Интересную аналитику относительно эволюции буткитов подогнали ресерчеры Positive Technologies, которая дополняет недавнее исследование специалистов Лаборатории Касперского в отношении CosmicStrand UEFI.
Вредонос начинающий работу раньше всех, даже ОС, — буткит, создан чтобы помочь закрепиться в системе жертвы и сокрыть действия другой малвари и преступников. Раньше было распространено мнение, что буткиты существуют преимущественно в формате PoC и не используются в реальных атаках.
Однако между появлением первого PoC и первой атакой с применением буткита прошло всего два года. Сейчас функции буткитов добавляются к разным вредоносам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру Trickbot.
Жертвами атак с использованием буткитов могут стать как обычные люди, так и крупные компании или высокопоставленные лица.
Когда речь идет о буткитах то чаще всего это сверхтаргетированнные атаки, но бывают и исключения: например, буткит Adushka известен тем, что был нацелен на обычных пользователей и применялся для шпионажа, в том числе для кражи данных из личных аккаунтов в онлайн-играх.
Эксперты Positive Technologies выявили, что среди буткитов появившихся за последние 16 лет 69% были ориентированы на устройства на базе BIOS. Для прошивки UEFI было разработано 18% вредоносов и их доля будет расти.
К слову, компания Intel еще в 2020 году остановила поддержку BIOS и перешла на новые прошивки UEFI. Секрет популярности BIOS заключается в том, что некоторым организациям сложно обновить инфраструктуру, в России чаще всего с такими проблемами сталкиваются госучреждения и промышленные предприятия.
Всего среди проанализированных семейств оказалось, что 27 из 39 буткитов используются в реальных атаках, 14 из них встречались в атаках APT. Активными пользователями буткитов выступают Careto, Winnti (APT41), FIN1 и APT28.
Разработать буткит сложно, ведь каждая ошибка в коде может выдать злоумышленников или полностью вывести оборудование жертвы из строя, поэтому ресерчеры не редко видят переработку уже существующих вредоносов. Так произошло с PoC Stoned, трансформировавшемся в буткит для атак Whistler.
Способ проще – купить готовое решение. Анализ объявлений в даркнет и тематических телеграмм-каналов показал, что средняя стоимость буткита в аренду составила 4900 долларов США. Для сравнения руткит в аренду на месяц обошелся бы в 100-200 долл. США. Но за то, чтобы обеспечить скрытность в системе жертвы нужно платить.
При этом самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, как UEFI, — сделать это при помощи решений класса Sandbox до его внедрения в прошивку или первые разделы жесткого диска.
Вредонос начинающий работу раньше всех, даже ОС, — буткит, создан чтобы помочь закрепиться в системе жертвы и сокрыть действия другой малвари и преступников. Раньше было распространено мнение, что буткиты существуют преимущественно в формате PoC и не используются в реальных атаках.
Однако между появлением первого PoC и первой атакой с применением буткита прошло всего два года. Сейчас функции буткитов добавляются к разным вредоносам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов, к примеру Trickbot.
Жертвами атак с использованием буткитов могут стать как обычные люди, так и крупные компании или высокопоставленные лица.
Когда речь идет о буткитах то чаще всего это сверхтаргетированнные атаки, но бывают и исключения: например, буткит Adushka известен тем, что был нацелен на обычных пользователей и применялся для шпионажа, в том числе для кражи данных из личных аккаунтов в онлайн-играх.
Эксперты Positive Technologies выявили, что среди буткитов появившихся за последние 16 лет 69% были ориентированы на устройства на базе BIOS. Для прошивки UEFI было разработано 18% вредоносов и их доля будет расти.
К слову, компания Intel еще в 2020 году остановила поддержку BIOS и перешла на новые прошивки UEFI. Секрет популярности BIOS заключается в том, что некоторым организациям сложно обновить инфраструктуру, в России чаще всего с такими проблемами сталкиваются госучреждения и промышленные предприятия.
Всего среди проанализированных семейств оказалось, что 27 из 39 буткитов используются в реальных атаках, 14 из них встречались в атаках APT. Активными пользователями буткитов выступают Careto, Winnti (APT41), FIN1 и APT28.
Разработать буткит сложно, ведь каждая ошибка в коде может выдать злоумышленников или полностью вывести оборудование жертвы из строя, поэтому ресерчеры не редко видят переработку уже существующих вредоносов. Так произошло с PoC Stoned, трансформировавшемся в буткит для атак Whistler.
Способ проще – купить готовое решение. Анализ объявлений в даркнет и тематических телеграмм-каналов показал, что средняя стоимость буткита в аренду составила 4900 долларов США. Для сравнения руткит в аренду на месяц обошелся бы в 100-200 долл. США. Но за то, чтобы обеспечить скрытность в системе жертвы нужно платить.
При этом самый действенный способ обнаружить буткит, в том числе разработанный под такую сложную подсистему, как UEFI, — сделать это при помощи решений класса Sandbox до его внедрения в прошивку или первые разделы жесткого диска.
Telegram
SecAtor
Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием вредоносной ПО CosmicStrand UEFI.
При этом более раннюю версию CosmicStrand в 2017 году исследовали аналитики Qihoo360, которые назвали его Spy Shadow Trojan.
В своем отчете специалисты…
При этом более раннюю версию CosmicStrand в 2017 году исследовали аналитики Qihoo360, которые назвали его Spy Shadow Trojan.
В своем отчете специалисты…
͏Две потенциально серьезные уязвимости в решениях для промышленной автоматизации тайваньского поставщика Moxa могут позволить злоумышленникам вызвать серьезные сбои в работе.
CVE-2022-2043 и CVE-2022-2044 имеют высокий рейтинг серьезности и затрагивают серверы Moxa NPort 5110, которые предназначены для подключения устройств к сетям Ethernet. Компания заявила, что затронута лишь версия 2.10.
Уязвимости обнаружил в первой половине марта 2022 года Йенс Нильсен из датской инфосек-компании En Garde Security, предоставив поставщику соответствующие PoC и видеоролики, демонстрирующие эксплуатацию.
Ошибки могут быть использованы удаленным злоумышленником, чтобы вызвать на целевом устройстве состояние отказа в обслуживании DoS.
Для эксплуатации обеих уязвимостей достаточно сетевого подключения к целевому устройству. Эксплойты могут быть выполнены за всего несколько секунд, их можно автоматизировать и запускать через сеть.
