Исследователи Group-IB обнаружили десятки новых целей и инструментов кибератак, связанных с индийской APT-группой SideWinder.
АРТ, также известная как Rattlesnake, Hardcore Nationalist (HN2) и T-APT4 - в центре внимания в новом отчете ГрИБов.
В течение шестимесячного периода специалисты обнаружили, что SideWinder пытались атаковать 61 цель из числа правительственных, военных, правоохранительных и других организаций Афганистана, Бутана, Мьянмы, Непала и Шри-Ланки.
Специалисты также связывают группу с нападением на правительство Мальдивских островов в 2020 году.
В качестве вектора атаки SideWinder использовала адресные фишинговые электронные письма, которые она рассылала по этим целям в течение наблюдаемого периода, но в двух кампаниях использовались электронные письма, в которых группа APT подделывала письма от криптовалютной платформы.
Письма содержали вредоносную ссылку при переходе по которой осуществлялась загрузка вредоносного документа, как правило файла LNK который в свою очередь загружал файл HTA и полезную нагрузку. Сама полезная нагрузка могла быть в виде бэкдора, трояна удаленного доступа (RAT) или скрипта для кражи информации.
В рамках новой кампании было обнаружила два новых инструмента: RAT, названный SideWinder.RAT.b и малварь для кражи информации SideWinder.StealerPy.
Последний предназначен для сбора истории просмотра Google Chrome, учетных данных, сохраненных в браузере, списка папок в каталоге, метаинформации и содержимого файлов docx, pdf, txt и многого другого.
Интересно, то что оба пользовательских инструмента используют Telegram для связи со скомпрометированными целевыми машинами, а не с традиционными С2-серверами.
Проанализировав сетевую инфраструктуру, используемую SideWinder, специалисты заявили, что актор, вероятно, тот же объект, что и группа APT BabyElephant, так как APT-группы нередко заимствуют инструменты друг у друга, что часто приводит к ошибкам в их атрибуции.
По результатам проведенного анализа атак специалисты Group-IB так и не смогли сказать, сколько же попыток фишинга со стороны SideWinder оказались реально успешными.
АРТ, также известная как Rattlesnake, Hardcore Nationalist (HN2) и T-APT4 - в центре внимания в новом отчете ГрИБов.
В течение шестимесячного периода специалисты обнаружили, что SideWinder пытались атаковать 61 цель из числа правительственных, военных, правоохранительных и других организаций Афганистана, Бутана, Мьянмы, Непала и Шри-Ланки.
Специалисты также связывают группу с нападением на правительство Мальдивских островов в 2020 году.
В качестве вектора атаки SideWinder использовала адресные фишинговые электронные письма, которые она рассылала по этим целям в течение наблюдаемого периода, но в двух кампаниях использовались электронные письма, в которых группа APT подделывала письма от криптовалютной платформы.
Письма содержали вредоносную ссылку при переходе по которой осуществлялась загрузка вредоносного документа, как правило файла LNK который в свою очередь загружал файл HTA и полезную нагрузку. Сама полезная нагрузка могла быть в виде бэкдора, трояна удаленного доступа (RAT) или скрипта для кражи информации.
В рамках новой кампании было обнаружила два новых инструмента: RAT, названный SideWinder.RAT.b и малварь для кражи информации SideWinder.StealerPy.
Последний предназначен для сбора истории просмотра Google Chrome, учетных данных, сохраненных в браузере, списка папок в каталоге, метаинформации и содержимого файлов docx, pdf, txt и многого другого.
Интересно, то что оба пользовательских инструмента используют Telegram для связи со скомпрометированными целевыми машинами, а не с традиционными С2-серверами.
Проанализировав сетевую инфраструктуру, используемую SideWinder, специалисты заявили, что актор, вероятно, тот же объект, что и группа APT BabyElephant, так как APT-группы нередко заимствуют инструменты друг у друга, что часто приводит к ошибкам в их атрибуции.
По результатам проведенного анализа атак специалисты Group-IB так и не смогли сказать, сколько же попыток фишинга со стороны SideWinder оказались реально успешными.
Group-IB
APT SideWinder targets 60+ Asia-Pacific Companies in 2021 | Group-IB
Group-IB has documented previously unreported phishing operations carried out by the nation-state cyber threat actor SideWinder in 2021.
Исследователи Trend Micro обнаружили новый бэкдор WhiskerSpy, который они приписали продвинутому автору, отлеживаемому ими как Earth Kitsune.
Начиная с 2019 года Earth Kitsune распространяет различные вредоносные ПО собственной разработки среди целей, в первую очередь, связанных с Северной Кореей.
Реализую зачастую свой замысел в рамках атак водопоя, компрометируя тематические веб-сайты и внедряя в них эксплойты под браузеры.
В последней кампании Earth Kitsune, наблюдавшейся в конце 2022 года, применялась аналогичная тактика за исключением того, что вместо эксплойтов для браузера была задействована социальная инженерия.
Сайт был модифицирован таким образом, что при попытке посмотреть видео внедренный вредоносный скрипт отображал сообщение, уведомляющее жертв об ошибке видеокодека, побуждая их загрузить и установить вредоносный пакет c WhiskerSpy, замаскированный под Advanced Video Codec — AVC1.
При этом веб-страницы были настроены на доставку вредоносного скрипта только посетителям из списка целевых IP-адресов, среди которых были подсети: в Шэньяне (Китай), Нагое (Япония) и Бразилии (использовались самим злоумышленником для тестов).
Злоумышленник злоупотребил законным установщиком MSI, который является оболочкой для другого установщика NSIS и содержит вредоносный шеллкод, шифруемый простым ключом (XOR 0x01).
После расшифровки шелл-код запускает несколько команд PowerShell для загрузки дополнительных вредоносных ПО.
Загрузчик под именем vcruntime140.dll выполняет операцию XOR с 1-байтовым ключом и внедряет встроенную полезную нагрузку в процесс werfautl.exe. Шеллкод в оверлее — это загрузчик основного бэкдора.
Злоумышленники используют при этом уязвимостями боковой загрузки OneDrive, помещая поддельные библиотеки DLL в пользовательский каталог OneDrive, чтобы добиться сохранения на скомпрометированной машине.
Кроме того, ресерчеры также обнаружили, что злоумышленник применяет интересную технику сохранения, которая злоупотребляет собственным узлом обмена сообщениями Google Chrome.
Основной загрузчик бэкдора загружает встроенный исполняемый файл — основную полезную нагрузку бэкдора WhiskerSpy, задействующий риптографию ECC для обмена ключами шифрования и реализует вполне стандартный функционал, подробно описанный в отчете.
В целом можно сказать, тут мы имеем еще одну хитрую атрибуцию (учитывая вчерашний пост про WIP26).
Поскольку Earth Kitsune атакует преимущественно проКНДРовские ресурсы, с целью внедрить в них вредоносные скрипты для дальнейшего заражения интересующихся Северной Кореей пользователей, то конечный бенефициар вычисляется даже не в две логические операции, а в одну.
Это - Южная Корея. А мы и подходящую APT знаем - это Dark Hotel (когда-то о давно мы про них рассказывали здесь), они как раз любят атаки на водопой.
НоНо - нельзя. Ведь между Японией (откуда родом Trend Micro) и Южной Кореей много общего. Например,межпозвоночные грыжи американские военные базы.
Начиная с 2019 года Earth Kitsune распространяет различные вредоносные ПО собственной разработки среди целей, в первую очередь, связанных с Северной Кореей.
Реализую зачастую свой замысел в рамках атак водопоя, компрометируя тематические веб-сайты и внедряя в них эксплойты под браузеры.
В последней кампании Earth Kitsune, наблюдавшейся в конце 2022 года, применялась аналогичная тактика за исключением того, что вместо эксплойтов для браузера была задействована социальная инженерия.
Сайт был модифицирован таким образом, что при попытке посмотреть видео внедренный вредоносный скрипт отображал сообщение, уведомляющее жертв об ошибке видеокодека, побуждая их загрузить и установить вредоносный пакет c WhiskerSpy, замаскированный под Advanced Video Codec — AVC1.
