SecAtor
41.4K subscribers
800 photos
88 videos
12 files
7.7K links
Руки-ножницы российского инфосека.

Для связи - mschniperson@mailfence.com
Download Telegram
Автопроизводителям в погоне за активной и пассивной безопасностью в пору бы задуматься и об информационной.

Пока BMW, Mercedes, Toyota и другие популярные производители занимались краштестами своих автомобилей исследователь по кибербезопасности Сэм Карри и его коллеги обнаружили множество уязвимостей в автомобилях и услугах, реализованных поставщиками автомобильных решений.

Как оказалось, более дюжины производителей авто используют уязвимые API, которые могут позволить потенциальным злоумышленникам выполнять вредоносные действия. Причем выявленные баги позволяют выполнять достаточно широкий спектр вредоносных воздействий, начиная от разблокировки автомобилей до их отслеживания.

Обнаруженные экспертами недостатки коснулись автомобилей популярных марок, среди которых Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Genesis, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Land Rover.

Исследовательская группа также обнаружила недостатки в услугах, предоставляемых Reviver, SiriusXM и Spireon.

Как бы смешно не звучало, но "управлять мечтой" и использовать "лучшее или ничего" может не только владелец чудесного авто, так как эксплуатация некоторых уязвимостей дает доступ к сотням критически важных внутренних приложений.

Например, в Mercedes через неправильно настроенный SSO (single sign-on) злоумышленник мог применять удаленное выполнение кода в нескольких системах, что позволяло получить доступ к содержимому памяти некоторых систем и привести к раскрытию личных данных сотрудника или клиента.

Исследователям удалось получить доступ к частным экземплярам GitHub, внутренним каналам чата на Mattermost (который работает как slack), серверам, экземплярам Jenkins и AWS, системам XENTRY, которые подключаются к автомобилям клиентов и многому другому.

В случае BMW и Rolls Royce эксперты смогли получить доступ к внутренним дилерским порталам, запросить VIN для любого автомобиля и получить документы о продаже, включая конфиденциальную информацию о владельце.

В сценарии с Kia специалистам вовсе удалось добиться полного захвата автомобилей через устаревший дилерский портал.

С Porsche была выявлена уязвимость связанная с возможностью получения сведений о местоположении автомобиля, отправлением команд для автомобиля и получением информации о клиентах.

Эксперты также продемонстрировали, как использовать некоторые недостатки, чтобы получить доступ к службе номерных знаков Reviver и обновить статус любого транспортного средства на «украденный», который обновляет номерной знак и информирует правоохранительные структуры.

Если верить производителям и поставщиками услуг, то все уязвимости, обнаруженные экспертами, были устранены, но звоночек крайне тревожный и, вероятно, в будущем еще увидим поистине восстание машин.
Ресерчеры K7 Security Labs обнаружили кампанию неизвестного актора, предположительно базирующегося в КНР, который использует Windows Problem Reporting (WerFault.exe) для запуска инструментов удаленного администрирования.

Хакеры злоупотребляют WerFault.exe для Windows для загрузки вредоносного ПО в скомпрометированную системную память, используя метод боковой загрузки DLL.

WerFault
— это стандартный инструмент отчетов в Windows 10 и 11, позволяющий системе отслеживать и сообщать об ошибках, связанных с ОС или приложениями.

Этот исполняемый файл Windows используется для скрытого заражения устройств без каких-либо предупреждений в системе о нарушении безопасности.

Кампания начинается с получения электронного письма с вложением в формате ISO, который содержит четыре файла: WerFault.exe, вредоносную DLL (faultrep.dll) с именем faultrep.dll, файл ярлыка (inventory & our specialities.lnk) и File.xls.

Жертва запускает цепочку заражений, щелкая ярлык файла, который использует scriptrunner.exe для запуска WerFault.exe.

Антивирусные решения обычно доверяют WerFault, поскольку это легальный исполняемый файл Windows, подписанный Microsoft, поэтому его запуск в системе обычно не вызывает предупреждений.

После его запуска используется известная уязвимость боковой загрузки DLL  для инсталляции вредоносной DLL faultrep.dll.

Она представляет собой законную DLL, необходимую для правильной работы WerFault.

Однако загруженная версия DLL в образе ISO содержит дополнительный код для запуска вредоносного ПО.

В процессе загрузки DLL создается два потока, один из которых загружает DLL трояна удаленного доступа Pupy (dll_pupyx64.dll) в память, а другой открывает включенную электронную таблицу XLS в качестве приманки.

Pupy RAT
представляет собой кроссплатформенный инструмент удаленного администрирования с открытым исходным кодом, написанный на Python, который поддерживает загрузку отражающей DLL для ухода от обнаружения, а также дополнительные модули, которые загружаются позже.

Вредоносное ПО позволяет злоумышленникам получить полный доступ к зараженным устройствам, обеспечивая выполнение команд, кражу данные, установку других вредоносных ПО и распространение по сети.

Малварь пытается установить соединение C2 в фоновом режиме, когда жертва считает, что WerFault запущен.

