Последнее китайское предупреждение для клиентов Atlassian.

Разворачивается активная кампания с использованием критической CVE-2022-26138 в в приложении Questions for Confluence, связанной с возможностью использования жестко закодированных данных для получения неограниченного доступа к страницам в Confluence.

В прошлый раз мы уже сообщали об утечке этих данных в даркнет и начале эксплуатации с их использованием непропатченных Confluence Server и Data Center. По данным Atlassian, приложение насчитывает более 8000 установок.

Ошибка затрагивает вопросы для Confluence версий 2.7.34, 2.7.35 и 3.0.2 и была устранена с выпуском версий 2.7.38 (совместимых с Confluence с 6.13.18 по 7.16.2) и 3.0.5 (совместимых с Confluence 7.16.3 и выше).

К настоящему времени Shadowserver и Grey Noise уже фиксируют активное использование уязвимости в дикой природе.

А Rapid7 и вовсе указывают на то, что некоторые атаки были инициированы еще до задолго до того, как Atlassian выпустила свое предупреждение.

Французские СМИ сообщают о задержании ключевого участника хакерской группы ShinyHunters, представленной на RaidForums.

21-летний француз, бывший студент-информатик школы Epitech в Нанси (Мерт-и-Мозель), Себастьен Рауль из Эпиналя был арестован 1 июня.

В день ареста Себастьен, у которого закончилась трехмесячная туристическая виза, собирался вылететь в Брюссель из аэропорта Рабата.

Предъявив паспорт, он был арестован по требованию Интерпола на основании запроса об экстрадиции, поступившего незадолго до вылета из прокуратуры США.

В США ему грозит до 116 лет лишения свободы за киберпреступления.

И не удивительно, достаточно вспомнить атаку на T-Mobile, о которой мы ранее сообщали, в результате которой в даркнет утекли более 70 миллионов записей абонентов.

ShinyHunters также отметились дерзкими нападениями на Mashable, 123RF, Minted, Couchsurfing, Animal Jam и других увесистых жертв.

Помимо Себастьена, который сейчас чалится в камере тюрьмы Тифлет 2 к востоку от Рабата, в запросе фигурируют еще четыре человека, имена которых мы, вероятно, уже совсем скоро узнаем.

Все они, как выясняется, уже несколько месяцев находятся в активной разработке ФБР США.

Ресерчеры Лаборатории Касперского обнаружили атаку на цепочку поставок с использованием вредоносных пакетов npm, нацеленную на пользователей Discord.

Для справки npm - один из самых популярных менеджеров пакетов для JavaScript с более чем 11 миллионами пользователей.

Специалисты заявили, что обнаружили четыре подозрительных пакета в популярном репозитории npm. Кампания, в которой используется вредоносный код Python и JavaScript, получила название LofyLife.

Целью LofyLife, по-видимому, является кража токенов Discord и сведений о данных банковских карт пользователей.

Со слов исследователей Игоря Кузнецова и Леонида Безвершенко вредоносная программа Python представляет собой модифицированную версию регистратора токенов с открытым исходным кодом под названием Volt Stealer.

Он предназначен для кражи токенов Discord с зараженных машин вместе с IP-адресом жертвы и загрузки их через HTTP.

Малварь на JavaScript назвали Lofy Stealer и по мнению исследователей она была создана для заражения клиентских файлов Discord с целью отслеживания действий жертвы.

Lofy Stealer определяет, когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает/отключает многофакторную аутентификацию и добавляет новые способы оплаты, включая полные данные банковской карты.

Собранная информация также загружается на удаленный хост, адрес которого жестко запрограммирован.

Исследователь Гарвуд Панг из Tigera вовсе рассказал, как украденные токены Discord могут быть использованы в последующих фишинговых атаках против друзей и контактов жертв.

LofyLife является очередным примером растущей угрозы для сообщества разработчиков и пользователей, когда разработчики непреднамеренно загружают вредоносное ПО, поскольку они используют пакеты с открытым исходным кодом в работе.