При этом веб-страницы были настроены на доставку вредоносного скрипта только посетителям из списка целевых IP-адресов, среди которых были подсети: в Шэньяне (Китай), Нагое (Япония) и Бразилии (использовались самим злоумышленником для тестов).
Злоумышленник злоупотребил законным установщиком MSI, который является оболочкой для другого установщика NSIS и содержит вредоносный шеллкод, шифруемый простым ключом (XOR 0x01).
После расшифровки шелл-код запускает несколько команд PowerShell для загрузки дополнительных вредоносных ПО.
Загрузчик под именем vcruntime140.dll выполняет операцию XOR с 1-байтовым ключом и внедряет встроенную полезную нагрузку в процесс werfautl.exe. Шеллкод в оверлее — это загрузчик основного бэкдора.
Злоумышленники используют при этом уязвимостями боковой загрузки OneDrive, помещая поддельные библиотеки DLL в пользовательский каталог OneDrive, чтобы добиться сохранения на скомпрометированной машине.
Кроме того, ресерчеры также обнаружили, что злоумышленник применяет интересную технику сохранения, которая злоупотребляет собственным узлом обмена сообщениями Google Chrome.
Основной загрузчик бэкдора загружает встроенный исполняемый файл — основную полезную нагрузку бэкдора WhiskerSpy, задействующий риптографию ECC для обмена ключами шифрования и реализует вполне стандартный функционал, подробно описанный в отчете.
В целом можно сказать, тут мы имеем еще одну хитрую атрибуцию (учитывая вчерашний пост про WIP26).
Поскольку Earth Kitsune атакует преимущественно проКНДРовские ресурсы, с целью внедрить в них вредоносные скрипты для дальнейшего заражения интересующихся Северной Кореей пользователей, то конечный бенефициар вычисляется даже не в две логические операции, а в одну.
Это - Южная Корея. А мы и подходящую APT знаем - это Dark Hotel (когда-то о давно мы про них рассказывали здесь), они как раз любят атаки на водопой.
НоНо - нельзя. Ведь между Японией (откуда родом Trend Micro) и Южной Кореей много общего. Например,
Trend Micro
Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering Hole Attack
We discovered a new backdoor which we have attributed to the advanced persistent threat actor known as Earth Kitsune, which we have covered before. Since 2019, Earth Kitsune has been distributing variants of self-developed backdoors to targets, primarily…
Fortinet выпустила обновления безопасности для устранения 40 уязвимостей в своей линейке ПО, в том числе FortiWeb, FortiOS, FortiNAC и FortiProxy.
Два из 40 недостатков оцениваются как критические, 15 — как высокие, 22 — как средние и один — как низкий.
Наиболее серьезная RCE-ошибка исправлена в решении для управления доступом к сети FortiNAC (CVE-2022-39952) и имеет оценку CVSS: 9,8.
Первая уязвимость, влияющая на FortiNAC (все версии 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, 8.8, 8.7, 8.6, 8.5 и 8.3), отслеживается как CVE-2022-39952 и имеет оценку CVSS v3 9,8 (критическая).
FortiNAC — это решение для управления доступом к сети, которое помогает организациям получать информацию о сети в режиме реального времени, применять политики безопасности, а также обнаруживать и устранять угрозы.
Внешний контроль над именем файла или уязвимостью пути [CWE-73] на веб-сервере FortiNAC может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольную запись в системе. Исправления были выпущены для версий FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8.
Вторым серьезным недостатком является переполнение буфера на основе стека в прокси-демоне FortiWeb (CVE-2021-42756 с оценкой CVSS: 9,3), которое может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных HTTP-запросов.
Интересно, что CVE, по-видимому, была обнаружена еще в 2021 году, но до сих пор не раскрывалась. CVE-2021-42756 влияет на указанные ниже версии FortiWeb (5.x, 6.0.7, 6.1.2, 6.2.6, 6.3.16 и 6.4), а исправления доступны в версиях FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0.
По словам Fortinet, обе уязвимости были обнаружены специалистами компании.
Horizon3 заявила, что планирует выпустить PoC для одной из уязвимостей в ближайшее время, поэтому крайне важно, чтобы пользователи быстро применяли обновления.
Два из 40 недостатков оцениваются как критические, 15 — как высокие, 22 — как средние и один — как низкий.
Наиболее серьезная RCE-ошибка исправлена в решении для управления доступом к сети FortiNAC (CVE-2022-39952) и имеет оценку CVSS: 9,8.
Первая уязвимость, влияющая на FortiNAC (все версии 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, 8.8, 8.7, 8.6, 8.5 и 8.3), отслеживается как CVE-2022-39952 и имеет оценку CVSS v3 9,8 (критическая).
FortiNAC — это решение для управления доступом к сети, которое помогает организациям получать информацию о сети в режиме реального времени, применять политики безопасности, а также обнаруживать и устранять угрозы.
Внешний контроль над именем файла или уязвимостью пути [CWE-73] на веб-сервере FortiNAC может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольную запись в системе. Исправления были выпущены для версий FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8.
Вторым серьезным недостатком является переполнение буфера на основе стека в прокси-демоне FortiWeb (CVE-2021-42756 с оценкой CVSS: 9,3), которое может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных HTTP-запросов.
Интересно, что CVE, по-видимому, была обнаружена еще в 2021 году, но до сих пор не раскрывалась. CVE-2021-42756 влияет на указанные ниже версии FortiWeb (5.x, 6.0.7, 6.1.2, 6.2.6, 6.3.16 и 6.4), а исправления доступны в версиях FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0.
По словам Fortinet, обе уязвимости были обнаружены специалистами компании.
Horizon3 заявила, что планирует выпустить PoC для одной из уязвимостей в ближайшее время, поэтому крайне важно, чтобы пользователи быстро применяли обновления.
FortiGuard
None
SolarWinds опубликовала несколько бюллетеней для уязвимостей высокой степени серьезности, которые будут исправлены в обновлении платформы к концу февраля.
Из семи уязвимостей пять описываются как десериализация проблем с ненадежными данными и могут быть использованы для выполнения команд. Четыре из них при этом имеют оценку CVSS 8,8.
CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 и CVE-2022-47507 могут позволить удаленному злоумышленнику с учетной записью уровня администратора Orion получить доступ к веб-консоли SolarWinds для выполнять произвольные команды.
Пятую ошибку CVE-2022-38111 SolarWinds считает проблемой средней серьезности, хотя последствия успешной эксплуатации такие же. Уязвимость также имеет достаточно высокую оценку CVSS 7,2.
Компания также объявила об исправлениях для серьезной уязвимости обхода пути в платформе SolarWinds, которая отслеживается как CVE-2022-47506 (оценка CVSS 8,8).
Эта уязвимость позволяет локальному злоумышленнику с авторизованным доступом к учетной записи редактировать конфигурацию по умолчанию, позволяя выполнять произвольные команды.
Платформа SolarWinds 2023.1, которая, как ожидается, станет доступна к концу месяца, будет содержать исправления для всех заявленных уязвимостией. Клиентам рекомендуется обновиться до этой версии, как только она станет доступной.
Кроме того, SolarWinds опубликовала информацию о серьезной проблеме с Server & Application Monitor 2022.4, из-за которой Kerberos нельзя было использовать с NTLM.
Клиенты, настроившие опрос через Kerberos, не ожидали NTLM-трафика в своей среде, но, поскольку мы запрашивали данные через IP-адрес, это не позволяло использовать Kerberos. Ожидаемый Hybrid Cloud Observability 2023.1 устраняет этот недостаток.
SolarWinds не упомянула об использовании каких-либо из этих уязвимостей в злонамеренных атаках.
Из семи уязвимостей пять описываются как десериализация проблем с ненадежными данными и могут быть использованы для выполнения команд. Четыре из них при этом имеют оценку CVSS 8,8.
CVE-2023-23836, CVE-2022-47503, CVE-2022-47504 и CVE-2022-47507 могут позволить удаленному злоумышленнику с учетной записью уровня администратора Orion получить доступ к веб-консоли SolarWinds для выполнять произвольные команды.
