В рамках ежемесячного обновления за февраль 2023 года Siemens и Schneider Electric устранили в общей сложности около 100 уязвимостей в своих продуктах.
Компания Siemens опубликовала 13 новых бюллетеней, охватывающих в общей сложности 86 уязвимостей, при том, что согласно отчету компании SynSaber в 2022 году компания устранила 544 уязвимостей.
Самая серьезная уязвимость в 10 баллов по шкале CVSS связана с повреждением памяти, что может привести к DoS или RCE в ПО для проектирования предприятия Comos.
Около дюжины критических и особо серьезных уязвимостей закрыты в Brownfield Connectivity, их использование может привести к DoS.
Некоторые из серьезных недостатков связаны с BIOS, в частности, с устраненными Intel и Insyde в ноябре 2022 года, включая проблемы, реализуемые при атаке RingHopper.
В Tecnomatix Plant Simulation, JT Open Toolkit, JT Utilities, Parasolid, Solid Edge и Simcenter Femap были устранены серьезные уязвимости, которые могут быть использованы для RCE и DoS путем обмана целевых пользователей, заставляющих их обрабатывать специально созданные файлы.
Уязвимость повышения привилегий высокой степени серьезности пропатчена в ACC SiPass, аналогичная уровню DoS-ошибка закрыта в некоторых коммутаторах Scalance.
При этом для некоторых уязвимых решений Siemens обновления еще не выпущены.
Schneider Electric выпустила три бюллетеня по 10 уязвимостям.
В одном из них описываются девять проблем высокой и средней степени серьезности, обнаруженных в ПО для мониторинга StruxureWare Data Center Expert. Эксплуатация может привести к RCE или повышению привилегий.
В другом бюллетене описывается серьезный недостаток, связанный с неправильной аутентификацией и затрагивающий Merten KNX.
Третье уведомление информирует клиентов Schneider Electric о проблеме средней степени серьезности в EcoStruxure Geo SCADA Expert, которая может позволить сфальсифицировать журналы.
Компания Siemens опубликовала 13 новых бюллетеней, охватывающих в общей сложности 86 уязвимостей, при том, что согласно отчету компании SynSaber в 2022 году компания устранила 544 уязвимостей.
Самая серьезная уязвимость в 10 баллов по шкале CVSS связана с повреждением памяти, что может привести к DoS или RCE в ПО для проектирования предприятия Comos.
Около дюжины критических и особо серьезных уязвимостей закрыты в Brownfield Connectivity, их использование может привести к DoS.
Некоторые из серьезных недостатков связаны с BIOS, в частности, с устраненными Intel и Insyde в ноябре 2022 года, включая проблемы, реализуемые при атаке RingHopper.
В Tecnomatix Plant Simulation, JT Open Toolkit, JT Utilities, Parasolid, Solid Edge и Simcenter Femap были устранены серьезные уязвимости, которые могут быть использованы для RCE и DoS путем обмана целевых пользователей, заставляющих их обрабатывать специально созданные файлы.
Уязвимость повышения привилегий высокой степени серьезности пропатчена в ACC SiPass, аналогичная уровню DoS-ошибка закрыта в некоторых коммутаторах Scalance.
При этом для некоторых уязвимых решений Siemens обновления еще не выпущены.
Schneider Electric выпустила три бюллетеня по 10 уязвимостям.
В одном из них описываются девять проблем высокой и средней степени серьезности, обнаруженных в ПО для мониторинга StruxureWare Data Center Expert. Эксплуатация может привести к RCE или повышению привилегий.
В другом бюллетене описывается серьезный недостаток, связанный с неправильной аутентификацией и затрагивающий Merten KNX.
Третье уведомление информирует клиентов Schneider Electric о проблеме средней степени серьезности в EcoStruxure Geo SCADA Expert, которая может позволить сфальсифицировать журналы.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Как в случае с GoAnywhere MFT, исправленная две недели назад уязвимость в ПО для передачи файлов Aspera Faspex от IBM уже активно эксплуатируется в дикой природе.
CVE-2022-47986 высокой степени серьезности представляет собой недостаток десериализации YAML, который может быть использован удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения произвольных команд на целевом сервере с использованием специально созданных вызовов API.
Как мы уже сообщали, проблема была обнаружена исследователями из Assetnote, уведомившими разработчика о баге в октябре 2022 года. В январе 2023 года IBM выпустила исправление и проинформировала клиентов.
Примерно через неделю после публикации бюллетеня 2 февраля, Assetnote представила подробное описание уязвимости и PoC. Вскоре аналогичные эксплойты появились на различных сайтах и были интегрированы в сканеры уязвимостей.
После этого последовали сообщения о первых попытках эксплуатации. 3 февраля активность обнаружил охотник за угрозами N3sfox, опубликовав индикаторы компрометации (IoC).
Затем Shadowserver Foundation также сообщила о попытках эксплуатации, атаках 3 и 4 февраля, а затем начиная с 11 февраля.
В свою очередь, Shodan показывает более 100 доступных в Интернете серверов Aspera Faspex, в основном расположенных в США и Великобритании.
Безусловно, некоторые из наблюдаемых попыток эксплуатации, вероятно, инициировались исследователями и компаниями, ищущими уязвимые системы.
Но до конца неясно, сколько из этих атак были реально вредоносными и к чему они могут привести в скомпрометированных средах.
CVE-2022-47986 высокой степени серьезности представляет собой недостаток десериализации YAML, который может быть использован удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения произвольных команд на целевом сервере с использованием специально созданных вызовов API.
Как мы уже сообщали, проблема была обнаружена исследователями из Assetnote, уведомившими разработчика о баге в октябре 2022 года. В январе 2023 года IBM выпустила исправление и проинформировала клиентов.
Примерно через неделю после публикации бюллетеня 2 февраля, Assetnote представила подробное описание уязвимости и PoC. Вскоре аналогичные эксплойты появились на различных сайтах и были интегрированы в сканеры уязвимостей.
После этого последовали сообщения о первых попытках эксплуатации. 3 февраля активность обнаружил охотник за угрозами N3sfox, опубликовав индикаторы компрометации (IoC).
Затем Shadowserver Foundation также сообщила о попытках эксплуатации, атаках 3 и 4 февраля, а затем начиная с 11 февраля.
В свою очередь, Shodan показывает более 100 доступных в Интернете серверов Aspera Faspex, в основном расположенных в США и Великобритании.
Безусловно, некоторые из наблюдаемых попыток эксплуатации, вероятно, инициировались исследователями и компаниями, ищущими уязвимые системы.
Но до конца неясно, сколько из этих атак были реально вредоносными и к чему они могут привести в скомпрометированных средах.
Ibm
Security Bulletin: IBM Aspera Faspex 4.4.2 PL2 has addressed multiple vulnerabilities (CVE-2022-28330, CVE-2023-22868, CVE-2022…
This Security Bulletin addresses security vulnerabilities that have been remediated in IBM Aspera Faspex 4.4.2 PL2.
Intel выпустила исправления для множества критических и серьезных уязвимостей в продуктах, в том числе и для 10 бальной по шкале CVSS, обнаруженной еще в 2021 году.
CVE-2021-39296 влияет на интегрированный контроллер управления основной платой (BMC) и прошивку OpenBMC на нескольких платформах Intel, затрагивая интерфейс netipmid (IPMI lan+).
Ошибка позволяет злоумышленнику получить root-доступ к BMC в обход аутентификации с использованием созданных сообщений IPMI.
В BMC и OpenBMC были устранены еще четыре уязвимости, в том числе серьезная проблема чтения за пределами границ, которая могла привести к DoS.
Intel устранила ошибки, выпустив Integrated BMC 2.86, 2.09 и 2.78, а также версии прошивки OpenBMC 0.72, wht-1.01-61 и egs-0.91-179.
Исправления коснулись и проблемы повышения привилегий высокой серьезности в процессорах Xeon с SGX (CVE-2022-33196), которая решена обновлением BIOS и микрокода.
Компания предупредила о серьезной уязвимости повышения привилегий (CVE-2022-21216) в процессорах Atom и Xeon, и выпустила обновления микрокода для Xeon, устраняющие CVE-2022-33972 (проблема неверных вычислений), которая может привести к раскрытию информации.
Производитель объявил об обновлениях, устраняющих дефекты повышения привилегий с высоким уровнем серьезности в BIOS и модулях защищенной инициализации (SINIT) Trusted Execution Technology (TXT) с проверкой подлинности (ACM) некоторых процессоров.
Обновления устраняют также уязвимости высокой степени серьезности в ПО Driver Support Assistant (DSA), а также баги высокой и средней степени серьезности в инструменте диагностики срока службы батареи, oneAPI, SUR, прошивке Server Platform Services (SPS), а также в ПО Quartus Prime Pro и Standard.
В SDK FPGA для ПО OpenCL Quartus Prime Pro, Integrated Sensor Solution, Media Software Development Kit (SDK), Trace Analyzer and Collector и драйверах Xe MAX для Windows были устранены различные уязвимости средней степени серьезности.
