Исследователи Лаборатории Касперского представили аналитику по мобильным зловредам для Android за 2022 год.

Количество мобильных атак после снижения во второй половине 2021 года стабилизировалось и в течение всего 2022 года держалось примерно на одном уровне.

В 2022 году решения Лаборатории Касперского зафиксировали: 1 661 743 вредоносных установочных пакета, 196 476 новых мобильных банковских троянцев и 10 543 новых мобильных троянца-вымогателя.

Злоумышленники продолжали использовать легитимные каналы для распространения зловредов, в том числе через Google Play.

В официальном магазине приложений специалисты ЛК неоднократно находили мобильные троянцы, скрытно подписывающие зараженных пользователей на платные сервисы.

При этом помимо уже известных Jocker и MobOk, ресерчеры в прошедшем году обнаружили новое семейство Harly, активное с 2020 года.

За 2022 год зловреды этого типа набрали суммарно более 2,6 млн. установок на официальной платформе.

Также через Google Play активно распространялись различные мошеннические приложения, в частности, обещающие пользователю социальные выплаты или выгодные инвестиции в энергетическую отрасль.

Как и в 2021 году, не обошлось без модифицированной сборки WhatsApp с вредоносным кодом под капотом.

Одна из отличительных особенностей зловреда заключалась в том, что он распространялся через рекламу в популярном приложении Snaptube, а также через внутренний магазин приложения Vidmate.

Мобильные банковские троянцы не отставали.

Несмотря на то что Европол ликвидировал инфраструктуру FluBot (он же Polph или Cabassous), Google Play заполонили загрузчики других семейств банковских троянцев, таких как Sharkbot, Anatsa/Teaban, Octo/Coper и Xenomorph, распространяемых под видом полезных приложений.

Популярным вектором распространения мобильных зловредов оставалась эксплуатация названий популярных игр: зловреды и нежелательные приложения имитируют пиратскую версию игры или читы.

Чаще всего использовались в качестве приманки Minecraft, Roblox, Grand Theft Auto, PUBG и FIFA, в сами приложения распространялись преимущественно в соцсетях и с помощью сомнительных веб-сайтов.

Количество атак мобильных троянцев-вымогателей также продолжило идти на спад, который не прекращается с конца 2021 года.

В целом, в Лаборатории Касперского отметили, что снижение динамики мобильных атак компенсировалось совершенствованием функциональности вредоносного ПО и векторов его распространения, большая часть которых реализуется через легитимные каналы.

В 2022 году наибольшую долю среди новых обнаруженных угроз составили RiskWare-приложения, потеснив предыдущего лидера рейтинга — рекламное ПО.

При этом, как и прежде, большинство атак совершалось с использованием вредоносного ПО.

Исследователи Proofpoint поделились своими недавними наблюдениями за TA569, который является активным злоумышленником, прославившимся внедрением веб-инъекций, ведущих к полезной нагрузке JavaScript, известной как SocGholish, о которой ресерчеры впервые сообщали в своем прошлогоднем отчете.

За последние несколько месяцев исследователи Proofpoint увидели изменения ТТPs, используемых TA569, которые прежде всего были связаны с увеличением количества вариантов инъекций, а также полезных нагрузок, отличающихся от стандартных пакетов JavaScript SocGholish «Fake Update».

Цепочка заражения начинается при посещении пользователем веб-сайта, скомпрометированного инъекцией TA569. Это может быть нажатие на ссылку, полученную по электронной почте, или непосредственное посещение веб-сайта. 

Браузер жертвы интерпретирует внедренный JavaScript, и если среда соответствует определенным критериям, будет представлена приманка.

Наиболее распространенная приманка, используемая для доставки вредоносного ПО SocGholish, — это поддельное обновление браузера, которое отображается в полноэкранном формате, как если бы оно было с самого внедренного сайта.

Proofpoint обнаружила также и другие приманки, используемые TA569 для доставки других вредоносных ПО, в том числе распределенную защиту от DDoS, поддельные обновления ПО безопасности, головоломки с капчей и другие темы, связанные с «обновлениями».

При нажатии на приманку загружается файл, содержащий полезную нагрузку вредоносного ПО. Тип файла зависит от полезной нагрузки и включает файлы .js, .zip или .iso среди прочих.

Пользователь должен запустить файл, чтобы вредоносное ПО запустилось на хосте. Эти различные RAT и похитители информации, такие как SocGholish, могут подготовить почву для последующих заражений.

