Мяса в Канаде не будет. По крайней мере в ближайшей перспективе.

В воскресенье у Maple Leaf Foods произошел сбой после кибератаки на выходных.

Maple Leaf Foods — крупнейший в Канаде производитель мясных полуфабрикатов и продуктов из птицы, располагающий 21 производственным предприятием, на котором работает 14 000 человек. В 2021 году объем продаж фирмы составил 3,3 миллиарда долларов.

Компания подтвердила киберинцидент, который привел к сбоям в работе предприятий. В настоящее время специалисты работают с экспертами по кибербезопасности и восстановлению, чтобы разрешить ситуацию как можно скорее, но им еще только предстоит определить все обстоятельства случившегося.

Maple Leaf Foods выполняет свои планы обеспечения непрерывности бизнеса, работая над восстановлением пострадавших систем, однако ожидается, что на полное устранение последствий инцидента потребуется время, что приведет к проблемам с поставками и обслуживанием клиентов.

Компания заявляет, что продолжит работу с клиентами и партнерами, чтобы свести к минимуму перебои с поставками продуктов питания на канадском рынке.

По всей видимости, компания стала жертвой ransomware, однако ни одна из групп еще не заявила о причастности к атаке.

Будем посмотреть.

Разгорается новый шпионский скандал с участием бывших оперативников ЦРУ.

Согласно сообщениям швейцарских СМИ, официальные лица Катара организовали крупномасштабную и длительную разведывательную операцию в отношении официальных лиц FIFA, задействовав для этого бывших оперативников ЦРУ в преддверии FIFA 2022.

При этом в кибершпионаж были вовлечены высшие эшелоны правительства Катара, а сама кампания была нацелена на критиков как внутри FIFA, так и за ее пределами.

Масштабы шпионской деятельности были значительны. Только одно из мероприятий включало развертывание не менее 66 оперативников в течение девяти лет. Бюджет составил 387 миллионов долларов, а география атак охватывала пять континентов.

На прошлой неделе ФБР инициировало расследование в отношении Кевина Чалкера, бывшего агента ЦРУ, основателя и генерального директора Global Risk Advisors, компании, которая помогла правительству Катара проводить эту операцию.

Тем временем в Греции шпионские баталии все никак не прекращаются.

В воскресенье греческая газета
Согласно сообщопубликовала список из 33 имен, которые, по их утверждению, были атакованы и заражены шпионским ПО Predator в рамках незаконного наблюдения, проводимого по заказу правительства Греции во главе с премьер-министром Кириакосом Мицотакисом.

В список вошли государственные чиновники, журналисты и местные бизнесмены, а также четыре уже известных человека. Самый топ в списке — Никос Дендиас, нынешний министр иностранных дел Греции и член правящей партии «Новая демократия».

Рынок коммерческого кибершпионажа переживает глобальный передел.

Ресерчеры Sentinel Labs сообщают о начавшемся с середины 2022 года значительном диверсификации и расширении инфраструктуры SocGholish для размещения вредоносного ПО.

SocGholish — это платформа на основе JavaScript, которую злоумышленники используют для получения первоначального доступа к системам, начиная с 2017 года.

Операторы SocGholish реализуют социальную инженерию для заражения систем, обманом заставляя пользователей запускать вредоносную полезную нагрузку JavaScript, которая маскируется под обновление системы или ПО, например критическое обновление браузера.

В недавних кампаниях операторы SocGholish заражали законные веб-сайты, внедряя механизм «драйв-загрузка», который запускает полезную нагрузку через сервер второго уровня.

Последним ярким примером является заражение веб-ресурсов медиакомпании, используемых несколькими крупными новостными агентствами.

Причем операторы SocGholish заражают сайты для установления первоначальных точек контакта с жертвами почти в «промышленных» объемах: с начала года сообщается о более чем 25000 новых зараженных веб-сайтов.

После получения доступа через SocGholish злоумышленники проводят: разведку систем и сети, установление постоянства и развертывание дополнительных инструментов и вредоносных ПО, включяя инструменты для удаленного доступа Cobalt Strike и NetSupport, ransomware, такие как WastedLocker, которые приписываются EvilCorp.

В ходе недавних атак операторы SocGholish заражали законные веб-сайты, внедряя в них вредоносный код JavaScript, который загружает другой скрипт с сервера второго уровня, запускающий загрузку полезной нагрузки SocGholish, которая, в свою очередь, маскируется под обновление.