Использование этого инструмента с открытым исходным кодом, безусловно, значительно затрудняет атрибуцию.

Однако это не помешало исследователям упомянуть, что он также использовался иранскими APT33 и APT35 в шпионских кампаниях аж в 2013 году.

С другой стороны, еще прошлым летом было замечено, как операторы QBot использовали аналогичную цепочку атак, используя калькулятор Windows для избежания обнаружения.
͏Air France и KLM проинформировали клиентов Flying Blue о киберинциденте, в результате которого были скомпрометированы их учетные записи и раскрыта личная информация.

Flying Blue — это программа лояльности, позволяющая клиентам авиакомпаний Air France, KLM, Transavia, Aircalin, Kenya Airways и TAROM обменивать баллы на различные вознаграждения.

В числе потенциально украденных данных оказались имена пассажиров, адреса электронной почты, номера телефонов, последние транзакции, а также баланс заработанных миль и история их трат.

Пострадавших клиентов предупредили, что их учетные записи были заблокированы после взлома, в связи с чем требуется смена пароля.

При этом атака была вовремя локализована, что позволило сохранить баланс накопленных миль.

Air France и KLM подтвердили утечку и заявили, что конфиденциальные данные клиентов не были раскрыты.

В предупреждениях о нарушений также указывалось, что инцидент не затронул данных о кредитных картах или платежную информацию.

Обе авиакомпании заявили, что они также сообщили об инциденте соответствующим службам своих стран и инициировали проведение расследования.
Auth0 устранила RCE-уязвимость в популярной библиотеке с открытым исходным кодом JsonWebToken, которая использовалась более чем в 22 000 проектов и загружалась более 36 миллионов раз в месяц на NPM.

JsonWebToken
— это библиотека с открытым исходным кодом, используемая для создания, подписи и проверки веб-токенов JSON, используется в проектах с участием Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack, SAP и многими другими. Разрабатывается и поддерживается Okta.

Уязвимость отслеживается CVE-2022-23529 и затрагивает версии JsonWebToken до 9.0.0. Ее успешная эксплуатация может позволить злоумышленникам обойти механизмы аутентификации, получить доступ к конфиденциальной информации, а также украсть или изменить данные.

Уязвимость не является критической и имеет оценку CVSS 7,6, поскольку требует от злоумышленника скомпрометировать процесс управления секретами между приложением и сервером JsonWebToken, что усложняет ее использование.

CVE-2022-23529 была обнаружена 13 июля 2022 года ресерчерами Unit 42 Palo Alto Networks в результате проверки вредоносного токена JWS.

Исследователи установили, что злоумышленники могут удаленно выполнять код на серверах благодаря методу verify () JsonWebToken, который используется для проверки JWT и возврата декодированной информации.

В виду из-за отсутствия проверки одного из параметров secretOrPublicKey злоумышленники могут отправить специально созданный объект для выполнения произвольной записи файла на целевой машине.

При этом используя ту же уязвимость, но с другой полезной нагрузкой в запросе можно практически добиться удаленного выполнения кода.

Команда Auth0 подтвердила проблему в августе 2022 года и после кропотливой работы по ее устранению 21 декабря 2022 года выпустила патч с JsonWebToken версии 9.0.0.

Исправление включает реализацию дополнительных проверок дефектного параметра.

Несмотря на всю сложность практической эксплуатации, уязвимость будет представлять серьезную угрозу для цепочки поставок в течение длительного периода времени, пока большинство проектов не будут обновлены до безопасной версии.

Кроме того, учитывая широкую популярность JsonWebToken и количество потенциальных целей, преступный потенциал и энтузиазм злоумышленников уж точно не стоит недооценивать.
Исследователи из Symantec сообщают подробности о деятельности киберпреступной группы, которую они отслеживают как Bluebottle, выявляя значительное сходство с TTP банды OPERA1ER.

Как выяснили ресерчеры, хакеры Bluebottle использовали подписанный драйвер Windows для атак на банки во франкоязычных странах. При этом действия и цели соответствуют профилю OPERA1ER, которым было приписано не менее 35 успешных атак в период с 2018 по 2020 год.

Еще в начале ноября 2022 года Group-IB представила обширный отчет по результатам анализа задокументированных кампании OPERA1ER, в котором исследователи отметили отсутствие специализированных вредоносных ПО и широкое использование доступных инструментов.

Считается, что группа включает франкоговорящих членов и действует с территории Африки, нацеливаясь на организации в регионе, нанося также удары по компаниям в Аргентине, Парагвае и Бангладеш.

Результаты работы Symantec позволили пролить свет на некоторые технические детали, в том числе использование инструмента GuLoader для загрузки вредоносных программ и подписанного драйвера, нейтрализацию средств защиты в сети жертвы.

Исследователи отмечают, что вредоносное ПО состояло из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного «вспомогательного» драйвера, управляемого первым драйвером и используемого для завершения процессов в списке.

При этом, как полагают в Symantec, подписанный вредоносный драйвер использовался несколькими группами киберпреступников для отключения защиты, о чем в декабре сообщали Microsoft, Mandiant, Sophos и SentinelOne.

