Ресерчеры Zscaler ThreatLabz сообщили о новой кампании пакистанской APT-36 (ака Transparent Tribe, Operation C-Major и Mythic Leopard), нацеленной на индийские правительственные организации.

Хакеры злоупотребляют рекламой Google с целью распространения бэкдор-версий MFA-приложений Kavach.

АРТ была также замечена в проведении ограниченных фишинговых атак, маскируясь под официальные веб-сайты правительства Индии.

Злоумышленник не в первый раз таргетируется под Kavach - двухфакторную аутентификацию, которая по требованию правительства Индии обязательна доступа к службам электронной почты в доменах @gov.in и @nic.in.

Ранее в марте этого года ресечеры Cisco Talos уже наблюдали поддельные установщики Windows для Kavach в качестве приманки для заражения правительственных служащих с помощью CrimsonRAT и других артефактов.

В новой кампании использовалась уже проверенная тактика.

Злоумышленник зарегистрировал несколько новых доменов для размещения веб-страниц, замаскированных под официальный портал Kavach, а также использовал Google Ads для их продвижения в топ выдачи поисковика среди пользователей Индии по ключевым словам.

В среднем злоумышленник продвигал каждый веб-сайт в течение одного месяца, прежде чем переходить к следующему.

Кроме того, с мая 2022 года Transparent Tribe распространяет ПО Kavach с бэкдором через подконтрольные маркетплейсы приложений.

Причем они также занимают первые строчки в результатах поиска Google. Одним из таких примеров является магазин acmarketsapp[.]com.

Этот магазин приложений используется в качестве шлюза для перенаправления пользователей на домены, зарегистрированные злоумышленниками, на которых размещены версии приложения Kavach с бэкдором.

Ресерчеры отметили, что начиная с августа 2022 года, APT-36 усовершенствовала свои TTP, включив новые методы распространения и новые инструменты.

Пополнением в арсенале стал ранее недокументированный инструмент для эксфильтрации данных LimePad. Он распространяется как приложение на основе Python, упакованное в файл VHDX.

Основная цель этого нового инструмента — постоянно загружать любой новый интересующий файл с машины жертвы на сервер злоумышленника.

Он синхронизирует эту операцию по краже файлов между компьютером жертвы и сервером злоумышленника, поддерживая локальную пользовательскую базу данных SQLite.

Использование рекламы Google и LimePad указывает на последовательные попытки злоумышленника развивать и совершенствовать свой функционал.

APT-36 продолжает оставаться одной из самых активных угроз, нацеленных на индийский сегмент.

Microsoft выкатился с новым 114-страничным отчетом о цифровой защите.

Технический гигант констатирует сокращение времени между объявлением об уязвимости и превращением ее в «товар», сетуя на всплеск атак с использованием 0-day со стороны криминальных киберструктур и АРТ для взлома целевых сред.

По мнению микромягких, виновниками такого положения дел следует считать Китай, принявший в 2021 году новое положение об отчетности об уязвимостях.

Оно определяет приоритет в информировании об ошибках госрегулятора до того, как они были переданы разработчикам продукта, что приведет к более широкому задействованию 0-day в шпионаже.

Перечитав отчет дважды, так и не нашли ничего про упоминание утечки Lost in Translation, в ходе которой была слита куча данных американской хакерской группы Equation, работающей под АНБ США, включая и эксплойты, а Microsoft молча устраняла уязвимости, не присваивая плашки CVE.

А что нашли - так это одни двойные стандарты.

В США раскрыли личность хакера-миллиардер, укравшего 50 000 биткойнов с Silk Road, действовавшей в период с с 2011 по 2013 год и насчитывавшей более 100 000 участников.

Минюст штатов объявил об осуждении хакера Джеймса Чжуна, который посредством обнаружения и эксплуатации ошибки обработки вывода в системе транзакций в сентябре 2012 смог вывести внушительную сумму крипты с даркнет-площадки.

Чжун профинансировал девять разных счетов с первоначальным депозитом от 200 до 2000 биткойнов, а затем быстро инициировал 140 транзакций снятия средств. Хакер воспользовался задержкой в системе транзакций на рынке, что позволило кому-то несколько раз вывести свое условное депонирование.