Ресерчеры заметили, что с середины 2022 года операторы SocGholish начали вводить новые серверы второго уровня с гораздо большей скоростью, чем раньше — в среднем 18 серверов в месяц, показав увеличение на 334% по сравнению с первым полугодием.

Большинство новых серверов были расположены в Европе, причем Нидерланды, Великобритания и Франция возглавляют список, а 28 из 73 серверов размещены в Нидерландах.

Новые сервера серьезно усиливают возможности SocGholish по противодействию защитным решениям, прежде всего в плане обхода черных списков.

При этом многие из серверов размещены в теневых поддоменах, созданных посредством теневого копирования, что позволяет операторам SocGholish злоупотреблять репутацией скомпрометированных доменов и затруднять их обнаружение.

SocGholish становится все более серьезной угрозой, что подчеркивает важность регулярного аудита состояния безопасности и целостности серверов, веб-сайтов и записей DNS для обнаружения и защиты от заражения и теневого копирования.

Хакеры, называющие себя Justice Blade или если переводить дословно - Клинок правосудия взяли на себя ответственность за взлом крупного ИТ-вендора Smart Link BPO Solutions.

Как известно, Smart Link BPO Solutions оказывает услуги ИТ-аутсорсинга, то есть занимается обслуживанием ИТ-инфраструктуры для ряда крупных корпораций и государственных учреждений в Королевстве Саудовская Аравия и некоторых других странах Персидского залива.

Компания является бизнес-подразделением Al Khaleej Training and Education Group, которая в 2012 году была включена в список Forbes Middle East 2012, как одна из 100 самых влиятельных компаний в регионе.

По заявлению хакеров, они украли большой объем данных, включая записи CRM, личную информацию, сообщения электронной почты, контракты и учетные данные. Как известно, Justice Blade создали канал в Telegram, где публикуют информацию об утечке.

Судя по опубликованным злоумышленником скриншотам и видео, инцидент мог произойти в результате целенаправленного вторжения в сеть, затрагивающего Active Directory и внутренние приложения и службы.

Также хакеры вложили скриншоты активных сеансов RDP и Office 365 между компаниями, а также список пользователей, которые могут быть связаны с FlyNas (авиакомпаниями) и SAMACares (финансовая служба, управляемая Центральным банком Саудовской Аравии), где насчитывается более 100 тысяч записей.

По мнению специалистов из Resecurity, Inc. (США), которая обеспечивает безопасность крупных компании из списка Fortune 500, утечка может стать одним из наиболее серьезных инцидентов, связанных с цепочкой поставок, в Саудовской Аравии из-за агрегации между корпоративным и государственным секторами.

Злоумышленники могут использовать украденные данные для нападения на компании и других заинтересованных лиц.

Также эксперты упомянули, что несколько утекших учеток Smart Link BPO Solutions ранее были обнаружены в даркнете и на различных теневых площадках в TOR, что возможно помогло Justice Blade в проведении успешной кибератаки.

Объявление об атаке началось с уничтожения веб-сайта компании 2 ноября, но ранее, 30 октября, жертва якобы обнаружила активность Metasploit Framework, который был развернут злоумышленником после взлома.

По имеющимся данным, скомпрометированная учетная запись принадлежала сотруднику и, вероятно, использовалась для проведения атаки.

Доказательств того, что нападение было финансово мотивировано, нет, так как требования выкупа не последовало.

Эксперты считают, что Justice Blade являются идеологически мотивированной хакерской группой, нацеленной на Саудовскую Аравию, так как она ранее уже публиковала на своем веб-сайте фотографии чиновников и утечки данных.

Правоохранительные органы уже расследуют инцидент и пытаются определить весь масштаб инцидента и его последствий.

͏Google выпустила ноябрьские обновления безопасности для Android с исправлением более 40 уязвимостей, в том числе связанных с повышением привилегий высокой степени серьезности.

Первый уровень обновлений включает исправления для 17 ошибок, 12 из которых могут привести к эскалации привилегий (EoP), 3 — к отказу в обслуживании (DoS) и 2 - к раскрытию информации.

Все уязвимости имеют высокую степень серьезности и затрагивают Android 10 и более новые версии. За исключением одной ошибки, все они также влияют на Android 13.