Несмотря на то, что устройства Moxa NPort не должны быть открыты во внешнюю сеть, в реальности многие из них доступны из Интернет.
Уязвимые устройства NPort используются по всему миру, в том числе в критически важных секторах инфраструктуры, таких как энергетика, производство и транспорт. Shodan показывает более 5000 таких устройств, и хотя некоторые из них могут быть и ханипотами.
Большая часть при этом приходится на Россию.
В случае с DoS-уязвимостью единственный способ восстановить контроль над устройством — это переключить питание, для чего потребуется физический доступ к устройству.
Вторая уязвимость, выход за границы, может позволить злоумышленнику получить доступ и перезаписать элементы на устройстве, что приведет к сбою или повреждению данных, что может вызвать неработоспособность системы, а в некоторых случаях привести к необратимому повреждению устройства.
Админам и ИБ на предприятиях следует внимательно ознакомиться с соответствующими рекомендациями Moxa по уязвимостям.
CVE-2022-2043 и CVE-2022-2044 имеют высокий рейтинг серьезности и затрагивают серверы Moxa NPort 5110, которые предназначены для подключения устройств к сетям Ethernet. Компания заявила, что затронута лишь версия 2.10.
Уязвимости обнаружил в первой половине марта 2022 года Йенс Нильсен из датской инфосек-компании En Garde Security, предоставив поставщику соответствующие PoC и видеоролики, демонстрирующие эксплуатацию.
Ошибки могут быть использованы удаленным злоумышленником, чтобы вызвать на целевом устройстве состояние отказа в обслуживании DoS.
Для эксплуатации обеих уязвимостей достаточно сетевого подключения к целевому устройству. Эксплойты могут быть выполнены за всего несколько секунд, их можно автоматизировать и запускать через сеть.
Несмотря на то, что устройства Moxa NPort не должны быть открыты во внешнюю сеть, в реальности многие из них доступны из Интернет.
Уязвимые устройства NPort используются по всему миру, в том числе в критически важных секторах инфраструктуры, таких как энергетика, производство и транспорт. Shodan показывает более 5000 таких устройств, и хотя некоторые из них могут быть и ханипотами.
Большая часть при этом приходится на Россию.
В случае с DoS-уязвимостью единственный способ восстановить контроль над устройством — это переключить питание, для чего потребуется физический доступ к устройству.
Вторая уязвимость, выход за границы, может позволить злоумышленнику получить доступ и перезаписать элементы на устройстве, что приведет к сбою или повреждению данных, что может вызвать неработоспособность системы, а в некоторых случаях привести к необратимому повреждению устройства.
Админам и ИБ на предприятиях следует внимательно ознакомиться с соответствующими рекомендациями Moxa по уязвимостям.
Последнее китайское предупреждение для клиентов Atlassian.
Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.
В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.
Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).
К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.
А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.
Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.
В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.
Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).
К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.
А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.
Twitter
Not surprisingly, already used in the wild - first scan for CVE-2022-26138 picked up today by our honeypots. If you do run Questions for Confluence, please patch now: https://t.co/nywaQ2HuWS
Французские СМИ сообщают о задержании ключевого участника хакерской группы ShinyHunters, представленной на RaidForums.
21-летний француз, бывший студент-информатик школы Epitech в Нанси (Мерт-и-Мозель), Себастьен Рауль из Эпиналя был арестован 1 июня.
В день ареста Себастьен, у которого закончилась трехмесячная туристическая виза, собирался вылететь в Брюссель из аэропорта Рабата.
Предъявив паспорт, он был арестован по требованию Интерпола на основании запроса об экстрадиции, поступившего незадолго до вылета из прокуратуры США.
В США ему грозит до 116 лет лишения свободы за киберпреступления.
И не удивительно, достаточно вспомнить атаку на T-Mobile, о которой мы ранее сообщали, в результате которой в даркнет утекли более 70 миллионов записей абонентов.
ShinyHunters также отметились дерзкими нападениями на Mashable, 123RF, Minted, Couchsurfing, Animal Jam и других увесистых жертв.
Помимо Себастьена, который сейчас чалится в камере тюрьмы Тифлет 2 к востоку от Рабата, в запросе фигурируют еще четыре человека, имена которых мы, вероятно, уже совсем скоро узнаем.
Все они, как выясняется, уже несколько месяцев находятся в активной разработке ФБР США.
21-летний француз, бывший студент-информатик школы Epitech в Нанси (Мерт-и-Мозель), Себастьен Рауль из Эпиналя был арестован 1 июня.
В день ареста Себастьен, у которого закончилась трехмесячная туристическая виза, собирался вылететь в Брюссель из аэропорта Рабата.
Предъявив паспорт, он был арестован по требованию Интерпола на основании запроса об экстрадиции, поступившего незадолго до вылета из прокуратуры США.
В США ему грозит до 116 лет лишения свободы за киберпреступления.
И не удивительно, достаточно вспомнить атаку на T-Mobile, о которой мы ранее сообщали, в результате которой в даркнет утекли более 70 миллионов записей абонентов.
ShinyHunters также отметились дерзкими нападениями на Mashable, 123RF, Minted, Couchsurfing, Animal Jam и других увесистых жертв.
Помимо Себастьена, который сейчас чалится в камере тюрьмы Тифлет 2 к востоку от Рабата, в запросе фигурируют еще четыре человека, имена которых мы, вероятно, уже совсем скоро узнаем.
Все они, как выясняется, уже несколько месяцев находятся в активной разработке ФБР США.
Le Nouvel Obs
Un étudiant français accusé d’un vaste piratage par le FBI arrêté au Maroc
Info Obs - Arrêté le 1er juin à l’aéroport de Rabat, Sébastien Raoult, un Français de 21 ans originaire d’Epinal est réclamé par la justice américaine. Le FBI le soupçonne d’appartenir à un groupe de hackers ayant récemment défrayé la chronique. Quatre autres…
Ресерчеры Лаборатории Касперского обнаружили атаку на цепочку поставок с использованием вредоносных пакетов npm, нацеленную на пользователей Discord.
Для справки npm - один из самых популярных менеджеров пакетов для JavaScript с более чем 11 миллионами пользователей.
Специалисты заявили, что обнаружили четыре подозрительных пакета в популярном репозитории npm. Кампания, в которой используется вредоносный код Python и JavaScript, получила название LofyLife.
Целью LofyLife, по-видимому, является кража токенов Discord и сведений о данных банковских карт пользователей.