Пользователям рекомендуется как можно скорее применить обновления. Подробности исправлений доступны на странице центреа безопасности Intel.
CVE-2021-39296 влияет на интегрированный контроллер управления основной платой (BMC) и прошивку OpenBMC на нескольких платформах Intel, затрагивая интерфейс netipmid (IPMI lan+).
Ошибка позволяет злоумышленнику получить root-доступ к BMC в обход аутентификации с использованием созданных сообщений IPMI.
В BMC и OpenBMC были устранены еще четыре уязвимости, в том числе серьезная проблема чтения за пределами границ, которая могла привести к DoS.
Intel устранила ошибки, выпустив Integrated BMC 2.86, 2.09 и 2.78, а также версии прошивки OpenBMC 0.72, wht-1.01-61 и egs-0.91-179.
Исправления коснулись и проблемы повышения привилегий высокой серьезности в процессорах Xeon с SGX (CVE-2022-33196), которая решена обновлением BIOS и микрокода.
Компания предупредила о серьезной уязвимости повышения привилегий (CVE-2022-21216) в процессорах Atom и Xeon, и выпустила обновления микрокода для Xeon, устраняющие CVE-2022-33972 (проблема неверных вычислений), которая может привести к раскрытию информации.
Производитель объявил об обновлениях, устраняющих дефекты повышения привилегий с высоким уровнем серьезности в BIOS и модулях защищенной инициализации (SINIT) Trusted Execution Technology (TXT) с проверкой подлинности (ACM) некоторых процессоров.
Обновления устраняют также уязвимости высокой степени серьезности в ПО Driver Support Assistant (DSA), а также баги высокой и средней степени серьезности в инструменте диагностики срока службы батареи, oneAPI, SUR, прошивке Server Platform Services (SPS), а также в ПО Quartus Prime Pro и Standard.
В SDK FPGA для ПО OpenCL Quartus Prime Pro, Integrated Sensor Solution, Media Software Development Kit (SDK), Trace Analyzer and Collector и драйверах Xe MAX для Windows были устранены различные уязвимости средней степени серьезности.
Пользователям рекомендуется как можно скорее применить обновления. Подробности исправлений доступны на странице центреа безопасности Intel.
Intel
Security Center
Многотысячные жалобы в адрес автопроизводителей Hyundai и KIA из-за возможности угона авто с помощью USB-кабеля таки побудило к выпуску экстренного обновления для линейки своих автомобилей. Хорошо хоть не по WiFi.
Волна негодования прокатилась после публикации в TikTok элементарнейшего вектора атаки для взлома авто.
Метод оказался настолько простой, что народ стал по фану угонять чужие машины или практиковаться на своих, а в США все вовсе переросло в полномасштабный Kia Challenge и вызвало значительный рост краж автомобилей.
Только в Лос-Анджелесе у двух брендов в 2022 году количество краж увеличилось на 85% по сравнению с предыдущим годом, в то время как в Чикаго тот же показатель увеличился в 9 раз. В целом за 2022 год рост краж автомобилей в США вырос на 2500 %.
Проблема кроется в логической ошибке, которая позволяет системе «turn-key-to-start» обходить иммобилайзер проверяющий подлинность кода транспондера ключа на ЭБУ автомобиля. Злоумышленники могут принудительно активировать ключ зажигания с помощью любого USB-кабеля и завести автомобиль.
Уязвимость в системе безопасности затрагивает примерно 3,8 миллиона автомобилей Hyundai и 4,5 миллиона автомобилей KIA.
Если сначала уязвимость была устранена для автомобилей 2022 года, то теперь обновление доступно для ряда других авто таких как Elantra 2017–2020 годов, Sonata 2015–2019 годов и автомобилей Venue 2020–2021 годов.
Второй этап установки патча планируют завершить до июня 2023 года и будет касаться следующих моделей: 2018-2022 Accent, 2011-2012 Elantra, 2011-2014 Genesis, 2018-2022 Kona, 2020-2021 Palisade, 2013-2012 Santa Fe, 2011-2014 Sonata, 2011-2022 Tucson, 2012-9-2021 Veloster.
Если в США бесплатное обновление будет устанавливаться у официальных дилеров Hyundai, то как будут обстоят дела в РФ пока не понятно. Полагаем, любителям марки стоит самостоятельно обратиться в дилерские центры для соответствующих пояснений.
Также Hyundai должен предоставить своим клиентам наклейку на окно, которая даст понять угонщикам, что ПО автомобиля было обновлено.
Для моделей без иммобилайзеров двигателя, которые не могут получить обновление, производитель покроет стоимость замков рулевого колеса.
В KIA тоже пообещали вскоре начать развертывание обновлений, но пока не опубликовали никаких объявлений с конкретными сроками.
Так что фанатам корейских авто в пору задуматься и прибегнуть к дедовским методам защиты от угона своего автомобиля.
Волна негодования прокатилась после публикации в TikTok элементарнейшего вектора атаки для взлома авто.
Метод оказался настолько простой, что народ стал по фану угонять чужие машины или практиковаться на своих, а в США все вовсе переросло в полномасштабный Kia Challenge и вызвало значительный рост краж автомобилей.
Только в Лос-Анджелесе у двух брендов в 2022 году количество краж увеличилось на 85% по сравнению с предыдущим годом, в то время как в Чикаго тот же показатель увеличился в 9 раз. В целом за 2022 год рост краж автомобилей в США вырос на 2500 %.
Проблема кроется в логической ошибке, которая позволяет системе «turn-key-to-start» обходить иммобилайзер проверяющий подлинность кода транспондера ключа на ЭБУ автомобиля. Злоумышленники могут принудительно активировать ключ зажигания с помощью любого USB-кабеля и завести автомобиль.
Уязвимость в системе безопасности затрагивает примерно 3,8 миллиона автомобилей Hyundai и 4,5 миллиона автомобилей KIA.
Если сначала уязвимость была устранена для автомобилей 2022 года, то теперь обновление доступно для ряда других авто таких как Elantra 2017–2020 годов, Sonata 2015–2019 годов и автомобилей Venue 2020–2021 годов.
Второй этап установки патча планируют завершить до июня 2023 года и будет касаться следующих моделей: 2018-2022 Accent, 2011-2012 Elantra, 2011-2014 Genesis, 2018-2022 Kona, 2020-2021 Palisade, 2013-2012 Santa Fe, 2011-2014 Sonata, 2011-2022 Tucson, 2012-9-2021 Veloster.
Если в США бесплатное обновление будет устанавливаться у официальных дилеров Hyundai, то как будут обстоят дела в РФ пока не понятно. Полагаем, любителям марки стоит самостоятельно обратиться в дилерские центры для соответствующих пояснений.
Также Hyundai должен предоставить своим клиентам наклейку на окно, которая даст понять угонщикам, что ПО автомобиля было обновлено.
Для моделей без иммобилайзеров двигателя, которые не могут получить обновление, производитель покроет стоимость замков рулевого колеса.
В KIA тоже пообещали вскоре начать развертывание обновлений, но пока не опубликовали никаких объявлений с конкретными сроками.
Так что фанатам корейских авто в пору задуматься и прибегнуть к дедовским методам защиты от угона своего автомобиля.
YouTube
‘As easy as 1-2-3′: Social media trend encourages people to steal Kia, Hyundai cars using USB ca...
Police are warning about a social media trend that shows how criminals can use a USB cable — instead of a key — to start Kias and Hyundais.
Forwarded from Russian OSINT
Как сообщает The Guardian, 50-ти летний бывший оперативник израильского спецназа Тал Ханан под псевдонимом "Хорхе" более 20 лет тайно занимался вмешательствами в выборы различных странах по всему миру.
Он был якобы "случайно" разоблачен международным консорциумом журналистов-расследователей, которые поделились информацией с The Guardian. Ханан с обвинениями не согласился.
В расследовании утверждается, что тайное подразделение бывшего спецназовца под названием “Team Jorge” использовало специальное ПО Advanced Impact Media Solutions для решения различных "вопросов" cвоих клиентов, способное контролировать армию из тысяч профилей в социальных сетях Twitter, LinkedIn, Facebook*, Telegram, Gmail, Instagram* и YouTube, а также аккаунты на Amazon аккаунты с кредитными картами, биткоин-кошельками и аккаунты Airbnb.
"В течение более чем 6 часов тайно записанных встреч, Ханан и его команда рассказали о том, как они могут собирать разведданные о конкурентах, в том числе с помощью хакерских технологий с
Ханан в качестве пруфа продемонстрировал хакерские возможности своей команды, показав репортерам то, как он может проникнуть в аккаунты Telegram и Gmail. В одном случае он вывел на экран
"Я знаю, что в некоторых странах считают, что Telegram безопасен. Сейчас я вам покажу, насколько это безопасно", - сообщил Ханан.