Пятую ошибку CVE-2022-38111 SolarWinds считает проблемой средней серьезности, хотя последствия успешной эксплуатации такие же. Уязвимость также имеет достаточно высокую оценку CVSS 7,2.
Компания также объявила об исправлениях для серьезной уязвимости обхода пути в платформе SolarWinds, которая отслеживается как CVE-2022-47506 (оценка CVSS 8,8).
Эта уязвимость позволяет локальному злоумышленнику с авторизованным доступом к учетной записи редактировать конфигурацию по умолчанию, позволяя выполнять произвольные команды.
Платформа SolarWinds 2023.1, которая, как ожидается, станет доступна к концу месяца, будет содержать исправления для всех заявленных уязвимостией. Клиентам рекомендуется обновиться до этой версии, как только она станет доступной.
Кроме того, SolarWinds опубликовала информацию о серьезной проблеме с Server & Application Monitor 2022.4, из-за которой Kerberos нельзя было использовать с NTLM.
Клиенты, настроившие опрос через Kerberos, не ожидали NTLM-трафика в своей среде, но, поскольку мы запрашивали данные через IP-адрес, это не позволяло использовать Kerberos. Ожидаемый Hybrid Cloud Observability 2023.1 устраняет этот недостаток.
SolarWinds не упомянула об использовании каких-либо из этих уязвимостей в злонамеренных атаках.
После того, как почти полтора года назад Pompompurin потроллил Винни Троя, используя скомпрометированную корпоративную почту ФБР для рассылки фейковых писем о кибератаках, сотрудники американской спецслужбы вновь столкнулись с киберинцидентом.
Сообщается, что бюро расследует злонамеренную киберактивность в закрытой системе сети агентства. Спецслужба выявила отдельный инцидент и работает над оценкой его масштабов и воздействия.
Тем не менее журналист CNN выяснили, что в пятницу неизвестный актор взломал компьютерную систему центрального подразделения ФБР, дислоцированного в Нью-Йорке, которое является одним из крупнейших офисов агентства.
Затронутый сегмент задействовался в расследованиях преступлений, связанных с эксплуатацией детей и другими делами, связанными с насилием.
По предварительным официальным данным, это изолированный инцидент, который был оперативно локализован. Других комментариев относительно расследования, в том числе об источниках угрозы, ФБР не представило.
Будем следить за развитием ситуации, продолжение может быть весьма интригующим.
Сообщается, что бюро расследует злонамеренную киберактивность в закрытой системе сети агентства. Спецслужба выявила отдельный инцидент и работает над оценкой его масштабов и воздействия.
Тем не менее журналист CNN выяснили, что в пятницу неизвестный актор взломал компьютерную систему центрального подразделения ФБР, дислоцированного в Нью-Йорке, которое является одним из крупнейших офисов агентства.
Затронутый сегмент задействовался в расследованиях преступлений, связанных с эксплуатацией детей и другими делами, связанными с насилием.
По предварительным официальным данным, это изолированный инцидент, который был оперативно локализован. Других комментариев относительно расследования, в том числе об источниках угрозы, ФБР не представило.
Будем следить за развитием ситуации, продолжение может быть весьма интригующим.
CNN
Exclusive: FBI says it has ‘contained’ cyber incident on bureau’s computer network
The FBI has been investigating and working to contain a malicious cyber incident on part of its computer network in recent days, according to people briefed on the matter.
Крупнейший производитель оборудования для полупроводников Applied Materials Inc. понес ущерб в 250 млн. долларов из-за атаки программ-вымогателей на цепочку поставок.
Инцидент раскрыла MKS Instruments Inc., которая заявила, что атака ransomware оказала существенное влияние на ее способность обрабатывать заказы, поставлять продукцию и предоставлять услуги клиентам.
Со слов исполнительного директора Applied Materials Гэри Дикерсона, из-за того, что один из основных ее поставщиков столкнулся со сбоем, это повлияет на поставки во втором квартале и сократит продажи на четверть миллиарда долларов.
MKS добавил, что до сих пор не уверен в полном объеме затрат и последствий, связанных с инцидентом программ-вымогателей и компания все еще определяет, покроет ли ее киберстрахование часть расходов, связанных с атакой. Иных комментариев представители MKS Instruments не дают, а официальный сайт не доступен.
Как ситуация отразится на других производителях еще не понятно, ведь согласно анализу цепочки поставок Bloomberg MKS помимо Applied Materials поставляет продукцию двум крупнейшим в мире производителям микросхем Samsung Electronics и Taiwan Semiconductor Manufacturing. Intel Corp. и ASML Holding NV также являются заказчиками компании.
Инцидент раскрыла MKS Instruments Inc., которая заявила, что атака ransomware оказала существенное влияние на ее способность обрабатывать заказы, поставлять продукцию и предоставлять услуги клиентам.
Со слов исполнительного директора Applied Materials Гэри Дикерсона, из-за того, что один из основных ее поставщиков столкнулся со сбоем, это повлияет на поставки во втором квартале и сократит продажи на четверть миллиарда долларов.
MKS добавил, что до сих пор не уверен в полном объеме затрат и последствий, связанных с инцидентом программ-вымогателей и компания все еще определяет, покроет ли ее киберстрахование часть расходов, связанных с атакой. Иных комментариев представители MKS Instruments не дают, а официальный сайт не доступен.
Как ситуация отразится на других производителях еще не понятно, ведь согласно анализу цепочки поставок Bloomberg MKS помимо Applied Materials поставляет продукцию двум крупнейшим в мире производителям микросхем Samsung Electronics и Taiwan Semiconductor Manufacturing. Intel Corp. и ASML Holding NV также являются заказчиками компании.
Bloomberg.com
Applied Materials’ Sales Shortfall Linked to Cyberattack at MKS
A “cybersecurity incident” that Applied Materials Inc. warned would hurt its sales this quarter was linked to a ransomware attack disclosed by MKS Instruments Inc. earlier this month.
Всем известный GoDaddy оказывается был взломан на протяжении нескольких лет.
К такому печальному выводу пришли специалисты ведущей хостинговой компании, когда сообщили о нарушении безопасности.
Как выяснилось, неизвестные злоумышленники скомпрометировали среду общего хостинга cPanel, украли исходный код и устанавливали вредоносное ПО на его серверах.
О проблеме узнали в начале декабря 2022 года и как это часто бывает, только после жалоб клиентов о том, что их сайты использовались для перенаправления на другие домены.
Все это время злоумышленники могли использовать скомпрометированные сайты для перенаправления трафика.
Являясь одним из крупнейших в мире регистраторов доменов, GoDaddy предоставляет услуги хостинга и обслуживает более 20 миллионов клиентов по всему миру.
Эта ситуация увы не первая и по данным компании, недавнее нарушение безопасности связано с брешью доступной злоумышленникам в течение нескольких лет и имеет отношение к предыдущими инцидентам, о которых сообщалось в ноябре 2021 года и марте 2020 года.
Например, в ноябре 2021 года среда хостинга GoDaddy WordPress была взломана злоумышленниками, от которой пострадало приблизительно 1,2 миллиона пользователей WordPress.
В настоящее время GoDaddy сотрудничает с внешними экспертами по кибербезопасности и правоохранительными органами по всему миру в рамках продолжающегося расследования основной причины инцидента.
Более того, GoDaddy заявила, что обнаружила доказательства связи злоумышленников с более широкой кампанией, направленной против других хостинговых провайдеров.
Как заверяют эксперты, этот инцидент был совершен сложной и организованной группой, нацеленной на хостеров по всему миру на протяжении нескольких лет.
Дальнейший замысел группировки очевиден и был направлен на заражение веб-сайтов и серверов вредоносным ПО для проведения фишинговых кампаний и других злонамеренных действий.
GoDaddy принесла извинения перед клиентами за доставленные неудобства и активно собирает доказательства и информацию о тактике и методах злоумышленников, чтобы помочь правоохранительным структурам, а также принять соответствующие меры для лучшей защиты данных клиентов.
К такому печальному выводу пришли специалисты ведущей хостинговой компании, когда сообщили о нарушении безопасности.
