Минутка истории на канале SecAtor

🦈 Приручаем акулу. Wireshark Mindmap.

🖖🏻 Приветствую тебя user_name.

• Многим из Вас знаком Wireshark — анализатор пакетов, программа номер один для сетевого анализа, траблшутинга, разработки программных и коммуникационных протоколов, а также всем, что связано с обучением нетворкингу.

• Для изучения и использования данного инструмента, предлагаю ознакомиться с очень полезной Mindmap, которая поможет сократить время при выполнении определенных задач: https://github.com/Ignitetechnologies/Mindmap

• P.S. Обязательно ознакомься с материалом "Лайфхаки на каждый день" и другой полезной информацией по хештегу #Wireshark.

S.E. ▪️ S.E.Relax ▪️ infosec.work

Ресерчеры ThreatMon обнаружили целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, в ходе которой задействуется обновленная версия бэкдора под названием ReverseRAT.

Исследователи приписывают эту активность злоумышленнику, отслеживаемому как АРТ SideCopy.

SideCopy — это группа угроз пакистанского происхождения, которая пересекается с другим действующим лицом под названием Transparent Tribe.

Наименование АРТ обусловлено тем, что актор имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО.

Впервые активность АРТ была замечена в 2021 году и была связана с ReverseRAT. Тогда исследователи Lumen's Black Lotus Labs подробно изучили и описали серию атак, нацеленных на жертв, связанных с правительством и энергетическими вертикалями в Индии и Афганистане.

Недавние кампании SideCopy, в первую очередь, нацелены на компрометацию 2FA-аутентификации, известной как Kavach и используемой индийским правительством.

Задокументированная ThreatMon цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов (Cyber Advisory 2023.docm).

Файл маскируется под фальшивую рекомендацию Министерства связи Индии по тематике, связанной с Android Threats and Prevention. Тем не менее, большая часть контента была дословно скопирована из фактического предупреждения, опубликованного департаментом в июле 2020 года о передовых методах кибербезопасности.

После открытия файла и включения макросов он запускает выполнение вредоносного кода, что приводит к развертыванию ReverseRAT в скомпрометированной системе.

Как только ReverseRAT обеспечивает постоянство, он сканирует устройство жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на C2.

Затем программ находится в ожидании выполнения команд на целевой машине. При этом некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также загрузку файлов на сервер C2.

Технические особенности новой вредоносной ПО и индикаторы компрометации представлены в отчете ThreatMon.

Одна из крупнейших в мире криптобирж Coinbase стала жертвой таргетированной кибератаки, которая, по-видимому, была предпринята группой 0ktapus.

Coinbase сообщила, что ее сотрудники стали жертвами фишинговой SMS-кампании в воскресенье, 5 февраля.

Целевые работники получили текстовые сообщения с инструкциями срочно войти в свою учетную запись по предоставленной ссылке. 

Большинство сотрудников проигнорировали поддельное предупреждение, но один из получателей перешел по ссылке и ввел имя пользователя и пароль.

Несмотря на то, что Coinbase защищает учетные записи сотрудников с помощью 2FA, злоумышленникам удалось решить этот вопрос звонком сотруднику от имени ИТ-отдела, который проследовал через 20 минут после фишингового письма.

Жертва выполнила инструкции злоумышленника и авторизовалась на своей рабочей станции. 

Подозрительная активность вызвала была замечена службой безопасности Coinbase, которая оперативно сработала и смогла залочить скомпрометированную учетную запись.

Однако администрация криптобиржи признала, что злоумышленнику удалось получить некоторую ограниченную контактную информацию в отношении сотрудников Coinbase, включая имена, адреса электронной почты и номера телефонов.

В компании уверены, что информация о клиентах не была скомпрометирована, как и средства пользователей.

Проведенное Coinbase расследование указывает на то, что за атакой, вероятно, стоит 0ktapus (aka Scattered Spider), в послужном списке которого Twilio, Cloudflare и не менее 130 других организаций, взломанных с помощью аналогичных фишинговых сообщений на основе SMS.