Образец, обнаруженный исследователями Symantec, хотя и является одним и тем же драйвером, но был подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у акторов выходов на провайдеров, которые могут предоставлять законные подписи от доверенных лиц.

Исследователи отмечают, что этот же драйвер использовался в рамках атаки с использованием ransomware на некоммерческую организацию в Канаде.

Symantec
сообщает, что активность Bluebottle, которую они наблюдали, началась в июле 2022 года и продолжалась до сентября, но могла фиксироваться и в мае.

Недавние атаки также показывают некоторые новые TTP, которые включают использование GuLoader на начальных этапах атаки. Кроме того, исследователи обнаружили признаки того, что злоумышленник использовал образы дисков ISO в качестве начального вектора заражения в целевом фишинге на тему работы.

Исследователи Symantec проанализировали атаки Bluebottle на три различных финансовых учреждения в африканских странах.

В одном из них злоумышленник полагался на несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, ping, Ngrok, Net localgroup, VPN-клиент Fortinet, Xcopy, Netsh, Autoupdatebat 'Automatic RDP Wrapper installer and updater' и привилегии SC для изменения разрешений агента SSH).

Также Bluebottle использовали вредоносные инструменты: GuLoader, Mimikatz, Reveal Keylogger и троян удаленного доступа Netwire.

Злоумышленник приступал к ручному боковому перемещению примерно через три недели после первоначальной компрометации, используя командную строку и PsExec.

Хотя анализ атак и используемых инструментов позволяет предположить, что OPERA1ER и Bluebottle представляют собой одну и ту же группу, однако Symantec не подтверждает отмеченные Group-IB масштабы монетизации.
Если бы Виллариба и Виллабаджио пострадали от программы-вымогателя MegaCortex, то у них действительно был бы праздник, так как специалисты румынской антивирусной компании Bitdefender выпустили бесплатный дешифратор.

В ходе совместной работы с Европолом и исследователями из проекта NoMoreRansom специалистам Bitdefender удалось создать дешифратор и теперь все желающие могут (в РФ через VPN) воспользоваться декриптором, скачав его с официального сайта.

Впервые семейство шифровальщиков MegaCortex попало в поле зрения в 2019 году.

Еще тогда ФБР предупреждали об атаках на частный сектор.

Причем, операторы MegaCortex почти с самого начала использовали тактику двойного вымогательства: не только шифровали файлы, но и крали внутренние данные. Из известных попыток вымогательства за расшифровку просили от 20 тыс. до 5,8 млн долларов.

Использовать дешифратор довольно просто, так как это автономный исполняемый файл, который не требует установки и предлагает автоматически находить зашифрованные файлы в системе.

Кроме того, у декриптора есть режим Scan Entire System, позволяющий пользователям искать повреждённые файлы по всей системе.

Еще дешифратор может создавать резервные копии зашифрованных файлов в целях безопасности на случай, если в процессе расшифровки что-то пойдет не так, что может привести к повреждению файлов без возможности восстановления.

Тем не менее из инструкции настоятельно рекомендуется сначала сделать резервную копию всех затронутых файлов, а уже потом приступать к расшифровке.

Без сомнений, приятная новость, которая кому-то облегчит жизнь, однако BitDefender так и не сообщил, как и откуда они получили закрытые ключи для расшифровщика MegaCortex.

Вероятно, это связано с арестом в октябре 2021 года 12 человек, ответственных за более чем 1800 атак программ-вымогателей в 71 стране, многие из которых использовали штамм MegaCortex.
͏Потенциально серьезные уязвимости прошивки UEFI в чипах Qualcomm Snapdragon затрагивают многие устройства, произведенные Microsoft, Lenovo, Samsung и многими другими компаниями.

Qualcomm объявила о доступности исправлений для тринадцати уязвимостей, в том числе пяти ошибок, связанных с подключением и загрузкой, обнаруженных исследователями Binarly.

Ресерчеры обнаружили в общей сложности девять уязвимостей при анализе прошивки ноутбуков Lenovo Thinkpad X13s на базе Qualcomm Snapdragon (SoC).

Дальнейший анализ показал, что пять из них затрагивают эталонный код Qualcomm, а значит присутствуют в ноутбуках и других устройствах, использующих чипы Snapdragon.

Согласно Binarly, уязвимости Qualcomm, как было подтверждено, затрагивают также компьютеры Microsoft Surface на базе Arm и Windows Dev Kit 2023 (Project Volterra), а также продукты Samsung.

Устранены в совокупности 22 уязвимости в пакете Snapdragon.

Наиболее серьезным недостатком является ошибка, связанная с переполнением буфера в Automotive, отслеживаемая как CVE-2022-33219 (оценка CVSS 9,3), а также две другие серьезные проблемы.

Среди них:
- CVE-2022-33218 (оценка CVSS 8.2) — ошибка связана с повреждением памяти в Automotive из-за неправильной проверки ввода,
- CVE-2022-33265 (оценка CVSS 7,3) — уязвимость заключается в раскрытии информации в прошивке Powerline Communication.

