Группа исследователей из Assetnote раскрыли технические подробности обнаруженных критических уязвимостях в платформа для управления IP-телефонией Avaya Device Services.

Для исследования службы управления телефоном AADS команда запускала ПО в облачной среде, однако большая часть анализа по-прежнему проводилась в автономном режиме.

Для работ был использован установочный двоичный файл AADS aads-8.0.0.0.268.bin, представляющий собой Makeself-архив с TAR-архивом, установочным скриптом и .rpm пакетами в одном файле.

Прочесав исходный код в декомпилированных .jar и .war файлов на предмет распространенных ошибок ресерчеры обнаружили XSS-уязвимость, позволявшая добиться отражения XSS без необходимости аутентификации.

При этом в некоторых установках Avaya Device Services эта с XSS была доступна только при выполнении атаки с обходом каталога, открывающей панель администрирования.

Изучив большую часть Java, ресерчеры обратили внимание на все установленные файлы конфигурации. По итогу проблемная реализация в /etc/httpd/conf/httpd.conf позволила им обнаружить RCE-уязвимость, позволяющую обойти единственный элемент управления безопасностью Avaya_Phone.

По итогу в Avaya заявили, что ошибки были исправлены в предыдущей версии ПО, им не присваивались идентификаторы CVE.

В документации (здесь) производителя RCE-уязвимость в Avaya Device Services отслеживаются как ACS-21519. Тем не менее за раскрытие последовавших за ней баг исследователям откатили по BugBounty более 60 тысяч долларов.

Специалисты Лаборатории Касперского расчехлили три новых версии небезизвестного вредоносного ПО Prilex, нацеленного на кредитные карты с поддержкой NFC.

Криминальная схема с каржем карт встала на ступеньку выше, ведь малварь, когда-то нацеленная на банкоматы теперь превратилось в новый модульный вредонос для PoS терминалов и на данный момент является самой сложной PoS-угрозой, с которой когда-либо сталкивались эксперты.

Прелесть Prilex заключается в том, что в он способен блокировать безопасные бесконтактные транзакции по кредитным картам с поддержкой NFC, вынуждая потребителей вставлять кредитные карты, которые затем будут украдены вредоносным ПО.

Встроенные в кредитные карты и девайсы чипы NFC предназначены для проведения платежей на близком расстоянии с помощью кредитных карт, смартфонов или даже смарт-часов и их популярность резко возросла после пандемии COVID-19, когда за 2021 год было зарегистрировано бесконтактных транзакций на рекордную сумму более 34,55 миллиардов долларов.

Использование чипов NFC в картах облегчило жизнь потребителя, но усложнило кражу информации о кредитных картах вредоносными программами в точках продаж, что побудило злоумышленников разрабатывать новые методы.

И разработали, так как ресерчеры обнаружили в дикой природе как минимум три новых варианта вредоносного ПО с номерами версий 06.03.8070, 06.03.8072 и 06.03.8080, впервые выпущенные в ноябре 2022 года.

Собственно, в них и представлена новая функция, не позволяющая платежным терминалам принимать бесконтактные транзакции, вынуждая клиентов вставлять свои карты.

Кроме того, в сентябре 2022 года специалисты ЛК сообщали, что в Prilex добавлена генерацию криптограммы EMV (Europay, MasterCard и Visa), чтобы избежать обнаружения и выполнять «фантомные транзакции», даже если карта защищена технологией CHIP и PIN-кода.

Если новая функция Prilex включена, то она будет блокировать бесконтактные транзакции и отображать ошибку «Бесконтактная ошибка, вставьте карту» на платежном терминале и когда жертва вставит карту, собрать данный уже дело техники.

Причем малварь довольно умная и использует набор правил, чтобы определить, следует блокировать транзакцию или нет в зависимости от того, было ли обнаружено использование NFC.

Более того, новая фича, впервые появившаяся в последних вариантах Prilex позволяет фильтровать "нежелательные" карты и собирать данные только от определенных поставщиков и уровней, например Black, Infinite или Corporate с высоким лимитом транзакций, что намного привлекательнее для злоумышленников, чем стандартные кредитки с мелкими балансами и ограниченным лимитом.