Proofpoint считает TA569 брокером начального доступа (IAB) или независимым киберпреступником, который обеспечивает проникновение в основные цели, а затем продает доступ другим группам для доставки дополнительных полезных нагрузок, таких как программы-вымогатели.

TA569 может удалять инъекции со взломанных веб-сайтов только для того, чтобы позже повторно добавить их на те же веб-сайты.

Предполагается, что TA569 не только является IAB, но и использует свою обширную сеть инъекций и инфраструктуру, предлагая услугу с оплатой за установку (PPI) другим субъектам угроз и облегчая таким образом обслуживание загрузок и заражение жертв.

В новом отчете Proofpoint подробно описывает инъекции, используемые TA569 для распространения различных полезных нагрузок, а также то, что конечный пользователь увидит при посещении взломанного веб-сайта.

Для защиты от TA569 исследователи предлагает следующие меры: информирование пользователей об этой активности, использование набора правил для блокировки полезных доменов и блокировка выполнения файлов .js в чем угодно, кроме текстового редактора.

Румынская Bitdefender выпустила универсальный дешифратор для набирающей популярность MortalKombat Ransomware Strain.

MortalKombat — это новый штамм ransomware, появившийся в январе 2023 года. Он базируется на семействе массовых программ-вымогателей Xorist, и был замечен в атаках на организации в США, Филиппинах, Великобритании и Турции.

Xorist, обнаруживаемый начиная с 2010 года, распространяется как сборщик программ-вымогателей, позволяющий злоумышленникам создавать и настраивать собственные версии вредоносных ПО.

Платформа включает в себя заметку о выкупе, наименование файла заметки, список целевых расширений, обои и расширение, которое будет использоваться для зашифрованных файлов. Расшифровщик для Xorist был предоставлен Emsisoft еще в мае 2016 года.

В свою очередь, MortalKombat использовался в недавних атаках, предпринятых неназванным финансово мотивированным злоумышленником в рамках фишинговой кампании, направленной на широкий круг организаций.

Как сообщали Cisco Talos ранее в этом месяце, MortalKombat шифрует различные файлы в файловой системе компьютера-жертвы, включая файлы системы, приложения, базы данных, резервных копий и файлов VM, а также файлы в удаленных местах, отображаемые как логические диски на компьютере-жертве.

Хотя программа-вымогатель не выполняет функции очистки и не удаляет теневые копии томов, она повреждает проводник Windows, отключает командное окно «Выполнить» и удаляет все приложения и папки из автозагрузки Windows.

Также известно, что ransomware повреждает удаленные файлы в папке «Корзина», изменяет имена и типы файлов и вносит изменения в реестр Windows для обеспечения устойчивости. Угрозы, стоящие за этой кампанией, и их операционная модель пока неизвестны.

Как и предшественник, MortalKombat распространяется через фишинговые электронные письма и нацелен на открытые экземпляры RDP. Вредоносное ПО внедряется через загрузчик BAT, который также доставляет вредоносное ПО Laplas Clipper.

MortalKombat — не единственный вариант Xorist, появившийся в мире угроз за последние несколько месяцев. В ноябре 2022 года Fortinet FortiGuard Labs представила еще одну версию, которая оставляет записку о выкупе на испанском языке.

Разработка также началась чуть более чем через месяц после того, как Avast опубликовал бесплатный дешифратор для программы-вымогателя BianLian, чтобы помочь жертвам вредоносного ПО восстанавливать заблокированные файлы без необходимости платить злоумышленникам.

1 млн рублей за уязвимость на Standoff 365 🔥

Standoff 365 — платформа для этичных хакеров, которая включает в себя программы багбаунти и полигон для киберучений.

Если вы хотели сделать больно Standoff, сейчас самое время. Платформа запустила собственную открытую программу багбаунти и готова выплачивать исследователям до 1 млн рублей за самые опасные уязвимости.

В скоуп входят все поддомены сайта платформы — standoff365.com.

👀 Искать уязвимости на платформе Standoff 365 ↓
bugbounty.standoff365.com/programs/standoff-365

͏Ряд авторитетных инфосек-компаний представили результаты ежегодной аналитики ландшафта угроз.

Останавливаться подробно на каждом смысла особого нет, обозначим лишь наиболее важные выводы.