Со слов исследователей Игоря Кузнецова и Леонида Безвершенко вредоносная программа Python представляет собой модифицированную версию регистратора токенов с открытым исходным кодом под названием Volt Stealer.
Он предназначен для кражи токенов Discord с зараженных машин вместе с IP-адресом жертвы и загрузки их через HTTP.
Малварь на JavaScript назвали Lofy Stealer и по мнению исследователей она была создана для заражения клиентских файлов Discord с целью отслеживания действий жертвы.
Lofy Stealer определяет, когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает/отключает многофакторную аутентификацию и добавляет новые способы оплаты, включая полные данные банковской карты.
Собранная информация также загружается на удаленный хост, адрес которого жестко запрограммирован.
Исследователь Гарвуд Панг из Tigera вовсе рассказал, как украденные токены Discord могут быть использованы в последующих фишинговых атаках против друзей и контактов жертв.
LofyLife является очередным примером растущей угрозы для сообщества разработчиков и пользователей, когда разработчики непреднамеренно загружают вредоносное ПО, поскольку они используют пакеты с открытым исходным кодом в работе.
Для справки npm - один из самых популярных менеджеров пакетов для JavaScript с более чем 11 миллионами пользователей.
Специалисты заявили, что обнаружили четыре подозрительных пакета в популярном репозитории npm. Кампания, в которой используется вредоносный код Python и JavaScript, получила название LofyLife.
Целью LofyLife, по-видимому, является кража токенов Discord и сведений о данных банковских карт пользователей.
Со слов исследователей Игоря Кузнецова и Леонида Безвершенко вредоносная программа Python представляет собой модифицированную версию регистратора токенов с открытым исходным кодом под названием Volt Stealer.
Он предназначен для кражи токенов Discord с зараженных машин вместе с IP-адресом жертвы и загрузки их через HTTP.
Малварь на JavaScript назвали Lofy Stealer и по мнению исследователей она была создана для заражения клиентских файлов Discord с целью отслеживания действий жертвы.
Lofy Stealer определяет, когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает/отключает многофакторную аутентификацию и добавляет новые способы оплаты, включая полные данные банковской карты.
Собранная информация также загружается на удаленный хост, адрес которого жестко запрограммирован.
Исследователь Гарвуд Панг из Tigera вовсе рассказал, как украденные токены Discord могут быть использованы в последующих фишинговых атаках против друзей и контактов жертв.
LofyLife является очередным примером растущей угрозы для сообщества разработчиков и пользователей, когда разработчики непреднамеренно загружают вредоносное ПО, поскольку они используют пакеты с открытым исходным кодом в работе.
Securelist
LofyLife: malicious npm packages steal Discord tokens and bank card data
This week, we identified four suspicious packages in the Node Package Manager (npm) repository. All these packages contained highly obfuscated malicious Python and JavaScript code.
Nozomi Networks обнаружили уязвимость с оценкой CVSS 7,4 в IP-камерах Dahua, которая позволяет полностью контролировать устройства.
CVE-2022-30563 затрагивает реализацию механизма аутентификации WS-UsernameToken Open Network Video Interface Forum (ONVIF) в некоторых IP-камерах Dahua.
Продукты, совместимые с ONVIF, позволяют пользователям выполнять различные действия на удаленном устройстве с помощью набора стандартизированных интерфейсов прикладного программирования (API), включая просмотр видеозаписи с камеры, блокировку или разблокировку умной двери и выполнение операций по обслуживанию.
Уязвимость может быть использована злоумышленниками для компрометации сетевых камер посредством перехвата незашифрованного взаимодействия ONVIF и повторного использования учетных данных в новом запросе к камере, которые будут приняты устройством как действительные аутентифицированные запросы.
Злоумышленники, в частности АРТ, могут быть заинтересованы во взломе IP-камер в рамках шпионских кампаний в отношении оборудования или производственных процессов цели. Информация может обеспечить решение задач по разведке, проводимой до начала кибератаки.
Получив учетные данные, злоумышленник также может добавить учетную запись администратора и использовать ее для получения полного доступа к устройству.
Затронуты следующие версии видеопродуктов Dahua: Dahua ASI7XXX версий до v1.000.0000009.0.R.220620; Dahua IPC-HDBW2XXX версий до v2.820.0000000.48.R.220614; Dahua IPC-HX2XXX версий до v2.820.0000000.48.R.220614.
Производитель устранил проблему, выпустив соответствующее исправление.
CVE-2022-30563 затрагивает реализацию механизма аутентификации WS-UsernameToken Open Network Video Interface Forum (ONVIF) в некоторых IP-камерах Dahua.
Продукты, совместимые с ONVIF, позволяют пользователям выполнять различные действия на удаленном устройстве с помощью набора стандартизированных интерфейсов прикладного программирования (API), включая просмотр видеозаписи с камеры, блокировку или разблокировку умной двери и выполнение операций по обслуживанию.
Уязвимость может быть использована злоумышленниками для компрометации сетевых камер посредством перехвата незашифрованного взаимодействия ONVIF и повторного использования учетных данных в новом запросе к камере, которые будут приняты устройством как действительные аутентифицированные запросы.
Злоумышленники, в частности АРТ, могут быть заинтересованы во взломе IP-камер в рамках шпионских кампаний в отношении оборудования или производственных процессов цели. Информация может обеспечить решение задач по разведке, проводимой до начала кибератаки.
Получив учетные данные, злоумышленник также может добавить учетную запись администратора и использовать ее для получения полного доступа к устройству.
Затронуты следующие версии видеопродуктов Dahua: Dahua ASI7XXX версий до v1.000.0000009.0.R.220620; Dahua IPC-HDBW2XXX версий до v2.820.0000000.48.R.220614; Dahua IPC-HX2XXX версий до v2.820.0000000.48.R.220614.
Производитель устранил проблему, выпустив соответствующее исправление.
Nozominetworks
Vulnerability in Dahua’s ONVIF Implementation Threatens IP Camera Security
Nozomi Networks Labs publishes a vulnerability in Dahua's ONVIF standard implementation, which can be abused to take over IP cameras.
Касаемо Почты России имеем сказать следующее.
До нас доходили слухи о весьма оригинальной кадровой политике Почты в области инфосека.
Случившаяся утечка свидетельствует, что слухи скорее всего оказались правдой.
Пора уже давно понять, что практика "...а информационной безопасностью будет рулить вон тот парень, потому что он пиздатый" в госорганах и госкорпорациях ни к чему хорошему не приведет. Особенно на фоне происходящих кибервойн.