Nozomi Networks обнаружили уязвимость с оценкой CVSS 7,4 в IP-камерах Dahua, которая позволяет полностью контролировать устройства.

CVE-2022-30563 затрагивает реализацию механизма аутентификации WS-UsernameToken Open Network Video Interface Forum (ONVIF) в некоторых IP-камерах Dahua.

Продукты, совместимые с ONVIF, позволяют пользователям выполнять различные действия на удаленном устройстве с помощью набора стандартизированных интерфейсов прикладного программирования (API), включая просмотр видеозаписи с камеры, блокировку или разблокировку умной двери и выполнение операций по обслуживанию.

Уязвимость может быть использована злоумышленниками для компрометации сетевых камер посредством перехвата незашифрованного взаимодействия ONVIF и повторного использования учетных данных в новом запросе к камере, которые будут приняты устройством как действительные аутентифицированные запросы.

Злоумышленники, в частности АРТ, могут быть заинтересованы во взломе IP-камер в рамках шпионских кампаний в отношении оборудования или производственных процессов цели. Информация может обеспечить решение задач по разведке, проводимой до начала кибератаки.

Получив учетные данные, злоумышленник также может добавить учетную запись администратора и использовать ее для получения полного доступа к устройству.

Затронуты следующие версии видеопродуктов Dahua: Dahua ASI7XXX версий до v1.000.0000009.0.R.220620; Dahua IPC-HDBW2XXX версий до v2.820.0000000.48.R.220614; Dahua IPC-HX2XXX версий до v2.820.0000000.48.R.220614.

Производитель устранил проблему, выпустив соответствующее исправление.

Касаемо Почты России имеем сказать следующее.

До нас доходили слухи о весьма оригинальной кадровой политике Почты в области инфосека.

Случившаяся утечка свидетельствует, что слухи скорее всего оказались правдой.

Пора уже давно понять, что практика "...а информационной безопасностью будет рулить вон тот парень, потому что он пиздатый" в госорганах и госкорпорациях ни к чему хорошему не приведет. Особенно на фоне происходящих кибервойн.

И вообще, несмотря на общее слово в терминах "информационная безопасность" и "безопасность" в традиционном смысле (физическая, экономическая и т.д.) - это две достаточно далекие друг от друга сферы человеческой деятельности.

Как в анекдоте про "сливочную", в которой не сливки делали, а говно сливали.

Alphv, также известные как BlackCat, атаковали энергетическую компанию Creos Luxembourg, под управлением контрой находится электросеть и газопровод герцогства.

На прошлой неделе системы компании подверглись кибератаке.

И несмотря на то, что атака не повлияла на подачу электроэнергии и газа, IT-инфраструктура компании была выведена из строя. Клиентские порталы Creos и Enovos все еще лежат.

Как отметил, Бретт Кэллоу, аналитик из Emsisoft, Alphv разместила Creos Luxembourg на сайте DLS.

Злоумышленники утверждают, что украли более 150 ГБ файлов, включая контракты, соглашения, паспорта, счета и электронные письма.

Повторить инцидент своих предшественников BlackMatter, связанный с атакой на Colonial Pipeline, который привел к сбоям в поставок энергоносителей в США, Alphv не удалось, но в условиях наступающего энергокризиса определенно должно вызывать тревогу у их европейских коллег.

Китайская инфосек-компания Rising выпустила бесплатную утилиту дешифрования ransomware SafeSound.

Малварь распространяется через игровые плагины, такие как Cross Fire и Jedi Survival. Зашифрованным файлам присваивается расширение SafeSound.

Программа-вымогатель использует RC4 для шифрования файлов, а ключи также шифруются с использованием других симметричных алгоритмов.

После шифрования файлов на диске размещается исполняемая программа Antidote.exe, котоарая включает заметку о выкупе и предоставленный SafeSound Ransomware дешифратор. Переговоры о выкупе реализуются через WeChat.