0ktapus - финансово мотивированная группа, которая в последние месяцы попала в заголовки газет благодаря своим изощренным методам атаки.

В некоторых атаках киберпреступники нацеливались на телекоммуникационные и аутсорсинговые (BPO) компании, получая доступ к сетям операторов мобильной связи для выполнения замен SIM-карт.

Coinbase также поделилась информацией о TTPs, которые ее команда безопасности наблюдала во время этой атаки. Будем следить за развитием ситуацией.

͏Следом за Касперскими теперь и Trend Micro решили погрузится в практику использования ChatGPT в интересах ИБ.

Кажется, нам пора открывать постоянную рубрику 🤦‍♂️

​🤞🇨🇳"Отрубить руки тем, кто угрожает безопасности данных Китая" или разоблачение хакеров Against The West - отчёт Qi An Pangu Lab

Исследователи серьёзной китайской компании по кибербезопасности Qi An Pangu Lab утверждают, что смогли идентифицировать 6 членов хакерской группы "Against The West", которые совершали кибератаки в отношении Китая.

Global Times со ссылкой на китайских экспертов сообщает, что основные члены хакерской группы являются выходцами из 🇪🇺Европы и 🇺🇸Северной Америки. Активные члены ATW по роду своей деятельности являются программистами и живут в Швейцарии, Франции, Польше, Канаде и других странах.

По заявлению Qi An Pangu, хакерская группа ATW с 2021 года сливала секретную информацию более 70 раз, включая исходный код и БД информационных систем Китая. Было атаковано около 300 информационных систем в более чем 100 важных государственных учреждениях страны.

"С момента своего создания ATW выражает явную антикитайскую направленность. ATW публично заявила, что будет "публиковать посты об утечке данных в Китае, Северной Корее и других странах". Они также опубликовали специальный пост под названием "ATW - война против Китая", в котором явно поддерживалась "независимость Тайваня", пропагандировалась "независимость Гонконга", а также раздувались "проблемы прав человека" в китайском регионе Синьцзян", - пишет Global Times.

🔬 В отчёте лаборатории китайские эксперты раскрывают детали:

1️⃣Они часто используют привычные для США и Запада "ярлыки", такие как "массовая слежка", "нарушение прав человека" и "вторжение в частную жизнь", чтобы подчеркнуть важность целей.

2️⃣ ATW опубликовала информацию об уязвимостях в 💻16 системах правительственных веб-сайтов.

3️⃣ ATW опубликовала исходный код 48 информационных систем, которые относятся к 🏥 больницам в различных провинциях Китая.

4️⃣ ATW получили 4 000 телефонных номеров и имена👮полицейских с сервера технологической компании.

5️⃣ ATW активны с 🕔15:00 до 19:00 BST и работают с 15:00 до 13:00 BST, что соответствует нулевому часовому поясу и часовому поясу East 1 в Западной Европе.

6️⃣ Один из участников Тилли Коттманн "является самопровозглашенным хакером, анархистом, гомосексуалистом и представляет себя как женщину".

7️⃣ Для прикрытия своих атак ATW использовали ряд "плацдармов" и прокси-сервера 🇬🇧🇲🇰🇸🇪🇷🇴

🗂 Оригинал отчёта Qi An Pangu Lab: https://www.pangulab.cn/files/The_ATW_Mystery.pdf

👆🤔Объективность отчёта могут оценить только профессиональные специалисты.

🔍 @Russian_OSINT

Дабы получить заветный барыш разработчикам ransomware порой приходится проявлять гибкость и изобретательность, особенно в вопросах ценообразования.

Творческий подход применили разработчики программы-вымогателя HardBit в новой версии 2.0 своей ПО, предусмотрев помимо шифрования файлов опцию согласования суммы выкупа в зависимости от объема страхового возмещения.

По данным компании Varonis, малварь HardBit впервые была замечена в дикой природе еще в октябре 2022 года и к концу ноября была обновлена до версии 2.0, которая в настоящее время гуляет по сети.

Как утверждают злоумышленники, они крадут конфиденциальные данные своих жертв и сливают их, если выкуп не будет выплачен.