"Я не только смотрю",- сказал Ханан, набрав текст "привет как твои дела?" от имени политика и отправил сообщение контакту из телефонной книги.
⚔️"Одна из самых главных вещей - это вбивать клинья между нужными людьми, ну вы понимаете о чём я", - сказал он. "Или могу написать ему, то что думаю о его жене, или то, что думаю о его последней речи, или то, что обещал ему стать моим следующим начальником штаба".
Каким способом команде “Team Jorge” удалось получить доступ к Telegram и Gmail не раскрывается в статье, однако, по словам Ханана, речь может идти об уязвимостях в дырявом протоколе SS7, которые существуют бородатые десятки лет. Компания Google от комментариев отказалась.
👆🤔 Абстрагируясь от политических разборок, хочется подчеркнуть то, что даже коммерческие компании, не говоря уже о более серьезных конторах, могут получить доступ к большинству защищенных мессенджеров, вопрос лишь в цене. Чуваку якобы приходили счета за услуги по $400-600к, однако без скринов и пруфов со стороны The Guardian.
*Meta (Facebook, Instagram) - признана в РФ экстремистской организацией и запрещена
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Story Guardian
Исследователи Zscaler ThreatLabz сообщают о новой тенденции, которую они наблюдали в ходе анализа недавней вредоносной кампании, нацеленной на правительственную организацию, связанную с использованием злоумышленниками новую структуру C2 с открытым исходным кодом под названием Havoc.
Все чаще субъекты угроз стали искать альтернативы наиболее распространенному инструменту - Cobalt Strike, поскольку средства защиты начали лучше обнаруживать и локализовывать их атаки.
Среди других вариантов, которые помогают обходить антивирусы и решения EDR - Brute Ratel и Sliver.
Первый набор инструментов для постэксплуатации разработан бывшим сотрудником Mandiant и CrowdStrike Четаном Наяком. В то время как платформу Sliver C2 на основе Go разработали исследователи BishopFox как альтернативу Cobalt Strike.
Обе платформы уже активно задействуются в полевых условиях широким кругом акторов, от финансово мотивированных групп до АРТ.
Фреймворк постэксплуатации Havoc включает в себя широкий спектр модулей для решения различных задач на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.
Все это реализуется посредством веб-консоли управления, позволяющей злоумышленнику видеть все свои скомпрометированные устройства, события и выходные данные задач. Havoc также отличает кроссплатформенность: он обходит Microsoft Defender на устройствах с Windows 11, используя sleep obfuscation, подмену стека адресов возврата и непрямые системные вызовы.
В наблюдаемой в начале января Zscaler кампании загрузчик шелл-кода, сброшенный в скомпрометированные системы, отключал отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружалась без заголовков DOS и NT, чтобы избежать обнаружения.
Ранее в этом месяце ReversingLabs также наблюдали, что фреймворк разворачивался с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль, как показано в отчете исследовательской группы.
Как полагают исследователи, популярность нового фреймворка будет только расти, кампания Havoc C2 подчеркивает также важность совершенствования мер защиты.
Все чаще субъекты угроз стали искать альтернативы наиболее распространенному инструменту - Cobalt Strike, поскольку средства защиты начали лучше обнаруживать и локализовывать их атаки.
Среди других вариантов, которые помогают обходить антивирусы и решения EDR - Brute Ratel и Sliver.
Первый набор инструментов для постэксплуатации разработан бывшим сотрудником Mandiant и CrowdStrike Четаном Наяком. В то время как платформу Sliver C2 на основе Go разработали исследователи BishopFox как альтернативу Cobalt Strike.
Обе платформы уже активно задействуются в полевых условиях широким кругом акторов, от финансово мотивированных групп до АРТ.
Фреймворк постэксплуатации Havoc включает в себя широкий спектр модулей для решения различных задач на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.
Все это реализуется посредством веб-консоли управления, позволяющей злоумышленнику видеть все свои скомпрометированные устройства, события и выходные данные задач. Havoc также отличает кроссплатформенность: он обходит Microsoft Defender на устройствах с Windows 11, используя sleep obfuscation, подмену стека адресов возврата и непрямые системные вызовы.
В наблюдаемой в начале января Zscaler кампании загрузчик шелл-кода, сброшенный в скомпрометированные системы, отключал отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружалась без заголовков DOS и NT, чтобы избежать обнаружения.
Ранее в этом месяце ReversingLabs также наблюдали, что фреймворк разворачивался с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль, как показано в отчете исследовательской группы.
Как полагают исследователи, популярность нового фреймворка будет только расти, кампания Havoc C2 подчеркивает также важность совершенствования мер защиты.
Zscaler
Havoc Across the Cyberspace | Blog | Zscaler
ThreatLabz observed a new campaign targeting a Government organization in which the threat actors utilized a new Command & Control (C2) framework named Havoc
Исследователи Forescout предупреждают о критических уязвимостях в ПЛК Schneider Electric Modicon.
Две новые уязвимости CVE-2022-45788 (оценка CVSS: 7,5) и CVE-2022-45789 (оценка CVSS: 8,1) реализуют обход аутентификации, раскрытие информации, а также приводят к RCE и DoS.
Начиная с появления в 1968 первого серийно выпускаемого ПЛК семейство Modicon стало одним из самых популярных в мире, а Schneider Electric - его крупнейшим продавцом.
Преобладание этих продуктов на рынке было выявлено в ходе простого поиска, который Forescout провели в Shodan, несмотря на то, что эксперты по безопасности не рекомендуют подключать их к Интернету.
Forescout обнаружили, что Франция (33%), Испания (17%), Италия (15%) и США (6%) являются странами с наибольшим количеством незащищенных устройств, а в общем - более 1000 незащищенных ПЛК: от аэропортов, горнодобывающей промышленности, солнечной и гидроэнергетики до химического производства.
Ошибки были обнаружены еще в апреле - июле 2022 года и являются частью более широкого спектра проблем безопасности под общим названием ICEFALL, в состав которого вошли 56 ошибок, затрагивающих также решения Siemens, Motorola и Honeywell.
Причем Schneider просила исследователей воздержаться от включения двух ошибок в список ICEFALL, чтобы он мог работать с клиентами над устранением проблем до того, как о них будет объявлено публично. Компания тесно сотрудничала с2022-45788 (оцена протяжении всего процесса раскрытия и в прошлом месяце опубликовала два уведомления о безопасности.
Forescout также выяснили, что потенциальный актор может связать новые баги с известными недостатками других поставщиков (например, CVE-2021-31886) для достижения горизонтального перемещения в сетях операционных технологий (OT).
Глубокое боковое перемещение позволяет злоумышленникам получить глубокий доступ к промышленным системам управления и пересечь часто упускаемые из виду периметры безопасности, что позволяет им выполнять очень детальные и скрытые манипуляции, а также преодолевать функциональные ограничения и ограничения безопасности.
Чтобы не быть голословными ресерчеры разработали сложную киберфизическую атаку в рамках проверки концепции (PoC), показав как недостатки могут быть использованы для обхода мер безопасности и нанесения ущерба инфраструктуре разводного моста.
Ресерчеры Forescout заявили, что цель их отчета заключалась в том, чтобы заставить критически важные инфраструктурные организации проводить более тщательную оценку рисков, основанную на последствиях, и глубже подумать о том, как злоумышленник может обойти меры безопасности, принятые для защиты физической среды.
В совокупности недостатки подчеркивают реальные угрозы физическим операциям со стороны устройств IoT, облачных платформ управления и вложенных сетей OT. Для защиты Schneider Electric также представила клиентам «рекомендуемые передовые методы кибербезопасности».
Две новые уязвимости CVE-2022-45788 (оценка CVSS: 7,5) и CVE-2022-45789 (оценка CVSS: 8,1) реализуют обход аутентификации, раскрытие информации, а также приводят к RCE и DoS.
Начиная с появления в 1968 первого серийно выпускаемого ПЛК семейство Modicon стало одним из самых популярных в мире, а Schneider Electric - его крупнейшим продавцом.
Преобладание этих продуктов на рынке было выявлено в ходе простого поиска, который Forescout провели в Shodan, несмотря на то, что эксперты по безопасности не рекомендуют подключать их к Интернету.
Forescout обнаружили, что Франция (33%), Испания (17%), Италия (15%) и США (6%) являются странами с наибольшим количеством незащищенных устройств, а в общем - более 1000 незащищенных ПЛК: от аэропортов, горнодобывающей промышленности, солнечной и гидроэнергетики до химического производства.
Ошибки были обнаружены еще в апреле - июле 2022 года и являются частью более широкого спектра проблем безопасности под общим названием ICEFALL, в состав которого вошли 56 ошибок, затрагивающих также решения Siemens, Motorola и Honeywell.
Причем Schneider просила исследователей воздержаться от включения двух ошибок в список ICEFALL, чтобы он мог работать с клиентами над устранением проблем до того, как о них будет объявлено публично. Компания тесно сотрудничала с2022-45788 (оцена протяжении всего процесса раскрытия и в прошлом месяце опубликовала два уведомления о безопасности.