Как выяснилось, неизвестные злоумышленники скомпрометировали среду общего хостинга cPanel, украли исходный код и устанавливали вредоносное ПО на его серверах.
О проблеме узнали в начале декабря 2022 года и как это часто бывает, только после жалоб клиентов о том, что их сайты использовались для перенаправления на другие домены.
Все это время злоумышленники могли использовать скомпрометированные сайты для перенаправления трафика.
Являясь одним из крупнейших в мире регистраторов доменов, GoDaddy предоставляет услуги хостинга и обслуживает более 20 миллионов клиентов по всему миру.
Эта ситуация увы не первая и по данным компании, недавнее нарушение безопасности связано с брешью доступной злоумышленникам в течение нескольких лет и имеет отношение к предыдущими инцидентам, о которых сообщалось в ноябре 2021 года и марте 2020 года.
Например, в ноябре 2021 года среда хостинга GoDaddy WordPress была взломана злоумышленниками, от которой пострадало приблизительно 1,2 миллиона пользователей WordPress.
В настоящее время GoDaddy сотрудничает с внешними экспертами по кибербезопасности и правоохранительными органами по всему миру в рамках продолжающегося расследования основной причины инцидента.
Более того, GoDaddy заявила, что обнаружила доказательства связи злоумышленников с более широкой кампанией, направленной против других хостинговых провайдеров.
Как заверяют эксперты, этот инцидент был совершен сложной и организованной группой, нацеленной на хостеров по всему миру на протяжении нескольких лет.
Дальнейший замысел группировки очевиден и был направлен на заражение веб-сайтов и серверов вредоносным ПО для проведения фишинговых кампаний и других злонамеренных действий.
GoDaddy принесла извинения перед клиентами за доставленные неудобства и активно собирает доказательства и информацию о тактике и методах злоумышленников, чтобы помочь правоохранительным структурам, а также принять соответствующие меры для лучшей защиты данных клиентов.
Bank info security
GoDaddy Fingers Hacking Campaign for 3-Year Run of Breaches
Internet domain registrar GoDaddy says it is the victim of a yearslong hacking campaign that installed malware on internal systems and obtained source code. The
This media is not supported in your browser
VIEW IN TELEGRAM
Минутка истории на канале SecAtor
Forwarded from Social Engineering
🦈 Приручаем акулу. Wireshark Mindmap.
• Для изучения и использования данного инструмента, предлагаю ознакомиться с очень полезной Mindmap, которая поможет сократить время при выполнении определенных задач: https://github.com/Ignitetechnologies/Mindmap
• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день" и другой полезной информацией по хештегу #Wireshark.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Многим из Вас знаком Wireshark — анализатор пакетов, программа номер один для сетевого анализа, траблшутинга, разработки программных и коммуникационных протоколов, а также всем, что связано с обучением нетворкингу.• Для изучения и использования данного инструмента, предлагаю ознакомиться с очень полезной Mindmap, которая поможет сократить время при выполнении определенных задач: https://github.com/Ignitetechnologies/Mindmap
• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день" и другой полезной информацией по хештегу #Wireshark.
S.E. ▪️ S.E.Relax ▪️ infosec.work
Ресерчеры ThreatMon обнаружили целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, в ходе которой задействуется обновленная версия бэкдора под названием ReverseRAT.
Исследователи приписывают эту активность злоумышленнику, отслеживаемому как АРТ SideCopy.
SideCopy — это группа угроз пакистанского происхождения, которая пересекается с другим действующим лицом под названием Transparent Tribe.
Наименование АРТ обусловлено тем, что актор имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО.
Впервые активность АРТ была замечена в 2021 году и была связана с ReverseRAT. Тогда исследователи Lumen's Black Lotus Labs подробно изучили и описали серию атак, нацеленных на жертв, связанных с правительством и энергетическими вертикалями в Индии и Афганистане.
Недавние кампании SideCopy, в первую очередь, нацелены на компрометацию 2FA-аутентификации, известной как Kavach и используемой индийским правительством.
Задокументированная ThreatMon цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов (Cyber Advisory 2023.docm).
Файл маскируется под фальшивую рекомендацию Министерства связи Индии по тематике, связанной с Android Threats and Prevention. Тем не менее, большая часть контента была дословно скопирована из фактического предупреждения, опубликованного департаментом в июле 2020 года о передовых методах кибербезопасности.
После открытия файла и включения макросов он запускает выполнение вредоносного кода, что приводит к развертыванию ReverseRAT в скомпрометированной системе.
Как только ReverseRAT обеспечивает постоянство, он сканирует устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на C2.
Затем программ находится в ожидании выполнения команд на целевой машине. При этом некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.
Технические особенности новой вредоносной ПО и индикаторы компрометации представлены в отчете ThreatMon.
Исследователи приписывают эту активность злоумышленнику, отслеживаемому как АРТ SideCopy.
SideCopy — это группа угроз пакистанского происхождения, которая пересекается с другим действующим лицом под названием Transparent Tribe.
Наименование АРТ обусловлено тем, что актор имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО.
Впервые активность АРТ была замечена в 2021 году и была связана с ReverseRAT. Тогда исследователи Lumen's Black Lotus Labs подробно изучили и описали серию атак, нацеленных на жертв, связанных с правительством и энергетическими вертикалями в Индии и Афганистане.
Недавние кампании SideCopy, в первую очередь, нацелены на компрометацию 2FA-аутентификации, известной как Kavach и используемой индийским правительством.
Задокументированная ThreatMon цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов (Cyber Advisory 2023.docm).
Файл маскируется под фальшивую рекомендацию Министерства связи Индии по тематике, связанной с Android Threats and Prevention. Тем не менее, большая часть контента была дословно скопирована из фактического предупреждения, опубликованного департаментом в июле 2020 года о передовых методах кибербезопасности.
После открытия файла и включения макросов он запускает выполнение вредоносного кода, что приводит к развертыванию ReverseRAT в скомпрометированной системе.
Как только ReverseRAT обеспечивает постоянство, он сканирует устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на C2.
Затем программ находится в ожидании выполнения команд на целевой машине. При этом некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.
Технические особенности новой вредоносной ПО и индикаторы компрометации представлены в отчете ThreatMon.
threatmon.io
APT SideCopy Targeting Indian Government Entities | ThreatMon
Read to APT SideCopy Targeting Indian Government Entities report and now download it to learn more details.
Одна из крупнейших в мире криптобирж Coinbase стала жертвой таргетированной кибератаки, которая, по-видимому, была предпринята группой 0ktapus.
Coinbase сообщила, что ее сотрудники стали жертвами фишинговой SMS-кампании в воскресенье, 5 февраля.
Целевые работники получили текстовые сообщения с инструкциями срочно войти в свою учетную запись по предоставленной ссылке.
Большинство сотрудников проигнорировали поддельное предупреждение, но один из получателей перешел по ссылке и ввел имя пользователя и пароль.
Несмотря на то, что Coinbase защищает учетные записи сотрудников с помощью 2FA, злоумышленникам удалось решить этот вопрос звонком сотруднику от имени ИТ-отдела, который проследовал через 20 минут после фишингового письма.
Жертва выполнила инструкции злоумышленника и авторизовалась на своей рабочей станции.
Подозрительная активность вызвала была замечена службой безопасности Coinbase, которая оперативно сработала и смогла залочить скомпрометированную учетную запись.
Однако администрация криптобиржи признала, что злоумышленнику удалось получить некоторую ограниченную контактную информацию в отношении сотрудников Coinbase, включая имена, адреса электронной почты и номера телефонов.
В компании уверены, что информация о клиентах не была скомпрометирована, как и средства пользователей.
Проведенное Coinbase расследование указывает на то, что за атакой, вероятно, стоит 0ktapus (aka Scattered Spider), в послужном списке которого Twilio, Cloudflare и не менее 130 других организаций, взломанных с помощью аналогичных фишинговых сообщений на основе SMS.
0ktapus - финансово мотивированная группа, которая в последние месяцы попала в заголовки газет благодаря своим изощренным методам атаки.