И вообще, несмотря на общее слово в терминах "информационная безопасность" и "безопасность" в традиционном смысле (физическая, экономическая и т.д.) - это две достаточно далекие друг от друга сферы человеческой деятельности.
Как в анекдоте про "сливочную", в которой не сливки делали, а говно сливали.
До нас доходили слухи о весьма оригинальной кадровой политике Почты в области инфосека.
Случившаяся утечка свидетельствует, что слухи скорее всего оказались правдой.
Пора уже давно понять, что практика "...а информационной безопасностью будет рулить вон тот парень, потому что он пиздатый" в госорганах и госкорпорациях ни к чему хорошему не приведет. Особенно на фоне происходящих кибервойн.
И вообще, несмотря на общее слово в терминах "информационная безопасность" и "безопасность" в традиционном смысле (физическая, экономическая и т.д.) - это две достаточно далекие друг от друга сферы человеческой деятельности.
Как в анекдоте про "сливочную", в которой не сливки делали, а говно сливали.
Alphv, также известные как BlackCat, атаковали энергетическую компанию Creos Luxembourg, под управлением контрой находится электросеть и газопровод герцогства.
На прошлой неделе системы компании подверглись кибератаке.
И несмотря на то, что атака не повлияла на подачу электроэнергии и газа, IT-инфраструктура компании была выведена из строя. Клиентские порталы Creos и Enovos все еще лежат.
Как отметил, Бретт Кэллоу, аналитик из Emsisoft, Alphv разместила Creos Luxembourg на сайте DLS.
Злоумышленники утверждают, что украли более 150 ГБ файлов, включая контракты, соглашения, паспорта, счета и электронные письма.
Повторить инцидент своих предшественников BlackMatter, связанный с атакой на Colonial Pipeline, который привел к сбоям в поставок энергоносителей в США, Alphv не удалось, но в условиях наступающего энергокризиса определенно должно вызывать тревогу у их европейских коллег.
На прошлой неделе системы компании подверглись кибератаке.
И несмотря на то, что атака не повлияла на подачу электроэнергии и газа, IT-инфраструктура компании была выведена из строя. Клиентские порталы Creos и Enovos все еще лежат.
Как отметил, Бретт Кэллоу, аналитик из Emsisoft, Alphv разместила Creos Luxembourg на сайте DLS.
Злоумышленники утверждают, что украли более 150 ГБ файлов, включая контракты, соглашения, паспорта, счета и электронные письма.
Повторить инцидент своих предшественников BlackMatter, связанный с атакой на Colonial Pipeline, который привел к сбоям в поставок энергоносителей в США, Alphv не удалось, но в условиях наступающего энергокризиса определенно должно вызывать тревогу у их европейских коллег.
www.creos-net.lu
Actualités - Creos Luxembourg S.A. – Gestionnaire de réseaux d’électricité et de conduites de gaz naturel
Creos Luxembourg S.A. est gestionnaire de réseaux d’électricité et de conduites de gaz naturel au Luxembourg. La société est responsable de la planification, la réalisation, l’entretien et la conduite des réseaux électriques haute, moyenne et basse tension…
Китайская инфосек-компания Rising выпустила бесплатную утилиту дешифрования ransomware SafeSound.
Малварь распространяется через игровые плагины, такие как Cross Fire и Jedi Survival. Зашифрованным файлам присваивается расширение SafeSound.
Программа-вымогатель использует RC4 для шифрования файлов, а ключи также шифруются с использованием других симметричных алгоритмов.
После шифрования файлов на диске размещается исполняемая программа Antidote.exe, котоарая включает заметку о выкупе и предоставленный SafeSound Ransomware дешифратор. Переговоры о выкупе реализуются через WeChat.
Инструмент расшифровки написан на python3 и предоставляет исполняемую программу EXE. Дешифратор расшифрует и восстановит зараженные файлы, создав новый расшифрованный файл (без удаления зашифрованного вирусом файла).
Поскольку ключ не передается по сети и хранится локально, его можно расшифровать с помощью дешифратора SafeSound, предоставленного Rising.
Важно, что после заражения пользователям не рекомендуется удалять или восстанавливать систему для обеспечения сохранности локальной среды, ведь изменения могут привести к потере файла локального ключа.
После запуска инструмента расшифровки он автоматически ведет поиск файл ключа в каталоге C:\Windows\Temp и, если он будет найден, напрямую расшифровывает файл ключа. В противном случае - он может быть импортирован вручную из записки о выкупе.
Малварь распространяется через игровые плагины, такие как Cross Fire и Jedi Survival. Зашифрованным файлам присваивается расширение SafeSound.
Программа-вымогатель использует RC4 для шифрования файлов, а ключи также шифруются с использованием других симметричных алгоритмов.
После шифрования файлов на диске размещается исполняемая программа Antidote.exe, котоарая включает заметку о выкупе и предоставленный SafeSound Ransomware дешифратор. Переговоры о выкупе реализуются через WeChat.
Инструмент расшифровки написан на python3 и предоставляет исполняемую программу EXE. Дешифратор расшифрует и восстановит зараженные файлы, создав новый расшифрованный файл (без удаления зашифрованного вирусом файла).
Поскольку ключ не передается по сети и хранится локально, его можно расшифровать с помощью дешифратора SafeSound, предоставленного Rising.
Важно, что после заражения пользователям не рекомендуется удалять или восстанавливать систему для обеспечения сохранности локальной среды, ведь изменения могут привести к потере файла локального ключа.
После запуска инструмента расшифровки он автоматически ведет поиск файл ключа в каталоге C:\Windows\Temp и, если он будет найден, напрямую расшифровывает файл ключа. В противном случае - он может быть импортирован вручную из записки о выкупе.
it.rising.com.cn
利用游戏外挂进行传播的勒索病毒——SafeSound - 瑞星网
瑞星防勒索病毒专题
Forwarded from Russian OSINT
🥷Хакеры "Adrastea" заявили о взломе ведущего европейского разработчика и производителя ракетных систем 🚀MBDA
На хакерском форуме Ex***t появилась информация о том, что пользователь под ником "Adrastea" заявил о взломе MBDA, хакерам удалось скачать около 60 Гб. По словам злоумышленников, загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов:
"Здравствуйте! Мы "Адрастея" - группа независимых специалистов и исследователей в области кибербезопасности. Мы обнаружили критические уязвимости в инфраструктуре сетей и получили доступ к файлам и конфиденциальным данным компании.
