Windows при каждой загрузке.

Неясно, как руткит был внедрен в образы прошивки целевых машин, поскольку этот процесс предполагал либо физический доступ к устройству, либо использование вредоносного ПО с возможностью перезаписи UEFI.

Все указывает на существование распространенной уязвимости, которая и позволила злоумышленникам внедрить руткит в образ прошивки.

Доподлинно известно лишь, что загадочный руткит UEFI размером всего 96,84 КБ был обнаружен преимущественно в образах прошивок материнских плат Gigabyte и ASUS, имеющих общий дизайн с использованием чипсета H81, которые поставлялись в период с 2013 по 2015 год, а настоящий момент сняты с производства.

Скомпрометированные образы прошивки поставлялись с модифицированным драйвером CSMCORE DXE, который обеспечивает устаревший процесс загрузки. Драйвер был изменен таким образом, чтобы перехватывать последовательность загрузки и внедрять в нее вредоносную логику.

Другими словами, цель атаки состояла в том, чтобы вмешиваться в процесс загрузки ОС для развертывания имплантата уровня ядра на машине с Windows каждый раз, когда она загружается.

Затем использовать его для запуска шелл-кода, который подключается к удаленному серверу для получения фактической вредоносной полезной нагрузки.

Полезная нагрузка извлекается из «update.bokts[.]com» в виде серии пакетов, содержащих 528 байт данных, которые впоследствии собираются и интерпретируются как шелл-код.

Идентифицированные Лабораторией Касперского жертвы - это по большей части разрозненные частные лица в Китае, Иране, Вьетнаме и России, не связанные с какой-либо организацией или сферой деятельности.

Вместе с тем, ресерчеры полагают, что руткит прошивки CosmicStrand UEFI может сохраняться в системе на протяжении всего срока службы компьютера и использоваться в операциях годами.

Исследователи связали CosmicStrand с китайскоязычным субъектом на основе шаблонов кода, которые также были замечены в ботнете для криптомайнинга MyKings, в котором, в свою очередь, аналитики Sophos обнаружили артефакты на китайском языке, а также в MoonBounce.

Самый поразительный аспект заключается в том, что имплантат UEFI использовался в дикой природе с конца 2016 года — задолго до того, как атаки UEFI в принципе начали публично раскрываться.

Claroty обнаружила две критические уязвимости в системе управления мобильными устройствами FileWave (MDM).

FileWave MDM — это кроссплатформенное решение для управления мобильными устройствами, которое позволяет управлять и контролировать все устройства организации, включая мобильные телефоны, планшеты, ноутбуки, рабочие станции и смарт-телевизоры.

MDM может также использоваться для установки обязательного ПО и обновлений на устройства, изменения настроек устройств, блокировки и при необходимости удаленной очистки устройств.

Ошибки позволяют злоумышленнику обойти механизмы аутентификации и получить полный контроль над платформой MDM и всеми управляемыми ей стройствами.

Вскрытые проблемы связаны с обходом аутентификации (CVE-2022-34907) и использованием жестко запрограммированного криптографического ключа (CVE-2022-34906).

В случае успешной эксплуатации уязвимостей удаленный злоумышленник может получить несанкционированный привилегированный доступ ко всем цифровым активам в сети.

Он сможет также злоупотреблять функциями для эксфильтрации данных, хранящихся на устройствах, включая имена пользователей, адреса электронной почты, IP-адреса, геолокацию и т.п., а также а также устанавливать вредоносное программное обеспечение на управляемые устройства

Claroty нашли более 1100 уязвимых серверов FileWave в сети Интернет, в том числе принадлежащих госорганам, объектам образования и крупным предприятиям, каждый из которых включает широкую линейку управляемых устройств.

Проблемы исправлены в обновленной версии 14.7.2, выпущенной 14 июля 2022 года. Пользователям FileWave настоятельно рекомендуется установить обновление.