В некоторых атаках киберпреступники нацеливались на телекоммуникационные и аутсорсинговые (BPO) компании, получая доступ к сетям операторов мобильной связи для выполнения замен SIM-карт.
Coinbase также поделилась информацией о TTPs, которые ее команда безопасности наблюдала во время этой атаки. Будем следить за развитием ситуацией.
Coinbase сообщила, что ее сотрудники стали жертвами фишинговой SMS-кампании в воскресенье, 5 февраля.
Целевые работники получили текстовые сообщения с инструкциями срочно войти в свою учетную запись по предоставленной ссылке.
Большинство сотрудников проигнорировали поддельное предупреждение, но один из получателей перешел по ссылке и ввел имя пользователя и пароль.
Несмотря на то, что Coinbase защищает учетные записи сотрудников с помощью 2FA, злоумышленникам удалось решить этот вопрос звонком сотруднику от имени ИТ-отдела, который проследовал через 20 минут после фишингового письма.
Жертва выполнила инструкции злоумышленника и авторизовалась на своей рабочей станции.
Подозрительная активность вызвала была замечена службой безопасности Coinbase, которая оперативно сработала и смогла залочить скомпрометированную учетную запись.
Однако администрация криптобиржи признала, что злоумышленнику удалось получить некоторую ограниченную контактную информацию в отношении сотрудников Coinbase, включая имена, адреса электронной почты и номера телефонов.
В компании уверены, что информация о клиентах не была скомпрометирована, как и средства пользователей.
Проведенное Coinbase расследование указывает на то, что за атакой, вероятно, стоит 0ktapus (aka Scattered Spider), в послужном списке которого Twilio, Cloudflare и не менее 130 других организаций, взломанных с помощью аналогичных фишинговых сообщений на основе SMS.
0ktapus - финансово мотивированная группа, которая в последние месяцы попала в заголовки газет благодаря своим изощренным методам атаки.
В некоторых атаках киберпреступники нацеливались на телекоммуникационные и аутсорсинговые (BPO) компании, получая доступ к сетям операторов мобильной связи для выполнения замен SIM-карт.
Coinbase также поделилась информацией о TTPs, которые ее команда безопасности наблюдала во время этой атаки. Будем следить за развитием ситуацией.
Forwarded from Russian OSINT
🤞🇨🇳"Отрубить руки тем, кто угрожает безопасности данных Китая" или разоблачение хакеров Against The West - отчёт Qi An Pangu Lab
Исследователи серьёзной китайской компании по кибербезопасности Qi An Pangu Lab утверждают, что смогли идентифицировать 6 членов хакерской группы "Against The West", которые совершали кибератаки в отношении Китая.
Global Times со ссылкой на китайских экспертов сообщает, что основные члены хакерской группы являются выходцами из 🇪🇺Европы и 🇺🇸Северной Америки. Активные члены ATW по роду своей деятельности являются программистами и живут в Швейцарии, Франции, Польше, Канаде и других странах.
По заявлению Qi An Pangu, хакерская группа ATW с 2021 года сливала секретную информацию более 70 раз, включая исходный код и БД информационных систем Китая. Было атаковано около 300 информационных систем в более чем 100 важных государственных учреждениях страны.
"С момента своего создания ATW выражает явную антикитайскую направленность. ATW публично заявила, что будет "публиковать посты об утечке данных в Китае, Северной Корее и других странах". Они также опубликовали специальный пост под названием "ATW - война против Китая", в котором явно поддерживалась "независимость Тайваня", пропагандировалась "независимость Гонконга", а также раздувались "проблемы прав человека" в китайском регионе Синьцзян", - пишет Global Times.
🔬 В отчёте лаборатории китайские эксперты раскрывают детали:
1️⃣Они часто используют привычные для США и Запада "ярлыки", такие как "массовая слежка", "нарушение прав человека" и "вторжение в частную жизнь", чтобы подчеркнуть важность целей.
2️⃣ ATW опубликовала информацию об уязвимостях в 💻16 системах правительственных веб-сайтов.
3️⃣ ATW опубликовала исходный код 48 информационных систем, которые относятся к 🏥 больницам в различных провинциях Китая.
4️⃣ ATW получили 4 000 телефонных номеров и имена👮полицейских с сервера технологической компании.
5️⃣ ATW активны с 🕔15:00 до 19:00 BST и работают с 15:00 до 13:00 BST, что соответствует нулевому часовому поясу и часовому поясу East 1 в Западной Европе.
6️⃣ Один из участников Тилли Коттманн "является самопровозглашенным хакером, анархистом, гомосексуалистом и представляет себя как женщину".
7️⃣ Для прикрытия своих атак ATW использовали ряд "плацдармов" и прокси-сервера 🇬🇧🇲🇰🇸🇪🇷🇴
🗂 Оригинал отчёта Qi An Pangu Lab: https://www.pangulab.cn/files/The_ATW_Mystery.pdf
👆🤔Объективность отчёта могут оценить только профессиональные специалисты.
🔍 @Russian_OSINT
Исследователи серьёзной китайской компании по кибербезопасности Qi An Pangu Lab утверждают, что смогли идентифицировать 6 членов хакерской группы "Against The West", которые совершали кибератаки в отношении Китая.
Global Times со ссылкой на китайских экспертов сообщает, что основные члены хакерской группы являются выходцами из 🇪🇺Европы и 🇺🇸Северной Америки. Активные члены ATW по роду своей деятельности являются программистами и живут в Швейцарии, Франции, Польше, Канаде и других странах.
По заявлению Qi An Pangu, хакерская группа ATW с 2021 года сливала секретную информацию более 70 раз, включая исходный код и БД информационных систем Китая. Было атаковано около 300 информационных систем в более чем 100 важных государственных учреждениях страны.
"С момента своего создания ATW выражает явную антикитайскую направленность. ATW публично заявила, что будет "публиковать посты об утечке данных в Китае, Северной Корее и других странах". Они также опубликовали специальный пост под названием "ATW - война против Китая", в котором явно поддерживалась "независимость Тайваня", пропагандировалась "независимость Гонконга", а также раздувались "проблемы прав человека" в китайском регионе Синьцзян", - пишет Global Times.
🔬 В отчёте лаборатории китайские эксперты раскрывают детали:
1️⃣Они часто используют привычные для США и Запада "ярлыки", такие как "массовая слежка", "нарушение прав человека" и "вторжение в частную жизнь", чтобы подчеркнуть важность целей.
2️⃣ ATW опубликовала информацию об уязвимостях в 💻16 системах правительственных веб-сайтов.
3️⃣ ATW опубликовала исходный код 48 информационных систем, которые относятся к 🏥 больницам в различных провинциях Китая.
4️⃣ ATW получили 4 000 телефонных номеров и имена👮полицейских с сервера технологической компании.
5️⃣ ATW активны с 🕔15:00 до 19:00 BST и работают с 15:00 до 13:00 BST, что соответствует нулевому часовому поясу и часовому поясу East 1 в Западной Европе.
6️⃣ Один из участников Тилли Коттманн "является самопровозглашенным хакером, анархистом, гомосексуалистом и представляет себя как женщину".
7️⃣ Для прикрытия своих атак ATW использовали ряд "плацдармов" и прокси-сервера 🇬🇧🇲🇰🇸🇪🇷🇴
🗂 Оригинал отчёта Qi An Pangu Lab: https://www.pangulab.cn/files/The_ATW_Mystery.pdf
👆🤔Объективность отчёта могут оценить только профессиональные специалисты.
🔍 @Russian_OSINT
Дабы получить заветный барыш разработчикам ransomware порой приходится проявлять гибкость и изобретательность, особенно в вопросах ценообразования.
Творческий подход применили разработчики программы-вымогателя HardBit в новой версии 2.0 своей ПО, предусмотрев помимо шифрования файлов опцию согласования суммы выкупа в зависимости от объема страхового возмещения.
По данным компании Varonis, малварь HardBit впервые была замечена в дикой природе еще в октябре 2022 года и к концу ноября была обновлена до версии 2.0, которая в настоящее время гуляет по сети.