Однако у HardBit нет публичного места для утечек данных, куда сбрасываются скомпрометированные материалы.

Также злоумышленники уверяют, что они не используют тактику двойного вымогательства, когда угрожают жертве раскрытием их конфиденциальных данных.

Интересной особенностью группировки является то, что помимо шифрования файлов жертвы, HardBit ослабляет безопасность хостов, отключая функции защиты от программ-шпионов, мониторинга поведения, защиты файлов и сканирования процессов в реальном времени через реестр Windows.

HardBit способен добавить себя в папку автозагрузки Windows и удалить теневые копии тома, чтобы затруднить восстановление данных.

По сравнению с менее продвинутыми штаммами программ-вымогателей, которые записывают зашифрованные данные в новый файл и удаляют исходный, настроенные для шифрования в HardBit файлы сначала открываются, а затем перезаписываются.

Специалисты считают, что это попытка направлена на затруднение возможности восстановления файлов.

Если жертва попала под раздачу HardBit, то первое что она увидит, так это примечание о выкупе, в котором изначально не сообщается, сколько ей необходимо заплатить.

Вместо этого, в записке предлагается связаться с злоумышленниками в течение 48 часов через службу зашифрованных сообщений Tox для обсуждения выкупа. Злоумышленники заранее предостерегают от работы с посредниками, поскольку это приведет лишь к росту цены.

Изюминкой HardBit является предлагаемая жертвам возможность согласовать приемлемую для сторон переговоров сумму, ориентируясь при этом на условия киберстрахования (если таковое осуществлялось).

В примечании даже прямо утверждается, что обмен информацией о страховании выгоден для жертвы, потому что, как правило, страховщики препятствуют выплате и восстановлению данных.

Оценят ли фишку страховщики - будем посмотреть.

͏Лаборатория Касперского продолжает ползучую экспансию на российском IT-рынке.

Раньше мы уже рассказывали про покупку ЛК ряда стартапов. Теперь к касперским активам добавилась доля в Ximi Pro, разработчике решений защиты в области контейнеризации.

Собственно, план у нас прежний. Евгений Валентинович скупает всю российскую IT-отрасль. А потом SecAtor покупает Е.В. вместе с IT.

И в Геленджик!

VMware устранила критическую уязвимость в своем корпоративном продукте Carbon Black App Control, которая позволяет получить полный доступ к базовой операционной системе сервера.

VMware Carbon Black App Control — это продукт безопасности, используемый корпоративными защитниками для управления доверенным ПО на критически важных системах и конечных точках.

Уязвимость отслеживается как CVE-2023-20858 и имеет оценку серьезности CVSS 9,1 из 10, затрагивая App Control 8.7.x, 8.8.x и 8.9.x, работающие в операционной системе Microsoft Windows.

О проблеме в частном порядке сообщил исследователь Яри Яаскеля в рамках HackerOne.

Злоумышленник с привилегированным доступом к консоли администрирования App Control может использовать специально созданный ввод, позволяющий получить доступ к базовой серверной ОС.

VMware заявила об отсутствии обходных путей для этой уязвимости, поэтому клиентам необходимо обновиться до версий 8.7.8, 8.8.6 и 8.9.4, чтобы снизить потенциальные риски.

VMware также сообщила об исправлении другой уязвимости (CVE-2023-20855, оценка CVSS: 8,8), связанной с повышением привилегий и раскрытием информации в vRealize Orchestrator, vRealize Automation и Cloud Foundation.

Злоумышленник с неадминистративным доступом к vRealize Orchestrator может использовать специально созданные входные данные для обхода ограничений на синтаксический анализ XML, ведущих к доступу к конфиденциальной информации или возможному повышению привилегий.

Злоумышленники нередко нацеливаются на уязвимости продуктов VMware в своих атаках, поэтому крайне важно устанавливать исправления как можно скорее.

Исследователи Horizon3 выпустили PoC для критической уязвимости (CVE-2022-39952) в пакете управления доступом к сети FortiNAC от Fortinet.