Пользователям простого и удобного движка PrestaShop для своего интернет-магазина стоит всерьез обеспокоится о безопасности ибо злоумышленники активно эксплуатируют 0-day, отслеживаемый как CVE-2022-36408, позволяющий выполнить произвольный код и украсть платежную информацию клиентов.

Платформа PrestaShop используется по меньшей мере в 300 000 интернет-магазинах по всему миру и доступен на 60 языках. Сами разработчики позиционируют свой продукт как ведущее решение для электронной коммерции с открытым исходным кодом в Европе и Латинской Америке.

Угроза затрагивает PrestaShop версии от 1.6.0.10 и версии от 1.7.8.2, в которых работают модули, уязвимые для SQL-инъекций (например, модуль Wishlist 2.0.0–2.1.0).

Как сообщают эксперты злоумышленники нацелены на веб-сайты, использующие устаревшее программное обеспечение или модули, на которых уже обнаружены известные недостатки и уязвимости нулевого дня.

Успешное использование уязвимости может позволить злоумышленнику отправить специально созданный запрос, который дает возможность выполнять произвольные инструкции, например внедрить поддельную платежную форму на странице оформления заказа для сбора информации о кредитной карте.

Вектор атаки примерно выглядит так:

Во-первых, злоумышленник отправляет запрос POST на конечную точку, уязвимую для внедрения SQL;

Во-вторых, примерно через одну секунду злоумышленник отправляет GET-запрос на домашнюю страницу без параметров, что приводит к созданию PHP-файла с именем blm.php в корне каталога магазина;

Далее злоумышленник отправляет запрос GET в новый созданный файл blm.php, что позволяет ему выполнять произвольные инструкции.

Исследователи предоставили индикаторы компрометации, но отметили, что отсутствие описанного паттерна в журналах не обязательно означает, что ваш магазин не пострадал от атаки. Эксплойт достаточно сложный и существует несколько способов его выполнения. Кроме того, злоумышленники могут попытаться скрыть свое присутствие.

Дабы избавить себя от проблем администраторам необходимо установить PrestaShop версии 1.7.8.7.

😈 Атаки на Active Directory: от 0 до 0,9.

Для того чтобы правильно строить свою инфраструктуру, понимать как взломать ту или иную систему, ты должен знать как всё устроено и как эта система работает.

🖖🏻 Приветствую тебя user_name.

• Помните пост про "Active Directory in Red Teaming"? Было зафиксировано более 360+ обращений в бота и пару сотен (примерно) регистраций на форуме XSS. Отсюда я смог сделать вывод, что тема достаточно интересная и многие нуждаются в полезном и интересном материале для дальнейшего изучения.

• В дополнение к предыдущему посту, делюсь с тобой ссылкой на очень крутой материал по #AD: https://zer1t0.gitlab.io/posts/attacking_ad. Очень много полезной информации, начиная с самых основ, заканчивая методами и инструментами для атакующих.

📌 В дополнение:

Серия статей, которые освещают тему взлома Active Directory на русском языке:

• Атаки на Active Directory: часть 1;
• Атаки на Active Directory: часть 2;
• Атаки на Active Directory: часть 3;
• Атаки на Active Directory: часть 4;
• Атаки на Active Directory: часть 5;
• Атаки на Active Directory: часть 6;
• Атаки на Active Directory: часть 7.

Твой S.E. #AD

͏LockBit тем временем атаковали и пошифровали сеть итальянской налоговой службы (L'Agenzia delle Entrate).

Прихватив при этом более 100 ГБ конфиденциальных данных (включая документы компании, сканы, финансовые отчеты и контракты), которые будут опубликованы, если налоговое агентство не исполнит требование о выкупе к 1 августа.

Итальянские налоговики не признали нарушения, заявив о «предполагаемой краже данных» и запросив необходимые пояснения из Sogei (Società Generale d'Informatica) SpA, публичной компании Министерства экономики и финансов, в чьем ведении находится взломанная технологическая инфраструктура.