Как утверждают злоумышленники, они крадут конфиденциальные данные своих жертв и сливают их, если выкуп не будет выплачен.
Однако у HardBit нет публичного места для утечек данных, куда сбрасываются скомпрометированные материалы.
Также злоумышленники уверяют, что они не используют тактику двойного вымогательства, когда угрожают жертве раскрытием их конфиденциальных данных.
Интересной особенностью группировки является то, что помимо шифрования файлов жертвы, HardBit ослабляет безопасность хостов, отключая функции защиты от программ-шпионов, мониторинга поведения, защиты файлов и сканирования процессов в реальном времени через реестр Windows.
HardBit способен добавить себя в папку автозагрузки Windows и удалить теневые копии тома, чтобы затруднить восстановление данных.
По сравнению с менее продвинутыми штаммами программ-вымогателей, которые записывают зашифрованные данные в новый файл и удаляют исходный, настроенные для шифрования в HardBit файлы сначала открываются, а затем перезаписываются.
Специалисты считают, что это попытка направлена на затруднение возможности восстановления файлов.
Если жертва попала под раздачу HardBit, то первое что она увидит, так это примечание о выкупе, в котором изначально не сообщается, сколько ей необходимо заплатить.
Вместо этого, в записке предлагается связаться с злоумышленниками в течение 48 часов через службу зашифрованных сообщений Tox для обсуждения выкупа. Злоумышленники заранее предостерегают от работы с посредниками, поскольку это приведет лишь к росту цены.
Изюминкой HardBit является предлагаемая жертвам возможность согласовать приемлемую для сторон переговоров сумму, ориентируясь при этом на условия киберстрахования (если таковое осуществлялось).
В примечании даже прямо утверждается, что обмен информацией о страховании выгоден для жертвы, потому что, как правило, страховщики препятствуют выплате и восстановлению данных.
Оценят ли фишку страховщики - будем посмотреть.
Творческий подход применили разработчики программы-вымогателя HardBit в новой версии 2.0 своей ПО, предусмотрев помимо шифрования файлов опцию согласования суммы выкупа в зависимости от объема страхового возмещения.
По данным компании Varonis, малварь HardBit впервые была замечена в дикой природе еще в октябре 2022 года и к концу ноября была обновлена до версии 2.0, которая в настоящее время гуляет по сети.
Как утверждают злоумышленники, они крадут конфиденциальные данные своих жертв и сливают их, если выкуп не будет выплачен.
Однако у HardBit нет публичного места для утечек данных, куда сбрасываются скомпрометированные материалы.
Также злоумышленники уверяют, что они не используют тактику двойного вымогательства, когда угрожают жертве раскрытием их конфиденциальных данных.
Интересной особенностью группировки является то, что помимо шифрования файлов жертвы, HardBit ослабляет безопасность хостов, отключая функции защиты от программ-шпионов, мониторинга поведения, защиты файлов и сканирования процессов в реальном времени через реестр Windows.
HardBit способен добавить себя в папку автозагрузки Windows и удалить теневые копии тома, чтобы затруднить восстановление данных.
По сравнению с менее продвинутыми штаммами программ-вымогателей, которые записывают зашифрованные данные в новый файл и удаляют исходный, настроенные для шифрования в HardBit файлы сначала открываются, а затем перезаписываются.
Специалисты считают, что это попытка направлена на затруднение возможности восстановления файлов.
Если жертва попала под раздачу HardBit, то первое что она увидит, так это примечание о выкупе, в котором изначально не сообщается, сколько ей необходимо заплатить.
Вместо этого, в записке предлагается связаться с злоумышленниками в течение 48 часов через службу зашифрованных сообщений Tox для обсуждения выкупа. Злоумышленники заранее предостерегают от работы с посредниками, поскольку это приведет лишь к росту цены.
Изюминкой HardBit является предлагаемая жертвам возможность согласовать приемлемую для сторон переговоров сумму, ориентируясь при этом на условия киберстрахования (если таковое осуществлялось).
В примечании даже прямо утверждается, что обмен информацией о страховании выгоден для жертвы, потому что, как правило, страховщики препятствуют выплате и восстановлению данных.
Оценят ли фишку страховщики - будем посмотреть.
Varonis
HardBit 2.0 Ransomware
HardBit is a ransomware threat that targets organizations to extort cryptocurrency payments for the decryption of their data.
Seemingly improving upon their initial release, HardBit version 2.0 was introduced toward the end of November 2022, with samples…
Seemingly improving upon their initial release, HardBit version 2.0 was introduced toward the end of November 2022, with samples…
͏Лаборатория Касперского продолжает ползучую экспансию на российском IT-рынке.
Раньше мы уже рассказывали про покупку ЛК ряда стартапов. Теперь к касперским активам добавилась доля в Ximi Pro, разработчике решений защиты в области контейнеризации.
Собственно, план у нас прежний. Евгений Валентинович скупает всю российскую IT-отрасль. А потом SecAtor покупает Е.В. вместе с IT.
И в Геленджик!
Раньше мы уже рассказывали про покупку ЛК ряда стартапов. Теперь к касперским активам добавилась доля в Ximi Pro, разработчике решений защиты в области контейнеризации.
Собственно, план у нас прежний. Евгений Валентинович скупает всю российскую IT-отрасль. А потом SecAtor покупает Е.В. вместе с IT.
И в Геленджик!
VMware устранила критическую уязвимость в своем корпоративном продукте Carbon Black App Control, которая позволяет получить полный доступ к базовой операционной системе сервера.
VMware Carbon Black App Control — это продукт безопасности, используемый корпоративными защитниками для управления доверенным ПО на критически важных системах и конечных точках.
Уязвимость отслеживается как CVE-2023-20858 и имеет оценку серьезности CVSS 9,1 из 10, затрагивая App Control 8.7.x, 8.8.x и 8.9.x, работающие в операционной системе Microsoft Windows.
О проблеме в частном порядке сообщил исследователь Яри Яаскеля в рамках HackerOne.
Злоумышленник с привилегированным доступом к консоли администрирования App Control может использовать специально созданный ввод, позволяющий получить доступ к базовой серверной ОС.
VMware заявила об отсутствии обходных путей для этой уязвимости, поэтому клиентам необходимо обновиться до версий 8.7.8, 8.8.6 и 8.9.4, чтобы снизить потенциальные риски.
VMware также сообщила об исправлении другой уязвимости (CVE-2023-20855, оценка CVSS: 8,8), связанной с повышением привилегий и раскрытием информации в vRealize Orchestrator, vRealize Automation и Cloud Foundation.
Злоумышленник с неадминистративным доступом к vRealize Orchestrator может использовать специально созданные входные данные для обхода ограничений на синтаксический анализ XML, ведущих к доступу к конфиденциальной информации или возможному повышению привилегий.
Злоумышленники нередко нацеливаются на уязвимости продуктов VMware в своих атаках, поэтому крайне важно устанавливать исправления как можно скорее.
VMware Carbon Black App Control — это продукт безопасности, используемый корпоративными защитниками для управления доверенным ПО на критически важных системах и конечных точках.
Уязвимость отслеживается как CVE-2023-20858 и имеет оценку серьезности CVSS 9,1 из 10, затрагивая App Control 8.7.x, 8.8.x и 8.9.x, работающие в операционной системе Microsoft Windows.
О проблеме в частном порядке сообщил исследователь Яри Яаскеля в рамках HackerOne.
Злоумышленник с привилегированным доступом к консоли администрирования App Control может использовать специально созданный ввод, позволяющий получить доступ к базовой серверной ОС.
VMware заявила об отсутствии обходных путей для этой уязвимости, поэтому клиентам необходимо обновиться до версий 8.7.8, 8.8.6 и 8.9.4, чтобы снизить потенциальные риски.
VMware также сообщила об исправлении другой уязвимости (CVE-2023-20855, оценка CVSS: 8,8), связанной с повышением привилегий и раскрытием информации в vRealize Orchestrator, vRealize Automation и Cloud Foundation.