Опасность точек продаж еще связана с достаточно ограниченным набором средств для защиты от вредоносных программ PoS, таких как Prilex, поскольку нет возможности узнать заражен платежный терминал или нет.

Рекомендации включают стандартные меры безопасности, связанные с отказом от оплаты на терминалах с видимыми признаками несанкционированного доступа, отказом от использования общедоступного Wi-Fi для доступа к финансовым счетам без VPN и проверки детализации транзакций до и после их завершения.

Кроме того, важно регулярно отслеживать финансовые отчеты для выявления любых потенциально мошеннических списаний, о которых следует немедленно сообщать эмитенту карты.

​📦 IntroLabs. Практические задания и руководства для ИБ специалистов.

🖖🏻 Приветствую тебя user_name.

• Как уже стало понятно из названия, ниже представлена подборка практических лабораторных заданий для изучения различных аспектов информационной безопасности и пентеста, включая инструменты, работу с логами, журналами и т.д.

• Материал будет полезен не только начинающим, но и опытным ИБ специалистам. Описание каждой лабы доступно по ссылкам ниже:

Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;

Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;

Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.

• В качестве дополнительного материала, обязательно обратите внимание на следующий материал: "S.E.Подборка. HackTheBox CTF Cheatsheet. RU.", "Hack The Box. Учимся взлому." и материал по хэштегу #ИБ, #Пентест, #Red_Team.

S.E. ▪️ S.E.Relax ▪️ infosec.work

͏Традиционный взгляд среднестатистического руководителя относительно структуры подразделения ИБ в компании 👇

Ресерчер Дэвид Дворкен обнаружил и представил PoC для уязвимостей в приложениях для управления паролями Bitwarden и DashLane, а также в функции управления паролями браузера Safari.

Ошибка высокой степени серьезности связана с автоматическим заполнением паролей на ненадежных веб-страницах и последующей компрометацией учетных данных пользователей, использующих Bitwarden v2022.10.0, Dashlane 6.2242.0 и Safari 15.6.1.

Обычно менеджеры паролей должны проверять, изолирован ли контент перед автоматическим заполнением учетных данных, используя при этом разные способы, один из которых — это проверка self.origin страницы. Если параметр имеет значение «null», то ввод учетных данных не производится.

Bitwarden автоматически заполняет учетные данные для обоих типов изолированного контента, как только пользователь щелкает расширение Bitwarden для Chrome.

DashLane немедленно автоматически вводит учетные данные на изолированную страницу CSP. Он отображает окно с предупреждением перед автоматическим заполнением учетных данных в изолированном iframe.

Safari автоматически вводит учетные данные в оба типа изолированного содержимого, хотя требуется взаимодействие с пользователем.

Стоит отметить, что LastPass, 1Password, Chrome и Edge по результатам тестов таких ошибок не допустили. После сообщения об ошибке разработчики Bitwarden и DashLane в конце 2022 года выпустили соответствующие исправления.

Греческий скандал, связанный со шпионским ПО Predator, докатился и до Ирландии.

Правительство страны начало крупное расследование после того, как стало известно о двух компаниях, аффилированным с поставщиком шпионского софта Intellexa, которые зарегистрированы в Дублине и функционируют на территории страны.

Как сообщает Irish Times, с этой инициативой к Объединенного комитета по правосудию Oireachtas обратился член Европарламента Барри Эндрюс, пояснив, что страна рискует стать «убежищем» для компаний, занимающихся продажей шпионского ПО.

Как выяснил сенатор, основанная бывшим офицером израильской разведки Intellexa и ее холдинговая компания Thalestris Ltd официально зарегистрированы по адресу Фоли-стрит в Дублине.

Что неудивительно, ведь даже в отчете следственных органов о деятельности NSO Group упоминалось об Ирландии как стране с благоприятным финансово-правовым климатом для разработчиков шпионского софта. Тем не менее в стране действуют нормы лицензирования технологий двойного назначения.

В своей корпоративной документации, представленной местным властям, Intellexa Ltd не скрывала свою деятельность, указав «разведывательных продуктов для правохранительных органов».

При этом по данным Департамента предпринимательства, разработчик не запрашивал никаких лицензии на продажу. Также не предоставил данных о сотрудниках в ирландском офисе.