Инструмент расшифровки написан на python3 и предоставляет исполняемую программу EXE. Дешифратор расшифрует и восстановит зараженные файлы, создав новый расшифрованный файл (без удаления зашифрованного вирусом файла).

Поскольку ключ не передается по сети и хранится локально, его можно расшифровать с помощью дешифратора SafeSound, предоставленного Rising.

Важно, что после заражения пользователям не рекомендуется удалять или восстанавливать систему для обеспечения сохранности локальной среды, ведь изменения могут привести к потере файла локального ключа.

После запуска инструмента расшифровки он автоматически ведет поиск файл ключа в каталоге C:\Windows\Temp и, если он будет найден, напрямую расшифровывает файл ключа. В противном случае - он может быть импортирован вручную из записки о выкупе.

🥷Хакеры "Adrastea" заявили о взломе ведущего европейского разработчика и производителя ракетных систем 🚀MBDA

На хакерском форуме Ex***t появилась информация о том, что пользователь под ником "Adrastea" заявил о взломе MBDA, хакерам удалось скачать около 60 Гб. По словам злоумышленников, загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов:

"Здравствуйте! Мы "Адрастея" - группа независимых специалистов и исследователей в области кибербезопасности. Мы обнаружили критические уязвимости в инфраструктуре сетей и получили доступ к файлам и конфиденциальным данным компании.

В настоящее время объем скачанных данных составляет около 60 Гб. Загруженные данные содержат закрытую информацию о сотрудниках компаний, принимавших участие в разработке закрытых военных проектов MBDA (PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT и др.) и о коммерческой деятельности в интересах Министерства обороны Европейского Союза (конструкторская документация ПВО, ракетных систем и систем береговой защиты, чертежи, презентации, видео и фото (3D) материалы, контрактные соглашения и переписка с другими компаниями Rampini Carlo, Netcomgroup, Rafael, Thales, ST Electronics и др.) "

📱В качестве пруфа хакеры выложили скриншоты чертежей, внутренние фотографии и ссылку на "демо". 💰Цену за утечку хакеры решили обсуждать с потенциальным покупателем индивидуально.

👆Является ли утечка реальной - неизвестно.

Volexity уже более года наблюдают, как северокорейская APT Kimsuki использует вредоносное расширение браузера для Google Chrome, Microsoft Edge и Naver Whale для кражи электронной корреспонденции в рамках продолжающейся шпионской кампании.

Расширение, получившее название Sharpext, поддерживает кражу данных как из Gmail, так и из веб-почты AOL, активно развивается и применялось в целевых атаках.

При этом Volexity убеждены, что злоумышленник смог успешно украсть тысячи электронных писем от нескольких жертв посредством развертывания вредоносного ПО.

Расширение развертывается вручную на ранее скомпрометированных системах и требует от злоумышленника заменить файлы настроек браузера модифицированными.

Процесс развертывания Sharpext очень индивидуален, поскольку злоумышленник должен сначала получить доступ к исходному файлу настроек безопасности браузера жертвы.

Затем этот файл модифицируется и используется для вредоносного расширения. В каждом случае создавалась отдельная папка для зараженного пользователя, содержащая необходимые файлы для расширения.

Сценарий PowerShell используется для остановки процесса браузера, чтобы включить эксфильтрацию необходимых файлов. После развертывания расширения другая оболочка PowerShell позволяет DevTools проверять содержимое вкладки, к которой обращается пользователь, и извлекать интересующие данные.

Поскольку само расширение не содержит явного вредоносного кода, оно не обнаруживается антивирусными решениями, как отмечает Volexity. Расширение также позволяет злоумышленникам динамически обновлять свой код, не переустанавливая его на зараженную машину.

Sharpext поддерживает списки адресов электронной почты, которые следует игнорировать, ранее украденные электронные письма и вложения, а также отслеживаемые вкладки, чтобы избежать повторной кражи одних и тех же данных. Он также мониторит за доменами, которые посещает жертва.