Таким образом, Чжун обманом заставил систему выпустить 50 000 биткойнов, которые он затем перевел на разные кошельки, чтобы скрыть следы.

В ходе расследования хакер признал себя виновным в преступлениях по отмыванию денег, что и легко в основу обвинения, а силовикам удалось изъять 51 351,9 биткойнов на сумму более 3,3 миллиарда долларов в ноябре 2021 года.

В течение почти десяти лет таинственное исчезновение криптоактивов оставалось загадкой, но благодаря современным методам отслеживания криптовалюты в совокупности с хорошей оперской работой правоохранителям удалось найти все ответы и самого виновника.

Вооружившись ордером на обыск, силовики 9 ноября 2021 года обнаружили в доме Чжуна:

- 50 491 биткойн, спрятанный в сейфе на подземном этаже и на одноплатном компьютере, погруженном под одеяла в жестяную банку для попкорна в туалете;
- 11.12 биткойн;
- 661 900 долларов наличными;
- 25 монет Casascius стоимостью 174 биткойна;
- 4 серебряных слитка по 1 унции;
- 4 серебряных слитка по 10 унций;
- 3 золотых слитка по 1 унции;
- 1 золотую монету.

Кроме того, у хакера конфисковали почти все имущество, в том числе вложения в недвижимость и дополнительные цифровые активы, не связанные с уголовным производством.

В марте 2022 года Чжун добровольно сдал властям еще 825,4 биткойна, а в мае 2022 года — еще 35,5.

Приговор хакеру-миллиардеру будет оглашен 22 февраля 2023 года, при этом за мошенничество с использованием электронных средств ему грозит до 20 лет тюремного заключения.

Мяса в Канаде не будет. По крайней мере в ближайшей перспективе.

В воскресенье у Maple Leaf Foods произошел сбой после кибератаки на выходных.

Maple Leaf Foods — крупнейший в Канаде производитель мясных полуфабрикатов и продуктов из птицы, располагающий 21 производственным предприятием, на котором работает 14 000 человек. В 2021 году объем продаж фирмы составил 3,3 миллиарда долларов.

Компания подтвердила киберинцидент, который привел к сбоям в работе предприятий. В настоящее время специалисты работают с экспертами по кибербезопасности и восстановлению, чтобы разрешить ситуацию как можно скорее, но им еще только предстоит определить все обстоятельства случившегося.

Maple Leaf Foods выполняет свои планы обеспечения непрерывности бизнеса, работая над восстановлением пострадавших систем, однако ожидается, что на полное устранение последствий инцидента потребуется время, что приведет к проблемам с поставками и обслуживанием клиентов.

Компания заявляет, что продолжит работу с клиентами и партнерами, чтобы свести к минимуму перебои с поставками продуктов питания на канадском рынке.

По всей видимости, компания стала жертвой ransomware, однако ни одна из групп еще не заявила о причастности к атаке.

Будем посмотреть.

Разгорается новый шпионский скандал с участием бывших оперативников ЦРУ.

Согласно сообщениям швейцарских СМИ, официальные лица Катара организовали крупномасштабную и длительную разведывательную операцию в отношении официальных лиц FIFA, задействовав для этого бывших оперативников ЦРУ в преддверии FIFA 2022.

При этом в кибершпионаж были вовлечены высшие эшелоны правительства Катара, а сама кампания была нацелена на критиков как внутри FIFA, так и за ее пределами.

Масштабы шпионской деятельности были значительны. Только одно из мероприятий включало развертывание не менее 66 оперативников в течение девяти лет. Бюджет составил 387 миллионов долларов, а география атак охватывала пять континентов.

На прошлой неделе ФБР инициировало расследование в отношении Кевина Чалкера, бывшего агента ЦРУ, основателя и генерального директора Global Risk Advisors, компании, которая помогла правительству Катара проводить эту операцию.

Тем временем в Греции шпионские баталии все никак не прекращаются.

В воскресенье греческая газета
Согласно сообщопубликовала список из 33 имен, которые, по их утверждению, были атакованы и заражены шпионским ПО Predator в рамках незаконного наблюдения, проводимого по заказу правительства Греции во главе с премьер-министром Кириакосом Мицотакисом.