Злоумышленник с неадминистративным доступом к vRealize Orchestrator может использовать специально созданные входные данные для обхода ограничений на синтаксический анализ XML, ведущих к доступу к конфиденциальной информации или возможному повышению привилегий.
Злоумышленники нередко нацеливаются на уязвимости продуктов VMware в своих атаках, поэтому крайне важно устанавливать исправления как можно скорее.
Исследователи Horizon3 выпустили PoC для критической уязвимости (CVE-2022-39952) в пакете управления доступом к сети FortiNAC от Fortinet.
Fortinet сообщила о проблеме 16 февраля и оценила ее серьезность в 9,8 баллов. Поставщик предупредил, что злоумышленник, не прошедший проверку подлинности, может использовать его для записи произвольных файлов в системе и RCE с наивысшими привилегиями.
Организациям, использующим FortiNAC 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, а также все версии веток 8.8, 8.7, 8.6, 8.5 и 8.3, настоятельно рекомендуется уделять приоритетное внимание применению доступных обновлений безопасности.
Помимо публикации кода эксплойта (доступен в репозитории на GitHub) рессерчеры Horizon3 представили подробное описание уязвимости и способов ее эксплуатации.
PoC включает в себя запись задания cron в /etc/cron.d/, которое срабатывает каждую минуту, чтобы инициировать реверсивную оболочку root для злоумышленника, предоставляя ему возможность RCE.
Аналитики обнаружили, что исправление для CVE-2022-39952 удалило «keyUpload.jsp», конечную точку, которая анализирует запросы на параметр «key», записывает его в файл конфигурации, а затем выполняет сценарий bash «configApplianceXml».
Сценарий bash выполняет команду «распаковать» для только что записанного файла, но непосредственно перед этим сценарий вызывает «cd /». Распаковка позволит размещать файлы по любым путям, если они не выходят за пределы текущего рабочего каталога.
Злоумышленник может создать ZIP-архив, содержащий полезную нагрузку, указав, куда ее нужно извлечь, а затем отправить его на уязвимую конечную точку, используя ключевой параметр.
Параметр «key» гарантирует, что вредоносный запрос достигнет «keyUpload.jsp», который является конечной точкой без проверки подлинности, которую Fortinet удалил в исправленных версиях FortiNAC.
Администраторам FortiNAC настоятельно рекомендуется немедленно выполнить обновление до версии продукта, не подверженной уязвимости CVE-2022-39952: в частности, FortiNAC 9.4.1 или выше, 9.2.6 или выше, 9.1.8 или новее и 7.2. .0 или новее.
Fortinet сообщила о проблеме 16 февраля и оценила ее серьезность в 9,8 баллов. Поставщик предупредил, что злоумышленник, не прошедший проверку подлинности, может использовать его для записи произвольных файлов в системе и RCE с наивысшими привилегиями.
Организациям, использующим FortiNAC 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, а также все версии веток 8.8, 8.7, 8.6, 8.5 и 8.3, настоятельно рекомендуется уделять приоритетное внимание применению доступных обновлений безопасности.
Помимо публикации кода эксплойта (доступен в репозитории на GitHub) рессерчеры Horizon3 представили подробное описание уязвимости и способов ее эксплуатации.
PoC включает в себя запись задания cron в /etc/cron.d/, которое срабатывает каждую минуту, чтобы инициировать реверсивную оболочку root для злоумышленника, предоставляя ему возможность RCE.
Аналитики обнаружили, что исправление для CVE-2022-39952 удалило «keyUpload.jsp», конечную точку, которая анализирует запросы на параметр «key», записывает его в файл конфигурации, а затем выполняет сценарий bash «configApplianceXml».
Сценарий bash выполняет команду «распаковать» для только что записанного файла, но непосредственно перед этим сценарий вызывает «cd /». Распаковка позволит размещать файлы по любым путям, если они не выходят за пределы текущего рабочего каталога.
Злоумышленник может создать ZIP-архив, содержащий полезную нагрузку, указав, куда ее нужно извлечь, а затем отправить его на уязвимую конечную точку, используя ключевой параметр.
Параметр «key» гарантирует, что вредоносный запрос достигнет «keyUpload.jsp», который является конечной точкой без проверки подлинности, которую Fortinet удалил в исправленных версиях FortiNAC.
Администраторам FortiNAC настоятельно рекомендуется немедленно выполнить обновление до версии продукта, не подверженной уязвимости CVE-2022-39952: в частности, FortiNAC 9.4.1 или выше, 9.2.6 или выше, 9.1.8 или новее и 7.2. .0 или новее.
Horizon3.ai
Fortinet FortiNAC CVE-2022-39952 Deep-Dive and IOCs
Fortinet FortiNAC CVE-2022-39952 Deep-Dive and IOCs. This vulnerability allows remote code execution as the root user.
Apple обновила несколько своих недавних рекомендаций по безопасности, добавив новые уязвимости iOS и macOS, в том числе принадлежащие к новому классу ошибок.
В рекомендациях по iOS 16.3 и macOS Ventura 13.2, первоначально выпущенных 23 января, были добавлены три уязвимости.
Одна из них - CVE-2023-23520, связанная с состоянием гонки, влияющей на компонент сообщения о сбоях, который может позволить злоумышленнику читать произвольные файлы с правами root.
По словам технологического гиганта, две другие ошибки затрагивают основной компонент ОС Apple и могут позволить злоумышленнику выполнить произвольный код из своей песочницы или с определенными повышенными привилегиями.
Об этих уязвимостях, отслеживаемых как CVE-2023-23530 и CVE-2023-23531, сообщили исследователи Trellix.
По мнению Trellix, представленные недостатки являются частью нового класса ошибок, которые могут позволить злоумышленникам обходить подпись кода в системах macOS и iOS.
Анализ Trellix был основан на предыдущих исследованиях и эксплойтах, которые фактически использовались в дикой природе для нацеливания на клиентов Apple.
Компания заявляет, что CVE-2023-23530 и CVE-2023-23531 открыли широкий спектр потенциальных новых уязвимостей, которые в настоящее время исследуют ее исследователи.
Ошибки связаны с исследованиями, проведенными известным исследователем CodeColorist, в 2019 и 2020 годах.
Описанные им в то время методы, похоже, вдохновили злоумышленников, которые использовали их в 2021 году, в том числе для доставки шпионского ПО Pegasus на iPhone, а эксплойт, использованный в этих атаках, получил название ForcedEntry.
Apple, безусловно, предприняла шаги для предотвращения эксплуатации, но исследователи Trellix обнаружили, что реализованные меры по смягчению последствий можно обойти.
Злоумышленник, имеющий доступ к целевой системе, может использовать эти уязвимости, чтобы обойти изоляцию процессов в iOS и macOS.
В зависимости от роли и разрешений целевого процесса хакер может получить доступ к конфиденциальной информации (календарю, адресной книге, фотографиям), установить произвольные приложения или шпионить за пользователями.
В дополнение к январским рекомендациям по iOS и macOS Apple также обновила свои рекомендации за февраль, добавив в них уязвимость типа DoS, о которой сообщил исследователь Google.
В рекомендациях по iOS 16.3 и macOS Ventura 13.2, первоначально выпущенных 23 января, были добавлены три уязвимости.
Одна из них - CVE-2023-23520, связанная с состоянием гонки, влияющей на компонент сообщения о сбоях, который может позволить злоумышленнику читать произвольные файлы с правами root.
По словам технологического гиганта, две другие ошибки затрагивают основной компонент ОС Apple и могут позволить злоумышленнику выполнить произвольный код из своей песочницы или с определенными повышенными привилегиями.
Об этих уязвимостях, отслеживаемых как CVE-2023-23530 и CVE-2023-23531, сообщили исследователи Trellix.
По мнению Trellix, представленные недостатки являются частью нового класса ошибок, которые могут позволить злоумышленникам обходить подпись кода в системах macOS и iOS.
Анализ Trellix был основан на предыдущих исследованиях и эксплойтах, которые фактически использовались в дикой природе для нацеливания на клиентов Apple.
Компания заявляет, что CVE-2023-23530 и CVE-2023-23531 открыли широкий спектр потенциальных новых уязвимостей, которые в настоящее время исследуют ее исследователи.