При том консолидированные отчеты показывают общий объем продаж Intellexa только за 2021 году в размере 34 млн евро.

По итогу разбирательства комитет ответил депутату Европарламента, что рассмотрел этот вопрос на закрытом заседании 18 января и внес этот вопрос в свою рабочую программу на 2023 год.

Комитету предстоит выяснить обстоятельства возможного применения и масштабы разработки специализированного шпионского ПО ирландскими компаниями.

Об использовании Predator власти Ирландии не стали распространяться. Во всяком случае пока, но будем следить за ситуацией.

Исследователи Proofpoint сообщают о новом тренде использования документов OneNote для доставки вредоносных ПО для обхода от обнаружения.

Лавинообразный рост фиксируется в последние два месяца. Если в декабре 2022 года было выявлено 6 кампаний с использованием вложений OneNote для доставки AsyncRAT, то в январе этого года - уже более чем 50 кампаний с ARedline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK и Qbot.

Кампании нацелены на организации по всему миру, в том числе в Северной Америке и Европе.

Причем в числе последних за использованием этой техники был замечен брокер начального доступа TA577, который вернулся после месячного перерыва в работе и начал использовать OneNote для доставки Qbot.

Дело в том, что после блокировки Microsoft макросов по умолчанию в 2022 году, злоумышленники перешли к использованию ранее редко наблюдаемых типов файлов: VHD, CHM и теперь one. На момент исследования образцы вредоносных ПО OneNote практически не детектировались на VirusTotal.

Все наблюдаемые ресерчерами кампании с OneNote на канале электронной почты имели схожие характеристики. Хотя темы сообщений и отправители различались. С середины января 2023 года Proofpoint обнаружили также использание URL-адресов для доставки вложений.

Документы OneNote содержали встроенные файлы, скрытые за графикой, похожей на кнопку, при двойном нажатии всплывает предупреждение. Продолжая, файл выполняется. Это могут быть исполняемые файлы различных типов, файлы ярлыков (LNK) или файлы сценариев, такие как приложение HTML (HTA) или файл сценария Windows (WSF).

Наблюдаемое увеличение общего количества кампаний и разнообразие типов полезной нагрузки позволяет предположить, что теперь OneNote используют несколько участников разного уровня сложности.

В то время как некоторые кластеры связаны на основе C2, приманок и таргетинга, в большинстве кампаний используется различная инфраструктура, темы сообщений и приманок, а также таргетинг.

В декабрьских кампаниях сообщения содержали вложение OneNote, содержащее файл HTA, который вызывает сценарий PowerShell для загрузки исполняемого файла (например, Excel.exe) с URL-адреса. Эти сообщения были нацелены на промышленные предприяти и производства.

В других кампаниях с широким таргетингом использовались темы выставления счетов, доставки, а также рождественских подарков. Они в основном были нацелены на организации в секторе образования, среди прочих.

Январские активности включали тысячи сообщений и не были нацелены на конкретные организации или отрасли. Кампании продолжали использовать те же TTP со скрытыми встроенными файлами во вложении OneNote. В нескольких актор использовали OneNote Gem и Transfer.sh для размещения полезной нагрузки.

Примечательно, что 19 января исследователи наблюдали за кампанией по распространению бэкдора DOUBLEBACK (ранее использовался TA579). Это была первая из кампаний, в которой использовался перехват потока.

Сообщения содержали URL-адреса, которые приводили к загрузке ZIP-файла, который содержал OneNote с тем же именем, который приводил к запуску VBS, встроенного за кнопкой. Далее VBS загрузил сценарий PowerShell для запуска DOUBLEBACK.

Ресерчеры прогнозируют, что все больше злоумышленников будут использовать вложения OneNote для доставки вредоносного ПО, но успешность атак все же зависит от взаимодействия получателя с вложением.

В своем отчете исследователи Proofpoint также представили примеры индикаторов компрометации.

В киберпространстве в прямом и переносном смысле появился новый игрок.

Ранее неизвестная группировка атаковала компании, занимающиеся азартными и онлайн-играми, с помощью также неизвестного бэкдора, который исследователи назвали IceBreaker.

Метод компрометации основан на том, что сотрудников службы поддержки клиентов обманным путем заставляют открывать вредоносные скриншоты, которые злоумышленник отправляет под видом проблем, с которой сталкивается пользователь.