Qualcomm
заявила, что исправления для уязвимостей, обнаруженных Binarly, были доступны для клиентов в ноябре 2022 года.

Компания призывает конечных пользователей применять обновления, как только они станут доступны от производителей устройств.
Вышел январский PatchTuesday от Microsoft с исправлениями для рекордных 98 задокументированных уязвимостей в ПО.

Одиннадцать из них классифицируются как критические, включая 0-day, из них 39 - повышение привилегий, 4- обхода функций безопасности, 33 - RCE, 10 - раскрытия информации, 10 - DoS и 2- спуфинга.

Обнаруженная исследователями Avast активно эксплуатируемая уязвимость CVE-2023-21674 использовалась в реальных атаках для выхода из песочницы браузера.

Однако, как обычно, Microsoft не раскрывает подробностей об уязвимости или обстоятельствах выявленных атак.

Она затрагивает компонент Windows Advanced Local Procedure Call (ALPC) и позволяет злоумышленнику получить системные привилегии.

Разработчик также обратил внимание на CVE-2023-21549, проблему повышения привилегий в Windows SMB Witness Service, предупредив, что технические подробности об уязвимости уже общедоступны.

Чтобы ей воспользоваться, злоумышленник может выполнить специально созданный вредоносный сценарий, который выполняет вызов к узлу RPC, что может привести к повышению привилегий на сервере.

Microsoft
добавила, что злоумышленник, успешно эксплуатировавший уязвимость, может выполнять функции RPC, доступные только для привилегированных учетных записей.

Другие январские исправления устраняют ошибки выполнения кода, отказа в обслуживании и повышения привилегий в широком диапазоне ОС WIndows и системных компонентов, включая Office, Net Core и Visual Studio Code, Microsoft Exchange Server, диспетчер очереди печати Windows, Защитник Windows и Windows BitLocker.

С полным перечнем всех закрытых уязвимостей можно ознакомиться здесь.
͏Не менее внушительное обновление выпустила Google в рамках январского патча для Android.

Первые обновления безопасности Android на 2023 год исправляют в общей сложности 60 уязвимостей.

Первая часть - уровень исправления безопасности 2023-01-01, устраняет 19 дефектов в компонентах Framework и System.

Наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.

Всего в компоненте Framework было устранено 11 ошибок повышения привилегий, а также 3 проблемы отказа в обслуживании.

При этом 5 других уязвимостей, связанных с повышением привилегий, были устранены в системном компоненте.

Вторая часть январского обновления безопасности этого месяца, которое поступает на устройства как уровень исправления безопасности 2023-01-05, устраняет еще 41 уязвимость в ядре и сторонних компонентах.

Наиболее важными из них являются 4 уязвимости критической степени серьезности в ядре и компонентах ядра, каждая из которых приводит к RCE, а также еще 2 серьезные ошибки повышения привилегий.

Обновления также устраняют ошибки в Kernel LTS, компонентах Imagination Technologies, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.

Google устранила восемь уязвимостей в устройствах Pixel, в том числе 3 уязвимости высокой степени серьезности и 5 средней степени серьезности в компонентах Qualcomm.

Google
также анонсировала исправления для восьми уязвимостей в рамках обновлений для Android Automotive за январь 2023 года, в том числе 3 обязательных - в компонентах Media Framework и Platform Apps и 5 необязательных - в Platform Apps, System UI и Kernel.
Подошли и первые январские исправления ICS с дюжиной рекомендаций по безопасности от Siemens и Schneider Electric, устраняющих в общей сложности 27 уязвимостей.

Siemens опубликовала шесть бюллетеней, описывающих в общей сложности 20 уязвимостей. Обновления безопасности доступны для многих уязвимых продуктов, но для некоторых не будут внесены исправления.

Наиболее важные рекомендации описывают дюжину недостатков в Sinec INS (Infrastructure Network Services).

Ошибки, все из которых критические или высокой серьезности, могут позволить злоумышленнику считывать и записывать произвольные файлы, что в конечном итоге может привести к RCE на устройстве. Некоторые уязвимости затрагивают сторонние компоненты.

Другой бюллетень касается критической XSS-уязвимости в модуле Mendix SAML, которую злоумышленник может использовать для получения конфиденциальной информации, обманом заставив целевого пользователя щелкнуть ссылку, но эксплуатация возможна только в определенных конфигурациях, отличных от настроек по умолчанию.

Siemens также проинформировала о двух уязвимостях высокой степени опасности в Automation License Manager.

Одна из них может позволить злоумышленнику, не прошедшему проверку подлинности, удаленно переименовывать и перемещать файлы, а другую можно использовать для RCE, если она связана с первой.

RCE-уязвимости исправлены в JT Open Toolkit, JT Utilities и Solid Edge. Эксплуатация заключается в том, чтобы заставить целевого пользователя открыть специально созданный файл.

Исследователи обнаружили аппаратную проблему в ЦП S7-1500, которая может позволить злоумышленнику, имеющему физический доступ к устройству, заменить загрузочный образ и выполнить произвольный код.