Fortinet сообщила о проблеме 16 февраля и оценила ее серьезность в 9,8 баллов. Поставщик предупредил, что злоумышленник, не прошедший проверку подлинности, может использовать его для записи произвольных файлов в системе и RCE с наивысшими привилегиями.

Организациям, использующим FortiNAC 9.4.0, с 9.2.0 по 9.2.5, с 9.1.0 по 9.1.7, а также все версии веток 8.8, 8.7, 8.6, 8.5 и 8.3, настоятельно рекомендуется уделять приоритетное внимание применению доступных обновлений безопасности.

Помимо публикации кода эксплойта (доступен в репозитории на GitHub) рессерчеры Horizon3 представили подробное описание уязвимости и способов ее эксплуатации.

PoC включает в себя запись задания cron в /etc/cron.d/, которое срабатывает каждую минуту, чтобы инициировать реверсивную оболочку root для злоумышленника, предоставляя ему возможность RCE.

Аналитики обнаружили, что исправление для CVE-2022-39952 удалило «keyUpload.jsp», конечную точку, которая анализирует запросы на параметр «key», записывает его в файл конфигурации, а затем выполняет сценарий bash «configApplianceXml».

Сценарий bash выполняет команду «распаковать» для только что записанного файла, но непосредственно перед этим сценарий вызывает «cd /». Распаковка позволит размещать файлы по любым путям, если они не выходят за пределы текущего рабочего каталога.

Злоумышленник может создать ZIP-архив, содержащий полезную нагрузку, указав, куда ее нужно извлечь, а затем отправить его на уязвимую конечную точку, используя ключевой параметр.

Параметр «key» гарантирует, что вредоносный запрос достигнет «keyUpload.jsp», который является конечной точкой без проверки подлинности, которую Fortinet удалил в исправленных версиях FortiNAC.

Администраторам FortiNAC настоятельно рекомендуется немедленно выполнить обновление до версии продукта, не подверженной уязвимости CVE-2022-39952: в частности, FortiNAC 9.4.1 или выше, 9.2.6 или выше, 9.1.8 или новее и 7.2. .0 или новее.

Apple обновила несколько своих недавних рекомендаций по безопасности, добавив новые уязвимости iOS и macOS, в том числе принадлежащие к новому классу ошибок.

В рекомендациях по iOS 16.3 и macOS Ventura 13.2, первоначально выпущенных 23 января, были добавлены три уязвимости.

Одна из них - CVE-2023-23520, связанная с состоянием гонки, влияющей на компонент сообщения о сбоях, который может позволить злоумышленнику читать произвольные файлы с правами root. 

По словам технологического гиганта, две другие ошибки затрагивают основной компонент ОС Apple и могут позволить злоумышленнику выполнить произвольный код из своей песочницы или с определенными повышенными привилегиями.

Об этих уязвимостях, отслеживаемых как CVE-2023-23530 и CVE-2023-23531, сообщили исследователи Trellix.

По мнению Trellix, представленные недостатки являются частью нового класса ошибок, которые могут позволить злоумышленникам обходить подпись кода в системах macOS и iOS.

Анализ Trellix был основан на предыдущих исследованиях и эксплойтах, которые фактически использовались в дикой природе для нацеливания на клиентов Apple.

Компания заявляет, что CVE-2023-23530 и CVE-2023-23531 открыли широкий спектр потенциальных новых уязвимостей, которые в настоящее время исследуют ее исследователи.

Ошибки связаны с исследованиями, проведенными известным исследователем CodeColorist, в 2019 и 2020 годах.

Описанные им в то время методы, похоже, вдохновили злоумышленников, которые использовали их в 2021 году, в том числе для доставки шпионского ПО Pegasus на iPhone, а эксплойт, использованный в этих атаках, получил название ForcedEntry.

Apple, безусловно, предприняла шаги для предотвращения эксплуатации, но исследователи Trellix обнаружили, что реализованные меры по смягчению последствий можно обойти.

Злоумышленник, имеющий доступ к целевой системе, может использовать эти уязвимости, чтобы обойти изоляцию процессов в iOS и macOS.