В список вошли государственные чиновники, журналисты и местные бизнесмены, а также четыре уже известных человека. Самый топ в списке — Никос Дендиас, нынешний министр иностранных дел Греции и член правящей партии «Новая демократия».

Рынок коммерческого кибершпионажа переживает глобальный передел.

Ресерчеры Sentinel Labs сообщают о начавшемся с середины 2022 года значительном диверсификации и расширении инфраструктуры SocGholish для размещения вредоносного ПО.

SocGholish — это платформа на основе JavaScript, которую злоумышленники используют для получения первоначального доступа к системам, начиная с 2017 года.

Операторы SocGholish реализуют социальную инженерию для заражения систем, обманом заставляя пользователей запускать вредоносную полезную нагрузку JavaScript, которая маскируется под обновление системы или ПО, например критическое обновление браузера.

В недавних кампаниях операторы SocGholish заражали законные веб-сайты, внедряя механизм «драйв-загрузка», который запускает полезную нагрузку через сервер второго уровня.

Последним ярким примером является заражение веб-ресурсов медиакомпании, используемых несколькими крупными новостными агентствами.

Причем операторы SocGholish заражают сайты для установления первоначальных точек контакта с жертвами почти в «промышленных» объемах: с начала года сообщается о более чем 25000 новых зараженных веб-сайтов.

После получения доступа через SocGholish злоумышленники проводят: разведку систем и сети, установление постоянства и развертывание дополнительных инструментов и вредоносных ПО, включяя инструменты для удаленного доступа Cobalt Strike и NetSupport, ransomware, такие как WastedLocker, которые приписываются EvilCorp.

В ходе недавних атак операторы SocGholish заражали законные веб-сайты, внедряя в них вредоносный код JavaScript, который загружает другой скрипт с сервера второго уровня, запускающий загрузку полезной нагрузки SocGholish, которая, в свою очередь, маскируется под обновление.

Ресерчеры заметили, что с середины 2022 года операторы SocGholish начали вводить новые серверы второго уровня с гораздо большей скоростью, чем раньше — в среднем 18 серверов в месяц, показав увеличение на 334% по сравнению с первым полугодием.

Большинство новых серверов были расположены в Европе, причем Нидерланды, Великобритания и Франция возглавляют список, а 28 из 73 серверов размещены в Нидерландах.

Новые сервера серьезно усиливают возможности SocGholish по противодействию защитным решениям, прежде всего в плане обхода черных списков.

При этом многие из серверов размещены в теневых поддоменах, созданных посредством теневого копирования, что позволяет операторам SocGholish злоупотреблять репутацией скомпрометированных доменов и затруднять их обнаружение.

SocGholish становится все более серьезной угрозой, что подчеркивает важность регулярного аудита состояния безопасности и целостности серверов, веб-сайтов и записей DNS для обнаружения и защиты от заражения и теневого копирования.

Хакеры, называющие себя Justice Blade или если переводить дословно - Клинок правосудия взяли на себя ответственность за взлом крупного ИТ-вендора Smart Link BPO Solutions.

Как известно, Smart Link BPO Solutions оказывает услуги ИТ-аутсорсинга, то есть занимается обслуживанием ИТ-инфраструктуры для ряда крупных корпораций и государственных учреждений в Королевстве Саудовская Аравия и некоторых других странах Персидского залива.

Компания является бизнес-подразделением Al Khaleej Training and Education Group, которая в 2012 году была включена в список Forbes Middle East 2012, как одна из 100 самых влиятельных компаний в регионе.

По заявлению хакеров, они украли большой объем данных, включая записи CRM, личную информацию, сообщения электронной почты, контракты и учетные данные. Как известно, Justice Blade создали канал в Telegram, где публикуют информацию об утечке.

Судя по опубликованным злоумышленником скриншотам и видео, инцидент мог произойти в результате целенаправленного вторжения в сеть, затрагивающего Active Directory и внутренние приложения и службы.

Также хакеры вложили скриншоты активных сеансов RDP и Office 365 между компаниями, а также список пользователей, которые могут быть связаны с FlyNas (авиакомпаниями) и SAMACares (финансовая служба, управляемая Центральным банком Саудовской Аравии), где насчитывается более 100 тысяч записей.