CrowdStrike в ежегодном отчете Global Threat Report отметили следующие тренды по итогам наблюдений за 2022 год:

- количество рекламных объявлений IAB медленно увеличивалось каждый месяц в течение прошедшего года;
- время "прорыва" с момента компрометации хоста и последующего доступа к нему сократилось с 98 минут в 2021 году до 84 минут;
- количество вторжений, не связанных с вредоносными программами, выросло до 71% инцидентов по сравнению с 62% в 2021 году;
- число интерактивных вторжений увеличилось на 50%.

Tenable в своем ежегодном Tenable Threat Landscape Report (PDF) отметили:

- в 2022 году было зарегистрировано 25 112 уязвимостей, что на 14,4% больше, чем в 2021 году, и на 287% больше, чем в 2016 году;
- старые уязвимости по-прежнему поражают программную экосистему, причем набор ошибок 2017 года был одним из наиболее часто используемых;
- в 2022 году в результате утечек данных было раскрыто 2,29 миллиарда записей;
- 35% всех нарушений безопасности были связаны с атаками ransomware.

Rapid7 опубликовали результаты аналитики в рамках Annual Vulnerability Intelligence Report (report) сделали акцент на эксплуатации уязвимостей. Основные выводы:

- в 2022 году было использовано 28 новых уязвимостей, что на 15% меньше, чем в 2021 году;
- эксплуатация 0-day сократилась на 9% по сравнению с 2021 годом;
- 56% вновь эксплуатируемых уязвимостей были использованы в дикой природе в течение семи дней с момента их раскрытия;
- при этом лишь 14 уязвимостей использовались для проведения атак программ-вымогателей.

Proofpoint также опубликовала свой ежегодный State of the Phish Report, основные положения которого исследователи уложили в компактную инфографику, с которой можно ознакомиться 👇

Обнаружена масштабная хакерская кампания под названием SCARLETEEL, нацеленная на облачные сервисы для кражи конфиденциальных данных.

Эскалацию угроз обнаружили специалисты Sysdig в ходе реагирования на инцидент в облачной среде одного из своих клиентов.

Злоумышленники развернули криптомайнеры в скомпрометированных облачных средах и продемонстрировали глубокие познания в сфере облачной механики AWS, которые использовались для проникновения в облачную инфраструктуру компании.

Sysdig считает, что атака криптоджекинга всего лишь фикция на фоне реальных целей злоумышленников, направленных на кражу проприетарного ПО.

Специалисты считают, что активность SCARLETEEL началась после того, как хакеры стали использовать уязвимую общедоступную службу в самоуправляемом кластере Kubernetes, размещенном на AWS.

Как только злоумышленники получали доступ к контейнеру, они загружали майнер XMRig, который, как предполагается, служил приманкой, а параллельно запускался скрипт для извлечения учетных данных из модуля Kubernetes.

Далее, украденные учетные данные использовались для выполнения вызовов API AWS и кражи дополнительных учетных записей или создания бэкдор-пользователей и групп в облачной среде компании. Затем эти учетные записи использовались для дальнейшего распространения в облачной среде.

В зависимости от конфигурации кластера AWS злоумышленники могли получать доступ к анонимной информации Lambda – функции, конфигурации и ключей доступа.

Используя функции Lambda злоумышленник мог осуществлять перечисление и извлечение всего проприетарного кода и программного обеспечения вместе с его ключами выполнения и переменными среды Lambda-функций.

Как оказалось этот сценарий позволяет находить учетные данные IAM-пользователя (человек или приложение, которые могут взаимодействовать с ресурсами облачной платформы) и использовать их для последующих этапов перечисления и повышения привилегий.

На этом же этапе также происходит перечисление корзин Amazon S3 (Simple Storage Service, S3) в которых могут храниться файлы, содержащие ценные данные для киберпреступников, например, учетные сведения.

Как показала кампания SCARLETEEL, одной уязвимой точки в облачной среде организации может быть достаточно, чтобы хакеры могли использовать ее для проникновения в сеть и кражи конфиденциальных данных.

Как сообщают в своем отчете ресерчеры ESET, скрытый буткит Unified Extensible Firmware Interface (UEFI) под названием BlackLotus стал первым широко известным вредоносным ПО, способным обходить защиту Secure Boot в Windows 11.

Впервые BlackLotus был обнаружен и изучен исследователями Лаборатории Касперского в октябре 2022 года, которые охарактеризовали его как сложное криминальное ПО.