Sogei SpA также управляет ИТ-инфраструктурой, используемой другими итальянскими ведомствами, в том числе министерствами юстиции, внутренних дел и образования, генеральным прокурором и министерством финансов.

Более того, после проведенных технических расследований Sogei исключило возможность кибератаки на веб-сайт агентства. Компания поделилась официальным заявлением, в котором говорится, что она не нашла доказательств кибератаки, затронувшей итальянское налоговое агентство.

Вместе с тем, зачем-то Sogey SpA добавила, что в настоящее время реализует совместное расследование, которое координируется Национальным агентством кибербезопасности Италии и полицией.

Скиньте уже Sogei адрес DLS LockBit, может все же кибератака обнаружится. Как бы то ни было, 1 августа мы все увидим, правда если выкуп уже не был переведен.

Резонансная кампания против поставщиков коммерческого шпионского ПО продолжается.

На этот раз в результате аудита, инициированного Европарламентом, выявлена атака на телефон греческого депутата Никоса Андрулакиса с использованием ПО Predator от разработчика из Северной Македонии Cytrox.

Согласно опубликованным сообщениям из Греции, Андрулакис, глава греческой социалистической партии, получил на свой мобильный телефон текстовое сообщение с вредоносным URL-адресом, посредством которого запускается в один клик сложный эксплойт под устройства Apple.

Операция по разоблачению Cytrox и PSOA была проведена Citizen Lab совместно группой разведки угроз Meta и стала продолжением прошлогоднего расследования, в котором было исследовано вредоносное ПО Predator для слежки за устройствами iPhone.

Как тогда выяснили ресерчеры, вредоносная программа могла заразить последнюю на тот момент версию iOS (14.6) с помощью ссылок, отправленных в один клик через WhatsApp. Жертвами атак стали два известных политика из Египта.

В отдельном бюллетене, выпущенном командой безопасности Meta, Cytrox упоминается наряду с Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями в списке частных компаний, занимающихся кибернаблюдением.

Таким образом ближайшее время помимо израильской NSO Group в эпицентре глобального шпионского скандала, с вытекающими из него крупными корпоративными исками и суровыми санкциями со стороны США, окажутся и их коллеги по цеху.

Собственно, ничего нового - все о чем, мы уже говорили.

͏После отбывания «каникул» REvil вернулись к работе, добавив новую жертву на свой DLS.

Новая история до боли известной группы вымогателей начинается с OptiproERP, компании по разработке ПО для управления ресурсами предприятий из Калифорнии.

Будем внимательно посмотреть, новым претендентам на выкуп приготовиться.

У системных администраторов остается еще меньше времени на исправление обнаруженных уязвимостей безопасности, чем считалось ранее.

Новый отчет за 2022 год Palo Alto Unit 42 показывает, что злоумышленники сканируют уязвимые хосты в течение 15 минут после того, как новый CVE становится общедоступным.

Palo Alto Unit 42 заметили, что хакеры постоянно отслеживают объявления поставщиков ПО на предмет новых уязвимостей, которые можно использовать для начального доступа к корпоративной сети или для RCE.

Однако скорость, с которой злоумышленники начинают поиск уязвимостей и предпринимать попытки эксплуатации значительно выросла.

Поскольку сканирование не требует особых усилий низкоквалифицированные злоумышленники ведут моментальный поиск уязвимых конечных точек и перепродают в течение нескольких часов результаты своей работы в даркнете более опытным хакерам, способным их эксплуатировать.

Так, критическая RCE-уязвимость CVE-2022-1388 в F5 BIG-IP была раскрыта 4 мая 2022 года, и, по данным Unit 42, спустя десять часов с момента объявления, было зафиксировано 2552 попытки сканирования и эксплуатации.

Согласно аналитике Palo Alto, среди наиболее эксплуатируемых уязвимостей для доступа к сети в первом полугодии 2022 года ресерчеры выделили цепочку эксплойтов ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), на которую приходится до 55% от общего числа зарегистрированных инцидентов. 