Forescout также выяснили, что потенциальный актор может связать новые баги с известными недостатками других поставщиков (например, CVE-2021-31886) для достижения горизонтального перемещения в сетях операционных технологий (OT).
Глубокое боковое перемещение позволяет злоумышленникам получить глубокий доступ к промышленным системам управления и пересечь часто упускаемые из виду периметры безопасности, что позволяет им выполнять очень детальные и скрытые манипуляции, а также преодолевать функциональные ограничения и ограничения безопасности.
Чтобы не быть голословными ресерчеры разработали сложную киберфизическую атаку в рамках проверки концепции (PoC), показав как недостатки могут быть использованы для обхода мер безопасности и нанесения ущерба инфраструктуре разводного моста.
Ресерчеры Forescout заявили, что цель их отчета заключалась в том, чтобы заставить критически важные инфраструктурные организации проводить более тщательную оценку рисков, основанную на последствиях, и глубже подумать о том, как злоумышленник может обойти меры безопасности, принятые для защиты физической среды.
В совокупности недостатки подчеркивают реальные угрозы физическим операциям со стороны устройств IoT, облачных платформ управления и вложенных сетей OT. Для защиты Schneider Electric также представила клиентам «рекомендуемые передовые методы кибербезопасности».
Forescout
Deep Lateral Movement in OT Networks | Forescout Research
Forescout’s Vedere Labs demonstrates deep lateral movement, an advanced tactic used to gain access to complex OT systems via Purdue L1 devices and wreak havoc.
Хакеры внедряют новое вредоносное ПО Frebniss в службы Microsoft Internet Information Services (IIS), которое скрытно выполняет команды, отправляемые через веб-запросы.
Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.
Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.
В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.
Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.
Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.
Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.
Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.
Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.
Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.
Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.
Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.
Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.
Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.
В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.
Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.
Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.
Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.
Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.
Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.
Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.
Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.
Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.
Security
Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor
Malware injects malicious code into Failed Request Event Buffering module in order to monitor HTTP requests from attacker.
Исследователи из SentinelLabs совместно с немецкой QGroup сообщают о кампании WIP26, нацеленной на поставщиков телекоммуникационных услуг на Ближнем Востоке с использованием шпионского вредоносного ПО, скрывая активность с помощью ряда популярных инструментов от Microsoft, Google и Dropbox.
Как утверждают исследователи, акторы допустили несколько ошибок, которые дали исследователям представление об их активности, в частности, во многом помог JSON, который все еще находится в открытом доступе.
Однако, как утверждают исследователи, атрибутировать атаки WIP26 какому-либо участнику или стране им не удалось.
Кампания кампания выделялась тем, что в значительной степени опиралась на использование общедоступной облачной инфраструктуры, которая позволяла хакерам избегать обнаружения, маскируя вредоносный трафик.
Активность WIP26 инициируется точным нацеливанием на сотрудников через переписку в WhatsApp со ссылками на Microsoft Azure и Dropbox с загрузчиком вредоносного ПО.
Обманом заставляя сотрудников запускать загрузчик, актор добивался развертывания бэкдоров, которые используют экземпляры Microsoft 365 Mail и Google Firebase в качестве С2 для вредоносного ПО.
Сообщения WhatsApp относились к тематике проблем бедности в Афганистане, а бэкдоры маскировались под редакторы PDF, браузеры или другое ПО.
Один из них, поставлявшихся с файлами Dropbox - CMD365, использовался для разведки, повышения привилегий, размещения дополнительных вредоносных ПО и кражи данных.
Нацеливаясь личную информацию конкретных пользователей злоумышленники получали разведывательную информацию о конкретных важных хостах в сети жертвы для реализации последующих атак на эти хосты.
Одно в отчете SentinelLabs нас напрягает - исследователи упорно не называют страны Ближнего Востока, на которые были направлены атаки WIP26. И это наводит на подозрения, что в их числе находится Иран. А тогда стоящее за кибершпионажем государство определяется достаточно быстро и с высокой долей вероятности.
Но ведь, как известно, у нас хакерскими атаками занимаются только режимы КРИС (Китай, Россия, Иран, Северная Корея, сами аббревиатуру придумали, пользуйтесь), а во всех остальных прекрасных странах фалафель и демократическая демократия. Stuxnet не даст соврать!
Про Россию с КНДР, кстати, таки вспомнили. Ну типа - у преступника были два глаза и уши! А знаете у кого еще они есть?! У Путина и Ким Чен Ина!!!
Как утверждают исследователи, акторы допустили несколько ошибок, которые дали исследователям представление об их активности, в частности, во многом помог JSON, который все еще находится в открытом доступе.
Однако, как утверждают исследователи, атрибутировать атаки WIP26 какому-либо участнику или стране им не удалось.
Кампания кампания выделялась тем, что в значительной степени опиралась на использование общедоступной облачной инфраструктуры, которая позволяла хакерам избегать обнаружения, маскируя вредоносный трафик.
Активность WIP26 инициируется точным нацеливанием на сотрудников через переписку в WhatsApp со ссылками на Microsoft Azure и Dropbox с загрузчиком вредоносного ПО.
Обманом заставляя сотрудников запускать загрузчик, актор добивался развертывания бэкдоров, которые используют экземпляры Microsoft 365 Mail и Google Firebase в качестве С2 для вредоносного ПО.
Сообщения WhatsApp относились к тематике проблем бедности в Афганистане, а бэкдоры маскировались под редакторы PDF, браузеры или другое ПО.
Один из них, поставлявшихся с файлами Dropbox - CMD365, использовался для разведки, повышения привилегий, размещения дополнительных вредоносных ПО и кражи данных.
Нацеливаясь личную информацию конкретных пользователей злоумышленники получали разведывательную информацию о конкретных важных хостах в сети жертвы для реализации последующих атак на эти хосты.
Одно в отчете SentinelLabs нас напрягает - исследователи упорно не называют страны Ближнего Востока, на которые были направлены атаки WIP26. И это наводит на подозрения, что в их числе находится Иран. А тогда стоящее за кибершпионажем государство определяется достаточно быстро и с высокой долей вероятности.
Но ведь, как известно, у нас хакерскими атаками занимаются только режимы КРИС (Китай, Россия, Иран, Северная Корея, сами аббревиатуру придумали, пользуйтесь), а во всех остальных прекрасных странах фалафель и демократическая демократия. Stuxnet не даст соврать!
Про Россию с КНДР, кстати, таки вспомнили. Ну типа - у преступника были два глаза и уши! А знаете у кого еще они есть?! У Путина и Ким Чен Ина!!!
SentinelOne
WIP26 Espionage | Threat Actors Abuse Cloud Infrastructure in Targeted Telco Attacks
A new threat cluster has been targeting telecommunication providers in the Middle East and abusing Microsoft, Google and Dropbox cloud services.
Cisco выпустила обновления для устранения критической уязвимости в сторонней библиотеке ClamAV - кроссплатформенного инструментария для защиты от вредоносных программ с открытым исходным кодом.
Уязвимость отслеживается как CVE-2023-20032 и имеет высокую оценку CVSS: 9,8.
Проблема связана с парсером файлов HFS+ и затрагивает несколько версий ClamAV. Ошибка обусловлена отсутствием проверки буфера в синтаксическом анализаторе, что может привести к его переполнению и позволить потенциальному злоумышленнику отправлять созданные файлы раздела HFS+ для сканирования.
Специалисты пояснили, что успешный эксплойт может позволить злоумышленнику выполнить произвольный код с привилегиями процесса сканирования ClamAV или же привести к сбою процесса, что приведет к DoS.
Уязвимости подвержены продукты Secure Endpoint, ранее известный как Advanced Malware Protection (AMP) для Windows, macOS и Linux, Secure Endpoint Private Cloud и Secure Web Appliance.
В рамках текущих обновлений Cisco устранила уязвимость удаленной утечки информации в анализаторе файлов ClamAV DMG (CVE-2023-20052, оценка CVSS: 5,3), которая может быть использована удаленным злоумышленником, не прошедшим проверку подлинности. Баг связан с включением подстановки объектов XML, что может привести к внедрению внешних объектов.
Отдельно ИТ-гигант устранил уязвимость DoS, влияющую на панель мониторинга Cisco Nexus (CVE-2023-20014, оценка CVSS: 7,5) и два недостатка, связанных с повышением привилегий и внедрением команд в Email Security Appliance (ESA) и Secure Email and Web Manager (CVE-2023-20009 и CVE-2023-20075 с оценкой CVSS: 6,5).
Уязвимость отслеживается как CVE-2023-20032 и имеет высокую оценку CVSS: 9,8.
Проблема связана с парсером файлов HFS+ и затрагивает несколько версий ClamAV. Ошибка обусловлена отсутствием проверки буфера в синтаксическом анализаторе, что может привести к его переполнению и позволить потенциальному злоумышленнику отправлять созданные файлы раздела HFS+ для сканирования.