Производитель выпустил новые аппаратные версии для некоторых модификаций и работает над новыми для оставшихся типов ПЛК, чтобы полностью устранить эту уязвимость.

Schneider Electric также выпустила шесть новых бюллетеней, но в общей сложности они охватывают семь уязвимостей.

Компания проинформировала клиентов о наличии патчей для критических и высококритичных уязвимостей в продукте EcoStruxure Geo SCADA Expert, которые могут быть использованы для DoS-атак и получения конфиденциальной информации.

В ПО EcoStruxure Power Operation и Power SCADA Operation устранена серьезная проблема, связанная с DoS.

EcoStruxure Power SCADA Anywhere подвержена серьезной уязвимости, которую можно использовать для выполнения команд ОС, но для использования требуется аутентификация.

В EcoStruxure Control Expert, Process Expert и ПЛК Modicon исправлены уязвимости, которые делают возможным RCE и DoS-атаки с использованием специально созданных файлов проекта. На эти продукты также влияет ошибка обхода аутентификации.

В Machine Expert HVAC закрыта проблема раскрытия информации средней степени серьезности.
͏Ресерчеры Лаборатории Касперского сообщают, что более 730 организаций в четвёртом квартале 2022 года столкнулись с ransomware-инцидентами.

При этом львиная доля всех таргетированных атак шифровальщиков приходится на восемь крупных групп.

Всё они были представлены и подробно описаны командой Kaspersky Threat Intelligence в аналитическом отчете Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков.

Передовые позиции на ландшафте угроз сохранили Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и BlackCat, причём две последние стали активно атаковать с осени 2021 года.

Безусловное лидерство по числу и резонансности нападений принадлежит коллективу LockBit, на счету которых более тысячи жертв из числа компаний в сфере авиации, энергетики и консалтинга.

Не менее впечатляюще выглядит и география активности группы, которая охватывает США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы.

Как правило, операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы.

Первоначальный доступ реализуется через RDP или путем эксплуатации уязвимостей, внутри контура используются известные инструменты PsExec, Empire, Mimikatz.

Исследователи ЛК полагают, что вымогатели продолжают оставаться одной из ключевых угроз. При этом их техники и тактики во многом совпадают и не меняются в течение долгого периода времени.

Результаты достаточно глубокой аналитики по ransomware нашли отражение в отчете в совокупности с массой полезной другой информации и рекомендациями, которые следует учитывать в первую очередь, при противодействии этому типу угроз руководителям и специалистам ИБ.
Ни для кого не секрет, что Швейцарский мессенджер Threema весьма популярен и используется преимущественно более 10 лет как безопасная альтернатива WhatsApp.

После того как Facebook (*признана в РФ экстремистской) приобрела WhatsApp и поменяла политику конфиденциальности, внимание пользователей к швейцарскому мессенджеру еще более усилилось.

Использующий Threema канцлер Германии Олаф Шольц не даст соврать.

Как оказалось, обещание максимальной безопасности, несопоставимой по уровню ни с одним другим мессенджером-конкурентом, в реальности и остается только лозунгом, не выдержавшим проверки в реальной жизни.

Даже не смотря на то, что мессенджер в 2019 году получил широкое признание, а федеральная администрация Швейцарии одобрила использование Threema для контента с классификацией «конфиденциально».

Именно к такому выводу пришла исследовательская группа под руководством профессора Кеннета Патерсона из ETH (швейцарского государственного исследовательского университета).

Как выяснилось, в концепции шифрования Threema присутствуют фундаментальные недостатки. Более того, методы шифрования технологически отстают на несколько лет.

Группа исследователей опубликовала подробное описанием 7 уязвимостей в криптографических протоколах Threema.

Их эксплуатация могла позволить злоумышленникам клонировать учетные записи, читать переписку, красть закрытые ключи и контакты, а также воспроизводить компрометирующие материалы в целях дальнейшего шантажа.

Со швейцарской точностью Threema немедленно отреагировала и выпустила новый протокол под названием Ibex, который делает ряд проблем устаревшими и не актуальными, а остальные обнаруженные недостатки исправила в течение нескольких недель.

В своем блоге разработчики занизили число ошибок, указанных в исследовании, пояснив что уязвимости были обнаружены в протоколе, который Threema больше не использует.

Кроме того, отметили, что обнаруженные ошибки могут быть интересными с теоретической точки зрения, ни одна из них не оказала существенного влияния в реальном мире.

Однако, это не отменяет их существования.
ESET сообщает о новой кампании StrongPity, в рамках которой APT распространяет поддельное приложение Shagle, которое представляет собой троянскую версию Telegram для Android с добавлением бэкдора.

Shagle — это платформа для проведения случайных видеочатов, позволяющая незнакомцам общаться по зашифрованному каналу связи. Тем не менее, платформа полностью веб-ориентирована и не имеет мобильного приложения.

Ресерчеры выяснили, что с 2021 года StrongPity запустили поддельный веб-сайт Shagle, обманом заставляя жертв загружать вредоносное приложение для Android, которое после установки вести шпионаж за целями, включая перехват телефонных звонков, SMS и копирование списка контактов.