В настоящее время объем скачанных данных составляет около 60 Гб. Загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов MBDA (PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT и др.) и о коммерческой деятельности в интересах Министерства обороны Европейского Союза (конструкторская документация ПВО, ракетных систем и систем береговой защиты, чертежи, презентации, видео и фото (3D) материалы, контрактные соглашения и переписка с другими компаниями Rampini Carlo, Netcomgroup, Rafael, Thales, ST Electronics и др.) "
📱В качестве пруфа хакеры выложили скриншоты чертежей, внутренние фотографии и ссылку на "демо". 💰Цену за утечку хакеры решили обсуждать с потенциальным покупателем индивидуально.
👆Является ли утечка реальной - неизвестно.
На хакерском форуме Ex***t появилась информация о том, что пользователь под ником "Adrastea" заявил о взломе MBDA, хакерам удалось скачать около 60 Гб. По словам злоумышленников, загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов:
"Здравствуйте! Мы "Адрастея" - группа независимых специалистов и исследователей в области кибербезопасности. Мы обнаружили критические уязвимости в инфраструктуре сетей и получили доступ к файлам и конфиденциальным данным компании.
В настоящее время объем скачанных данных составляет около 60 Гб. Загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов MBDA (PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT и др.) и о коммерческой деятельности в интересах Министерства обороны Европейского Союза (конструкторская документация ПВО, ракетных систем и систем береговой защиты, чертежи, презентации, видео и фото (3D) материалы, контрактные соглашения и переписка с другими компаниями Rampini Carlo, Netcomgroup, Rafael, Thales, ST Electronics и др.) "
📱В качестве пруфа хакеры выложили скриншоты чертежей, внутренние фотографии и ссылку на "демо". 💰Цену за утечку хакеры решили обсуждать с потенциальным покупателем индивидуально.
👆Является ли утечка реальной - неизвестно.
Volexity уже более года наблюдают, как северокорейская APT Kimsuki использует вредоносное расширение браузера для Google Chrome, Microsoft Edge и Naver Whale для кражи электронной корреспонденции в рамках продолжающейся шпионской кампании.
Расширение, получившее название Sharpext, поддерживает кражу данных как из Gmail, так и из веб-почты AOL, активно развивается и применялось в целевых атаках.
При этом Volexity убеждены, что злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО.
Расширение развертывается вручную на ранее скомпрометированных системах и требует от злоумышленника заменить файлы настроек браузера модифицированными.
Процесс развертывания Sharpext очень индивидуален, поскольку злоумышленник должен сначала получить доступ к исходному файлу настроек безопасности браузера жертвы.
Затем этот файл модифицируется и используется для вредоносного расширения. В каждом случае создавалась отдельная папка для зараженного пользователя, содержащая необходимые файлы для расширения.
Сценарий PowerShell используется для остановки процесса браузера, чтобы включить эксфильтрацию необходимых файлов. После развертывания расширения другая оболочка PowerShell позволяет DevTools проверять содержимое вкладки, к которой обращается пользователь, и извлекать интересующие данные.
Поскольку само расширение не содержит явного вредоносного кода, оно не обнаруживается антивирусными решениями, как отмечает Volexity. Расширение также позволяет злоумышленникам динамически обновлять свой код, не переустанавливая его на зараженную машину.
Sharpext поддерживает списки адресов электронной почты, которые следует игнорировать, ранее украденные электронные письма и вложения, а также отслеживаемые вкладки, чтобы избежать повторной кражи одних и тех же данных. Он также мониторит за доменами, которые посещает жертва.
Похищая данные электронной почты в контексте уже вошедшего в систему сеанса пользователя, атака скрыта от поставщика услуг электронной почты, что делает обнаружение очень сложным. Поэтому и подозрительная активность не будет учтена на странице состояния активности электронной почты пользователя.
В целом, SharpTongue реализует выделение людей, работающих в организациях в США, Европе и Южной Корее, которые работают над темами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами, представляющими стратегический интерес для Северной Кореи.
Расширение, получившее название Sharpext, поддерживает кражу данных как из Gmail, так и из веб-почты AOL, активно развивается и применялось в целевых атаках.
При этом Volexity убеждены, что злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО.
Расширение развертывается вручную на ранее скомпрометированных системах и требует от злоумышленника заменить файлы настроек браузера модифицированными.
Процесс развертывания Sharpext очень индивидуален, поскольку злоумышленник должен сначала получить доступ к исходному файлу настроек безопасности браузера жертвы.
Затем этот файл модифицируется и используется для вредоносного расширения. В каждом случае создавалась отдельная папка для зараженного пользователя, содержащая необходимые файлы для расширения.
Сценарий PowerShell используется для остановки процесса браузера, чтобы включить эксфильтрацию необходимых файлов. После развертывания расширения другая оболочка PowerShell позволяет DevTools проверять содержимое вкладки, к которой обращается пользователь, и извлекать интересующие данные.
Поскольку само расширение не содержит явного вредоносного кода, оно не обнаруживается антивирусными решениями, как отмечает Volexity. Расширение также позволяет злоумышленникам динамически обновлять свой код, не переустанавливая его на зараженную машину.
Sharpext поддерживает списки адресов электронной почты, которые следует игнорировать, ранее украденные электронные письма и вложения, а также отслеживаемые вкладки, чтобы избежать повторной кражи одних и тех же данных. Он также мониторит за доменами, которые посещает жертва.
Похищая данные электронной почты в контексте уже вошедшего в систему сеанса пользователя, атака скрыта от поставщика услуг электронной почты, что делает обнаружение очень сложным. Поэтому и подозрительная активность не будет учтена на странице состояния активности электронной почты пользователя.
В целом, SharpTongue реализует выделение людей, работающих в организациях в США, Европе и Южной Корее, которые работают над темами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами, представляющими стратегический интерес для Северной Кореи.
Volexity
SharpTongue Deploys Clever Mail-Stealing Browser Extension "SHARPEXT"
Volexity tracks a variety of threat actors to provide unique insights and actionable information to its Threat Intelligence customers. One frequently encountered—that often results in forensics investigations on compromised systems—is […]
Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.
Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.
В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.
Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.
CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.
Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.
Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.
Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.
В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.
Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.
CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.
Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.
Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.
Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
Cloudsek
How Leaked Twitter API Keys Can be Used to Build a Bot Army | CloudSEK
Download report on CloudSEK’s Attack Surface Monitoring Platform, uncovered 3207 apps, leaking Twitter API keys, that can be utilized to gain access to or to take over Twitter accounts.