Специалисты пояснили, что успешный эксплойт может позволить злоумышленнику выполнить произвольный код с привилегиями процесса сканирования ClamAV или же привести к сбою процесса, что приведет к DoS.
Уязвимости подвержены продукты Secure Endpoint, ранее известный как Advanced Malware Protection (AMP) для Windows, macOS и Linux, Secure Endpoint Private Cloud и Secure Web Appliance.
В рамках текущих обновлений Cisco устранила уязвимость удаленной утечки информации в анализаторе файлов ClamAV DMG (CVE-2023-20052, оценка CVSS: 5,3), которая может быть использована удаленным злоумышленником, не прошедшим проверку подлинности. Баг связан с включением подстановки объектов XML, что может привести к внедрению внешних объектов.
Отдельно ИТ-гигант устранил уязвимость DoS, влияющую на панель мониторинга Cisco Nexus (CVE-2023-20014, оценка CVSS: 7,5) и два недостатка, связанных с повышением привилегий и внедрением команд в Email Security Appliance (ESA) и Secure Email and Web Manager (CVE-2023-20009 и CVE-2023-20075 с оценкой CVSS: 6,5).
blog.clamav.net
ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published
Today, we are releasing the following critical patch versions for ClamAV: 0.103.8 0.105.2 1.0.1 ClamAV 0.104 has reached end-of-life accord...
Исследователи Group-IB обнаружили десятки новых целей и инструментов кибератак, связанных с индийской APT-группой SideWinder.
АРТ, также известная как Rattlesnake, Hardcore Nationalist (HN2) и T-APT4 - в центре внимания в новом отчете ГрИБов.
В течение шестимесячного периода специалисты обнаружили, что SideWinder пытались атаковать 61 цель из числа правительственных, военных, правоохранительных и других организаций Афганистана, Бутана, Мьянмы, Непала и Шри-Ланки.
Специалисты также связывают группу с нападением на правительство Мальдивских островов в 2020 году.
В качестве вектора атаки SideWinder использовала адресные фишинговые электронные письма, которые она рассылала по этим целям в течение наблюдаемого периода, но в двух кампаниях использовались электронные письма, в которых группа APT подделывала письма от криптовалютной платформы.
Письма содержали вредоносную ссылку при переходе по которой осуществлялась загрузка вредоносного документа, как правило файла LNK который в свою очередь загружал файл HTA и полезную нагрузку. Сама полезная нагрузка могла быть в виде бэкдора, трояна удаленного доступа (RAT) или скрипта для кражи информации.
В рамках новой кампании было обнаружила два новых инструмента: RAT, названный SideWinder.RAT.b и малварь для кражи информации SideWinder.StealerPy.
Последний предназначен для сбора истории просмотра Google Chrome, учетных данных, сохраненных в браузере, списка папок в каталоге, метаинформации и содержимого файлов docx, pdf, txt и многого другого.
Интересно, то что оба пользовательских инструмента используют Telegram для связи со скомпрометированными целевыми машинами, а не с традиционными С2-серверами.
Проанализировав сетевую инфраструктуру, используемую SideWinder, специалисты заявили, что актор, вероятно, тот же объект, что и группа APT BabyElephant, так как APT-группы нередко заимствуют инструменты друг у друга, что часто приводит к ошибкам в их атрибуции.
По результатам проведенного анализа атак специалисты Group-IB так и не смогли сказать, сколько же попыток фишинга со стороны SideWinder оказались реально успешными.
АРТ, также известная как Rattlesnake, Hardcore Nationalist (HN2) и T-APT4 - в центре внимания в новом отчете ГрИБов.
В течение шестимесячного периода специалисты обнаружили, что SideWinder пытались атаковать 61 цель из числа правительственных, военных, правоохранительных и других организаций Афганистана, Бутана, Мьянмы, Непала и Шри-Ланки.
Специалисты также связывают группу с нападением на правительство Мальдивских островов в 2020 году.
В качестве вектора атаки SideWinder использовала адресные фишинговые электронные письма, которые она рассылала по этим целям в течение наблюдаемого периода, но в двух кампаниях использовались электронные письма, в которых группа APT подделывала письма от криптовалютной платформы.
Письма содержали вредоносную ссылку при переходе по которой осуществлялась загрузка вредоносного документа, как правило файла LNK который в свою очередь загружал файл HTA и полезную нагрузку. Сама полезная нагрузка могла быть в виде бэкдора, трояна удаленного доступа (RAT) или скрипта для кражи информации.
В рамках новой кампании было обнаружила два новых инструмента: RAT, названный SideWinder.RAT.b и малварь для кражи информации SideWinder.StealerPy.
Последний предназначен для сбора истории просмотра Google Chrome, учетных данных, сохраненных в браузере, списка папок в каталоге, метаинформации и содержимого файлов docx, pdf, txt и многого другого.
Интересно, то что оба пользовательских инструмента используют Telegram для связи со скомпрометированными целевыми машинами, а не с традиционными С2-серверами.
Проанализировав сетевую инфраструктуру, используемую SideWinder, специалисты заявили, что актор, вероятно, тот же объект, что и группа APT BabyElephant, так как APT-группы нередко заимствуют инструменты друг у друга, что часто приводит к ошибкам в их атрибуции.
По результатам проведенного анализа атак специалисты Group-IB так и не смогли сказать, сколько же попыток фишинга со стороны SideWinder оказались реально успешными.
Group-IB
APT SideWinder targets 60+ Asia-Pacific Companies in 2021 | Group-IB
Group-IB has documented previously unreported phishing operations carried out by the nation-state cyber threat actor SideWinder in 2021.
Исследователи Trend Micro обнаружили новый бэкдор WhiskerSpy, который они приписали продвинутому автору, отлеживаемому ими как Earth Kitsune.
Начиная с 2019 года Earth Kitsune распространяет различные вредоносные ПО собственной разработки среди целей, в первую очередь, связанных с Северной Кореей.
Реализую зачастую свой замысел в рамках атак водопоя, компрометируя тематические веб-сайты и внедряя в них эксплойты под браузеры.
В последней кампании Earth Kitsune, наблюдавшейся в конце 2022 года, применялась аналогичная тактика за исключением того, что вместо эксплойтов для браузера была задействована социальная инженерия.
Сайт был модифицирован таким образом, что при попытке посмотреть видео внедренный вредоносный скрипт отображал сообщение, уведомляющее жертв об ошибке видеокодека, побуждая их загрузить и установить вредоносный пакет c WhiskerSpy, замаскированный под Advanced Video Codec — AVC1.
При этом веб-страницы были настроены на доставку вредоносного скрипта только посетителям из списка целевых IP-адресов, среди которых были подсети: в Шэньяне (Китай), Нагое (Япония) и Бразилии (использовались самим злоумышленником для тестов).
Злоумышленник злоупотребил законным установщиком MSI, который является оболочкой для другого установщика NSIS и содержит вредоносный шеллкод, шифруемый простым ключом (XOR 0x01).
После расшифровки шелл-код запускает несколько команд PowerShell для загрузки дополнительных вредоносных ПО.
Загрузчик под именем vcruntime140.dll выполняет операцию XOR с 1-байтовым ключом и внедряет встроенную полезную нагрузку в процесс werfautl.exe. Шеллкод в оверлее — это загрузчик основного бэкдора.
Злоумышленники используют при этом уязвимостями боковой загрузки OneDrive, помещая поддельные библиотеки DLL в пользовательский каталог OneDrive, чтобы добиться сохранения на скомпрометированной машине.
Кроме того, ресерчеры также обнаружили, что злоумышленник применяет интересную технику сохранения, которая злоупотребляет собственным узлом обмена сообщениями Google Chrome.
Основной загрузчик бэкдора загружает встроенный исполняемый файл — основную полезную нагрузку бэкдора WhiskerSpy, задействующий риптографию ECC для обмена ключами шифрования и реализует вполне стандартный функционал, подробно описанный в отчете.
В целом можно сказать, тут мы имеем еще одну хитрую атрибуцию (учитывая вчерашний пост про WIP26).
Поскольку Earth Kitsune атакует преимущественно проКНДРовские ресурсы, с целью внедрить в них вредоносные скрипты для дальнейшего заражения интересующихся Северной Кореей пользователей, то конечный бенефициар вычисляется даже не в две логические операции, а в одну.
Это - Южная Корея. А мы и подходящую APT знаем - это Dark Hotel (когда-то о давно мы про них рассказывали здесь), они как раз любят атаки на водопой.
НоНо - нельзя. Ведь между Японией (откуда родом Trend Micro) и Южной Кореей много общего. Например,межпозвоночные грыжи американские военные базы.
Начиная с 2019 года Earth Kitsune распространяет различные вредоносные ПО собственной разработки среди целей, в первую очередь, связанных с Северной Кореей.
Реализую зачастую свой замысел в рамках атак водопоя, компрометируя тематические веб-сайты и внедряя в них эксплойты под браузеры.