Однако первое подтвержденное обнаружение APK приложения в дикой природе произошло в июле 2022 года.

На основании сходства кода с прошлыми полезными нагрузками активность StrongPity приписывается APT-группе, также известной как Promethium или APT-C-41, ранее замеченной в распространении троянских установщиков Notepad++ и  вредоносных версий WinRAR и TrueCrypt.

Кроме того, приложение для Android подписано тем же сертификатом, который APT использовала для подписи имитирующего сирийское приложение электронного правительства для Android в ходе кампании 2021 года.

Вредоносное приложение для Android, распространяемое StrongPity, вероятно, через адресную фишинговую рассылку, представляет собой стандартное приложение Telegram версии 7.5.0 (февраль 2022 г.) в виде APK-файла video.apk, модифицированное для Shagle.

При этом если у жертвы уже установлено легитимно приложение Telegram на телефоне, то инсталляция версии с бэкдором не запустится.

После установки вредоносное ПО запрашивает доступ к службе спецвозможностей, а затем получает файл, зашифрованный с помощью AES, с C2 злоумышленника.

Файл включает 11 бинарных модулей, извлекаемых на устройство и используемых бэкдором для выполнения различных функций: от записи телефонных переговоров (libarm.jar) до контроля за перепиской в Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и др.(phone.jar).

Собранные данные хранятся в каталоге приложения, шифруются с помощью AES и в конечном итоге отправляются обратно на С2 злоумышленника.

На «рутированных» устройствах вредоносная ПО автоматически предоставляет себе разрешение на изменение настроек безопасности, запись в файловую систему, перезагрузку и другие ключевые функции.

Согласно ESET, к настоящему времени API в захваченных образцах уже отвалился из-за чрезмерного использования, указывает на то, что StrongPity успешно развернул вредоносное ПО на целевых жертвах.

Таким образом, учитывая, что StrongPity активна с 2012 года, злоумышленник продолжает использовать проверенную тактику даже спустя десятилетие.
Не менее 29 уязвимостей безопасности исправили разработчики Adobe в линейке своих корпоративных продуктов, выпустив первую партию исправлений безопасности на 2023 год.

Самое заметное обновление для широко распространенного ПО Adobe Acrobat и Reader устраняет критические недостатки, которые подвергают пользователей Windows и macOS атакам с RCE.

Согласно Adobe PSIRT, проблемы безопасности также затрагивают Acrobat DC, Acrobat Reader DC, Acrobat 2020 и Acrobat Reader 2020. Успешная эксплуатация может привести RCE, DoS, повышению привилегий и утечке памяти.

Компания задокументировала 15 наиболее серьезных недостатков безопасности в программах Acrobat и Reader и призывает пользователей немедленно установить доступные обновления.

Adobe
также выпустила исправления критических ошибок в продукте Adobe InDesign, предупредив, что успешная эксплуатация может привести к RCE, DoS и утечкам памяти. При этом шесть задокументированных уязвимостей затрагивают пользователей на платформах Windows и macOS.

Кроме того, январский патч включает исправления серьезных ошибок в Adobe InCopy и Adobe Dimension. Эти недостатки могут подвергать пользователей Windows и macOS выполнению произвольного кода и утечкам памяти.

Adobe
отмечает, что ей не известно о каких-либо эксплойтах для каких-либо из исправленных уязвимостей.
Forwarded from SecurityLab.ru
🚫Нейросеть от Microsoft способна подделать голос любого человека

— Недавно стало известно о том, что новая нейросеть VALL-E от корпорации Microsoft способна подделывать голос конкретного человека вплоть до интонаций.

— Для системы достаточно записи продолжительностью три секунды, чтобы получить высококачественную подделку.

— Согласно заявлению Microsoft, VALL-E не будет распространятся в открытом доступе по соображениям безопасности, чтобы нейросетью не воспользовались мошенники.

https://www.securitylab.ru/news/535565.php
Please open Telegram to view this post
VIEW IN TELEGRAM
Group-IB расчехлила Dark Pink APT, причастную к атакам на правительственные учреждения и военные объекты в Азиатско-Тихоокеанском регионе с помощью специального вредоносного ПО для кражи информации.

Ранее АРТ уже попадала в поле зрения китайских ресерчеров из Anheng Hunting Labs, которые отслеживают группировку как Saaiwc Group. В отчете описываются некоторые цепочки атак, одна из которых реализована на использовании шаблона Microsoft Office с вредоносным макросов для эксплуатации старой и опасной CVE-2017-0199.

Group-IB
отметила, что Dark Pink свойственны уникальные TTP, а обнаруженный в атаках пользовательский набор инструментов может использоваться для кражи информации и распространения вредоносных ПО через USB-накопители.

Злоумышленник использует неопубликованную загрузку DLL и методы запуска по событию для извлечения полезных нагрузок в системах жертв.

Цель злоумышленника — кража информации из браузеров, получение доступа к мессенджерам, эксфильтрация документов и перехват акустической информации с микрофона зараженного устройства.