На втором месте закрепился Log4Shell с 14%, далее различные CVE SonicWall — 7%, ProxyLogon — 5%, а RCE в Zoho ManageEngine ADSelfService Plus был использован в 3% случаев.

Как видно из этой статистики, львиная доля в объеме эксплуатации приходится не самые свежие, а уже достаточно известные CVE, что связанная с размером поверхности атаки, сложности эксплуатации и практической реализации.

Наиболее привилегированные и защищенные жертвы атакуются чаще с использованием 0-day или свежеобъявляемых уязвимостей.

По данным Unit 42, использование уязвимостей ПО для первоначальной компрометации сети составляет примерно одну треть статистики всех нарушений.

В 37% случаев фишинг был предпочтительным способом получения начального доступа. В 15% случаев хакеры проникали в сети с помощью перебора или использования скомпрометированных учетных данных.

Социальная инженерия или подкуп инсайдера для получения доступа к сети соответствует 10% инцидентов.

Выводы делайте сами: статистика весьма показательна.

Теперь обычный калькулятор для пользователей Windows 7 может быть угрозой. Авторы вредоносного ПО QBot стали настолько изощрены, что решили использовать калькулятор Windows для загрузки полезной нагрузки на уязвимые устройства.

Калькулятор используется для известного приема с подменой DLL - это когда атака основывается на замене легитимного DLL-файла вредоносной библиотекой и по заявлению экспертов махинации с Calculator осуществляются как минимум с 11 июля.

Вектор атаки QBot или еще его называют Qakbot выглядит следующим образом. Осуществляется рассылка электронных писем с малварью содержащую вложение HTML, которое загружает ZIP-архив с файлом ISO.

Файл ISO содержит две DLL: полезную нагрузку с именем 7533.dll и WindowsCodecs.dll, а также приложение калькулятора Windows с именем calc.exe.

Если пользователь установит этот ISO-файл, то он увидит файл LNK, а именно ярлык на PDF-файл, который открывается в браузере Edge. После открытия файла пользователь будет перенаправлен в приложение калькулятора Windows и нажатие на приложение приведет к заражению устройства.

Злоумышленники выбрали Windows 7 неспроста, так как уязвимость по подмене DDL не используется в Windows 10 Calc.exe и более поздних версиях операционной системы.

Как сообщают Cyble разработчики Qakbot очень активны и постоянно адаптируют свою тактику. Сама же вредоносная программа крадет учетные данные и иные конфиденциальные сведения с устройств жертвы в интересах дальнейшей финансовой монетизации.

Собственно по рекомендациям все просто. Пользователям стоит избегать загрузок и открытия файлов от подозрительных и неизвестных отправителей и перейти на более новые версии ОС.

В ближайшее время вымогатели, вероятно, могут реализовать вторую Kaseya в ходе атаки на цепочку поставок.

Тревожные новости поступают от NetStandard. Американский поставщик управляемых услуг подвергся кибератаке и был вынужден отключить свою облачную инфраструктуру после киберинцидента, включая службы MyAppsAnywhere, Dynamics GP, Exchange, Sharepoint и CRM.

26 июля в 11:30 компания обнаружила признаки взлома в среде MyAppsAnywhere и оперативно закрыла облачные сервисы для изоляции угрозы. С тех пор команда инженеров занимается активным устранением последствий инцидента.

И хотя компания заявляет, что затронуты только службы MyAppsAnywhere, атака, по-видимому, имела более широкий горизонт, ведь даже основной сайт компании был недоступен.

NetStandard не сообщает никаких подробностей относительно инцидента. Но все признаки указывают на ransomware.

Примечательно, что буквально вчера генеральный директор Huntress Lab Кайл Ханслован вчера опубликовал скрин экрана, на котором злоумышленник с хакерского форума Exploit ищет партнеров для проведения атаки на поставщика управляемых услуг.

Хакер утверждая, что имеет доступ к панели MSP, управляющей более чем 50 компаниями, 100 серверами VMware ESXi и более чем 1000 серверами, который он хотел бы монетизировать совместно с привлекаемыми партнерами. Гарантируя достаточно высокий профит.