Согласно бюллетеню Google, наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.

Интернет-гигант также упоминает две дополнительные баги, которые устраняются в рамках обновлений системы Google Play, а именно CVE-2022-2209 (влияет на компоненты Media Framework) и CVE-2022-20463 (влияет на Wi-Fi).

Вторая часть обновления Android устраняет 26 других проблем (1 - критическая и 25 - серьезных) в компонентах Imagination Technologies, MediaTek, Unisoc и Qualcomm.

Дополнительный патч для пяти уязвимостей за ноябрь 2022 года предназначается для устройств Pixel. К ним относятся две ошибки высокой степени серьезности в чипе Titan M и три ошибки средней степени серьезности в компонентах Qualcomm с закрытым исходным кодом.

Citrix предупреждает клиентов об установке последних обновлений безопасности для устранения критических уязвимостей в Citrix ADC и Citrix Gateway.

Оба продукта широко используются организациями по всему миру. Уязвимости страгивают текущую и предыдущие версии Gateway и ADC.

Citrix Gateway — это служба SSL VPN, обеспечивающая удаленный доступ с возможностями управления идентификацией и доступом, развернутая в облаке или на локальных серверах, а ADC — это решение для балансировки нагрузки для облачных приложений, обеспечивающее непрерывную доступность и оптимальную производительность.

В бюллетене Citrix указано, что проблемам подвержены только работающие в качестве шлюза (использующие функции SSL VPN или развернутые в качестве прокси-сервера ICA с включенной аутентификацией) устройства.

Уязвимости могут позволить злоумышленникам получить несанкционированный доступ к устройству, выполнить захват удаленного рабочего стола или обойти защиту от грубой силы входа в систему.

Среди них следующие:

- CVE-2022-27510: ошибка обхода проверки подлинности критической серьезности с использованием альтернативного пути или канала, может быть использована только в том случае, если устройство настроено как VPN (шлюз).

- CVE-2022-27513: недостаточная проверка подлинности данных, позволяющая получить доступ к удаленному рабочему столу с помощью фишинга. Уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) и настроена функция прокси-сервера RDP.

- CVE-2022-27516: сбой механизма защиты от брута при входе в систему, что позволяет обойти его. Эту уязвимость можно использовать только в том случае, если устройство настроено как VPN (шлюз) или виртуальный сервер AAA с конфигурацией максимального количества попыток входа.

Пользователям, самостоятельно управляющим устройствами Citrix, необходимо как можно скорее выполнить обновление до последней доступной версии.

Клиентам, использующим Citrix для облачных служб управления, не нужно предпринимать никаких действий, поскольку поставщик уже применил обновления.

Обратите внимание, что информация о версиях продуктов до 12.1, срок службы которых истек, недоступна, поэтому клиентам, все еще использующим эти версии, рекомендуется предварительно выполнить обновление до поддерживаемого выпуска.

VMware исправила три критические ошибки обхода аутентификации в инструменте удаленного доступа Workspace ONE Assist.

Workspace ONE Assist обеспечивает дистанционное управление, совместное использование экрана, управление файловой системой и удаленное выполнение команд из консоли.

Проблемы отслеживаются как CVE-2022-31685 (обход аутентификации), CVE-2022-31686 (неверный метод аутентификации) и CVE-2022-31687 (неверный контроль аутентификации) и получили базовые оценки CVSSv3 9,8/10.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в несложных атаках, не требующих взаимодействия с пользователем для повышения привилегий.

Таким образом, пользователь с сетевым доступом к Workspace ONE Assist может получить административный доступ без необходимости аутентификации в приложении.

Кроме того, VMware устранила и другую XSS-уязвимость CVE-2022-31688, которая позволяет злоумышленникам внедрять код javascript в окно целевого пользователя, а также уязвимость фиксации сеанса (CVE-2022-31689), позволяющую пройти аутентификацию после получения действительный токен сеанса.

Все ошибки были обнаружены и переданы в VMware Джаспером Вестерманом, Яном ван дер Путом, Яником де Патером и Хармом Бланкерсом из REQON IT-Security.

Все проблемы затрагивают версии 21.x и 22.x VMware Workspace ONE Assist и были устранены в версии 22.10.

Компания также заявила, что не существует обходных путей, устраняющих недостатки.