Как полагают ресерчеры, за период с июня по декабрь 2022 года Dark Pink удалось реализовать не менее семи успешных атак.

Типичный первоначальный вектор атак Dark Pink — фишинговые электронные письма по теме приема на работу, которые обманным путем заставляли жертву загружать вредоносный файл образа ISO.

Но были выявлены и другие варианты цепочки атак. В частности, актор также применял ISO-файл с документ-приманкой, подписанным исполняемым файлом и вредоносным DLL, что приводило к развертыванию одного из двух пользовательских стиллеров посредством боковой загрузки DLL.

Cucky и Ctealer
— это специальные ПО для кражи информации, написанные на .NET и C++ соответственно, нацеленные на извлечение паролей, истории просмотров, сохраненных логиной и файлов cookie из всех известных веб-браузеров.

На следующем этапе сбрасывался имплантант реестра под названием TelePowerBot, который запускается через скрипт при загрузке системы и подключается к каналу Telegram, откуда он получает команды PowerShell для выполнения.

Как правило, команды позволяют запускать простые консольные инструменты или сложные сценарии PowerShell, обеспечивающие боковое перемещение через съемные USB-накопители.

Другой вариант включал документ Microsoft Office (.DOC) внутри файла ISO, при открытии которого с GitHub извлекался шаблон с вредоносным макросом, который реализовывал загрузку TelePowerBot и внесение изменений в реестр Windows.

Третья цепочка атак, практиковавшаяся в декабре 2022 года, была идентична первой. Однако вместо TelePowerBot загружалось другое специальное вредоносное ПО, которое исследователи называют KamiKakaBot, предназначенный для выполнения команд.

KamiKakaBot
— это .NET-версия TelePowerBot, которая также обладает возможностями кражи информации, нацеленной на данные, хранящиеся в браузерах на основе Chrome и Firefox.

Помимо названных инструментов Dark Pink также использовали скрипт для записи звука через микрофон в минутном интервале. Данные сохраняются в виде ZIP-архива во временной папке Windows, после чего передаются через Telegram-бот.

Кроме того, злоумышленник использовал специальную утилиту ZMsg для эксфильтрации информации из мессенджеров, которая крадет переписку из Viber, Telegram и Zalo.

Результаты анализа активности Dark Pink позволили с высокой вероятностью Group-IB констатировать успех семи атак, однако исследователи полагают, что их могло быть значительно больше.
Google объявила о выпуске Chrome 109 в стабильном канале с исправлениями 17 уязвимостей, в том числе 14 ошибок, о которых сообщили внешние исследователи.

Большинство из них относятся к недостаткам средней и низкой степени серьезности, и только две представляют собой ошибки высокой степени серьезности.

К ним относятся проблема использования после освобождения в обзорном режиме (CVE-2023-0128) и ошибка переполнения буфера кучи в сетевой службе (CVE-2023-0129).

Первую 16 августа 2022 года обнаружил ресерчер Халил Жани, о второй сообщил Asnine 7 ноября 2022 года.

Google заявляет, что выплатила им вознаграждение за обнаружение этих уязвимостей в размере 4000 и 2000 долларов соответственно.

В последней версии браузера было устранено в общей сложности восемь ошибок средней степени серьезности, пять из которых представляют собой проблемы реализации в компонентах Chrome, таких как API, песочница Iframe и запросы разрешений.

Оставшиеся проблемы включают две уязвимости использования после освобождения в корзине и ошибку переполнения буфера кучи в Platform Apps.

Chrome 109
также включает исправления четырех уязвимостей низкой степени серьезности, о которых сообщалось извне.

Google отмечает, что самая высокая награда за обнаружение ошибок была выплачена за одну из проблем с низким уровнем серьезности - CVE-2023-0138, ошибку переполнения буфера кучи в компоненте libphonenumber.

Исследователь получил вознаграждение в размере 8000 долларов, при этом самая высокая награда за ошибку средней серьезности составила 5000 долларов.

В общей сложности Google выплатила 39 000 долларов США исследователям, сообщившим об ошибках, но окончательная сумма может быть выше, поскольку компании еще предстоит определить вознаграждение за одну из проблем средней серьезности.

Chrome в настоящее время доступен в последней версии 109.0.5414.74 для Linux, 109.0.5414.74/.75 для Windows и 109.0.5414.87 для macOS.

Разработчик не упомянул об использовании какой-либо из этих уязвимостей в вредоносных атаках.
Исследователи Red Balloon Security обнаружили потенциально серьезную непропатченную уязвимость, затрагивающую многие модели ПЛК Siemens.

Имеющая средний рейтинг серьезности CVE-2022-38773 может позволить злоумышленнику обойти функции защищенной загрузки, изменять рабочий код и данные контроллера.

По мнению ресерчеров Red Balloon Security, ошибка обусловлена архитектурными проблемами, затрагивающими процессоры Siemens Simatic и Siplus S7-1500.

Специализированная система SoC Siemens не устанавливает RoT в процессе ранней загрузки, вызывая отсутствие асимметричных проверок подписи для всех этапов загрузчика и прошивки перед выполнением.