По мнению специалистов из Resecurity, Inc. (США), которая обеспечивает безопасность крупных компании из списка Fortune 500, утечка может стать одним из наиболее серьезных инцидентов, связанных с цепочкой поставок, в Саудовской Аравии из-за агрегации между корпоративным и государственным секторами.

Злоумышленники могут использовать украденные данные для нападения на компании и других заинтересованных лиц.

Также эксперты упомянули, что несколько утекших учеток Smart Link BPO Solutions ранее были обнаружены в даркнете и на различных теневых площадках в TOR, что возможно помогло Justice Blade в проведении успешной кибератаки.

Объявление об атаке началось с уничтожения веб-сайта компании 2 ноября, но ранее, 30 октября, жертва якобы обнаружила активность Metasploit Framework, который был развернут злоумышленником после взлома.

По имеющимся данным, скомпрометированная учетная запись принадлежала сотруднику и, вероятно, использовалась для проведения атаки.

Доказательств того, что нападение было финансово мотивировано, нет, так как требования выкупа не последовало.

Эксперты считают, что Justice Blade являются идеологически мотивированной хакерской группой, нацеленной на Саудовскую Аравию, так как она ранее уже публиковала на своем веб-сайте фотографии чиновников и утечки данных.

Правоохранительные органы уже расследуют инцидент и пытаются определить весь масштаб инцидента и его последствий.

͏Google выпустила ноябрьские обновления безопасности для Android с исправлением более 40 уязвимостей, в том числе связанных с повышением привилегий высокой степени серьезности.

Первый уровень обновлений включает исправления для 17 ошибок, 12 из которых могут привести к эскалации привилегий (EoP), 3 — к отказу в обслуживании (DoS) и 2 - к раскрытию информации.

Все уязвимости имеют высокую степень серьезности и затрагивают Android 10 и более новые версии. За исключением одной ошибки, все они также влияют на Android 13.

Согласно бюллетеню Google, наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.

Интернет-гигант также упоминает две дополнительные баги, которые устраняются в рамках обновлений системы Google Play, а именно CVE-2022-2209 (влияет на компоненты Media Framework) и CVE-2022-20463 (влияет на Wi-Fi).

Вторая часть обновления Android устраняет 26 других проблем (1 - критическая и 25 - серьезных) в компонентах Imagination Technologies, MediaTek, Unisoc и Qualcomm.

Дополнительный патч для пяти уязвимостей за ноябрь 2022 года предназначается для устройств Pixel. К ним относятся две ошибки высокой степени серьезности в чипе Titan M и три ошибки средней степени серьезности в компонентах Qualcomm с закрытым исходным кодом.

Citrix предупреждает клиентов об установке последних обновлений безопасности для устранения критических уязвимостей в Citrix ADC и Citrix Gateway.

Оба продукта широко используются организациями по всему миру. Уязвимости страгивают текущую и предыдущие версии Gateway и ADC.

Citrix Gateway — это служба SSL VPN, обеспечивающая удаленный доступ с возможностями управления идентификацией и доступом, развернутая в облаке или на локальных серверах, а ADC — это решение для балансировки нагрузки для облачных приложений, обеспечивающее непрерывную доступность и оптимальную производительность.

В бюллетене Citrix указано, что проблемам подвержены только работающие в качестве шлюза (использующие функции SSL VPN или развернутые в качестве прокси-сервера ICA с включенной аутентификацией) устройства.

Уязвимости могут позволить злоумышленникам получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту от грубой силы входа в систему.

Среди них следующие:

- CVE-2022-27510: ошибка обхода проверки подлинности критической серьезности с использованием альтернативного пути или канала, может быть использована только в том случае, если устройство настроено как VPN (шлюз).

- CVE-2022-27513: недостаточная проверка подлинности данных, позволяющая получить доступ к удаленному рабочему столу с помощью фишинга. Уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) и настроена функция прокси-сервера RDP.

- CVE-2022-27516: сбой механизма защиты от брута при входе в систему, что позволяет обойти его. Эту уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) или виртуальный сервер AAA с конфигурацией максимального количества попыток входа.

Пользователям, самостоятельно управляющим устройствами Citrix, необходимо как можно скорее выполнить обновление до последней доступной версии.

Клиентам, использующим Citrix для облачных служб управления, не нужно предпринимать никаких действий, поскольку поставщик уже применил обновления.