Операторы вредоносного ПО Gootkit, работающие по схеме Access-as-a-Service (AaaS), вновь возвращаются на этот раз с обновленной тактикой для компрометации целевых систем.
Trend Micro сообщают, что если в прошлом Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, то теперь в ход пошли юридические документы в качестве приманки для загрузки файлов.
Выводы основаны на предыдущем отчете eSentire: в январе сообщалось о широко распространенных атаках, направленных на сотрудников бухгалтерских и юридических фирм с целью развертывания вредоносных программ на зараженных системах.
Gootkit является частью растущей подпольной экосистемы брокеров доступа, которые, как известно, предоставляют другим злоумышленникам доступ к корпоративным сетям за определенную плату, прокладывая путь для реальных вредоносных атак, таких как ransomware.
Известно, что Gootkit использует безфайловые методы для доставки таких угроз, как SunCrypt и REvil (Sodinokibi), трояны Kronos и Cobalt Strike.
Цепочка атак начинается с того, что пользователь ищет определенную информацию в поисковой системе. Злоумышленники используют технику черного SEO, чтобы отобразить в результатах поиска сайт, скомпрометированный операторами Gootkit.
Он представлен как онлайн-форум, непосредственно отвечающий на его запрос. На этом форуме был размещен ZIP-архив, содержащий вредоносный файл .js, который используется для обеспечения персистентности и размещения двоичного файла Cobalt Strike в памяти зараженной системы.
ZIP-файл, со своей стороны, включает в себя файл JavaScript, который загружает двоичный файл Cobalt Strike, инструмент, используемый для действий после эксплуатации, который запускается непосредственно в памяти без файлов.
Двоичный файл Cobalt Strike, загруженный непосредственно в память системы жертвы, обращается к IP-адресу 89[.]238[.]185[.]13, который выступает в качестве Cobalt Strike C2.
По результатам исследований, ресерчеры полагают, что Gootkit Loader все еще активно разрабатывается и совершенствует свои методы.
Пользователи, вероятно, столкнутся с Gootkit в последующих кампаниях, и вполне вероятно, что он будет использовать новые средства отлова жертв.
Trend Micro сообщают, что если в прошлом Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, то теперь в ход пошли юридические документы в качестве приманки для загрузки файлов.
Выводы основаны на предыдущем отчете eSentire: в январе сообщалось о широко распространенных атаках, направленных на сотрудников бухгалтерских и юридических фирм с целью развертывания вредоносных программ на зараженных системах.
Gootkit является частью растущей подпольной экосистемы брокеров доступа, которые, как известно, предоставляют другим злоумышленникам доступ к корпоративным сетям за определенную плату, прокладывая путь для реальных вредоносных атак, таких как ransomware.
Известно, что Gootkit использует безфайловые методы для доставки таких угроз, как SunCrypt и REvil (Sodinokibi), трояны Kronos и Cobalt Strike.
Цепочка атак начинается с того, что пользователь ищет определенную информацию в поисковой системе. Злоумышленники используют технику черного SEO, чтобы отобразить в результатах поиска сайт, скомпрометированный операторами Gootkit.
Он представлен как онлайн-форум, непосредственно отвечающий на его запрос. На этом форуме был размещен ZIP-архив, содержащий вредоносный файл .js, который используется для обеспечения персистентности и размещения двоичного файла Cobalt Strike в памяти зараженной системы.
ZIP-файл, со своей стороны, включает в себя файл JavaScript, который загружает двоичный файл Cobalt Strike, инструмент, используемый для действий после эксплуатации, который запускается непосредственно в памяти без файлов.
Двоичный файл Cobalt Strike, загруженный непосредственно в память системы жертвы, обращается к IP-адресу 89[.]238[.]185[.]13, который выступает в качестве Cobalt Strike C2.
По результатам исследований, ресерчеры полагают, что Gootkit Loader все еще активно разрабатывается и совершенствует свои методы.
Пользователи, вероятно, столкнутся с Gootkit в последующих кампаниях, и вполне вероятно, что он будет использовать новые средства отлова жертв.
Trend Micro
Gootkit Loader’s Updated Tactics and Fileless Delivery of Cobalt Strike
Gootkit has been known to use fileless techniques to drop Cobalt Strike and other malicious payloads. Insights from a recent attack reveal updates in its tactics.
Кросс-чейн мост Nomad подвергся взлому, в результате которого были с платформы украдены практически все средства общей стоимостью около $190 млн. На 11:00 мск 2 августа на проекте осталось всего лишь около $11 тыс.
Nomad, как и другие межсетевые мосты, позволяет пользователям отправлять и получать токены между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda.
Недавнее обновление одного из смарт-контрактов Nomad упростило пользователям подделку транзакций, что фактически позволяло пользователям снимать деньги с моста даже без знания Solidity или Merkle Trees.
В отличие от некоторых мостовых атак, где за эксплойтом стоит один преступник, атака Nomad была общедоступной для всех. Все, что нужно было сделать, это найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать его.
Украденные средства были направлены на 41 адрес, среди которых аналитики обнаружили 7 адресов ботов, 6 адресов, принадлежащих «белым» хакерам и адрес злоумышленника, участвовавшего во взломе RariCapital в конце апреля.
Команда Nomad признала инцидент и инициировала расследование совместно с правоохранительными органами и инфосек-компаниями. Администрация платформы работает над разрешением ситуации в надежде идентифицировать задействованные в хищениях счета, отследить и вернуть средства.
Будем посмотреть, конечно, но тренд мостовых атак в последнее время набирает «промышленные» обороты.
Nomad, как и другие межсетевые мосты, позволяет пользователям отправлять и получать токены между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda.
Недавнее обновление одного из смарт-контрактов Nomad упростило пользователям подделку транзакций, что фактически позволяло пользователям снимать деньги с моста даже без знания Solidity или Merkle Trees.
В отличие от некоторых мостовых атак, где за эксплойтом стоит один преступник, атака Nomad была общедоступной для всех. Все, что нужно было сделать, это найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать его.
Украденные средства были направлены на 41 адрес, среди которых аналитики обнаружили 7 адресов ботов, 6 адресов, принадлежащих «белым» хакерам и адрес злоумышленника, участвовавшего во взломе RariCapital в конце апреля.
Команда Nomad признала инцидент и инициировала расследование совместно с правоохранительными органами и инфосек-компаниями. Администрация платформы работает над разрешением ситуации в надежде идентифицировать задействованные в хищениях счета, отследить и вернуть средства.