В зависимости от роли и разрешений целевого процесса хакер может получить доступ к конфиденциальной информации (календарю, адресной книге, фотографиям), установить произвольные приложения или шпионить за пользователями.

В дополнение к январским рекомендациям по iOS и macOS Apple также обновила свои рекомендации за февраль, добавив в них уязвимость типа DoS, о которой сообщил исследователь Google.

Ботнет MyloBot ежедневно поддерживает более 50 000 уникальных зараженных систем, большинство из которых расположены в Индии, США, Индонезии и Иране.

Кроме того, анализ инфраструктуры MyloBot показал соединения с резидентным прокси-сервисом под названием BHProxies, что указывает на то, что последние используют скомпрометированные машины для предоставления услуг.

Об угрозе сообщили специалисты из BitSight, которые давно наблюдают за ботнетом.

MyloBot, появившийся на ландшафте угроз в 2017 году, был впервые задокументирован Deep Instinct в 2018 году, где упоминаются его методы антианализа и способность функционирования в качестве загрузчика.

MyloBot считается достаточно опасным, так как имеет способность загружать и запускать любой тип полезной нагрузки после заражения хоста, что позволяет в любой момент установить любой тип вредоносного ПО, которое пожелает злоумышленник.

Фишкой MyloBot является использование многоэтапной последовательности при распаковке и запуске вредоносного ПО.

Причем, вредонос бездействует в течение 14 дней, прежде чем попытается связаться с C2, чтобы обойти обнаружение.

Основная функция ботнета — это установка соединения с жестко запрограммированным доменом C2, встроенным в вредоносное ПО для получения дальнейших инструкций.

Когда Mylobot получает инструкции от C2, он превращает зараженный компьютер в прокси и в итоге зараженная машина используется для обработки подключений и ретрансляции трафика, отправляемого через C2.

Специалисты пришли к выводу, что MyloBot может быть частью чего-то большего, поскольку были обнаружены связи с инфраструктурой C2 ботнета и доменом прокси-сервиса clients.bhproxy[.]com.

Будем посмотреть.

Краткий обзор инцидентов под занавес короткой недели.

На этой неделе Activision, издатель франшизы Call of Duty, подтвердил нарушение безопасности, которое произошло в начале декабря 2022 года после того, как хакер получил доступ к одному из ее внутренних каналов Slack.

Изначально Activision не раскрывали проблему в намерениях замять инцидент. Однако, после публикации на VX-Underground полученных от злоумышленника скриншотов и внимания прессы разработчикам пришлось раскрыть карты.

Хакеру удалось получить доступ к Slack-каналу Activision после фишинга «привилегированного пользователя».

Злоумышленник также добрался и до корпоративной документации, включая контент, выпуск которого запланирован на 2023 год.

Activision, в свою очередь, опровергла все заявления хакеров.

Произошла крупная утечка RailYatri, в результате чего личные данные более 31 миллиона индийцев в настоящее время продаются на подпольном хакерском форуме.

Разработчик приложения для бронирования жд-билетов совместно с силовиками расследует инцидент.

Вещание Virgin Media Television было временно приостановлено по всей Ирландии после обнаружения попытки неправомерного доступа к системам.

В результате атаки Virgin Media вынуждена была в течение нескольких дней транслировать вместо эфира записи передач на каналах Virgin Media 3, 4, More и VMTV Player.

Из Министерства обороны США утекли конфиденциальные электронные письма из-за того, что кто-то оставил один из своих серверов Azure открытым в Интернет без пароля.

Согласно TechCrunch, на сервере размещались почтовые службы командования специальных операций США.

При этом некоторые из электронных писем, раскрытых в ходе инцидента, также содержали анкеты SF-86, которые использовались сотрудниками Минобороны для подачи заявок на допуск к секретным сведениям.

Канал SecAtor поздравляет мужчин с Праздником 23 февраля!

Желаем всего, лучшего и настоящего! Побед, творчества, силы и духа!

Отдельные слова благодарности и поддержки защитникам Родины, низкий Вам поклон!