Обратите внимание, что информация о версиях продуктов до 12.1, срок службы которых истек, недоступна, поэтому клиентам, все еще использующим эти версии, рекомендуется предварительно выполнить обновление до поддерживаемого выпуска.

VMware исправила три критические ошибки обхода аутентификации в инструменте удаленного доступа Workspace ONE Assist.

Workspace ONE Assist обеспечивает дистанционное управление, совместное использование экрана, управление файловой системой и удаленное выполнение команд из консоли.

Проблемы отслеживаются как CVE-2022-31685 (обход аутентификации), CVE-2022-31686 (неверный метод аутентификации) и CVE-2022-31687 (неверный контроль аутентификации) и получили базовые оценки CVSSv3 9,8/10.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в несложных атаках, не требующих взаимодействия с пользователем для повышения привилегий.

Таким образом, пользователь с сетевым доступом к Workspace ONE Assist может получить административный доступ без необходимости аутентификации в приложении.

Кроме того, VMware устранила и другую XSS-уязвимость CVE-2022-31688, которая позволяет злоумышленникам внедрять код javascript в окно целевого пользователя, а также уязвимость фиксации сеанса (CVE-2022-31689), позволяющую пройти аутентификацию после получения действительный токен сеанса.

Все ошибки были обнаружены и переданы в VMware Джаспером Вестерманом, Яном ван дер Путом, Яником де Патером и Хармом Бланкерсом из REQON IT-Security.

Все проблемы затрагивают версии 21.x и 22.x VMware Workspace ONE Assist и были устранены в версии 22.10.

Компания также заявила, что не существует обходных путей, устраняющих недостатки.

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

͏Австралийская медицинская страховая компания Medibank пошла на принцип и отказалась от выплаты выкупа вымогателям, в результате чего личные данные 9,7 миллионов ее нынешних и бывших клиентов утекли в сеть.

Ставшая одной из крупнейших по объему утечка включает полные установочные и контактные данные, а также медицинская информация, включающая коды диагнозов и перечни выполненных услуг.

Так, например слиты и записи с кодом: p_diag: F122, которые соответствует «зависимости от каннабиса» по международной классификации болезней ВОЗ.

При этом финансовая информация и сведения об удостоверяющих личность документах остались не тронутыми.

Пикантности инциденту придает и наличие в утечке вип-персон и международных клиентов: в числе клиентов Medibank был и премьер-министр Энтони Альбанезе.

Он уже высказал беспокойство, что часть этой информации была опубликована, а сам инцидент является «тревожным звонком» для корпоративного сектора Австралии.

Кроме того, обиженные неконструктивной позицией жертвы хакеры за 24 часа до публикации данных призвали акционеров избавляться от акции Medibank.

В итоге нарушение продавило рыночную стоимость Medibank на сотни миллионов долларов, а цена акций компании упала более чем на 20 процентов, с момента когда впервые появились новости об утечке.

Сумму выкупа публично не озвучена, как и ответственная за взлом группа. Однако утекшие данные были размещены на теневом портале, связанным с REvil, которая как известно возобновила свою деятельность с мая этого года.

Теперь же австралийцы достаточно серьезны озабочены проблемами защиты персональных данных и намерены кратно повысить санкции за нарушения со стороны ответственных за их безопасность операторов.

Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.

А в России тем временем, как сообщают наши авторитетные коллеги из Утечки информации, вчера злоумышленник, причастный к ранним резонансным «сливам» Tele2, Почты России, GeekBrains, Delivery Club, Tutu и др., выложил в открытый доступ данные пользователей сервиса коротких видео Yappy.media.

В общем-то, все что, нужно знать о защите персданных в отечественных компаниях - читатели канала уже и так уже знают, повторяться не будем 👇

Siemens и Schneider Electric выпустили бюллетени исправлений за ноябрь 2022 года.

При этом Siemens выпустила 9 новых бюллетеней по безопасности, охватывающих в общей сложности 30 уязвимостей, а Schneider опубликовала только один новый бюллетень.

Из девяти бюллетеней Siemens три описывают критические уязвимости. В устройствах измерения мощности Sicam Q100 были обнаружены четыре уязвимости — одна с высокой степенью серьезности и три критические. Они могут позволить злоумышленнику перехватить пользовательские сеансы, вывести устройство из строя или RCE.