Правда неясно, связано ли это предложение с атакой на NetStandard, однако в любом случае намечается нехилая киберкампания. А может и не одна.

Будем посмотреть.

Microsoft атрибутировали Knotweed австрийскому поставщику шпионского программного обеспечения DSIRF, который нацелен на европейские и центральноамериканские организации с помощью набора вредоносных ПО Subzero.

DSIRF позиционирует себя как компанию, которая предоставляет корпорациям услуги в сфере ИБ, включая пенист, исследования, криминалистику и OSINT.

Тем не менее, ресечреры убеждены в том, что компания стоит за разработкой вредоносного ПО Subzero, которое его клиенты могут использовать для взлома телефонов, компьютеров, сетевых устройств и девайсов, подключенных к Интернету.

Анализируя DNS при расследовании атак Knotweed, компания RiskIQ также обнаружила, что инфраструктура, активно обслуживающая вредоносное ПО с февраля 2020 года, связана с DSIRF, включая его официальный веб-сайт и домены, которые, вероятно, использовались для отладки и подготовки вредоносного ПО Subzero.

MMSTIC также обнаружил множественные связи между DSIRF и вредоносными инструментами, используемыми в атаках Knotweed.

К ним относятся инфраструктура С2, связанная с DSIRF учетная запись GitHub, использовавшаяся в одной из атак, сертификат подписи кода, выданный DSIRF, который также использовался для подписи эксплойта и другие.

Некоторые атаки Knotweed были направлены на юридические фирмы, банки и стратегические консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму. При этом жертвы Subzero услуги в DSIRF естественно не заказывали.

На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти для ухода от обнаружения, и Jumplump, загрузчик вредоносных программ, который и подгружал Corelump.

При этом Subzero имеет множество возможностей, включая фиксацию нажатий клавиатуры, захват снимков экрана, эксфильтрацию данных и запуск удаленных оболочек и произвольных плагинов, загруженных с С2.

В кампаниях Knotweed, ресерчеры Microsoft выделили эксплуатацию ряда 0-day.

В частности, CVE-2022-22047 помогала злоумышленникам повышать привилегии, выйти из песочниц и получить выполнение кода на системном уровне. В прошлом году Knotweed также использовал цепочку эксплойтов повышения привилегий Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплойтом Adobe Reader (CVE-2021-28550), все они были исправлены в июне 2021.

В 2021 году группа кибернаемников также была связана с эксплуатацией уязвимости повышения привилегий Windows в службе Windows Update Medic (CVE-2021-36948), которая использовалась для выполнения службой загрузки произвольной подписанной DLL.

Microsoft выпустила исправления для уязвимостей и опубликовала сигнатуры вредоносных программ, которые защитят пользователей Windows от эксплойтов, которые Knotweed использовала для доставки своего вредоносного ПО.

Ждем новых разоблачений. Крестовый поход на поставщиков коммерческого шпионского ПО в тренде.

͏Команда разработчиков LibreOffice выпустила обновления для исправления трех уязвимостей в ПО, одна из которых может быть использована для RCE в уязвимых системах.

CVE-2022-26305 связана с неправильной проверкой сертификата при верификации макроса доверенного автора.

Злоумышленник может создать произвольный сертификат с серийным номером и строкой эмитента, идентичной доверенному сертификату, который LibreOffice будет представлять как принадлежащий доверенному автору, что может привести к RCE в макросах.

Также разрешено использование статического вектора инициализации во время шифрования (CVE-2022-26306), который мог бы ослабить безопасность, если бы злоумышленник получил доступ к информации о конфигурации пользователя.

Патч также устраняет CVE-2022-26307, в которой главный ключ был плохо закодирован, что делало сохраненные пароли уязвимыми для брутфорса, если злоумышленник завладел пользовательской конфигурацией.