В последней кампании Earth Kitsune, наблюдавшейся в конце 2022 года, применялась аналогичная тактика за исключением того, что вместо эксплойтов для браузера была задействована социальная инженерия.
Сайт был модифицирован таким образом, что при попытке посмотреть видео внедренный вредоносный скрипт отображал сообщение, уведомляющее жертв об ошибке видеокодека, побуждая их загрузить и установить вредоносный пакет c WhiskerSpy, замаскированный под Advanced Video Codec — AVC1.
При этом веб-страницы были настроены на доставку вредоносного скрипта только посетителям из списка целевых IP-адресов, среди которых были подсети: в Шэньяне (Китай), Нагое (Япония) и Бразилии (использовались самим злоумышленником для тестов).
Злоумышленник злоупотребил законным установщиком MSI, который является оболочкой для другого установщика NSIS и содержит вредоносный шеллкод, шифруемый простым ключом (XOR 0x01).
После расшифровки шелл-код запускает несколько команд PowerShell для загрузки дополнительных вредоносных ПО.
Загрузчик под именем vcruntime140.dll выполняет операцию XOR с 1-байтовым ключом и внедряет встроенную полезную нагрузку в процесс werfautl.exe. Шеллкод в оверлее — это загрузчик основного бэкдора.
Злоумышленники используют при этом уязвимостями боковой загрузки OneDrive, помещая поддельные библиотеки DLL в пользовательский каталог OneDrive, чтобы добиться сохранения на скомпрометированной машине.
Кроме того, ресерчеры также обнаружили, что злоумышленник применяет интересную технику сохранения, которая злоупотребляет собственным узлом обмена сообщениями Google Chrome.
Основной загрузчик бэкдора загружает встроенный исполняемый файл — основную полезную нагрузку бэкдора WhiskerSpy, задействующий риптографию ECC для обмена ключами шифрования и реализует вполне стандартный функционал, подробно описанный в отчете.
В целом можно сказать, тут мы имеем еще одну хитрую атрибуцию (учитывая вчерашний пост про WIP26).
Поскольку Earth Kitsune атакует преимущественно проКНДРовские ресурсы, с целью внедрить в них вредоносные скрипты для дальнейшего заражения интересующихся Северной Кореей пользователей, то конечный бенефициар вычисляется даже не в две логические операции, а в одну.
Это - Южная Корея. А мы и подходящую APT знаем - это Dark Hotel (когда-то о давно мы про них рассказывали здесь), они как раз любят атаки на водопой.
НоНо - нельзя. Ведь между Японией (откуда родом Trend Micro) и Южной Кореей много общего. Например,
Trend Micro
Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering Hole Attack
We discovered a new backdoor which we have attributed to the advanced persistent threat actor known as Earth Kitsune, which we have covered before. Since 2019, Earth Kitsune has been distributing variants of self-developed backdoors to targets, primarily…
Fortinet выпустила обновления безопасности для устранения 40 уязвимостей в своей линейке ПО, в том числе FortiWeb, FortiOS, FortiNAC и FortiProxy.
Два из 40 недостатков оцениваются как критические, 15 — как высокие, 22 — как средние и один — как низкий.
Наиболее серьезная RCE-ошибка исправлена в решении для управления доступом к сети FortiNAC (CVE-2022-39952) и имеет оценку CVSS: 9,8.
Первая уязвимость, влияющая на FortiNAC (все версии 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, 8.8, 8.7, 8.6, 8.5 и 8.3), отслеживается как CVE-2022-39952 и имеет оценку CVSS v3 9,8 (критическая).
FortiNAC — это решение для управления доступом к сети, которое помогает организациям получать информацию о сети в режиме реального времени, применять политики безопасности, а также обнаруживать и устранять угрозы.
Внешний контроль над именем файла или уязвимостью пути [CWE-73] на веб-сервере FortiNAC может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольную запись в системе. Исправления были выпущены для версий FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8.
Вторым серьезным недостатком является переполнение буфера на основе стека в прокси-демоне FortiWeb (CVE-2021-42756 с оценкой CVSS: 9,3), которое может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных HTTP-запросов.
Интересно, что CVE, по-видимому, была обнаружена еще в 2021 году, но до сих пор не раскрывалась. CVE-2021-42756 влияет на указанные ниже версии FortiWeb (5.x, 6.0.7, 6.1.2, 6.2.6, 6.3.16 и 6.4), а исправления доступны в версиях FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0.
По словам Fortinet, обе уязвимости были обнаружены специалистами компании.
Horizon3 заявила, что планирует выпустить PoC для одной из уязвимостей в ближайшее время, поэтому крайне важно, чтобы пользователи быстро применяли обновления.
Два из 40 недостатков оцениваются как критические, 15 — как высокие, 22 — как средние и один — как низкий.
Наиболее серьезная RCE-ошибка исправлена в решении для управления доступом к сети FortiNAC (CVE-2022-39952) и имеет оценку CVSS: 9,8.
Первая уязвимость, влияющая на FortiNAC (все версии 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, 8.8, 8.7, 8.6, 8.5 и 8.3), отслеживается как CVE-2022-39952 и имеет оценку CVSS v3 9,8 (критическая).
FortiNAC — это решение для управления доступом к сети, которое помогает организациям получать информацию о сети в режиме реального времени, применять политики безопасности, а также обнаруживать и устранять угрозы.
Внешний контроль над именем файла или уязвимостью пути [CWE-73] на веб-сервере FortiNAC может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольную запись в системе. Исправления были выпущены для версий FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8.
Вторым серьезным недостатком является переполнение буфера на основе стека в прокси-демоне FortiWeb (CVE-2021-42756 с оценкой CVSS: 9,3), которое может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных HTTP-запросов.
Интересно, что CVE, по-видимому, была обнаружена еще в 2021 году, но до сих пор не раскрывалась. CVE-2021-42756 влияет на указанные ниже версии FortiWeb (5.x, 6.0.7, 6.1.2, 6.2.6, 6.3.16 и 6.4), а исправления доступны в версиях FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0.
По словам Fortinet, обе уязвимости были обнаружены специалистами компании.
Horizon3 заявила, что планирует выпустить PoC для одной из уязвимостей в ближайшее время, поэтому крайне важно, чтобы пользователи быстро применяли обновления.
FortiGuard
None
SolarWinds опубликовала несколько бюллетеней для уязвимостей высокой степени серьезности, которые будут исправлены в обновлении платформы к концу февраля.
Из семи уязвимостей пять описываются как десериализация проблем с ненадежными данными и могут быть использованы для выполнения команд. Четыре из них при этом имеют оценку CVSS 8,8.
CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 и CVE-2022-47507 могут позволить удаленному злоумышленнику с учетной записью уровня администратора Orion получить доступ к веб-консоли SolarWinds для выполнять произвольные команды.
Пятую ошибку CVE-2022-38111 SolarWinds считает проблемой средней серьезности, хотя последствия успешной эксплуатации такие же. Уязвимость также имеет достаточно высокую оценку CVSS 7,2.
Компания также объявила об исправлениях для серьезной уязвимости обхода пути в платформе SolarWinds, которая отслеживается как CVE-2022-47506 (оценка CVSS 8,8).
Эта уязвимость позволяет локальному злоумышленнику с авторизованным доступом к учетной записи редактировать конфигурацию по умолчанию, позволяя выполнять произвольные команды.
Платформа SolarWinds 2023.1, которая, как ожидается, станет доступна к концу месяца, будет содержать исправления для всех заявленных уязвимостией. Клиентам рекомендуется обновиться до этой версии, как только она станет доступной.
Кроме того, SolarWinds опубликовала информацию о серьезной проблеме с Server & Application Monitor 2022.4, из-за которой Kerberos нельзя было использовать с NTLM.
Клиенты, настроившие опрос через Kerberos, не ожидали NTLM-трафика в своей среде, но, поскольку мы запрашивали данные через IP-адрес, это не позволяло использовать Kerberos. Ожидаемый Hybrid Cloud Observability 2023.1 устраняет этот недостаток.
SolarWinds не упомянула об использовании каких-либо из этих уязвимостей в злонамеренных атаках.
Из семи уязвимостей пять описываются как десериализация проблем с ненадежными данными и могут быть использованы для выполнения команд. Четыре из них при этом имеют оценку CVSS 8,8.
CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 и CVE-2022-47507 могут позволить удаленному злоумышленнику с учетной записью уровня администратора Orion получить доступ к веб-консоли SolarWinds для выполнять произвольные команды.
Пятую ошибку CVE-2022-38111 SolarWinds считает проблемой средней серьезности, хотя последствия успешной эксплуатации такие же. Уязвимость также имеет достаточно высокую оценку CVSS 7,2.
Компания также объявила об исправлениях для серьезной уязвимости обхода пути в платформе SolarWinds, которая отслеживается как CVE-2022-47506 (оценка CVSS 8,8).