Устройства Scalance W1750D имеют более дюжины уязвимостей, в том числе многие из них имеют рейтинг «критических», которые могут позволить злоумышленнику RCE или вызвать состояние DoS.

Исправления недоступны, но поставщик предоставил некоторые средства для устранения. Компания указала, что точка доступа представляет собой фирменное устройство производства Aruba Networks, которая объявила о выпуске исправлений еще в конце сентября.

В последнем бюллетене Siemens, касающемся критической уязвимости, описывается слабая защита ключа в продуктах Sinumerik.

Уязвимости высокой степени серьезности также были исправлены в продуктах Teamcenter Visualization и JT2Go (RCE и DoS), Parasolid (RCE) и QMS Automotive (раскрытие учетных данных).

В устройствах Ruggedcom ROS, промышленных контроллерах и системе управления сетью Sinec были обнаружены недостатки средней степени серьезности.

Кроме того, между этим и предыдущим вторником исправлений Siemens опубликовала бюллетень, описывающий критическую уязвимость обхода аутентификации, затрагивающую мобильные серверы Siveillance Video.

Schneider Electric опубликована только один новый бюллетень.

Он охватывает три уязвимости, из-за которых мониторы безопасности и среды NetBotz подвергаются атакам межсайтового скриптинга (XSS), захвату учетных записей и кликджекингу.

Французский промышленный гигант выпустил патчи.

Lenovo исправила две серьезные уязвимости, затрагивающие различные модели ноутбуков ThinkBook, IdeaPad и Yoga, которые могут позволить злоумышленнику деактивировать UEFI Secure Boot.

UEFI Secure Boot — это система защиты, гарантирующая блокировку выполнения вредоносного кода в процессе загрузки компьютера.

В противном случае злоумышленники могут обойти все средства защиты и внедрить вредоносное ПО, сохраняющееся даже в случае переустановки ОС.

Проблема связана с тем, что Lenovo по ошибке включила драйвер ранней разработки, который мог изменить параметры безопасной загрузки из ОС в окончательных производственных версиях.

Присутствие этих драйверов в нескольких продуктах Lenovo было обнаружено исследователями ESET, которые и сообщили об этом поставщику.

ESET пояснила, что уязвимости можно использовать, просто создавая специальные переменные NVRAM, ссылаясь в Твиттере на Николая Шлея, который объяснил, почему разработчики прошивки UEFI не должны использовать NVRAM в качестве надежного хранилища.

По итогу Lenovo исправила следующие уязвимости:

- CVE-2022-3430: уязвимость в драйвере настройки WMI на некоторых потребительских ноутбуках Lenovo может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

- CVE-2022-3431: уязвимость в драйвере, используемом в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

Существует также третья уязвимость аналогичного характера, отслеживаемая как CVE-2022-3432 и затрагивающая только Ideapad Y700-14ISK. Однако производитель не намерен устранять ее, поскольку срок службы уязвимого продукта истек (EOL).

Пользователям Lenovo рекомендуется сверить свои устройства со списком уязвимых моделей, представленных в бюллетене безопасности поставщика, при необходимости произвести обновление прошивки.

Продолжаются тектонические сдвиги в сфере коммерческого шпионского ПО.

Google Project Zero раскрыл подробности о трех 0-day в девайсах Samsung, которые использовались поставщиком шпионского ПО для третированных атак и наблюдения.

CVE-2021-25337, CVE-2021-25369 и CVE-2021-25370 были объединены разработчиками шпионского софта и нацелены на телефоны Android с пользовательскими компонентами Samsung.

Уязвимости относятся к ошибкам чтения/записи произвольного файла через пользовательский поставщик контента буфера обмена, утечки информации ядра и использования после освобождения в драйвере процессора дисплея.

Все три уязвимости затрагивают пользовательские компоненты производителя, а не относятся к платформе AOSP или ядру Linux.

При этом 2 из 3 уязвимостей связаны с логикой и дизайном, а не с безопасностью памяти.

Исследователи Google так и не смогли определить приложение, используемое для доставки эксплойта, или конечную полезную нагрузку, развернутую злоумышленником.