Ошибки связаны с исследованиями, проведенными известным исследователем CodeColorist, в 2019 и 2020 годах.
Описанные им в то время методы, похоже, вдохновили злоумышленников, которые использовали их в 2021 году, в том числе для доставки шпионского ПО Pegasus на iPhone, а эксплойт, использованный в этих атаках, получил название ForcedEntry.
Apple, безусловно, предприняла шаги для предотвращения эксплуатации, но исследователи Trellix обнаружили, что реализованные меры по смягчению последствий можно обойти.
Злоумышленник, имеющий доступ к целевой системе, может использовать эти уязвимости, чтобы обойти изоляцию процессов в iOS и macOS.
В зависимости от роли и разрешений целевого процесса хакер может получить доступ к конфиденциальной информации (календарю, адресной книге, фотографиям), установить произвольные приложения или шпионить за пользователями.
В дополнение к январским рекомендациям по iOS и macOS Apple также обновила свои рекомендации за февраль, добавив в них уязвимость типа DoS, о которой сообщил исследователь Google.
Apple Support
About the security content of iOS 16.3 and iPadOS 16.3
This document describes the security content of iOS 16.3 and iPadOS 16.3.
Ботнет MyloBot ежедневно поддерживает более 50 000 уникальных зараженных систем, большинство из которых расположены в Индии, США, Индонезии и Иране.
Кроме того, анализ инфраструктуры MyloBot показал соединения с резидентным прокси-сервисом под названием BHProxies, что указывает на то, что последние используют скомпрометированные машины для предоставления услуг.
Об угрозе сообщили специалисты из BitSight, которые давно наблюдают за ботнетом.
MyloBot, появившийся на ландшафте угроз в 2017 году, был впервые задокументирован Deep Instinct в 2018 году, где упоминаются его методы антианализа и способность функционирования в качестве загрузчика.
MyloBot считается достаточно опасным, так как имеет способность загружать и запускать любой тип полезной нагрузки после заражения хоста, что позволяет в любой момент установить любой тип вредоносного ПО, которое пожелает злоумышленник.
Фишкой MyloBot является использование многоэтапной последовательности при распаковке и запуске вредоносного ПО.
Причем, вредонос бездействует в течение 14 дней, прежде чем попытается связаться с C2, чтобы обойти обнаружение.
Основная функция ботнета — это установка соединения с жестко запрограммированным доменом C2, встроенным в вредоносное ПО для получения дальнейших инструкций.
Когда Mylobot получает инструкции от C2, он превращает зараженный компьютер в прокси и в итоге зараженная машина используется для обработки подключений и ретрансляции трафика, отправляемого через C2.
Специалисты пришли к выводу, что MyloBot может быть частью чего-то большего, поскольку были обнаружены связи с инфраструктурой C2 ботнета и доменом прокси-сервиса clients.bhproxy[.]com.
Будем посмотреть.
Кроме того, анализ инфраструктуры MyloBot показал соединения с резидентным прокси-сервисом под названием BHProxies, что указывает на то, что последние используют скомпрометированные машины для предоставления услуг.
Об угрозе сообщили специалисты из BitSight, которые давно наблюдают за ботнетом.
MyloBot, появившийся на ландшафте угроз в 2017 году, был впервые задокументирован Deep Instinct в 2018 году, где упоминаются его методы антианализа и способность функционирования в качестве загрузчика.
MyloBot считается достаточно опасным, так как имеет способность загружать и запускать любой тип полезной нагрузки после заражения хоста, что позволяет в любой момент установить любой тип вредоносного ПО, которое пожелает злоумышленник.
Фишкой MyloBot является использование многоэтапной последовательности при распаковке и запуске вредоносного ПО.
Причем, вредонос бездействует в течение 14 дней, прежде чем попытается связаться с C2, чтобы обойти обнаружение.
Основная функция ботнета — это установка соединения с жестко запрограммированным доменом C2, встроенным в вредоносное ПО для получения дальнейших инструкций.
Когда Mylobot получает инструкции от C2, он превращает зараженный компьютер в прокси и в итоге зараженная машина используется для обработки подключений и ретрансляции трафика, отправляемого через C2.
Специалисты пришли к выводу, что MyloBot может быть частью чего-то большего, поскольку были обнаружены связи с инфраструктурой C2 ботнета и доменом прокси-сервиса clients.bhproxy[.]com.
Будем посмотреть.
Bitsight
Mylobot: Investigating a proxy botnet | Bitsight
Read latest research on Mylobot after first appeared in 2017 and main capability, which is transforming the infected system into a proxy.
Краткий обзор инцидентов под занавес короткой недели.
На этой неделе Activision, издатель франшизы Call of Duty, подтвердил нарушение безопасности, которое произошло в начале декабря 2022 года после того, как хакер получил доступ к одному из ее внутренних каналов Slack.
Изначально Activision не раскрывали проблему в намерениях замять инцидент. Однако, после публикации на VX-Underground полученных от злоумышленника скриншотов и внимания прессы разработчикам пришлось раскрыть карты.
Хакеру удалось получить доступ к Slack-каналу Activision после фишинга «привилегированного пользователя».
Злоумышленник также добрался и до корпоративной документации, включая контент, выпуск которого запланирован на 2023 год.
Activision, в свою очередь, опровергла все заявления хакеров.
Произошла крупная утечка RailYatri, в результате чего личные данные более 31 миллиона индийцев в настоящее время продаются на подпольном хакерском форуме.
Разработчик приложения для бронирования жд-билетов совместно с силовиками расследует инцидент.
Вещание Virgin Media Television было временно приостановлено по всей Ирландии после обнаружения попытки неправомерного доступа к системам.
В результате атаки Virgin Media вынуждена была в течение нескольких дней транслировать вместо эфира записи передач на каналах Virgin Media 3, 4, More и VMTV Player.
Из Министерства обороны США утекли конфиденциальные электронные письма из-за того, что кто-то оставил один из своих серверов Azure открытым в Интернет без пароля.
Согласно TechCrunch, на сервере размещались почтовые службы командования специальных операций США.
При этом некоторые из электронных писем, раскрытых в ходе инцидента, также содержали анкеты SF-86, которые использовались сотрудниками Минобороны для подачи заявок на допуск к секретным сведениям.
На этой неделе Activision, издатель франшизы Call of Duty, подтвердил нарушение безопасности, которое произошло в начале декабря 2022 года после того, как хакер получил доступ к одному из ее внутренних каналов Slack.
Изначально Activision не раскрывали проблему в намерениях замять инцидент. Однако, после публикации на VX-Underground полученных от злоумышленника скриншотов и внимания прессы разработчикам пришлось раскрыть карты.
Хакеру удалось получить доступ к Slack-каналу Activision после фишинга «привилегированного пользователя».
Злоумышленник также добрался и до корпоративной документации, включая контент, выпуск которого запланирован на 2023 год.
Activision, в свою очередь, опровергла все заявления хакеров.
Произошла крупная утечка RailYatri, в результате чего личные данные более 31 миллиона индийцев в настоящее время продаются на подпольном хакерском форуме.
Разработчик приложения для бронирования жд-билетов совместно с силовиками расследует инцидент.
Вещание Virgin Media Television было временно приостановлено по всей Ирландии после обнаружения попытки неправомерного доступа к системам.
В результате атаки Virgin Media вынуждена была в течение нескольких дней транслировать вместо эфира записи передач на каналах Virgin Media 3, 4, More и VMTV Player.
Из Министерства обороны США утекли конфиденциальные электронные письма из-за того, что кто-то оставил один из своих серверов Azure открытым в Интернет без пароля.
Согласно TechCrunch, на сервере размещались почтовые службы командования специальных операций США.
При этом некоторые из электронных писем, раскрытых в ходе инцидента, также содержали анкеты SF-86, которые использовались сотрудниками Минобороны для подачи заявок на допуск к секретным сведениям.
TechCrunch
Sensitive US military emails spill online | TechCrunch
A security researcher told TechCrunch that a government server was exposing military emails to the internet because no password was set.