Буткиты UEFI развертываются в прошивке системы и обеспечивают полный контроль над процессом загрузки ОС, что позволяет отключать средства безопасности на уровне ОС и развертывать произвольные полезные нагрузки во время запуска с высокими привилегиями.

BlackLotus реализуется в даркнете по цене 5000 долларов США (и 200 долларов США за последующую версию), представляет собой мощный и стойкий инструментарий, который запрограммирован на ассемблере и C и имеет размер 80 килобайт. При этом функционал включает определение геозоны, избегая заражений в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.

BlackLotus использует уязвимость CVE-2022-21894 (она же Baton Drop), чтобы обойти защиту UEFI Secure Boot и обеспечить постоянство. Ошибка была исправлена Microsoft в рамках PatchTuesday в январе 2022 года.

Успешная эксплуатация уязвимости обеспечивает выполнение кода на ранних этапах загрузки, позволяя злоумышленнику совершать вредоносные действия в системе с включенной UEFI Secure Boot без физического доступа к ней, прокладывая тем самым путь для атак Bring Your Own Vulnerable Driver (BYOVD).

Теперь можно считать это первым публично известным фактическим злоупотреблением этой уязвимостью. Эксплуатация остается все еще возможной, поскольку затронутые, действительно подписанные, двоичные файлы все еще не добавлены в список отзыва UEFI.

Помимо отключения BitLocker и Защитника Windows, BlackLotus также спроектирован так, чтобы сбрасывать драйвер ядра и загрузчик HTTP, который взаимодействует с C2 для получения дополнительных вредоносных ПО пользовательского режима или режима ядра.

Точный способ развертывания буткита пока неизвестен, но он начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключение HVCI и BitLocker, а затем перезагрузку хоста.

За перезапуском следует использование CVE-2022-21894 для обеспечения устойчивости и установки буткита, после чего он автоматически выполняется при каждом запуске системы для развертывания драйвера ядра.

Драйвером реализует задачу запуска HTTP-загрузчика пользовательского режима и полезной нагрузки режима ядра следующего этапа, последний способен выполнять команды, полученные от сервера C2 по HTTPS, включая загрузку и выполнение драйвера ядра, библиотеки DLL или обычного исполняемого файла, а также получение обновлений буткита и даже его удаление буткита из зараженной системы.

За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. Однако из-за сложности экосистемы UEFI и связанных с ней проблем с цепочками поставок многие из них оставляют системы уязвимыми в течение длительного периода после исправления баг.

Так что, это просто вопрос времени, когда кто-то воспользуется этими обстоятельствами для создания буткита UEFI, способного работать в системах с включенной UEFI Secure Boot.

На этой неделе Cisco объявила об обновлениях программного обеспечения, устраняющих критическую уязвимость в веб-интерфейсе управления IP-телефонов серий 6800, 7800 и 8800.

Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.

Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.

Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.

Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).

В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.

Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.

Aruba Networks исправила шесть критических уязвимостей для своего протокола PAPI в рамках выпуска обновлений, закрывающего более 30 недостатков.

PAPI — это протокол управления точками доступа компании. Недостатки затрагивают Aruba Mobility Conductor, контроллеры Aruba Mobility Controller, а также шлюзы WLAN и SD-WAN, управляемые Aruba Central.

Четырем ошибкам, присвоены идентификаторы CVE, но еще не полностью раскрыты, так как касаются неавторизованных вводов команд в протокол.

В рекомендациях Aruba говорится, что CVE-2023-22747 - CVE-2023-22750 могут привести к удаленному выполнению кода без проверки подлинности.

Успешная эксплуатация даст злоумышленнику возможность выполнить код операционной системы от имени привилегированного пользователя.

В протоколе также есть две уязвимости переполнения буфера на основе стека, CVE-2023-22751 и CVE-2023-22752, которые также подвергают систему удаленному выполнению кода.

Все ошибки, о которых сообщил аналитик Эрик де Йонг через Bugcrowd, эксплуатируются путем отправки созданных пакетов цели через UDP-порт 8211.

PAPI также можно использовать в качестве вектора для эксплуатации пяти уязвимостей с высоким рейтингом в процессах ArubaOS: CVE-2023-22753 - CVE-2023-22757.

Ошибки переполнения буфера без проверки подлинности также позволяют злоумышленнику запускать команды операционной системы от имени привилегированного пользователя и могут быть реализованы через протокол PAPI.