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

͏Австралийская медицинская страховая компания Medibank пошла на принцип и отказалась от выплаты выкупа вымогателям, в результате чего личные данные 9,7 миллионов ее нынешних и бывших клиентов утекли в сеть.

Ставшая одной из крупнейших по объему утечка включает полные установочные и контактные данные, а также медицинская информация, включающая коды диагнозов и перечни выполненных услуг.

Так, например слиты и записи с кодом: p_diag: F122, которые соответствует «зависимости от каннабиса» по международной классификации болезней ВОЗ.

При этом финансовая информация и сведения об удостоверяющих личность документах остались не тронутыми.

Пикантности инциденту придает и наличие в утечке вип-персон и международных клиентов: в числе клиентов Medibank был и премьер-министр Энтони Альбанезе.

Он уже высказал беспокойство, что часть этой информации была опубликована, а сам инцидент является «тревожным звонком» для корпоративного сектора Австралии.

Кроме того, обиженные неконструктивной позицией жертвы хакеры за 24 часа до публикации данных призвали акционеров избавляться от акции Medibank.

В итоге нарушение продавило рыночную стоимость Medibank на сотни миллионов долларов, а цена акций компании упала более чем на 20 процентов, с момента когда впервые появились новости об утечке.

Сумму выкупа публично не озвучена, как и ответственная за взлом группа. Однако утекшие данные были размещены на теневом портале, связанным с REvil, которая как известно возобновила свою деятельность с мая этого года.

Теперь же австралийцы достаточно серьезны озабочены проблемами защиты персональных данных и намерены кратно повысить санкции за нарушения со стороны ответственных за их безопасность операторов.

Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.

А в России тем временем, как сообщают наши авторитетные коллеги из Утечки информации, вчера злоумышленник, причастный к ранним резонансным «сливам» Tele2, Почты России, GeekBrains, Delivery Club, Tutu и др., выложил в открытый доступ данные пользователей сервиса коротких видео Yappy.media.

В общем-то, все что, нужно знать о защите персданных в отечественных компаниях - читатели канала уже и так уже знают, повторяться не будем 👇

Siemens и Schneider Electric выпустили бюллетени исправлений за ноябрь 2022 года.

При этом Siemens выпустила 9 новых бюллетеней по безопасности, охватывающих в общей сложности 30 уязвимостей, а Schneider опубликовала только один новый бюллетень.

Из девяти бюллетеней Siemens три описывают критические уязвимости. В устройствах измерения мощности Sicam Q100 были обнаружены четыре уязвимости — одна с высокой степенью серьезности и три критические. Они могут позволить злоумышленнику перехватить пользовательские сеансы, вывести устройство из строя или RCE.

Устройства Scalance W1750D имеют более дюжины уязвимостей, в том числе многие из них имеют рейтинг «критических», которые могут позволить злоумышленнику RCE или вызвать состояние DoS.

Исправления недоступны, но поставщик предоставил некоторые средства для устранения. Компания указала, что точка доступа представляет собой фирменное устройство производства Aruba Networks, которая объявила о выпуске исправлений еще в конце сентября.

В последнем бюллетене Siemens, касающемся критической уязвимости, описывается слабая защита ключа в продуктах Sinumerik.

Уязвимости высокой степени серьезности также были исправлены в продуктах Teamcenter Visualization и JT2Go (RCE и DoS), Parasolid (RCE) и QMS Automotive (раскрытие учетных данных).

В устройствах Ruggedcom ROS, промышленных контроллерах и системе управления сетью Sinec были обнаружены недостатки средней степени серьезности.

Кроме того, между этим и предыдущим вторником исправлений Siemens опубликовала бюллетень, описывающий критическую уязвимость обхода аутентификации, затрагивающую мобильные серверы Siveillance Video.

Schneider Electric опубликована только один новый бюллетень.

Он охватывает три уязвимости, из-за которых мониторы безопасности и среды NetBotz подвергаются атакам межсайтового скриптинга (XSS), захвату учетных записей и кликджекингу.

Французский промышленный гигант выпустил патчи.

Lenovo исправила две серьезные уязвимости, затрагивающие различные модели ноутбуков ThinkBook, IdeaPad и Yoga, которые могут позволить злоумышленнику деактивировать UEFI Secure Boot.