Похищая данные электронной почты в контексте уже вошедшего в систему сеанса пользователя, атака скрыта от поставщика услуг электронной почты, что делает обнаружение очень сложным. Поэтому и подозрительная активность не будет учтена на странице состояния активности электронной почты пользователя.

В целом, SharpTongue реализует выделение людей, работающих в организациях в США, Европе и Южной Корее, которые работают над темами, связанными с Северной Кореей, ядерными проблемами, системами вооружений и другими вопросами, представляющими стратегический интерес для Северной Кореи.

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.

Операторы вредоносного ПО Gootkit, работающие по схеме Access-as-a-Service (AaaS), вновь возвращаются на этот раз с обновленной тактикой для компрометации целевых систем.

Trend Micro сообщают, что если в прошлом Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, то теперь в ход пошли юридические документы в качестве приманки для загрузки файлов.

Выводы основаны на предыдущем отчете eSentire: в январе сообщалось о широко распространенных атаках, направленных на сотрудников бухгалтерских и юридических фирм с целью развертывания вредоносных программ на зараженных системах.

Gootkit является частью растущей подпольной экосистемы брокеров доступа, которые, как известно, предоставляют другим злоумышленникам доступ к корпоративным сетям за определенную плату, прокладывая путь для реальных вредоносных атак, таких как ransomware.

Известно, что Gootkit использует безфайловые методы для доставки таких угроз, как SunCrypt и REvil (Sodinokibi), трояны Kronos и Cobalt Strike.

Цепочка атак начинается с того, что пользователь ищет определенную информацию в поисковой системе. Злоумышленники используют технику черного SEO, чтобы отобразить в результатах поиска сайт, скомпрометированный операторами Gootkit.

Он представлен как онлайн-форум, непосредственно отвечающий на его запрос. На этом форуме был размещен ZIP-архив, содержащий вредоносный файл .js, который используется для обеспечения персистентности и размещения двоичного файла Cobalt Strike в памяти зараженной системы.

ZIP-файл, со своей стороны, включает в себя файл JavaScript, который загружает двоичный файл Cobalt Strike, инструмент, используемый для действий после эксплуатации, который запускается непосредственно в памяти без файлов.

Двоичный файл Cobalt Strike, загруженный непосредственно в память системы жертвы, обращается к IP-адресу 89[.]238[.]185[.]13, который выступает в качестве Cobalt Strike C2.

По результатам исследований, ресерчеры полагают, что Gootkit Loader все еще активно разрабатывается и совершенствует свои методы.

Пользователи, вероятно, столкнутся с Gootkit в последующих кампаниях, и вполне вероятно, что он будет использовать новые средства отлова жертв.

Кросс-чейн мост Nomad подвергся взлому, в результате которого были с платформы украдены практически все средства общей стоимостью около $190 млн. На 11:00 мск 2 августа на проекте осталось всего лишь около $11 тыс.

Nomad, как и другие межсетевые мосты, позволяет пользователям отправлять и получать токены между сетями Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda.

Недавнее обновление одного из смарт-контрактов Nomad упростило пользователям подделку транзакций, что фактически позволяло пользователям снимать деньги с моста даже без знания Solidity или Merkle Trees.

В отличие от некоторых мостовых атак, где за эксплойтом стоит один преступник, атака Nomad была общедоступной для всех. Все, что нужно было сделать, это найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать его.

Украденные средства были направлены на 41 адрес, среди которых аналитики обнаружили 7 адресов ботов, 6 адресов, принадлежащих «белым» хакерам и адрес злоумышленника, участвовавшего во взломе RariCapital в конце апреля.

Команда Nomad признала инцидент и инициировала расследование совместно с правоохранительными органами и инфосек-компаниями. Администрация платформы работает над разрешением ситуации в надежде идентифицировать задействованные в хищениях счета, отследить и вернуть средства.

Будем посмотреть, конечно, но тренд мостовых атак в последнее время набирает «промышленные» обороты.