Однако они установили, что уязвимости использовались для записи вредоносного файла на целевое устройство, обхода механизмов безопасности и получения доступа к ядру для чтения и записи.

Google сообщил об уязвимостях Samsung в конце 2020 года, когда обнаружил образцы эксплойтов. Технический гигант выпустил исправления в марте 2021 года.

По данным Google, версии ядра, на которые был нацелен эксплойт, работали на смартфонах Samsung S10, A50 и A51 в конце 2020 года, а сам эксплойт был разработан неназванным поставщиком шпионского ПО.

При этом Google отметил, что механизм первоначального выполнения кода через приложение был аналогичен другим кампаниям, в том числе нацеленной на смартфоны Apple и Android пользователей Италии и Казахстане и связанной с итальянской компанией RCS Lab.

Google также известно о некоторых других уязвимостях Samsung с идентификаторами CVE 2021 года, которые использовались в атаках, но подробности пока не разглашаются.

Project Zero отметил, что в бюллетенях Samsung по-прежнему не упоминается использование этих уязвимостей в реальных условиях.

Вместе с тем, поставщик пообещал, что в будущем будет предупреждать клиентов об обнаружении злонамеренной эксплуатации.

Когда-нибудь, обязательно.

Ресерчеры команды Team82 из Claroty обнаружили уязвимость высокой степени серьезности в популярной компьютерной системе шведско-швейцарскоого гиганта по производству электрооборудования ABB, широко используемого крупными нефтегазовыми компаниями по всему миру.

Ошибка затрагивает компьютеры контроля расхода ABB - устройства, которые рассчитывают объемы и лимиты нефти и газа.

Расходомеры имеют решающее значение для обеспечения безопасности критических объектов, но также играют важную роль для расчетов за услуги.

Обнаруженная CVE-2022-0902 имеет оценку CVSS v3 8,1 из 10 и затрагивает ABB RMC-100 (Standard), RMC-100-LITE, XIO, XFCG5, XRCG5, uFLOG5 и UDC.

Claroty объясняют, что злоумышленники могут использовать эту уязвимость для получения root-доступа к компьютеру потока ABB, чтения и записи файлов и удаленного выполнения кода.

Расходомеры считывают необработанные данные с подключенных датчиков, которые измеряют объем вещества несколькими способами, в зависимости от того, газ или жидкость измеряются.

Эксплуатация уязвимости позволит злоумышленнику захватить контроль над расходными компьютерами и удаленно нарушить их точность измерения значения параметра, что прямым образом повлияет на финансовые расчеты и обслуживание клиентов.

Нарушение работы расходомеров — это тонкий вектор атаки, который может аналогичным образом повлиять не только на ИТ-системы, но и на OT-системы, как это было при инциденте на Colonial Pipeline в прошлом году.

Представитель ABB подтвердил, что компании известно о частных сообщениях об уязвимости в версиях продуктов расходомера и пульта дистанционного управления, перечисленных в вышедшем бюллетене от 14 июля 2022 года.

Уязвимость была недавно была исправлена с выпуском обновления микроПО от ABB. При этом смягчение может быть достигнуто путем надлежащей сегментации сети.

​🔖 Подборка полезной информации и ресурсов. Часть 13.

🖖🏻 Приветствую тебя user_name.

• 13 часть подборок полезного материала, благодаря этой информации ты можешь прокачать свои навыки в нужной для тебя категории и получить полезные знания — бесплатно. Обязательно ознакомься с каждой частью, в любой из ссылок представленных ниже, ты можешь найти ТЫСЯЧИ полезных ресурсов, инструментов, книг, курсов, статей и т.д.

• Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • Часть 8 • Часть 9 • Часть 10 • Часть 11 • Часть 12.