Эта уязвимость позволяет локальному злоумышленнику с авторизованным доступом к учетной записи редактировать конфигурацию по умолчанию, позволяя выполнять произвольные команды.
Платформа SolarWinds 2023.1, которая, как ожидается, станет доступна к концу месяца, будет содержать исправления для всех заявленных уязвимостией. Клиентам рекомендуется обновиться до этой версии, как только она станет доступной.
Кроме того, SolarWinds опубликовала информацию о серьезной проблеме с Server & Application Monitor 2022.4, из-за которой Kerberos нельзя было использовать с NTLM.
Клиенты, настроившие опрос через Kerberos, не ожидали NTLM-трафика в своей среде, но, поскольку мы запрашивали данные через IP-адрес, это не позволяло использовать Kerberos. Ожидаемый Hybrid Cloud Observability 2023.1 устраняет этот недостаток.
SolarWinds не упомянула об использовании каких-либо из этих уязвимостей в злонамеренных атаках.
После того, как почти полтора года назад Pompompurin потроллил Винни Троя, используя скомпрометированную корпоративную почту ФБР для рассылки фейковых писем о кибератаках, сотрудники американской спецслужбы вновь столкнулись с киберинцидентом.
Сообщается, что бюро расследует злонамеренную киберактивность в закрытой системе сети агентства. Спецслужба выявила отдельный инцидент и работает над оценкой его масштабов и воздействия.
Тем не менее журналист CNN выяснили, что в пятницу неизвестный актор взломал компьютерную систему центрального подразделения ФБР, дислоцированного в Нью-Йорке, которое является одним из крупнейших офисов агентства.
Затронутый сегмент задействовался в расследованиях преступлений, связанных с эксплуатацией детей и другими делами, связанными с насилием.
По предварительным официальным данным, это изолированный инцидент, который был оперативно локализован. Других комментариев относительно расследования, в том числе об источниках угрозы, ФБР не представило.
Будем следить за развитием ситуации, продолжение может быть весьма интригующим.
Сообщается, что бюро расследует злонамеренную киберактивность в закрытой системе сети агентства. Спецслужба выявила отдельный инцидент и работает над оценкой его масштабов и воздействия.
Тем не менее журналист CNN выяснили, что в пятницу неизвестный актор взломал компьютерную систему центрального подразделения ФБР, дислоцированного в Нью-Йорке, которое является одним из крупнейших офисов агентства.
Затронутый сегмент задействовался в расследованиях преступлений, связанных с эксплуатацией детей и другими делами, связанными с насилием.
По предварительным официальным данным, это изолированный инцидент, который был оперативно локализован. Других комментариев относительно расследования, в том числе об источниках угрозы, ФБР не представило.
Будем следить за развитием ситуации, продолжение может быть весьма интригующим.
CNN
Exclusive: FBI says it has ‘contained’ cyber incident on bureau’s computer network
The FBI has been investigating and working to contain a malicious cyber incident on part of its computer network in recent days, according to people briefed on the matter.
Крупнейший производитель оборудования для полупроводников Applied Materials Inc. понес ущерб в 250 млн. долларов из-за атаки программ-вымогателей на цепочку поставок.
Инцидент раскрыла MKS Instruments Inc., которая заявила, что атака ransomware оказала существенное влияние на ее способность обрабатывать заказы, поставлять продукцию и предоставлять услуги клиентам.
Со слов исполнительного директора Applied Materials Гэри Дикерсона, из-за того, что один из основных ее поставщиков столкнулся со сбоем, это повлияет на поставки во втором квартале и сократит продажи на четверть миллиарда долларов.
MKS добавил, что до сих пор не уверен в полном объеме затрат и последствий, связанных с инцидентом программ-вымогателей и компания все еще определяет, покроет ли ее киберстрахование часть расходов, связанных с атакой. Иных комментариев представители MKS Instruments не дают, а официальный сайт не доступен.
Как ситуация отразится на других производителях еще не понятно, ведь согласно анализу цепочки поставок Bloomberg MKS помимо Applied Materials поставляет продукцию двум крупнейшим в мире производителям микросхем Samsung Electronics и Taiwan Semiconductor Manufacturing. Intel Corp. и ASML Holding NV также являются заказчиками компании.
Инцидент раскрыла MKS Instruments Inc., которая заявила, что атака ransomware оказала существенное влияние на ее способность обрабатывать заказы, поставлять продукцию и предоставлять услуги клиентам.
Со слов исполнительного директора Applied Materials Гэри Дикерсона, из-за того, что один из основных ее поставщиков столкнулся со сбоем, это повлияет на поставки во втором квартале и сократит продажи на четверть миллиарда долларов.
MKS добавил, что до сих пор не уверен в полном объеме затрат и последствий, связанных с инцидентом программ-вымогателей и компания все еще определяет, покроет ли ее киберстрахование часть расходов, связанных с атакой. Иных комментариев представители MKS Instruments не дают, а официальный сайт не доступен.
Как ситуация отразится на других производителях еще не понятно, ведь согласно анализу цепочки поставок Bloomberg MKS помимо Applied Materials поставляет продукцию двум крупнейшим в мире производителям микросхем Samsung Electronics и Taiwan Semiconductor Manufacturing. Intel Corp. и ASML Holding NV также являются заказчиками компании.
Bloomberg.com
Applied Materials’ Sales Shortfall Linked to Cyberattack at MKS
A “cybersecurity incident” that Applied Materials Inc. warned would hurt its sales this quarter was linked to a ransomware attack disclosed by MKS Instruments Inc. earlier this month.
Всем известный GoDaddy оказывается был взломан на протяжении нескольких лет.
К такому печальному выводу пришли специалисты ведущей хостинговой компании, когда сообщили о нарушении безопасности.
Как выяснилось, неизвестные злоумышленники скомпрометировали среду общего хостинга cPanel, украли исходный код и устанавливали вредоносное ПО на его серверах.
О проблеме узнали в начале декабря 2022 года и как это часто бывает, только после жалоб клиентов о том, что их сайты использовались для перенаправления на другие домены.
Все это время злоумышленники могли использовать скомпрометированные сайты для перенаправления трафика.
Являясь одним из крупнейших в мире регистраторов доменов, GoDaddy предоставляет услуги хостинга и обслуживает более 20 миллионов клиентов по всему миру.
Эта ситуация увы не первая и по данным компании, недавнее нарушение безопасности связано с брешью доступной злоумышленникам в течение нескольких лет и имеет отношение к предыдущими инцидентам, о которых сообщалось в ноябре 2021 года и марте 2020 года.
Например, в ноябре 2021 года среда хостинга GoDaddy WordPress была взломана злоумышленниками, от которой пострадало приблизительно 1,2 миллиона пользователей WordPress.
В настоящее время GoDaddy сотрудничает с внешними экспертами по кибербезопасности и правоохранительными органами по всему миру в рамках продолжающегося расследования основной причины инцидента.
Более того, GoDaddy заявила, что обнаружила доказательства связи злоумышленников с более широкой кампанией, направленной против других хостинговых провайдеров.
Как заверяют эксперты, этот инцидент был совершен сложной и организованной группой, нацеленной на хостеров по всему миру на протяжении нескольких лет.
Дальнейший замысел группировки очевиден и был направлен на заражение веб-сайтов и серверов вредоносным ПО для проведения фишинговых кампаний и других злонамеренных действий.
GoDaddy принесла извинения перед клиентами за доставленные неудобства и активно собирает доказательства и информацию о тактике и методах злоумышленников, чтобы помочь правоохранительным структурам, а также принять соответствующие меры для лучшей защиты данных клиентов.
К такому печальному выводу пришли специалисты ведущей хостинговой компании, когда сообщили о нарушении безопасности.
Как выяснилось, неизвестные злоумышленники скомпрометировали среду общего хостинга cPanel, украли исходный код и устанавливали вредоносное ПО на его серверах.
О проблеме узнали в начале декабря 2022 года и как это часто бывает, только после жалоб клиентов о том, что их сайты использовались для перенаправления на другие домены.
Все это время злоумышленники могли использовать скомпрометированные сайты для перенаправления трафика.
Являясь одним из крупнейших в мире регистраторов доменов, GoDaddy предоставляет услуги хостинга и обслуживает более 20 миллионов клиентов по всему миру.
Эта ситуация увы не первая и по данным компании, недавнее нарушение безопасности связано с брешью доступной злоумышленникам в течение нескольких лет и имеет отношение к предыдущими инцидентам, о которых сообщалось в ноябре 2021 года и марте 2020 года.
Например, в ноябре 2021 года среда хостинга GoDaddy WordPress была взломана злоумышленниками, от которой пострадало приблизительно 1,2 миллиона пользователей WordPress.
В настоящее время GoDaddy сотрудничает с внешними экспертами по кибербезопасности и правоохранительными органами по всему миру в рамках продолжающегося расследования основной причины инцидента.
Более того, GoDaddy заявила, что обнаружила доказательства связи злоумышленников с более широкой кампанией, направленной против других хостинговых провайдеров.