Неспособность установить Root of Trust на устройстве позволяет злоумышленникам загружать модифицированный загрузчик и прошивку - выполнять и обходить функции защиты от несанкционированного доступа и проверки целостности на устройстве.

Согласно Red Balloon, злоумышленник может расшифровать прошивку затронутых ПЛК и создать собственную загрузочную вредоносную прошивку на более чем 100 моделях устройств.

Для использования уязвимости требуется физический доступ к целевому ПЛК. Однако, как отметили исследователи, хакер может использовать другую RCE-уязвимость для развертывания вредоносной прошивки на устройстве.

Siemens проинформировала клиентов об уязвимости, порекомендовав принять меры, гарантирующие доступ к физическому оборудованию лишь доверенному персоналу.

При этом производитель отдельно уведомил клиентов о том, что уязвимость не может быть устранена с помощью обновления прошивки и к настоящему времени никаких исправлений не планируется.

Выпущены новые аппаратные версии, устраняющие проблему на некоторых затронутых процессорах, оставшиеся - в находятся в стадии разработки.
В своем последнем отчете Crowdstrike сообщают, как Scattered Spider пытались реализовать BYOVD с использованием старого драйвера Intel для обхода Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR и SentinelOne.

В ходе атаки Bring Your Own Vulnerable Driver финансово мотивированный злоумышленник разворачивал диагностические драйверы Intel Ethernet, который, как известно, уязвим для эксплойтов и позволяет получить наивысшие привилегий в Windows.

Новую тактику удалось обнаружить Crowdstrike сразу после выхода предыдущего отчета в деятельности отношении Scattered Spider в начале декабря прошлого года.

По данным ресерчеров, актор с июня 2022 года нацелен на телекоммуникационные и аутсорсинговые компании фирмы для получения доступа к сетям операторов мобильной связи.

К слову, атаки BYOVD для обеспечения своих вторжений с повышенными привилегиями Windows уже давно практикуют банда вымогателей BlackByte и северокорейская Lazarus.

Ресерчеры сообщают, что на этот раз Scattered Spider пытался эксплуатировать CVE-2015-2291 - уязвимость высокой степени серьезности в диагностическом драйвере Intel Ethernet, которая позволяет злоумышленнику выполнять произвольный код с привилегиями ядра, используя специально созданные вызовы.

Несмотря на то, что ошибка была исправлена еще в 2015 году, благодаря инсталляции более старой, все еще уязвимой, версии на взломанные устройства злоумышленники могут успешно применять уязвимость независимо от того, какие обновления были применены жертвой.

Используемый Scattered Spider образец представляет собой 64-битный драйвер ядра с 35 функциями, подписанный различными украденными в центрах подписи NVIDIA и Global Software LLC сертификатами. Он необходим для отключения средств защиты, закладывая основу для последующих этапов их работы в целевых сетях.

При запуске драйвер расшифровывает жестко закодированную строку целевых защитных решений и исправляет целевые драйверы с жестко запрограммированными смещениями.

Чтобы продукты безопасности конечных точек не блокировали вредоносную активность, драйвер повторяет загруженные модули ядра для компонента ПО безопасности и исправляет его в памяти.

Не взирая на то, что выявленная активность Scattered Spider направлена на конкретные цели, CrowdStrike рекомендует специалистам ИБ следует сканировать системы и применять исправления для всех известных уязвимостей в рамках усиления защиты от подобного рода угроз.
Forwarded from Russian OSINT
👩‍💻 Чат-бот ChatGPT может стать опасным инструментом в руках злоумышленников, социальных инженеров и фейкомётчиков

Специалисты Withsecure (корпорация F-Secure) опубликовали исследование, где рассказывают о том, как искусственный интеллект может повлиять на технологии, используемые злоумышленниками в корыстных целях: spear phishing, cоздание фейковой истории компании (легендирование), мошенническая реклама и производство фейковых новостных статей.

📄 Исследование:
https://labs.withsecure.com/content/dam/labs/docs/WithSecure-Creatively-malicious-prompt-engineering.pdf

🤔 GPT-3 может производить фейковые новости, как на конвейере. Западные исследователи протестировали создание фейков в отношении конфликта Россия-Украина, "Северный Поток" и многое другое.

😱 Технология ИИ может использоваться в маркетинговых войнах, где компании, конкурируя друг с другом за долю на рынке, плодят "невыдуманные истории, о которых невозможно молчать" от якобы клиентов для разрушения чужого бренда или репутации.

*ChatGPT — это чат-бот с искусственным интеллектом, разработанный компанией OpenAI и способный работать в диалоговом режиме, поддерживаюший запросы на различных языках.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Критическая CVE-2022-44877 с оценкой серьезности 9,8 из 10, недавно исправленная в Control Web Panel (ранее известном как CentOS Web Panel), позволяющая злоумышленнику удаленно выполнять код без аутентификации, активно эксплуатируется в дикой природе.

Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.

Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.

Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.

В Shadowserver заявили, что «эксплуатация тривиальна».

По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.

GreyNoise
заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.

При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.

В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.