UEFI Secure Boot — это система защиты, гарантирующая блокировку выполнения вредоносного кода в процессе загрузки компьютера.

В противном случае злоумышленники могут обойти все средства защиты и внедрить вредоносное ПО, сохраняющееся даже в случае переустановки ОС.

Проблема связана с тем, что Lenovo по ошибке включила драйвер ранней разработки, который мог изменить параметры безопасной загрузки из ОС в окончательных производственных версиях.

Присутствие этих драйверов в нескольких продуктах Lenovo было обнаружено исследователями ESET, которые и сообщили об этом поставщику.

ESET пояснила, что уязвимости можно использовать, просто создавая специальные переменные NVRAM, ссылаясь в Твиттере на Николая Шлея, который объяснил, почему разработчики прошивки UEFI не должны использовать NVRAM в качестве надежного хранилища.

По итогу Lenovo исправила следующие уязвимости:

- CVE-2022-3430: уязвимость в драйвере настройки WMI на некоторых потребительских ноутбуках Lenovo может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

- CVE-2022-3431: уязвимость в драйвере, используемом в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

Существует также третья уязвимость аналогичного характера, отслеживаемая как CVE-2022-3432 и затрагивающая только Ideapad Y700-14ISK. Однако производитель не намерен устранять ее, поскольку срок службы уязвимого продукта истек (EOL).

Пользователям Lenovo рекомендуется сверить свои устройства со списком уязвимых моделей, представленных в бюллетене безопасности поставщика, при необходимости произвести обновление прошивки.

Продолжаются тектонические сдвиги в сфере коммерческого шпионского ПО.

Google Project Zero раскрыл подробности о трех 0-day в девайсах Samsung, которые использовались поставщиком шпионского ПО для третированных атак и наблюдения.

CVE-2021-25337, CVE-2021-25369 и CVE-2021-25370 были объединены разработчиками шпионского софта и нацелены на телефоны Android с пользовательскими компонентами Samsung.

Уязвимости относятся к ошибкам чтения/записи произвольного файла через пользовательский поставщик контента буфера обмена, утечки информации ядра и использования после освобождения в драйвере процессора дисплея.

Все три уязвимости затрагивают пользовательские компоненты производителя, а не относятся к платформе AOSP или ядру Linux.

При этом 2 из 3 уязвимостей связаны с логикой и дизайном, а не с безопасностью памяти.

Исследователи Google так и не смогли определить приложение, используемое для доставки эксплойта, или конечную полезную нагрузку, развернутую злоумышленником.

Однако они установили, что уязвимости использовались для записи вредоносного файла на целевое устройство, обхода механизмов безопасности и получения доступа к ядру для чтения и записи.

Google сообщил об уязвимостях Samsung в конце 2020 года, когда обнаружил образцы эксплойтов. Технический гигант выпустил исправления в марте 2021 года.

По данным Google, версии ядра, на которые был нацелен эксплойт, работали на смартфонах Samsung S10, A50 и A51 в конце 2020 года, а сам эксплойт был разработан неназванным поставщиком шпионского ПО.

При этом Google отметил, что механизм первоначального выполнения кода через приложение был аналогичен другим кампаниям, в том числе нацеленной на смартфоны Apple и Android пользователей Италии и Казахстане и связанной с итальянской компанией RCS Lab.

Google также известно о некоторых других уязвимостях Samsung с идентификаторами CVE 2021 года, которые использовались в атаках, но подробности пока не разглашаются.

Project Zero отметил, что в бюллетенях Samsung по-прежнему не упоминается использование этих уязвимостей в реальных условиях.

Вместе с тем, поставщик пообещал, что в будущем будет предупреждать клиентов об обнаружении злонамеренной эксплуатации.

Когда-нибудь, обязательно.

Ресерчеры команды Team82 из Claroty обнаружили уязвимость высокой степени серьезности в популярной компьютерной системе шведско-швейцарскоого гиганта по производству электрооборудования ABB, широко используемого крупными нефтегазовыми компаниями по всему миру.

Ошибка затрагивает компьютеры контроля расхода ABB - устройства, которые рассчитывают объемы и лимиты нефти и газа.

Расходомеры имеют решающее значение для обеспечения безопасности критических объектов, но также играют важную роль для расчетов за услуги.