Первые атаки зафиксированы в сентябре 2022 года специалистами из компании Security Joes по реагированию на инциденты, которые считают, что бэкдор IceBreaker — это работа нового продвинутого злоумышленника, использующего новую и очень специфическую тактику социальной инженерии.

Анализ техники в перспективе может дать более четкое представление о том, кто они такие. Во всяком случае проанализировав данные сентябрьского инцидента, Security Joes смогли отреагировать на три другие атаки, прежде чем хакеры смогли скомпрометировать свои цели.

Единственным публичным доказательством существования злоумышленника IceBreaker, которое удалось найти специалистам - это октябрьский твит от MalwareHunterTeam.

Чтобы доставить бэкдор, злоумышленник обращается в службу поддержки целевой компании, притворяясь пользователем, у которого возникают проблемы со входом в систему или регистрацией в онлайн-сервисе.

Хакеры убеждают сотрудника поддержки загрузить изображение, которое описывает проблему лучше, чем они могут объяснить.

Специалисты говорят, что изображение обычно размещается на поддельном веб-сайте, который выдает себя за легитимный сервис, дабы убедить жертву, что оно было доставлено из хранилища Dropbox.

Ссылки, доставленные таким образом, ведут к ZIP-архиву, содержащему вредоносный LNK-файл, который собственно и загружает бэкдор IceBreaker, или скрипт Visual Basic, загружающий Houdini RAT, используемый злоумышленниками как минимум с 2013 года.

Специалисты отметили, что загруженное вредоносное ПО является очень сложным скомпилированным файлом JavaScript, который может обнаруживать запущенные процессы, красть пароли, файлы cookie, открывать обратный туннель через прокси, а также запускать сценарии, полученные с сервера управления.

Вредоносный LNK является основной полезной нагрузкой первого уровня, доставляющего вредоносное ПО IceBreaker, а файл VBS используется в качестве резервной копии на случай, если оператор службы поддержки не сможет запустить ярлык.

Страновую принадлежность нового актора еще не идентифицировали, однако Security Joes заявили, что диалоги, которые они изучили между злоумышленником и сотрудниками поддержки, показывают, что актор не является носителем английского языка и намеренно просит перевести разговор на испаноговорящего специалиста.

Также было замечено, что они говорят и на других языках.

Представителям игровой индустрии, да и не только, стоит держать ушки на макушки, так как хакерами используется очень эффективный вектор атаки и новый арсенал вредоносного ПО.

Cisco выпустила обновления для устранения серьезной уязвимости в среде размещения приложений Cisco IOx.

CVE-2023-20076 была обнаружена исследователями Сэмом Куинном и Казимиром Шульцем из Trellix Advanced Research Center.

Она связана с неполной очисткой параметров, передаваемых в процессе активации приложения.

Злоумышленник может воспользоваться уязвимостью, развернув и активировав приложение в среде Cisco IOx с помощью специально созданного файла полезной нагрузки активации.

Успешное использование позволяет выполнять команды с разрешениями root в базовой ОС.

Компания заявляет, что уязвимость затрагивает устройства Cisco, работающие под управлением ПО IOS XE, но только в том случае, если они не поддерживают собственный докер.

Помимо устройств на базе IOS XE, настроенных с IOx, в список затронутых устройств также входят промышленные маршрутизаторы ISR серии 800 и IR510 WPAN, модули CGR1000, промышленные шлюзы IC3000 и Cisco Catalyst (COS-AP).

Компания также подтвердила, что уязвимость CVE-2023-20076 не затрагивает коммутаторы Catalyst серии 9000, программное обеспечение IOS XR и NX-OS или продукты Meraki.

При этом злоумышленники могут использовать эту уязвимость только в том случае, если они имеют аутентифицированный административный доступ к уязвимым системам.

При этом акторы могут повысить привилегии, используя учетные данные для входа по умолчанию, фишинг или социнженерию.

В этом случае злоумышленники могут использовать CVE-2023-20076 для получения неограниченного доступа, позволяющего вредоносному коду скрываться в системе и сохраняться при перезагрузках и обновлениях прошивки, как объяснили исследователи Trellix.