Ура, товарищи!

Исследователи Symantec сообщают о новом специальном RAT под названием Atharvan, задействованном в целевых атаках на объекты в сфере исследования материалов.

Symantec отслеживает злоумышленника как АРТ Clasiopa, связанная, по мнению исследователей, с Индией. Однако атрибуция остается неясной в силу отсутствия четкой доказательственной базы.

Ресерчеры полагают, что в качестве первоначального вектора заражения, реализуемого Clasiopa, используется брут для получения доступа к общедоступным серверам.

После компрометации злоумышленники выполняют различные действия, в том числе: проверяют IP-адреса, отключают решения защиты, развертывают вредоносные ПО для сканирования файловой системы и эксфильтрации, чистят журналы Sysmon и журналы событий, а также создают запланированной задачи для вывода списка имен файлов.

В ходе атак хакеры использовали два бэкдора: пользовательский Atharvan и Lilith RAT с открытым исходным кодом. Последний можно использовать для выполнения команд, запуска сценариев PowerShell и управления процессами в взломанной системе.

Наряду с бэкдором Clasiopa также использовала легальное ПО: Agile DGS и Agile FD, подписанное устаревшими сертификатами.

Кроме того, на вооружении Clasiopa состоит собственный прокси-инструмент и Thumbsender (утилита, которая составляет список файлов на хосте и сохраняет их локально в базе данных, которую можно эксфильтровать позже на указанный IP-адрес).

При этом Atharvan — пожалуй, самый интересный из инструментов в арсенале группы, потому как бэкдор не встречался ни в одной другой атаке в дикой природе.

После выполнения он создает мьютекс, чтобы предотвратить запуск нескольких процессов, а затем связывается с жестко запрограммированным адресом C2 в на Amazon Web Services в Сеуле (Южная Корея). Связь с C2 форматируется под HTTP POST-запросы к серверу обновлений Microsoft.

Еще одна необычная функция заключается в том, что его можно настроить для связи с C2 по расписанию и даже для попыток соединения в определенные дни недели или месяца.

Что касается его возможностей, Atharvan загружает файлы на скомпрометированный компьютер, запускает исполняемые файлы, выполняет команды и отправляет их обратно.

Связь Atharvan с C2 защищена с помощью простого алгоритма XOR каждого байта открытого текста со значением «2» для получения зашифрованного текста, что оказывается достаточным для обхода некоторых инструментов мониторинга сетевого трафика.

На географическую привязку АРТ указывает мьютекс на хинди, обнаруженный исследователями в пользовательском бэкдоре SAPTARISHI-ATHARVAN-101, где Атхарван - это отсылка к легендарному жрецу из ведической мифологии, сыну Брахмы, Творца.

Другая подсказка — пароль, который злоумышленник использовал для ZIP-архива: iloveindea1998^_^. По нашему мнению, представленные артефакты больше указывают на атаку под чужим флагом для запугивания атрибуции.

В настоящее время злоумышленник нацелился на жертв в Азии. Несмотря на то, что цели Clasiopa на данный момент четко не определены, но совокупность факторов позволяют выделить кибершпионаж.

В отчете Symantec представлен набор хэшей вредоносных ПО, обнаруженных в ходе кампаний, приписываемых Clasiopa, индикаторы компрометации и разбор всех используемых инструментов.

News Corp вынуждена была признать, что на протяжении двух лет в ее сети орудовали хакеры, о чем указала в уведомлениях об утечке.

Медиагигант раскрыл взлом в 2022 году, а позже в результате расследования пришел к выводу, что хакеры впервые получили доступ к системам двумя годами ранее, в феврале 2020 года.

Инцидент затронул несколько новостных подразделений издательского конгломерата, включая The Wall Street Journal, New York Post и его новостные подразделения в Великобритании, чью электронную почту и систему хранения документов актор взял под контроль.

Вообще к активам News Corp отностястя New York Post, The Wall Street Journal, Dow Jones, MarketWatch, Fox News, Barron's, The Sun и издатель британских газет News UK, среди прочих.