Обнаруженная CVE-2022-0902 имеет оценку CVSS v3 8,1 из 10 и затрагивает ABB RMC-100 (Standard), RMC-100-LITE, XIO, XFCG5, XRCG5, uFLOG5 и UDC.

Claroty объясняют, что злоумышленники могут использовать эту уязвимость для получения root-доступа к компьютеру потока ABB, чтения и записи файлов и удаленного выполнения кода.

Расходомеры считывают необработанные данные с подключенных датчиков, которые измеряют объем вещества несколькими способами, в зависимости от того, газ или жидкость измеряются.

Эксплуатация уязвимости позволит злоумышленнику захватить контроль над расходными компьютерами и удаленно нарушить их точность измерения значения параметра, что прямым образом повлияет на финансовые расчеты и обслуживание клиентов.

Нарушение работы расходомеров — это тонкий вектор атаки, который может аналогичным образом повлиять не только на ИТ-системы, но и на OT-системы, как это было при инциденте на Colonial Pipeline в прошлом году.

Представитель ABB подтвердил, что компании известно о частных сообщениях об уязвимости в версиях продуктов расходомера и пульта дистанционного управления, перечисленных в вышедшем бюллетене от 14 июля 2022 года.

Уязвимость была недавно была исправлена с выпуском обновления микроПО от ABB. При этом смягчение может быть достигнуто путем надлежащей сегментации сети.

​🔖 Подборка полезной информации и ресурсов. Часть 13.

🖖🏻 Приветствую тебя user_name.

• 13 часть подборок полезного материала, благодаря этой информации ты можешь прокачать свои навыки в нужной для тебя категории и получить полезные знания — бесплатно. Обязательно ознакомься с каждой частью, в любой из ссылок представленных ниже, ты можешь найти ТЫСЯЧИ полезных ресурсов, инструментов, книг, курсов, статей и т.д.

• Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • Часть 8 • Часть 9 • Часть 10 • Часть 11 • Часть 12.

• Полезный материал для изучения Reverse Engineering и анализа вредоносных программ. Большинство репо уже давно не обновлялись, однако можно найти полезную информацию для обучения. Особенно будет полезно новичкам:
- https://github.com/ytisf/theZoo
- https://github.com/secrary/SSMA
- https://github.com/merces/aleph
- https://github.com/nheijmans/malzoo
- https://github.com/topics/malware-analys
- https://github.com/mentebinaria/retoolkit
- https://github.com/topics/reverse-engineering
- https://github.com/arxlan786/Malware-Analysis
- https://github.com/SpiderLabs/malware-analysis
- https://github.com/wtsxDev/reverse-engineering
- https://github.com/tylerha97/awesome-reversing
- https://github.com/NationalSecurityAgency/ghidra
- https://github.com/rshipp/awesome-malware-analysis
- https://github.com/hax0rtahm1d/Reverse-Engineering
- https://github.com/mytechnotalent/Reverse-Engineering
- https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
- https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
- https://github.com/Apress/malware-analysis-detection-engineering

• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
https://github.com/decalage2/awesome-security-hardening

• Advanced SQL Injection Cheatsheet. Шпаргалка по разным типам SQL-инъекций, которая содержит информацию способах обхода WAF, поиске точек входа, обнаружения уязвимостей и многое другое:
https://github.com/kleiton0x00/Advanced-SQL-Injection-Cheatsheet

• Список разнообразных полезных сервисов для обеспечения приватности и безопасности в сети:
https://github.com/Igglybuff/awesome-piracy

• Awesome Bluetooth Security. Данный репо содержит информацию по безопасности Bluetooth BR/EDR/LE или Mesh. Очень много полезного материала:
https://github.com/engn33r/awesome-bluetooth-security

• Bug Bounty Tools. Коллекция инструментов для багхантеров, разбитая по категориям:
https://github.com/vavkamil/awesome-bugbounty-tools

• https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления.

@S.E. #ИБ #Подборка

Веб-технологии прогрессируют и ориентированы большинстве своем на облегчение жизнь конечному потребителю, но далеко не всегда ноу-хау применяются по назначению.

Так, например, протокол IPFS (InterPlanetary File System) для децентрализованного хранения и доступа к контенту стал мощным оружием в руках злоумышленников.

IPFS представляет собой одноранговую распределённую файловую систему, которая соединяет все вычислительные устройства единой системой файлов.