Как заверяют эксперты, этот инцидент был совершен сложной и организованной группой, нацеленной на хостеров по всему миру на протяжении нескольких лет.
Дальнейший замысел группировки очевиден и был направлен на заражение веб-сайтов и серверов вредоносным ПО для проведения фишинговых кампаний и других злонамеренных действий.
GoDaddy принесла извинения перед клиентами за доставленные неудобства и активно собирает доказательства и информацию о тактике и методах злоумышленников, чтобы помочь правоохранительным структурам, а также принять соответствующие меры для лучшей защиты данных клиентов.
Bank info security
GoDaddy Fingers Hacking Campaign for 3-Year Run of Breaches
Internet domain registrar GoDaddy says it is the victim of a yearslong hacking campaign that installed malware on internal systems and obtained source code. The
This media is not supported in your browser
VIEW IN TELEGRAM
Минутка истории на канале SecAtor
Forwarded from Social Engineering
🦈 Приручаем акулу. Wireshark Mindmap.
• Для изучения и использования данного инструмента, предлагаю ознакомиться с очень полезной Mindmap, которая поможет сократить время при выполнении определенных задач: https://github.com/Ignitetechnologies/Mindmap
• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день" и другой полезной информацией по хештегу #Wireshark.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Многим из Вас знаком Wireshark — анализатор пакетов, программа номер один для сетевого анализа, траблшутинга, разработки программных и коммуникационных протоколов, а также всем, что связано с обучением нетворкингу.• Для изучения и использования данного инструмента, предлагаю ознакомиться с очень полезной Mindmap, которая поможет сократить время при выполнении определенных задач: https://github.com/Ignitetechnologies/Mindmap
• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день" и другой полезной информацией по хештегу #Wireshark.
S.E. ▪️ S.E.Relax ▪️ infosec.work
Ресерчеры ThreatMon обнаружили целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, в ходе которой задействуется обновленная версия бэкдора под названием ReverseRAT.
Исследователи приписывают эту активность злоумышленнику, отслеживаемому как АРТ SideCopy.
SideCopy — это группа угроз пакистанского происхождения, которая пересекается с другим действующим лицом под названием Transparent Tribe.
Наименование АРТ обусловлено тем, что актор имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО.
Впервые активность АРТ была замечена в 2021 году и была связана с ReverseRAT. Тогда исследователи Lumen's Black Lotus Labs подробно изучили и описали серию атак, нацеленных на жертв, связанных с правительством и энергетическими вертикалями в Индии и Афганистане.
Недавние кампании SideCopy, в первую очередь, нацелены на компрометацию 2FA-аутентификации, известной как Kavach и используемой индийским правительством.
Задокументированная ThreatMon цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов (Cyber Advisory 2023.docm).
Файл маскируется под фальшивую рекомендацию Министерства связи Индии по тематике, связанной с Android Threats and Prevention. Тем не менее, большая часть контента была дословно скопирована из фактического предупреждения, опубликованного департаментом в июле 2020 года о передовых методах кибербезопасности.
После открытия файла и включения макросов он запускает выполнение вредоносного кода, что приводит к развертыванию ReverseRAT в скомпрометированной системе.
Как только ReverseRAT обеспечивает постоянство, он сканирует устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на C2.
Затем программ находится в ожидании выполнения команд на целевой машине. При этом некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.
Технические особенности новой вредоносной ПО и индикаторы компрометации представлены в отчете ThreatMon.
Исследователи приписывают эту активность злоумышленнику, отслеживаемому как АРТ SideCopy.
SideCopy — это группа угроз пакистанского происхождения, которая пересекается с другим действующим лицом под названием Transparent Tribe.
Наименование АРТ обусловлено тем, что актор имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО.
Впервые активность АРТ была замечена в 2021 году и была связана с ReverseRAT. Тогда исследователи Lumen's Black Lotus Labs подробно изучили и описали серию атак, нацеленных на жертв, связанных с правительством и энергетическими вертикалями в Индии и Афганистане.
Недавние кампании SideCopy, в первую очередь, нацелены на компрометацию 2FA-аутентификации, известной как Kavach и используемой индийским правительством.
Задокументированная ThreatMon цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов (Cyber Advisory 2023.docm).
Файл маскируется под фальшивую рекомендацию Министерства связи Индии по тематике, связанной с Android Threats and Prevention. Тем не менее, большая часть контента была дословно скопирована из фактического предупреждения, опубликованного департаментом в июле 2020 года о передовых методах кибербезопасности.
После открытия файла и включения макросов он запускает выполнение вредоносного кода, что приводит к развертыванию ReverseRAT в скомпрометированной системе.
Как только ReverseRAT обеспечивает постоянство, он сканирует устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на C2.
Затем программ находится в ожидании выполнения команд на целевой машине. При этом некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.
Технические особенности новой вредоносной ПО и индикаторы компрометации представлены в отчете ThreatMon.
threatmon.io
APT SideCopy Targeting Indian Government Entities | ThreatMon
Read to APT SideCopy Targeting Indian Government Entities report and now download it to learn more details.
Одна из крупнейших в мире криптобирж Coinbase стала жертвой таргетированной кибератаки, которая, по-видимому, была предпринята группой 0ktapus.
Coinbase сообщила, что ее сотрудники стали жертвами фишинговой SMS-кампании в воскресенье, 5 февраля.
Целевые работники получили текстовые сообщения с инструкциями срочно войти в свою учетную запись по предоставленной ссылке.
Большинство сотрудников проигнорировали поддельное предупреждение, но один из получателей перешел по ссылке и ввел имя пользователя и пароль.
Несмотря на то, что Coinbase защищает учетные записи сотрудников с помощью 2FA, злоумышленникам удалось решить этот вопрос звонком сотруднику от имени ИТ-отдела, который проследовал через 20 минут после фишингового письма.
Жертва выполнила инструкции злоумышленника и авторизовалась на своей рабочей станции.
Подозрительная активность вызвала была замечена службой безопасности Coinbase, которая оперативно сработала и смогла залочить скомпрометированную учетную запись.
Однако администрация криптобиржи признала, что злоумышленнику удалось получить некоторую ограниченную контактную информацию в отношении сотрудников Coinbase, включая имена, адреса электронной почты и номера телефонов.
В компании уверены, что информация о клиентах не была скомпрометирована, как и средства пользователей.
Проведенное Coinbase расследование указывает на то, что за атакой, вероятно, стоит 0ktapus (aka Scattered Spider), в послужном списке которого Twilio, Cloudflare и не менее 130 других организаций, взломанных с помощью аналогичных фишинговых сообщений на основе SMS.
0ktapus - финансово мотивированная группа, которая в последние месяцы попала в заголовки газет благодаря своим изощренным методам атаки.
В некоторых атаках киберпреступники нацеливались на телекоммуникационные и аутсорсинговые (BPO) компании, получая доступ к сетям операторов мобильной связи для выполнения замен SIM-карт.
Coinbase также поделилась информацией о TTPs, которые ее команда безопасности наблюдала во время этой атаки. Будем следить за развитием ситуацией.
Coinbase сообщила, что ее сотрудники стали жертвами фишинговой SMS-кампании в воскресенье, 5 февраля.
Целевые работники получили текстовые сообщения с инструкциями срочно войти в свою учетную запись по предоставленной ссылке.
Большинство сотрудников проигнорировали поддельное предупреждение, но один из получателей перешел по ссылке и ввел имя пользователя и пароль.
Несмотря на то, что Coinbase защищает учетные записи сотрудников с помощью 2FA, злоумышленникам удалось решить этот вопрос звонком сотруднику от имени ИТ-отдела, который проследовал через 20 минут после фишингового письма.
Жертва выполнила инструкции злоумышленника и авторизовалась на своей рабочей станции.
Подозрительная активность вызвала была замечена службой безопасности Coinbase, которая оперативно сработала и смогла залочить скомпрометированную учетную запись.
Однако администрация криптобиржи признала, что злоумышленнику удалось получить некоторую ограниченную контактную информацию в отношении сотрудников Coinbase, включая имена, адреса электронной почты и номера телефонов.
В компании уверены, что информация о клиентах не была скомпрометирована, как и средства пользователей.
Проведенное Coinbase расследование указывает на то, что за атакой, вероятно, стоит 0ktapus (aka Scattered Spider), в послужном списке которого Twilio, Cloudflare и не менее 130 других организаций, взломанных с помощью аналогичных фишинговых сообщений на основе SMS.
0ktapus - финансово мотивированная группа, которая в последние месяцы попала в заголовки газет благодаря своим изощренным методам атаки.
В некоторых атаках киберпреступники нацеливались на телекоммуникационные и аутсорсинговые (BPO) компании, получая доступ к сетям операторов мобильной связи для выполнения замен SIM-карт.
Coinbase также поделилась информацией о TTPs, которые ее команда безопасности наблюдала во время этой атаки. Будем следить за развитием ситуацией.