Расследование показало, что вредоносная деятельность не имела цели кради личной информации. Сообщения о компрометации личных данных или мошенничестве не поступали.

Тем не менее, по данным News Corp, злоумышленники получили доступ к личным данным, включая установочные данные, номера паспортов, соцстрахования и водительских прав, счетах и медобслуживании.

Впервые раскрыв киберинцидент еще в прошлом году, медиахолдинг со ссылкой на Mandiant поспешил обвинить в атаке и шпионаже китайские АРТ, что в целом не вызывает удивления.

Единственный вопрос - какие ваши доказательства?

Cisco выпустила исправления для двух критических уязвимостей, затрагивающих компоненты Application Centric Infrastructure (ACI).

Первый баг CVE-2023-20011 влияет на интерфейс управления Application Policy Infrastructure Controller (APIC), который по факту является единой точкой автоматизации и управления для ACI.

Уязвимость может быть использована удаленным злоумышленником, не прошедшим проверку подлинности для проведения атак с подделкой межсайтовых запросов (CSRF), заставляя пользователя перейти по вредоносной ссылке.

В случае успеха злоумышленник будет способен выполнять действия в целевой системе с привилегиями скомпрометированного юзера.

Вторая проблема CVE-2023-20089, влияет на коммутаторы Cisco Nexus серии 9000 Fabric в режиме ACI и может быть использована злоумышленником, не прошедшим проверку подлинности для DoS-атак.

Однако производитель отмечает, что для эксплуатации этой баги необходимо выполнение определенных условий.

Оба недостатка были обнаружены собственными усилиями и соответственно нет никаких доказательств их злонамеренного использования.

С выходом последних исправлений Cisco пофиксила несколько недостатков средней степени серьезности в линейке своих продуктов UCS Manager, FXOS, NX-OS, а также устройствах Firepower и Nexus.

Помимо прочего, ИТ-гигант выпустил рекомендации по проблеме повышения привилегий, связанной с продуктами, работающими под управлением ПО NX-OS и настроенными для аутентификации SSH с сертификатом X.509v3.

Кроме того, обновлены рекомендации по недавно устраненной критической уязвимости CVE-2023-20032, затрагивающей библиотеку ClamAV, предоставив необходимую техническую информацию и PoC.

͏В 2022 году практически каждый второй день происходила утечка данных.

К такому неутешительному выводу пришли эксперты Лаборатории Касперского в отчёте о значимых утечках в 2022 году.

Согласно данным отчёта, в прошлому году в результате 168 значимых утечек было опубликовано около 300 миллионов пользовательских данных, 16% из которых содержали парольную информацию.

Какой будет прогноз на 2023 год?

Эксперты предполагают, что в этом году количество утечек пользовательских данных увеличится на 20%, а основной удар злоумышленников будет направлен на сферу ритейла.

Более подробно об утечках 2022 года в цифрах, реакции бизнеса и мерах, которые необходимо предпринять компании при утечке – в отчёте от Лаборатории Касперского по ссылке.

͏Американский телегигант и оператор спутникового вещания Dish Network упал в глубокий офлайн и до сих пор не доступен.

Причиной сбоя, по всей видимости, стала атака с использованием ransomware. На данный момент отключен официальный сайт Dish.com и фактически все принадлежащие корпорации веб-ресурсы и сети, а также не работает приложение Dish Anywhere.

Клиенты сообщают, что телефонные номера колл-центра компании также недоступны. На главной странице висит сообщение о том, что в компании работают круглосуточно и без выходных, чтобы разрешить инцидент.

Кроме того, клиенты столкнулись с проблемой аутентификации при входе в приложения телеканалов MTV и Starz, с помощью своих учетных данных Dish, а сотрудники Dish Network на удаленке лишились доступа к своим рабочим системам.

Самое эпичное заключается в том, что клиенты услуг Dish TV не могут установить контакт со службой поддержки, поскольку похоже, что вредоносное ПО разрушило сеть до основания.

Представители компании еще не признали инцидент, но заверили, что сведения об атаке будут предоставлены на этой неделе.