Вредоносный код будет продолжать работать до тех пор, пока устройство не будет сброшено до заводских настроек или будет удалено вручную.

Cisco PSIRT заявляет, что не обнаружила доказательств того, что эта уязвимость используется в реальных условиях.

Ресерчеры Аssetnote обнаружили RCE-уязвимость CVE-2022-47986 в одном из самых популярных корпоративных решений для быстрой и безопасной передачи файлов - IBM Aspera Faspex.

Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera High-Speed Transfer Server в качестве решения для централизованной передачи.

Благодаря графическому веб-интерфейсу Faspex предлагает расширенные возможности управления высокоскоростной передачей FASP. Кроме того, IBM Aspera Faspex реализует также различные варианты шифрования файлов в приложении&

Как отмечают исследователи, при аудите приложения Ruby on Rails важно понимать структуру проекта, наличие статического SECRET_KEY_BASE значения внутри файлов конфигурации, а также файла маршрутов, содержащего список маршрутов и соответствующих контроллеров, обрабатывающих эти маршруты.

Методология исследования заключалась в том, чтобы глубоко погрузиться в app папку и сосредоточиться на всех контроллерах, которые можно было маршрутизировать без аутентификации. 

Обнаруженная проблема была связана с небезопасной загрузкой YAML на маршруте /package_relay/relay_package. С помощью гаджетов десериализации исследователи добились выполнения команды, поскольку этот приемник обрабатывал данные, контролируемые пользователем.

По итогу им удалось дразработать эксплойт, который может быт использован в реальных сценариях атаки с учетом различия версий Ruby, поставляемых вместе с Aspera Faspex.

Об ошибке IBM уведомили 6 октября 2022 года, по результатам изучения отчета 18 января 2023 года компания устранила недостаток, выпустив Faspex 4.4.2 Patch Level 2, и представила рекомендации по безопасности (здесь).

Sentinel Labs обнаружила рекламную кампанию в Google, в рамках которой злоумышленники с использованием технологии виртуализации KoiVM распространяют стиллер Formbook.

Установщики вредоносных ПО в виде виртуализированных загрузчиков .NET, получивших название MalVirt помогают распределять конечную полезную нагрузку, не вызывая предупреждений антивирусных решений.

KoiVM — это плагин для протектора ConfuserEx .NET, который запутывает исполняемые файлы, заменяя исходный код виртуализированным.

Затем движок виртуальной машины выполняет виртуализированный код, переводя его в исходный код во время выполнения.

При злонамеренном использовании виртуализация усложняет анализ вредоносных программ, а также представляет собой один из способов обхода механизмов статического анализа.

Некоторые образцы исправляют функцию AmsiScanBuffer, реализованную в amsi.dll, для обхода интерфейса сканирования на наличие вредоносного ПО (AMSI), обнаруживающего вредоносные команды PowerShell.

Кроме того, в попытке обойти статические механизмы обнаружения некоторые строки (такие как amsi.dll и AmsiScanBuffer) кодируются с помощью Base-64 и AES.

При этом загрузчики также могут определять, работают ли они в виртуализированной среде, запрашивая определенные ключи реестра.

MalVirt также использует подписанный драйвер Microsoft Process Explorer, загружаемый при запуске системы как «TaskKill», что позволяет ему изменять запущенные процессы, чтобы избежать обнаружения.

Чтобы также избежать декомпиляции виртуализированного кода, загрузчики также используют модифицированную версию KoiVM, которая имеет дополнительные уровни обфускации, что делает ее расшифровку еще более сложной, сбивая с толку стандартные фреймворки девиртуализации (OldRod).

Ресерчеры отмечают, что виртуализация KoiVM популярна в хакерских инструментах и взломах, но редко используется для распространения вредоносных ПО. Выявленная активность, по их мнению, обусловлена отключением Microsoft макросов в Office.

За последний месяц исследователи наблюдали рост злоупотреблений Google-рекламой для распространения различных вредоносных программ, в том числе RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthysstealer, IcedID, Raccoon Stealer и многих других.