Три уязвимости, о которых сообщила компания OpenSource Security GmbH от имени Федерального управления информационной безопасности Германии, были закрыты в версиях LibreOffice 7.2.7, 7.3.2 и 7.3.3.

Патчи появились через пять месяцев после того, как в феврале 2022 года Document Foundation исправила еще одну ошибку проверки сертификата (CVE-2021-25636).

А в октябре прошлого года были исправлены три ошибки спуфинга, которые можно было использовать для изменения документов, чтобы они выглядели так, как если бы они были подписаны надежным источником.

📵Сегодня обнаружил, что мой старый аккаунт в Twitter, где публиковались посты с интервью на YouTube, платформа заблокировала без объяснения причины. С февраля-марта аккаунт был заброшен и не использовался. Каким образом неиспользуемый аккаунт без публикаций постов и комментариев мог нарушить правила Twitter у меня вызывает большой вопрос.

🤔Проверил аккаунты англоговорящих пользователей, где ранее были призывы к кибератакам в отношении РФ и поощрение публикаций утечек российских компаний, они спокойненько себе процветают и дальше. Типикал демокраси.

👆Последние 6 месяцев использую Twitter на втором аккаунте только для чтения новостей, но если речь пойдет о создании контента на других платформах, то лучше переходить на отечественные. Тот же VK в разы лучше птичьей социальной сети.

Исследователи Trend Micro при отладке образца Lockbit 3.0 заметили, что несколько частей кода заимствованы из программы-вымогателя BlackMatter.

Специалисты обнаружили сходство между программой-вымогателем LockBit 3.0 и BlackMatter, которая вовсе является вариантом программы-вымогателя DarkSide.

Как мы писали, вымогатель Lockbit 3.0 был выпущен в июне с существенными нововведениями, такими как вознаграждение за обнаружение ошибок, оплата в Zcash и другой тактикой вымогательства.

Малварь добавляет расширение «HLJkNskOq» или «19MqZqZ0s» к именам зашифрованных файлов и меняет их значки на значки файлов .ico. После завершения процесса шифрования программа-вымогатель меняет обои компьютера, чтобы сообщить об атаке.

Исследуя распакованный образец специалисты обнаружили, что шифровальщик требует параметр прохода для расшифровки своей основной процедуры.

LockBit 3.0 выполняет сбор API, хэшируя имена API DLL, а затем сравнивая их со списком API, которые нужны программе-вымогателю и эта процедура идентична процедуре BlackMatter.

Также эксперты подчеркивают сходство с процедурами повышения привилегий и сбора данных, используемым BlackMatter для идентификации API при выполнении различных действий.

Кроме того, последний вариант LockBit также проверяет язык пользовательского интерфейса компьютера-жертвы, чтобы избежать заражения компьютеров, используемых в странах СНГ.

Интересную аналитику относительно эволюции буткитов подогнали ресерчеры Positive Technologies, которая дополняет недавнее исследование специалистов Лаборатории Касперского в отношении CosmicStrand UEFI.

Вредонос начинающий работу раньше всех, даже ОС, — буткит, создан чтобы помочь закрепиться в системе жертвы и сокрыть действия другой малвари и преступников. Раньше было распространено мнение, что буткиты существуют преимущественно в формате PoC и не используются в реальных атаках.

Однако между появлением первого PoC и первой атакой с применением буткита прошло всего два года. Сейчас функции буткитов добавляются к разным вредоносам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру Trickbot.

Жертвами атак с использованием буткитов могут стать как обычные люди, так и крупные компании или высокопоставленные лица.

Когда речь идет о буткитах то чаще всего это сверхтаргетированнные атаки, но бывают и исключения: например, буткит Adushka известен тем, что был нацелен на обычных пользователей и применялся для шпионажа, в том числе для кражи данных из личных аккаунтов в онлайн-играх.

Эксперты Positive Technologies выявили, что среди буткитов появившихся за последние 16 лет 69% были ориентированы на устройства на базе BIOS. Для прошивки UEFI было разработано 18% вредоносов и их доля будет расти.