Будем посмотреть, конечно, но тренд мостовых атак в последнее время набирает «промышленные» обороты.
Спустя почти 4 года (Четыре, Карл!!!) после того, как Джеймс Форшоу, исследователь из команды Google Project Zero, опубликовал запись в блоге с подробным описанием нового эксплойта в механизме безопасности Windows Protected Process Light (PPL), Microsoft добавила меры по смягчению этой техники в сборках Windows 10 и Windows 11.
Неаффишированные патчи были обнаружены в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.
Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.
PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.
Наиболее распространенными пользователями PPL были производители антивирусного ПО.
И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.
В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.
В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.
Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.
Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.
Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.
Неаффишированные патчи были обнаружены в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.
Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.
PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.
Наиболее распространенными пользователями PPL были производители антивирусного ПО.
И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.
В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.
В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.
Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.
Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.
Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.
Blogspot
Windows Exploitation Tricks: Exploiting Arbitrary Object Directory Creation for Local Elevation of Privilege
Posted by James Forshaw, Project Zero And we’re back again for another blog in my series on Windows Exploitation tricks. This time I’ll...
VMware выпустила срочный высокоприоритетный патч для устранения уязвимости обхода аутентификации в Workspace ONE Access, Identity Manager и vRealize Automation, которая затрагивает пользователей локального домена.
Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без аутентификации.
CVE-2022-31656 была обнаружена и зарегистрирована PetrusViet (участник VNG Security). Уязвимость имеет предельно высокий рейтинг серьезности VMware (CVSSv3 9,8).
Компании ничего не известно об эксплуатации в реальных условиях, но в дополнительном примечании VMware подтвердила, что эта уязвимость является вариантом ранее исправленной проблемы (VMSA-2022-0014), для которой существует общедоступный PoC.
Последние исправления также закрывают как минимум 9 задокументированных уязвимостей, затрагивающих линейки продуктов VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector и vRealize Automation.
Производитель призывает исправить ошибку без промедления.
Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без аутентификации.
CVE-2022-31656 была обнаружена и зарегистрирована PetrusViet (участник VNG Security). Уязвимость имеет предельно высокий рейтинг серьезности VMware (CVSSv3 9,8).
Компании ничего не известно об эксплуатации в реальных условиях, но в дополнительном примечании VMware подтвердила, что эта уязвимость является вариантом ранее исправленной проблемы (VMSA-2022-0014), для которой существует общедоступный PoC.
Последние исправления также закрывают как минимум 9 задокументированных уязвимостей, затрагивающих линейки продуктов VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector и vRealize Automation.
Производитель призывает исправить ошибку без промедления.
The Cloud Platform Tech Zone
VMSA-2022-0021: Questions & Answers | VMware
VMSA-2022-0021 outlines several security vulnerabilities in Workspace ONE Access and VMware Identity Manager (vIDM). This is a corollary to the VMSA itself with Q&A, links, and additional analysis.
͏Google исправила критическую уязвимость Android, реализующую RCE через Bluetooth.
В последней серии исправлений для ОС Android закрыто три десятка уязвимостей, в том числе критическая CVE-2022-20345, которая затрагивает системный компонент. Он был исправлен обновлениями Android 12 и 12L.
По данным Google, злоумышленнику не требуются дополнительные привилегии выполнения для удаленного выполнения произвольного кода через Bluetooth-атаку.
При этом никаких дополнительных подробностей об уязвимости не приводится.
Всем остальным ошибкам безопасности был присвоен рейтинг высокой степени серьезности. Они влияют на Framework, Media Framework, System, Kernel, Imagination Technologies, MediaTek, Unisoc и компоненты Qualcomm. Многие из них могут привести к повышению привилегий или раскрытию информации.
Исправления для этих недостатков включены в уровни исправлений безопасности «2022-08-01» и «2022-08-05». Технический гигант советует партнерам использовать последний уровень, объединяя все исправления в одном обновлении.
В своих устройствах Pixel Google исправила 40 дыр в безопасности, в том числе четыре критические проблемы с RCE, влияющие на компонент модема. Три уязвимости могут привести к повышению привилегий или раскрытию информации и имеют высокую степень серьезности, остальные — умеренные.
Samsung также выпустила обновления для своих флагманских моделей для ядра Android, а также 20 недостатков, обнаруженных в собственном ПО.
В последней серии исправлений для ОС Android закрыто три десятка уязвимостей, в том числе критическая CVE-2022-20345, которая затрагивает системный компонент. Он был исправлен обновлениями Android 12 и 12L.
По данным Google, злоумышленнику не требуются дополнительные привилегии выполнения для удаленного выполнения произвольного кода через Bluetooth-атаку.
При этом никаких дополнительных подробностей об уязвимости не приводится.
Всем остальным ошибкам безопасности был присвоен рейтинг высокой степени серьезности. Они влияют на Framework, Media Framework, System, Kernel, Imagination Technologies, MediaTek, Unisoc и компоненты Qualcomm. Многие из них могут привести к повышению привилегий или раскрытию информации.
Исправления для этих недостатков включены в уровни исправлений безопасности «2022-08-01» и «2022-08-05». Технический гигант советует партнерам использовать последний уровень, объединяя все исправления в одном обновлении.
В своих устройствах Pixel Google исправила 40 дыр в безопасности, в том числе четыре критические проблемы с RCE, влияющие на компонент модема. Три уязвимости могут привести к повышению привилегий или раскрытию информации и имеют высокую степень серьезности, остальные — умеренные.
Samsung также выпустила обновления для своих флагманских моделей для ядра Android, а также 20 недостатков, обнаруженных в собственном ПО.
Тысячи маршрутизаторов DrayTek могут быть уязвимы и привести ко взлому всей сети.
Тайваньская компания производит маршрутизаторы для малых и домашних офисов (SOHO), широко используемые в Великобритании, Вьетнаме и Тайване, а также в России.
Команда Trellix Threat Labs обнаружила RCE-уязвимость без проверки подлинности, затрагивающую DrayTek Vigor 3910 и еще 28 моделей маршрутизаторов.
Зачастую, такие устройства, как маршрутизатор Vigor 3910, находятся на границе между внутренней и внешней сетями, являясь главной мишенью для киберпреступников.
Удаленный взлом пограничных устройств может привести к полной компрометации устройства, а также к взлому сети и несанкционированному доступу к внутренним ресурсам.