Между тем, сторонний специалист, который провел свое исследование, утверждает, что обнаружил вредоносное ПО PureCrypter, нацеленное на ряд государственных учреждений, в том числе и Dish TV.

В настоящее время информации о причастности конкретной группы вымогателей к атаке на поставщика услуг американского телевидения нет. Но все предположения сводятся к LockBit.

LastPass, принадлежащая GoTo (ранее LogMeIn) и имеющая более 30 миллионов пользователей, раскрыла новые подробности киберинцидентов, которые сотрясали компанию, начиная с августа 2022 года, когда стало известно о краже фрагментов исходного кода.

В январе 2023 года компания призналась, что нарушение имело более масштабный характер и включало утечку сведений в отношении учетных записей, паролей, настроек MFA, а также информации о лицензии.

Как выяснили привлеченные к расследованию специалисты Mandiant, хакеры в рамках длительной таргерованной атаки взломали домашний компьютер DevOp-инженера LastPass, развернув на нем вредоносное ПО, с помощью которого им удалось получить доступ к корпоративным данным на ресурсах облачного хранилища.

Неназванный злоумышленник воспользовался украденными в ходе августовского инцидента данными для планирования и реализации в период с августа по октябрь 2022 года мероприятий по разведке и эксфильтрации данных облачного хранилища.

При этом злоумышленники воспользовались RCE-уязвимостью в стороннем пакете мультимедийного ПО, внедрив кейлоггер на персональный компьютер сотрудника LastPass.

ПослеПосле чего они смогли перехватить мастер-пароль и получить доступ к корпоративному хранилищу инженера DevOps.

Затем злоумышленник экспортировал все доступные записи и содержимое общих папок, которые содержали зашифрованные защищенные заметки с ключами доступа и дешифрования, необходимыми для проникновения в производственную среду, резервные копии AWS S3 LastPass, другие ресурсы облачного хранилища, а также в некоторые критически важные базы данных.

LastPass выпустила отдельный бюллетень под названием «Обновление инцидента безопасности и рекомендуемые действия», который содержит дополнительную информацию о взломе и украденных данных.

Компания также разработала вспомогательные документы с указанием мер, которые следует предпринять клиентам и бизнес-администраторам для повышения безопасности учетных записей.

Эпопея с Activision продолжается и несмотря на заявления разработчиков, что в сеть не попало ничего критичного злоумышленники решили запруфиться и опубликовали на хакерском форуме утечку американского издателя игр.

Утечка содержит данные из 19 444 уникальных записей с полными именами, номерами телефонов, должностями, местонахождением и адресами электронной почты предполагаемых сотрудников Activision.

Дамп предоставляется бесплатно всем участникам форума в текстовом файле, причем хакеры отдельно подчеркнули ценность этих данных для будущих фишинговых кампаний.

Сообщение на форуме было впервые замечено специалистами по анализу угроз FalconFeedsio, которые сообщили о потенциальной утечке данных в своем Twitter.

Как сообщалось ранее, утечка произошла после того, как хакеры обманом заставили сотрудника отдела кадров выдать свои учетные данные с помощью SMS-фишинга, но команда по информационной безопасности быстро отреагировала на инцидент и устранила угрозу.

Тогда производитель видеоигр заверил, что инцидент не скомпрометировал исходный код игры или данные о пользователях, а также сообщил, что любые сведения о предстоящем игровом контенте уже были частью общедоступных маркетинговых материалов.

Более того, в Activision заявили, что после тщательного внутреннего расследования специалисты установили, что злоумышленникам не удалось украсть никаких конфиденциальных данных сотрудников.

Пока не понятны мотивы компании, чьи заявления расходятся с публикацией на форуме и более того утверждениями СМИ, таких как Insider Gaming, которые не поленились и внимательно рассмотрели украденные материалы, после чего сообщили, что они содержат конфиденциальные данные сотрудников просочившиеся в сеть.

Специалисты предупреждают, что общедоступность базы данных увеличивает вероятность того, что в скором времени сотрудники Activision станут жертвами фишинговых атак и атак социальной инженерии.