К слову, компания Intel еще в 2020 году остановила поддержку BIOS и перешла на новые прошивки UEFI. Секрет популярности BIOS заключается в том, что некоторым организациям сложно обновить инфраструктуру, в России чаще всего с такими проблемами сталкиваются госучреждения и промышленные предприятия.

Всего среди проанализированных семейств оказалось, что 27 из 39 буткитов используются в реальных атаках, 14 из них встречались в атаках APT. Активными пользователями буткитов выступают Careto, Winnti (APT41), FIN1 и APT28.

Разработать буткит сложно, ведь каждая ошибка в коде может выдать злоумышленников или полностью вывести оборудование жертвы из строя, поэтому ресерчеры не редко видят переработку уже существующих вредоносов. Так произошло с PoC Stoned, трансформировавшемся в буткит для атак Whistler.

Способ проще – купить готовое решение. Анализ объявлений в даркнет и тематических телеграмм-каналов показал, что средняя стоимость буткита в аренду составила 4900 долларов США. Для сравнения руткит в аренду на месяц обошелся бы в 100-200 долл. США. Но за то, чтобы обеспечить скрытность в системе жертвы нужно платить.

При этом самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, как UEFI, — сделать это при помощи решений класса Sandbox до его внедрения в прошивку или первые разделы жесткого диска.

͏Две потенциально серьезные уязвимости в решениях для промышленной автоматизации тайваньского поставщика Moxa могут позволить злоумышленникам вызвать серьезные сбои в работе.

CVE-2022-2043 и CVE-2022-2044 имеют высокий рейтинг серьезности и затрагивают серверы Moxa NPort 5110, которые предназначены для подключения устройств к сетям Ethernet. Компания заявила, что затронута лишь версия 2.10.

Уязвимости обнаружил в первой половине марта 2022 года Йенс Нильсен из датской инфосек-компании En Garde Security, предоставив поставщику соответствующие PoC и видеоролики, демонстрирующие эксплуатацию.

Ошибки могут быть использованы удаленным злоумышленником, чтобы вызвать на целевом устройстве состояние отказа в обслуживании DoS.

Для эксплуатации обеих уязвимостей достаточно сетевого подключения к целевому устройству. Эксплойты могут быть выполнены за всего несколько секунд, их можно автоматизировать и запускать через сеть.

Несмотря на то, что устройства Moxa NPort не должны быть открыты во внешнюю сеть, в реальности многие из них доступны из Интернет. 

Уязвимые устройства NPort используются по всему миру, в том числе в критически важных секторах инфраструктуры, таких как энергетика, производство и транспорт. Shodan показывает более 5000 таких устройств, и хотя некоторые из них могут быть и ханипотами.

Большая часть при этом приходится на Россию.

В случае с DoS-уязвимостью единственный способ восстановить контроль над устройством — это переключить питание, для чего потребуется физический доступ к устройству.

Вторая уязвимость, выход за границы, может позволить злоумышленнику получить доступ и перезаписать элементы на устройстве, что приведет к сбою или повреждению данных, что может вызвать неработоспособность системы, а в некоторых случаях привести к необратимому повреждению устройства.

Админам и ИБ на предприятиях следует внимательно ознакомиться с соответствующими рекомендациями Moxa по уязвимостям.

Последнее китайское предупреждение для клиентов Atlassian.

Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.

В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.

Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).

К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.

А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.

Французские СМИ сообщают о задержании ключевого участника хакерской группы ShinyHunters, представленной на RaidForums.

21-летний француз, бывший студент-информатик школы Epitech в Нанси (Мерт-и-Мозель), Себастьен Рауль из Эпиналя был арестован 1 июня.

В день ареста Себастьен, у которого закончилась трехмесячная туристическая виза, собирался вылететь в Брюссель из аэропорта Рабата.

Предъявив паспорт, он был арестован по требованию Интерпола на основании запроса об экстрадиции, поступившего незадолго до вылета из прокуратуры США.