Существует также уязвимость с высоким рейтингом, переполнение буфера чтения при обработке строк ASN.1 в операционной системе (CVE-2021-3712), но ее может атаковать только аутентифицированный пользователь.

Также есть несколько ошибок в веб-интерфейсе управления ArubaOS (CVE-2023-22758 - CVE-2023-22760 и CVE-2023-2276) и интерфейсе командной строки (CVE-2023-22762 - CVE-2023-22770), все из которых можно использовать только аутентифицированным пользователем.

Затронутые ветки программного обеспечения: ArubaOS 8.6.0.19 и ниже, 8.10.0.4 и ниже, 10.3.1.0 и ниже; вместе с SD-WAN 8.7.0.0-2.3.0.8 и ниже.

Недостатки устранили и Aruba заявляет, что ей ничего не известно о каких-либо публичных эксплойтах или активном использовании этих уязвимостей.

Однако пользователям рекомендуется обновиться как можно скорее, причем в ветке ArubaOS 8.6.x ошибки нельзя было исправить, поэтому этим пользователям придется реализовать обходные пути или выполнить обновление до ветки 8.10.x.

Новой версией вредоносной ПО SysUpdate для удаленного доступа под Linux вооружилась APT27, также известная как Bronze Union, Emissary Panda и Iron Tiger.

Фишку обнаружила Trend Micro, которая полагает что теперь китайская АРТ сможет атаковать в рамках операции кибершпионажа еще больший диапазон служб, используемых на целевых предприятиях.

Согласно последнему отчету, хакеры впервые протестировали версию Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали циркулировать в дикой природе.

Новый вариант вредоносного ПО написан на C++ с использованием библиотеки Asio, и его функциональность очень похожа на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак на системы за пределами Windows стала очевидной еще полгода назад, когда SEKOIA и Trend Micro отследили атаки APT27 на системы Linux и macOS с использованием нового бэкдора под названием «rshell».

В недавней кампании были развернуты боевые Windows и Linux-образцы в конкретных скомпрометированных системах. Одной из жертв была игорная компания на Филиппинах.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что злоумышленники использовали установщики, маскирующиеся под приложения для обмена сообщениями, такие как Youdu, в качестве приманки для активации последовательности атаки.

При этом ресерчеры наблюдали новый процесс загрузки SysUpdate, который теперь использует исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL с помощью rc.dll для загрузки шеллкода.

Шелл-код загружает в память первую стадию SysUpdate, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в жестко заданную папку и устанавливает постоянство с изменениями реестра или путем создания службы, в зависимости от разрешений процесса.

Второй этап запускался после следующей перезагрузки системы для распаковки и загрузки основной полезной нагрузки SysUpdate.

Что касается версии SysUpdate для Windows, в ней есть функции для управления процессами, создания снимков экрана, выполнения операций с файлами и выполнения произвольных команд. Он также может взаимодействовать с серверами C2 через DNS-запросы TXT (метод, известный как туннелирование DNS).

Trend Micro отмечает, что АРТ использовала исполняемый файл, подписанный Wazuh, на более поздних этапах загрузки неопубликованных приложений, чтобы внедриться в среду жертвы, поскольку целевая организация использовала реальную платформу Wazuh.

Образцы Linux ELF, написанные на C++, примечательны использованием библиотеки Asio для переноса функций обработки файлов, что указывает на то, что злоумышленник хочет добавить кроссплатформенную поддержку для вредоносного ПО.

Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка сохраняемости, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т. д.

Учитывая, что rshell уже может работать на Linux и macOS, Trend Micro полагает, что нельзя сбрасывать со счетов возможность того, что версия вредоносного ПО для macOS может появиться в дикой природе в скором будущем.

Microsoft выпустила внеплановые обновления для устранения уязвимостей раскрытия информации Memory Mapped I/O Stale Data (MMIO), затрагивающих процессоры Intel.

Недостатки были раскрыты Intel еще 14 июня 2022 года, которые определили в класс уязвимостей отслеживаемых как: CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166.

Тогда поставщик предупредил, что процессы, работающие на виртуальной машине, могут получить доступ к данным с другой виртуальной машины, что в свою очередь, может привести к раскрытию конфиденциальной информации через границы доверия.

В Microsoft также выпустили бюллетень ADV220002 с подробным описанием сценариев, на которые могут повлиять эти уязвимости.