Спустя почти 4 года (Четыре, Карл!!!) после того, как Джеймс Форшоу, исследователь из команды Google Project Zero, опубликовал запись в блоге  с подробным описанием нового эксплойта в механизме безопасности Windows Protected Process Light (PPL), Microsoft добавила меры по смягчению этой техники в сборках Windows 10 и Windows 11.

Неаффишированные патчи были обнаружены  в прошлом месяце пользователем GitHub и подтверждены в течение недели Клементом Лабро, французским пентестером и автором PPLdump, инструмента, который использует и автоматизирует атаки PPL с использованием техники Forshaw 2018 года.

Добавленные в Windows 8.1 в середине 2013 года, PPLпредставляют собой особый класс процессов, которые защищены и не могут быть изменены обычными процессами Windows, даже если эти процессы выполняются с правами SYSTEM/administrator. Только другие PPL или PP (защищенные процессы) могут взаимодействовать с PPL.

PPL вместе с PP выступали способом защиты служб Windows и даже сторонних приложений, обрабатывающих конфиденциальные операции. Для статуса PPL необходима регистрация в Microsoft, аутентификация и авторизация, после чего можно использовать специальный драйвер ELAM, который предоставляет процессу статус PPL.

Наиболее распространенными пользователями PPL были производители антивирусного ПО.

И PP, и PPL защищали свои процессы, загружая только файлы DLL, которые были подписаны соответствующим образом и из небольшого списка местоположений на диске, при этом PPL также разрешалось загружать DLL из расположения кэша памяти, известного как KnownDlls.

В 2018 году Форшоу обнаружил, что существует способ злоупотребления механизмом загрузки, позволяя не-PPL создавать дамп памяти процессов PPL и открывая дверь для захвата PPL злоумышленником.

В то время как Microsoft выпустила исправление в то время, инструмент PPLdump использовал другие способы исполнения первоначальной техники — вплоть до этого месяца.

Хотя это, безусловно, хорошая новость, но не следует исключать возможности поиска новых способов атаки на механизм безопасности Microsoft PPL.

Ресерчеры уже указывают на то, что есть пара других вариантов, которые, вероятно, все еще можно использовать для потенциальных атак.

Но, и в этом случае для Microsoft - это не новость, ведь выпуск патча на патч - это их рутинная работа.

Общеобразовательная минутка на канале SecAtor

VMware выпустила срочный высокоприоритетный патч для устранения уязвимости обхода аутентификации в Workspace ONE Access, Identity Manager и vRealize Automation, которая затрагивает пользователей локального домена.

Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без аутентификации.

CVE-2022-31656 была обнаружена и зарегистрирована PetrusViet (участник VNG Security). Уязвимость имеет предельно высокий рейтинг серьезности VMware (CVSSv3 9,8).

Компании ничего не известно об эксплуатации в реальных условиях, но в дополнительном примечании VMware подтвердила, что эта уязвимость является вариантом ранее исправленной проблемы (VMSA-2022-0014), для которой существует общедоступный PoC.

Последние исправления также закрывают как минимум 9 задокументированных уязвимостей, затрагивающих линейки продуктов VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector и vRealize Automation.

Производитель призывает исправить ошибку без промедления.

͏Google исправила критическую уязвимость Android, реализующую RCE через Bluetooth.

В последней серии исправлений для ОС Android закрыто три десятка уязвимостей, в том числе критическая CVE-2022-20345, которая затрагивает системный компонент. Он был исправлен обновлениями Android 12 и 12L.

По данным Google, злоумышленнику не требуются дополнительные привилегии выполнения для удаленного выполнения произвольного кода через Bluetooth-атаку.

При этом никаких дополнительных подробностей об уязвимости не приводится.

Всем остальным ошибкам безопасности был присвоен рейтинг высокой степени серьезности. Они влияют на Framework, Media Framework, System, Kernel, Imagination Technologies, MediaTek, Unisoc и компоненты Qualcomm. Многие из них могут привести к повышению привилегий или раскрытию информации.