В наблюдаемойкламную кампанию вкампании злоумышленники продвигают загрузчики MalVirt в рекламе, выдавая себя за ПО Blender 3D. Используются недействительные цифровые подписи, выдающие себя за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

В дополнение ко всем системам предотвращения обнаружения, используемым в загрузчике вредоносного ПО, сам Formbook использует новый трюк, который помогает замаскировать его реальный трафик на C2 и IP-адреса.

Вредоносное ПО смешивает свой реальный трафик с различными побочными HTTP-запросами, содержимое которых зашифровано и закодировано, чтобы они не выделялись, взаимодействуя с IP-адресами случайным образом, выбирая их из жестко заданного списка доменов, размещенных различными компаниями.

SentinelLabs говорит, что в проанализированных образцах Formbook взаимодействовал с 17 доменами, только один из которых был фактическим сервером C2, а остальные служили приманками.

Новый фишки в довольно старом штамме указывает на то, что ее операторы заинтересованы в расширении его возможностей новыми функциями, которые сделают ее более скрытной от инструментов безопасности и аналитиков.

F5 предупреждает о серьезной уязвимости в BIG-IP, которая может позволить злоумышленнику, прошедшему проверку подлинности, вызвать DoS и добиться RCE.

CVE-2023-22374 затрагивает iControl SOAP, который обеспечивает связь между системами, работающими от имени root.

Интерфейс SOAP доступен из сети через порт управления BIG-IP или собственные IP-адреса и ограничен административными учетными записями.

Ошибка имеет оценку CVSS 7,5 для систем BIG-IP в стандартном режиме установки и оценку CVSS 8,5 для экземпляров в режиме приложения.

О дефекте сообщили специалисты из Rapid7, которые объясняют, что эксплуатация возможна путем вставки спецификаторов строки формата в определенные параметры, которые передаются в функцию syslog, в результате чего служба считывает и записывает адреса памяти, на которые ссылается стек.

Однако, как объясняют ресерчеры, злоумышленник не может прочитать память, если у него нет доступа к системному журналу.

Злоумышленник может привести к сбою службы, используя спецификаторы «%s» и «%n» для записи произвольных данных в любой указатель в стеке, что потенциально может привести к удаленному выполнению кода.

Для использования уязвимости злоумышленнику сначала необходимо собрать информацию о среде, в которой работает уязвимый компонент.

Наиболее вероятным последствием успешной атаки является сбой серверного процесса. Опытный злоумышленник потенциально способен разработать RCE-эксплойт, который запустит код на устройстве F5 BIG-IP от имени пользователя root.

Уязвимость затрагивает версии BIG-IP 13.1.5, с 14.1.4.6 по 14.1.5, с 15.1.5.1 по 15.1.8, с 16.1.2.2 по 16.1.3 и 17.0.0. В настоящее время патч для этой уязвимости не доступен, но поставщик разработал инженерное исправление.

Поскольку уязвимость может быть использована только авторизованными пользователями, доступ к iControl SOAP API должен быть ограничен доверенными пользователями.

͏Вымогатели LockBit взломали британского разработчика ПО ION Group, специализирующегося на решениях для банковского сектора, финансовых и инвестиционных компаний.

31 января 2023 года ION Group сообщила о киберинциденте, который в значительной степени повлиял на работу ION Cleared Derivatives и ION Markets. Атака была локализована, все затронутые серверы отключены, ведутся восстановительные работы.

Однако последствия атаки оказались весьма неутешительными: крупные клиенты ION Group в США и Европе были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам и, соответственно, финансовым потерям.

Глобальная торговая организация FIA сделала даже по этому поводу отдельное заявление, предупредив, что работает с пострадавшими членами для оценки ситуации, в том числе клиринговыми фирмами и биржами, а также с регуляторами рынка.

Тем временем LockBit добавили ION Group на свой DLS. Помимо серьезных сбоев хакерам также удалось украсть данные во время вторжения, которые они угрожают опубликовать 4 февраля.

Публичная утечка может привести к раскрытию конфиденциальной информациищила о киберинцв отношении крупных инвесторов, что потенциально нанесет значительный ущерб им и их организациям.

Будем посмотреть: ждать осталось недолго.

͏Следи за собой, будь осторожен!

Респект команде MalwareHunterTeam за наводку на 👇
https://gtdhdytjfy[.]weeblysite[.]com

Разработчики GoAnywhere MFT спешно уведомляют клиентов об RCE-уязвтмсоти, которая позволяет взламывать серверы с открытыми консолями администратора.

GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам и журналировать доступ к ним доступ.

Подробностями 0-day поделился Брайан Кребс, который помимо прочего представил и соответствующие рекомендации по безопасности.

Считается, что проблема затрагивает как на локальную, так и на SaaS-реализацию GoAnywhere, но это еще не подтверждено.

Вектор атаки с представленным экспромтом требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам (при работе в облачных средах, таких как Azure или AWS).

При этом интерфейс веб-клиента, который обычно доступен из общедоступного Интернета.

Пока Fortra в поте лица пилит исправления клиентам, чей административный интерфейс был общедоступен или к нему нельзя применить средства контроля доступа, следует cмягчить уязвимость, следуя представленным ресерчером мерам.

Fortra также временно закрыла свое решение SaaS, пока ошибка не будет устранена.

В то же время небезызвестный Кевин Бомонт обнаружил 1008 серверов с GoAnywhere в Интернете, в основном в США, Германии и Великобритании.

Большая часть консолей администратора используют порты 8000 и 8001, а среди потенциально уязвимых организации - органы власти, медучреждения, банки, компании в области энергетики и финтех.

И далее следует длинный список, который в ближайшей перспективе может перекочевать на DLS вымогателей, как это случилось в 2021 году, когда Clop взломали Accellion FTA.

Критический баг в Jira Service Management Server и Data Center позволяет злоумышленникам выдавать себя за пользователей Jira.

Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.

Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.

Коварный замысел с получением токенов может быть реализован в двух сценариях:

1. злоумышленник включен в задачи или запросы Jira с этими пользователями

2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.

Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.

По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.

Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.

Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.

​​Уже давно не радовали вас вестями о бойцах цифрового чучхе.

Но в этом нам подсобила финская WithSecure, выкатив расследование, посвященное новой кампании кибершпионажа под названием No Pineapple!, которую ресерчеры атрибутировали с Lazarus.

Началось все с инцидента с ransomware, расследование которого вывело ресерчеров на Lazarus из-за допущенной ими ошибки. Северокорейской АРТ, по данным исследователей, удалось незаметно выкрасть 100 ГБ данных у жертвы, не причинив никакого ущерба.

Кампания длилась с августа по ноябрь 2022 года и была нацелена на организации в области научных исследований, здравоохранения, химического машиностроения, энергетики, обороны и ведущий исследовательский университет.

Хакеры Lazarus скомпрометировали сеть жертвы 22 августа 2022 года, используя RCE-уязвимость CVE-2022-27925 и CVE-2022-37042 для обхода аутентификации Zimbra, сбросив веб-шелл на почтовый сервер.

После успешного взлома сети были развернуты инструменты туннелирования Plink и 3Proxy, что позволило злоумышленникам обойти брандмауэр.

Менее чем через неделю злоумышленники с использованием модифицированных сценариев извлекли 5 ГБ с почтового сервера, сохранив в CSV-файле, который позже был загружен на сервер злоумышленника.

В течение следующих двух месяцев Lazarus развернул свой Dtrack и новую версию GREASE (связанное, как известно, с Kimusky) для обнаружения учетных записей администраторов Windows, перемещения по сети и кражи данных с устройств.

По завершении 5 ноября 2022 года двухмесячного турне в сети жертвы, Lazarus вынесли более 100 ГБ данных. Причем работали хакеры в соответствии с общепринятым в КНДР трудовым графиком.

В процессе расследования WithSecure увидели некоторые изменения в работе Lazarus, включая: новую инфраструктура с использованием IP-адресов без доменных имен, обновленные ПО Dtrack и GREASE (используется для создания учетной записи администратора и обхода защиты).

Новый вариант Dtrack сбрасывается через onedriver.exe и больше не использует собственный C2-сервер для кражи данных, полагаясь отдельный бэкдор для передачи собранных локально данных в защищенном паролем архиве.

Новый вариант GREASE выполняется на хосте как DLL ("Ord.dll") с более высокими привилегиями, достигаемыми за счет использования PrintNightmare.

Теперь он использует RDPWrap для установки службы RDP на хост для создания учетной записи привилегированного пользователя с помощью команд сетевого пользователя.