• Полезный материал для изучения Reverse Engineering и анализа вредоносных программ. Большинство репо уже давно не обновлялись, однако можно найти полезную информацию для обучения. Особенно будет полезно новичкам:
- https://github.com/ytisf/theZoo
- https://github.com/secrary/SSMA
- https://github.com/merces/aleph
- https://github.com/nheijmans/malzoo
- https://github.com/topics/malware-analys
- https://github.com/mentebinaria/retoolkit
- https://github.com/topics/reverse-engineering
- https://github.com/arxlan786/Malware-Analysis
- https://github.com/SpiderLabs/malware-analysis
- https://github.com/wtsxDev/reverse-engineering
- https://github.com/tylerha97/awesome-reversing
- https://github.com/NationalSecurityAgency/ghidra
- https://github.com/rshipp/awesome-malware-analysis
- https://github.com/hax0rtahm1d/Reverse-Engineering
- https://github.com/mytechnotalent/Reverse-Engineering
- https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
- https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
- https://github.com/Apress/malware-analysis-detection-engineering

• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
https://github.com/decalage2/awesome-security-hardening

• Advanced SQL Injection Cheatsheet. Шпаргалка по разным типам SQL-инъекций, которая содержит информацию способах обхода WAF, поиске точек входа, обнаружения уязвимостей и многое другое:
https://github.com/kleiton0x00/Advanced-SQL-Injection-Cheatsheet

• Список разнообразных полезных сервисов для обеспечения приватности и безопасности в сети:
https://github.com/Igglybuff/awesome-piracy

• Awesome Bluetooth Security. Данный репо содержит информацию по безопасности Bluetooth BR/EDR/LE или Mesh. Очень много полезного материала:
https://github.com/engn33r/awesome-bluetooth-security

• Bug Bounty Tools. Коллекция инструментов для багхантеров, разбитая по категориям:
https://github.com/vavkamil/awesome-bugbounty-tools

• https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления.

@S.E. #ИБ #Подборка

Веб-технологии прогрессируют и ориентированы большинстве своем на облегчение жизнь конечному потребителю, но далеко не всегда ноу-хау применяются по назначению.

Так, например, протокол IPFS (InterPlanetary File System) для децентрализованного хранения и доступа к контенту стал мощным оружием в руках злоумышленников.

IPFS представляет собой одноранговую распределённую файловую систему, которая соединяет все вычислительные устройства единой системой файлов.

Исследователи Cisco Talos сообщили, что обнаружили множество вредоносных кампаний, использующих IPFS для размещения фишинговых ссылок с полезной нагрузкой и вредоносным ПО.

Для злоумышленников IPFS стала хорошей альтернативой абузоустойчивого хостинг-провайдера и серьезно усложняет работу антивирусных средств, так как IPFS часто используется в легитимных целях.

Сложность состоит в том, что URL-адрес целевого файла — это хэш содержимого, а не определение местоположения сервера. Файлы вводятся в систему, а затем автоматически копируются на несколько узлов.

Физическое расположение узлов неизвестно пользователю, поскольку файл извлекается по хэшу содержимого, а не по IP-адресу.

Привлекательность для злоумышленников очевидна: нет необходимости заморачиваться с хранением вредоносного ПО, а их узлы IPFS нельзя отключить так же, как можно отключить сервера по IP.

Специалисты из Talos в своем отчете рекомендуют организациям ознакомиться с этими новыми технологиями и с тем, как они используются злоумышленниками для защиты от новых методов, которые их используют.

Пренебрегать рекомендациями не стоит, так как за последние месяцы исследователи неоднократно били тревогу, когда IPFS становился очагом киберпреступности.

Например, только в июле компания SpiderLabs за три месяца выявила более 3000 электронных писем с фишинговыми URL-адресами в IPFS. Они эмулировали страницы входа в Microsoft Outlook, домены Google и службы облачного хранения, такие как Filebase.io и nftstorage.link.

Злоумышленники также активно используют одноранговую сеть для распространения вредоносных полезных нагрузок.

В ходе одной из кампаний, за которой наблюдали исследователи Talos, злоумышленник отправлял жертвам фишинговое электронное письмо с вложением ZIP, содержащим дроппер в виде исполняемого файла PE32.

При запуске загрузчик обращался к шлюзу IPFS и извлекал полезную нагрузку второго уровня, размещенную в той же одноранговой сети.

Цепочка атак заканчивалась тем, что в систему жертвы попал троянец удаленного доступа Agent Tesla.

Кроме того, исследователи обнаружили в узлах IPFS вредоносный инструмент Hannabi Grabber, ворующий информацию и очищающий диск.

Специалисты предупреждают, что новая тенденция только набирает обороты, организациям следует четко понимать, какое место занимают новые технологии на современном ландшафте угроз.