Исследователи Cisco Talos сообщили, что обнаружили множество вредоносных кампаний, использующих IPFS для размещения фишинговых ссылок с полезной нагрузкой и вредоносным ПО.

Для злоумышленников IPFS стала хорошей альтернативой абузоустойчивого хостинг-провайдера и серьезно усложняет работу антивирусных средств, так как IPFS часто используется в легитимных целях.

Сложность состоит в том, что URL-адрес целевого файла — это хэш содержимого, а не определение местоположения сервера. Файлы вводятся в систему, а затем автоматически копируются на несколько узлов.

Физическое расположение узлов неизвестно пользователю, поскольку файл извлекается по хэшу содержимого, а не по IP-адресу.

Привлекательность для злоумышленников очевидна: нет необходимости заморачиваться с хранением вредоносного ПО, а их узлы IPFS нельзя отключить так же, как можно отключить сервера по IP.

Специалисты из Talos в своем отчете рекомендуют организациям ознакомиться с этими новыми технологиями и с тем, как они используются злоумышленниками для защиты от новых методов, которые их используют.

Пренебрегать рекомендациями не стоит, так как за последние месяцы исследователи неоднократно били тревогу, когда IPFS становился очагом киберпреступности.

Например, только в июле компания SpiderLabs за три месяца выявила более 3000 электронных писем с фишинговыми URL-адресами в IPFS. Они эмулировали страницы входа в Microsoft Outlook, домены Google и службы облачного хранения, такие как Filebase.io и nftstorage.link.

Злоумышленники также активно используют одноранговую сеть для распространения вредоносных полезных нагрузок.

В ходе одной из кампаний, за которой наблюдали исследователи Talos, злоумышленник отправлял жертвам фишинговое электронное письмо с вложением ZIP, содержащим дроппер в виде исполняемого файла PE32.

При запуске загрузчик обращался к шлюзу IPFS и извлекал полезную нагрузку второго уровня, размещенную в той же одноранговой сети.

Цепочка атак заканчивалась тем, что в систему жертвы попал троянец удаленного доступа Agent Tesla.

Кроме того, исследователи обнаружили в узлах IPFS вредоносный инструмент Hannabi Grabber, ворующий информацию и очищающий диск.

Специалисты предупреждают, что новая тенденция только набирает обороты, организациям следует четко понимать, какое место занимают новые технологии на современном ландшафте угроз.

Ресерчеры Avast в новом отчете сообщают об АРТ Workok, которая вредоносное ПО в PNG с помощью стеганографии.

Результаты исследования основан на дополнительных артефактах, полученных в ходе расследования атак Workok, и дополняют выводы ESET, первой обнаружившей и сообщившей об активности Workok в начале сентября (отчет).

Как известно, Workok нацеливается на правительственные учреждения на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.

Несмотря на то, что используемый для взлома сетей метод остается неизвестным, Avast предполагает вероятное использование неопубликованной загрузки DLL для запуска загрузчика вредоносного ПО CLRLoader в память.

Затем CLRLoader загружает DLL второго этапа отчете сообщаюткоторая извлекает байты, встроенные в файлы PNG, и использует их для сборки двух исполняемых файлов. Стеганография скрывает код внутри файлов изображений.

По данным Avast, злоумышленники использовали технику, называемую кодированием наименее значимых битов (LSB), встраивая небольшие фрагменты вредоносного кода в наименее важные биты пикселей изображения.

Первая полезная нагрузка, извлеченная из этих битов с помощью PNGLoader, — это сценарий PowerShell, который не удалось получить ни ESET, ни Avast.

Вторая полезная нагрузка, скрывающаяся в файлах PNG, представляет собой специальный похититель информации .NET C# DropBoxControl, который злоупотребляет службой размещения файлов DropBox для связи C2, извлечения файлов и многого другого.

Вредоносная программа DropBoxControl использует подконтрольную злоумышленнику учетку для загрузки файлов со взломанного компьютера или получения данных и команд, которые хранятся в зашифрованных файлах в репозитория DropBox.

Вредоносный функционал указывают на то, что Workok сосредоточена на обеспечении скрытности при проведении эксфильтрации данных, бокового перемещения и наблюдения за зараженным хостом.

Avast отмечает, что задействоваанные в атаках Workok инструменты не замечены и не распространяются в дикой природе, а используются исключительно в интересах АРТ.