Во ходе исследования ресерчеры обнаружили более 200 000 устройств, на которых уязвимая служба в настоящее время доступна через Интернет, для эксплуатации которой не требуется никакого взаимодействия с пользователем.
При этом многие другие не отображаемые в Shodan устройства, по-прежнему, уязвимы для атаки одним щелчком мыши из локальной сети, что наглядно представлено в демонстрационном ролике.
DrayTek выпустила исправление менее чем через тридцать дней после обнаружения уязвимости. Обновление этих устройств имеет решающее значение в обеспечении безопасности.
Поддерживаем и рекомендуем пользователям установить исправление как можно скорее.
Тайваньская компания производит маршрутизаторы для малых и домашних офисов (SOHO), широко используемые в Великобритании, Вьетнаме и Тайване, а также в России.
Команда Trellix Threat Labs обнаружила RCE-уязвимость без проверки подлинности, затрагивающую DrayTek Vigor 3910 и еще 28 моделей маршрутизаторов.
Зачастую, такие устройства, как маршрутизатор Vigor 3910, находятся на границе между внутренней и внешней сетями, являясь главной мишенью для киберпреступников.
Удаленный взлом пограничных устройств может привести к полной компрометации устройства, а также к взлому сети и несанкционированному доступу к внутренним ресурсам.
Во ходе исследования ресерчеры обнаружили более 200 000 устройств, на которых уязвимая служба в настоящее время доступна через Интернет, для эксплуатации которой не требуется никакого взаимодействия с пользователем.
При этом многие другие не отображаемые в Shodan устройства, по-прежнему, уязвимы для атаки одним щелчком мыши из локальной сети, что наглядно представлено в демонстрационном ролике.
DrayTek выпустила исправление менее чем через тридцать дней после обнаружения уязвимости. Обновление этих устройств имеет решающее значение в обеспечении безопасности.
Поддерживаем и рекомендуем пользователям установить исправление как можно скорее.
Trellix
Unauthenticated Remote Code Execution in a Wide Range of DrayTek Vigor Routers
The Trellix Threat Labs Vulnerability Research team has found an unauthenticated remote code execution vulnerability, filed under CVE-2022-32548 affecting multiple DrayTek routers.
͏Тем временем, как и ожидалось, REvil опубликовали вторую жертву в своем DLS, после нескольких месяцев молчания.
Doosan Group — одна из крупнейших южнокорейских финансово-промышленных групп. Южнокорейская компания занимает 7-е место в мире по выпуску строительной техники, имея 5 дочерних компаний в Корее и 86 зарубежных филиалов в 35 странах мира со штатом более 38.000 сотрудников. Оборот уходит далеко за миллиард.
По словам хакеров, им удалось взломать и пошифровать IT-инфраструктуру компании, а также эксфильтровать 1.6 ТБ конфиденциальной информации.
Уверенный старт и жертвы статусные. Похоже, что REvil набирает свою прежнюю форму.
Doosan Group — одна из крупнейших южнокорейских финансово-промышленных групп. Южнокорейская компания занимает 7-е место в мире по выпуску строительной техники, имея 5 дочерних компаний в Корее и 86 зарубежных филиалов в 35 странах мира со штатом более 38.000 сотрудников. Оборот уходит далеко за миллиард.
По словам хакеров, им удалось взломать и пошифровать IT-инфраструктуру компании, а также эксфильтровать 1.6 ТБ конфиденциальной информации.
Уверенный старт и жертвы статусные. Похоже, что REvil набирает свою прежнюю форму.
Разработчик Стивен Лейси обнаружил [1, 2] широко распространенную атаку вредоносного ПО на GitHub, затронувшую около 35 000 репозиториев программного обеспечения.
Речь идет о клонировании тысяч репозиториев GitHub в рамках нацеливания на ничего не подозревающих разработчиков. Тысячи проектов являются форками известных проектов, таких как crypto, golang, python, js, bash, docker, k8s и др., правда с начинкой в виде бэкдоров.
В анализа одного из них с открытым исходным кодом инженер заметил следующий URL-адрес в коде hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.
При поиске GitHub по этому URL-адресу было найдено более 35 000 результатов, отображающих файлы с вредоносным URL-адресом. При этом более 13 000 результатов поиска соответствовали одному репозиторию под названием redhat-operator-ecosystem, который был оперативно удален с GitHub.
Разработчик Джеймс Такер указал, что клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.
Эксфильтрация переменных среды сама по себе может предоставить злоумышленникам ключи API, токены, учетные данные Amazon AWS и криптографические ключи, где это применимо.
Подавляющее большинство клонированных репозиториев были изменены с помощью вредоносного кода в течение последнего месяца. Тем не менее, были и репозитории с вредоносными коммитами, датированными еще 2015 годом.
GitHub удалил вредоносные клоны со своей платформы после получения отчета инженера. Тем не менее ресерчер Флориан Рот предоставил правила Sigma для обнаружения вредоносного кода в среде.
Разработчикам следует не забывать использовать ПО исключительно из официальных репозиториев и внимательно отслеживать потенциальные опечатки или разветвления репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.
Речь идет о клонировании тысяч репозиториев GitHub в рамках нацеливания на ничего не подозревающих разработчиков. Тысячи проектов являются форками известных проектов, таких как crypto, golang, python, js, bash, docker, k8s и др., правда с начинкой в виде бэкдоров.
В анализа одного из них с открытым исходным кодом инженер заметил следующий URL-адрес в коде hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.
При поиске GitHub по этому URL-адресу было найдено более 35 000 результатов, отображающих файлы с вредоносным URL-адресом. При этом более 13 000 результатов поиска соответствовали одному репозиторию под названием redhat-operator-ecosystem, который был оперативно удален с GitHub.
Разработчик Джеймс Такер указал, что клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.
Эксфильтрация переменных среды сама по себе может предоставить злоумышленникам ключи API, токены, учетные данные Amazon AWS и криптографические ключи, где это применимо.
Подавляющее большинство клонированных репозиториев были изменены с помощью вредоносного кода в течение последнего месяца. Тем не менее, были и репозитории с вредоносными коммитами, датированными еще 2015 годом.
GitHub удалил вредоносные клоны со своей платформы после получения отчета инженера. Тем не менее ресерчер Флориан Рот предоставил правила Sigma для обнаружения вредоносного кода в среде.
Разработчикам следует не забывать использовать ПО исключительно из официальных репозиториев и внимательно отслеживать потенциальные опечатки или разветвления репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.
Twitter
Correction, 35k+ "code hits" on github, not infected repositories.