Даже закрыть глаза на засвеченный Lazarus по ошибке северокорейский айпишник 175.45.176[.]27, WithSecure обнаружили множество совпадений по TTP, инфраструктуре и таргетингом с отчетами Symantec и Cisco Talos,

Кроме того, ресерчеры заметили, как злоумышленники вводили различные команды на взломанных сетевых устройствах вручную с помощью модуля Impacket atexec.

WithSecure резюмировали свои изыскания банальным выводом, утверждая, что АРТ продолжит свою активность в отношении представляющих развединтерес для КНДР корпоративных целей.

Добавим: они будут делать все это безусловно, но с особым изыском.

Иранская APT OilRig совершенствует свою стратегию и продолжает атаковать правительственные организации на Ближнем Востоке.

Деятельность OilRig, также известной как APT34, Cobalt Gypsy, Europium и Helix Kitten, была задокументирована в целевых фишинговых атаках на Ближнем Востоке еще в 2014 году.

Известно, что банда, связана с Министерством разведки и безопасности Ирана (MOIS) и использует в своих операциях широкий спектр инструментов.

Последние атаки в 2021 и 2022 годах включали такие бэкдоры, как Karkoff, Shark, Marlin и Saitama, для кражи информации.

Изменения в тактике кибершпионской деятельности группировки отметили исследователи из Trend Micro, которые установили, что хакеры стали использовать новый бэкдор для кражи данных, а также легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые учетные записи, контролируемые злоумышленниками.

Сама техника не является чем-то новаторским, однако OilRig применила ее впервые, что демонстирует эволюцию ее форм и методов обхода средств защиты.

Последние атаки связанны с применением нового дроппера на основе .NET, который имеет четыре отдельных файла для доставки, включая основной имплантат DevicesSrv.exe, отвечающий за кражу определенных файлов, представляющих интерес.

На втором этапе используется файл библиотеки динамической компоновки (DLL), который собирает информацию для входа в систему из локальных учетных записей и учетных записей домена.

Особенностью бэкдора .NET является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками адреса электронной почты Gmail и Proton Mail.

Причем если верить исследователям Trend Micro, злоумышленники отправляют эти электронные письма через правительственные серверы Exchange, используя фиктивные учетные записи с украденными паролями.

Растущее число вредоносных инструментов, связанных с OilRig, указывает на гибкость злоумышленника в создании новых вредоносных программ в зависимости от целевых сред и привилегий, которыми он обладает на этапе атаки.

Новизна второго и последнего этапа также указывает, что все изменения могут быть лишь небольшой частью более крупной кампании против правительственных организаций.

Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".

Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).

Charlie Hebdo не прокомментировал выводы Microsoft, но технологический гигант уже успел быстро назначить виноватого.

Как заключили эксперты, нападение является местью за инициативу Charlie Hebdo провести конкурс карикатур на правящего священнослужителя Ирана.

В результате кибератаки злоумышленник взломал базу данных журнала и получил личную информацию в отношении более 230 000 подписчиков издания.

Часть сведений была опубликована в качестве доказательства. Полный массив продается на нескольких даркнет-площадках за 340 000 долларов.

Утечка включают полные установочные данные, номера телефонов, адреса, а также электронную почту. Французская Le Monde уже подтвердила подлинность данных.

В основу атрибуции были положены шаблоны ФБР, на основе которых Microsoft удалось выделить отличительные элементы атаки:
- хактивистская личность,
- публичные заявления об атаке,
- утечка личных данных,
- использование фейковых аккаунтов в соцсетях «sockpuppet»,
- обращение к СМИ.

И еще один: более широкий набор разведданных, доступный только Microsoft DTAC (и приславшему этот набор с назначением виноватого подразделению АНБ или ЦРУ).

Предлагаем Microsoft DTAC новый универсальный набор TTPs, которые однозначно свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР:

- хакеры атаковали цель через Интернет;
- в ходе атаки они использовали один или несколько языков программирования;
- у хакерской атаки были негативные последствия.

Если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

"Когда увидел основу атрибуции и универсальный набор TTPs от Microsoft DTAC, которые свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР", - 🤣комментарий подписчика.