Исправления для этих недостатков включены в уровни исправлений безопасности «2022-08-01» и «2022-08-05». Технический гигант советует партнерам использовать последний уровень, объединяя все исправления в одном обновлении.

В своих устройствах Pixel Google исправила 40 дыр в безопасности, в том числе четыре критические проблемы с RCE, влияющие на компонент модема. Три уязвимости могут привести к повышению привилегий или раскрытию информации и имеют высокую степень серьезности, остальные — умеренные.

Samsung также выпустила обновления для своих флагманских моделей для ядра Android, а также 20 недостатков, обнаруженных в собственном ПО.

Тысячи маршрутизаторов DrayTek могут быть уязвимы и привести ко взлому всей сети.

Тайваньская компания производит маршрутизаторы для малых и домашних офисов (SOHO), широко используемые в Великобритании, Вьетнаме и Тайване, а также в России.

Команда Trellix Threat Labs обнаружила RCE-уязвимость без проверки подлинности, затрагивающую DrayTek Vigor 3910 и еще 28 моделей маршрутизаторов.

Зачастую, такие устройства, как маршрутизатор Vigor 3910, находятся на границе между внутренней и внешней сетями, являясь главной мишенью для киберпреступников.

Удаленный взлом пограничных устройств может привести к полной компрометации устройства, а также к взлому сети и несанкционированному доступу к внутренним ресурсам.

Во ходе исследования ресерчеры обнаружили более 200 000 устройств, на которых уязвимая служба в настоящее время доступна через Интернет, для эксплуатации которой не требуется никакого взаимодействия с пользователем.

При этом многие другие не отображаемые в Shodan устройства, по-прежнему, уязвимы для атаки одним щелчком мыши из локальной сети, что наглядно представлено в демонстрационном ролике.

DrayTek выпустила исправление менее чем через тридцать дней после обнаружения уязвимости. Обновление этих устройств имеет решающее значение в обеспечении безопасности.

Поддерживаем и рекомендуем пользователям установить исправление как можно скорее.

͏Тем временем, как и ожидалось, REvil опубликовали вторую жертву в своем DLS, после нескольких месяцев молчания.

Doosan Group — одна из крупнейших южнокорейских финансово-промышленных групп. Южнокорейская компания занимает 7-е место в мире по выпуску строительной техники, имея 5 дочерних компаний в Корее и 86 зарубежных филиалов в 35 странах мира со штатом более 38.000 сотрудников. Оборот уходит далеко за миллиард.

По словам хакеров, им удалось взломать и пошифровать IT-инфраструктуру компании, а также эксфильтровать 1.6 ТБ конфиденциальной информации.

Уверенный старт и жертвы статусные. Похоже, что REvil набирает свою прежнюю форму.

Разработчик Стивен Лейси обнаружил [1, 2] широко распространенную атаку вредоносного ПО на GitHub, затронувшую около 35 000 репозиториев программного обеспечения.

Речь идет о клонировании тысяч репозиториев GitHub в рамках нацеливания на ничего не подозревающих разработчиков. Тысячи проектов являются форками известных проектов, таких как crypto, golang, python, js, bash, docker, k8s и др., правда с начинкой в виде бэкдоров.

В анализа одного из них с открытым исходным кодом инженер заметил следующий URL-адрес в коде hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru.

При поиске GitHub по этому URL-адресу было найдено более 35 000 результатов, отображающих файлы с вредоносным URL-адресом. При этом более 13 000 результатов поиска соответствовали одному репозиторию под названием redhat-operator-ecosystem, который был оперативно удален с GitHub.

Разработчик Джеймс Такер указал, что клонированные репозитории, содержащие вредоносный URL-адрес, не только извлекают переменные среды пользователя, но и дополнительно содержат однострочный бэкдор.

Эксфильтрация переменных среды сама по себе может предоставить злоумышленникам ключи API, токены, учетные данные Amazon AWS и криптографические ключи, где это применимо.