В США ему грозит до 116 лет лишения свободы за киберпреступления.

И не удивительно, достаточно вспомнить атаку на T-Mobile, о которой мы ранее сообщали, в результате которой в даркнет утекли более 70 миллионов записей абонентов.

ShinyHunters также отметились дерзкими нападениями на Mashable, 123RF, Minted, Couchsurfing, Animal Jam и других увесистых жертв.

Помимо Себастьена, который сейчас чалится в камере тюрьмы Тифлет 2 к востоку от Рабата, в запросе фигурируют еще четыре человека, имена которых мы, вероятно, уже совсем скоро узнаем.

Все они, как выясняется, уже несколько месяцев находятся в активной разработке ФБР США.

Ресерчеры Лаборатории Касперского обнаружили атаку на цепочку поставок с использованием вредоносных пакетов npm, нацеленную на пользователей Discord.

Для справки npm - один из самых популярных менеджеров пакетов для JavaScript с более чем 11 миллионами пользователей.

Специалисты заявили, что обнаружили четыре подозрительных пакета в популярном репозитории npm. Кампания, в которой используется вредоносный код Python и JavaScript, получила название LofyLife.

Целью LofyLife, по-видимому, является кража токенов Discord и сведений о данных банковских карт пользователей.

Со слов исследователей Игоря Кузнецова и Леонида Безвершенко вредоносная программа Python представляет собой модифицированную версию регистратора токенов с открытым исходным кодом под названием Volt Stealer.

Он предназначен для кражи токенов Discord с зараженных машин вместе с IP-адресом жертвы и загрузки их через HTTP.

Малварь на JavaScript назвали Lofy Stealer и по мнению исследователей она была создана для заражения клиентских файлов Discord с целью отслеживания действий жертвы.

Lofy Stealer определяет, когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает/отключает многофакторную аутентификацию и добавляет новые способы оплаты, включая полные данные банковской карты.

Собранная информация также загружается на удаленный хост, адрес которого жестко запрограммирован.

Исследователь Гарвуд Панг из Tigera вовсе рассказал, как украденные токены Discord могут быть использованы в последующих фишинговых атаках против друзей и контактов жертв.

LofyLife является очередным примером растущей угрозы для сообщества разработчиков и пользователей, когда разработчики непреднамеренно загружают вредоносное ПО, поскольку они используют пакеты с открытым исходным кодом в работе.

Nozomi Networks обнаружили уязвимость с оценкой CVSS 7,4 в IP-камерах Dahua, которая позволяет полностью контролировать устройства.

CVE-2022-30563 затрагивает реализацию механизма аутентификации WS-UsernameToken Open Network Video Interface Forum (ONVIF) в некоторых IP-камерах Dahua.

Продукты, совместимые с ONVIF, позволяют пользователям выполнять различные действия на удаленном устройстве с помощью набора стандартизированных интерфейсов прикладного программирования (API), включая просмотр видеозаписи с камеры, блокировку или разблокировку умной двери и выполнение операций по обслуживанию.

Уязвимость может быть использована злоумышленниками для компрометации сетевых камер посредством перехвата незашифрованного взаимодействия ONVIF и повторного использования учетных данных в новом запросе к камере, которые будут приняты устройством как действительные аутентифицированные запросы.

Злоумышленники, в частности АРТ, могут быть заинтересованы во взломе IP-камер в рамках шпионских кампаний в отношении оборудования или производственных процессов цели. Информация может обеспечить решение задач по разведке, проводимой до начала кибератаки.

Получив учетные данные, злоумышленник также может добавить учетную запись администратора и использовать ее для получения полного доступа к устройству.

Затронуты следующие версии видеопродуктов Dahua: Dahua ASI7XXX версий до v1.000.0000009.0.R.220620; Dahua IPC-HDBW2XXX версий до v2.820.0000000.48.R.220614; Dahua IPC-HX2XXX версий до v2.820.0000000.48.R.220614.

Производитель устранил проблему, выпустив соответствующее исправление.