Подавляющее большинство клонированных репозиториев были изменены с помощью вредоносного кода в течение последнего месяца. Тем не менее, были и репозитории с вредоносными коммитами, датированными еще 2015 годом.

GitHub удалил вредоносные клоны со своей платформы после получения отчета инженера. Тем не менее ресерчер Флориан Рот предоставил правила Sigma для обнаружения вредоносного кода в среде.

Разработчикам следует не забывать использовать ПО исключительно из официальных репозиториев и внимательно отслеживать потенциальные опечатки или разветвления репозитория, которые могут казаться идентичными исходному проекту, но скрывать вредоносное ПО.

Минутка информационного противоборства на канале SecAtor.

СБУ заявила, что накрыла банду, управлявшую огромной сетью в миллион ботов, использовавшейся для проведения информационно-пропагандистских акций против руководства Украины, а также с целью дестабилизации общественно-политической ситуации в стране.

Самом собой, как говорит СБУ, за этой бот-сетью стояли российские спецслужбы. Правда базировалась она в Киеве, Харькове и Виннице.

Сначала мы не поняли причину столь странного выбора места размещения, а потом ка-а-ак поняли! Это произошло в результате диверсии - российским спецслужбам поменяли глобус Земли на глобус Украины! Поэтому куда-бы не тыкали пальцем генералы, всяко попадали в украинские города.

А если серьезно, то СБУ занимается "под шумок" зачисткой внутриполитического пространства, поскольку одним из руководителей банды объявлен действующий депутат "из окружения бывшего руководства страны". Но лакирует это все под борьбу с злокозненными действиями России, а раз так, то и "госизмену" прицепить можно.

"А какое отношение это имеет к информационной безопасности?" - спросят подписчики. Мы тоже так думали, но увидели данную новость на нескольких ведущих инфосек-СМИ. Видимо имеет 🤔

Cisco в среду выпустила исправления для устранения 8 уязвимостей в системе безопасности, 3 из которых могут быть использованы злоумышленником, не прошедшим проверку подлинности, для RCE или вызова состояния DoS на уязвимых устройствах.

Наиболее критическая ошибка затрагивает маршрутизаторы Cisco Small Business серий RV160, RV260, RV340 и RV345.

Отслеживается как CVE-2022-20842 с оценкой CVSS: 9,8. Проблема связана с недостаточной проверкой вводимых пользователем данных в веб-интерфейсе управления устройствами.

Согласно бюллетеня, злоумышленник может воспользоваться этой уязвимостью, отправив созданный HTTP-вход на уязвимое устройство. спешный эксплойт может позволить злоумышленнику выполнить произвольный код от имени пользователя root в базовой операционной системе или вызвать перезагрузку устройства, что приведет к состоянию DoS.

Две другие ошибки CVE-2022-20827 (оценка CVSS: 9,0) и CVE-2022-20841 (оценка CVSS: 8,0) связаны с проблемами внедрения команд в функции обновления базы данных веб-фильтра маршрутизаторов и модуле Open Plug-n-Play (PnP) соответственно.

Первая из них может быть использована злоумышленником для внедрения и выполнения произвольных команд в базовой операционной системе с root-правами, другой же можно злоупотреблять, отправляя вредоносный ввод для достижения выполнение кода на целевом хосте Linux.

Чтобы воспользоваться этой уязвимостью, злоумышленник должен реализовать MiTM или закрепиться на определенном сетевом устройстве, подключенном к уязвимому маршрутизатору.

Cisco также исправила пять ошибкой средней степени серьезности, затрагивающих Webex Meetings, Identity Services Engine, Unified Communications Manager, а также платформу доставки приложений BroadWorks.

Компания не представила дополнительных обходных путей для устранения проблем, отметив отсутствие доказательств эксплуатации уязвимостей в дикой природе.

Тем не менее, клиентам рекомендуется оперативно применить доступные обновления.