В компании отметили, что в средах с общими ресурсами, например в облачных сервисах, злоумышленник может использовать уязвимости для доступа к данным с другой виртуальной машины.

В автономных системах злоумышленнику потребуется предварительный доступ или возможность запускать специально созданное приложение в целевой системе для эксплуатации недостатка.

Однако тогда не было выпущено никаких обновлений безопасности, а всего лишь предоставлены меры по смягчению последствий для Windows Server 2019 и Windows Server 2022.

Теперь Microsoft выпустила несколько загадочный набор обновлений безопасности для Windows 10, 11 и Windows Server, которые устраняют уязвимости. Причем, как "ручные обновления" они доступны в каталоге Центра обновлений Microsoft.

Перед применением обновлений настоятельно рекомендуется внимательно прочитать рекомендации как Intel, так и Microsoft, так как из бюллетеней поддержки до сих пор неясно, являются ли они новыми микрокодами Intel или другими мерами по смягчению.

Более того, устранение этих уязвимостей может вызвать проблемы с производительностью.

При этом недостатки могут быть не полностью устранены без отключения технологии Intel Hyper-Threading (Intel HT Technology) в некоторых сценариях.

Однозначных требований к исполнению от компаний так и не поступило, и чтоб понять, как лучше быть придется проштудировать тонну рекомендаций от обоих поставщиков.

Вновь обнаруженные проблемы в библиотеке TPM 2.0 представляют угрозу для миллиардов IoT и корпоративных устройств.

TPM - это аппаратное решение (криптопроцессор), предназначенное для обеспечения безопасных криптографических функций и механизмов физической безопасности.

Наиболее распространенные функции TPM используются для измерения целостности системы, а также для создания и использования ключей.

В спецификациях библиотеки Trusted Platform Module была раскрыта пара серьезных уязвимостей, которые потенциально могут привести к раскрытию информации или повышению привилегий.

Одна из них, CVE-2023-1017, связана с записью за пределами границ, а другая, CVE-2023-1018 - со чтением. О багах сообщили исследователи Quarkslab в ноябре 2022 года.

Уязвимости затрагивают приложения пользовательского режима и могут быть вызваны путем отправки вредоносных команд в TPM 2.0, микропрограмма которого основана на затронутой эталонной реализации TCG.

Как отмечаютенные проблемы вкрупные поставщики технологий, организации, использующие корпоративные компьютеры, серверы, устройства IoT и встроенные системы, которые включают TPM, могут быть уязвимы для недостатков, которые влияют на миллиарды устройств.

В процессе загрузки системы загружаемый загрузочный код (включая прошивку и компоненты операционной системы) может быть измерен и записан в TPM.

Консорциум TCG отметил, что недостатки являются результатом отсутствия необходимых проверок длины, что приводит к переполнению буфера, которое может проложить путь к раскрытию информации на местном уровне или повышению привилегий.

Пользователям высокодоверенных вычислительных сред рекомендуется применять обновления, выпущенные TCG, а также использовать TPM Remote Attestation для обнаружения любых изменений в устройствах.

Поставщикам же еще предстоит устранить недостатки для снижения рисков в цепочке поставок.

Китайские хакеры атакуют европейские организации с помощью нового бэкдора MQsTTang.

Проправительственная APT Mustang Panda, также известная как TA416 или Bronze President, представляет собой кибершпионскую группировку, которая осуществляет атаки для кражи данных по всему миру с использованием модифицированных вариантов вредоносного ПО PlugX.

Однако недавно замеченная вредоносная программа-бэкдор MQsTTang не похожа ни на одну ранее известную и позволяет предположить, что хакеры создали ее, дабы избежать обнаружения и скрыть свою причастность к атакам.

Кампанию с MQsTTang обнаружили исследователи ESET в начале января 2023 года, которая до сих пор остается активной.

Атаки в основном ориентированы на правительственные и политические организации в Европе и Азии, причем в первую очередь, на Тайвань и Украину.

Известно, что Mustang Panda и ранее была нацелена на европейские правительственные организации по меньшей мере с 2020 года, но, со слов специалистов, группировка еще больше усилила свою активность в Европе после начала СВО.

ESET характеризует MQsTTang как относительно «простой» бэкдор, который позволяет злоумышленникам удаленно выполнять команды на хосте жертвы.

Он представляет собой своего рода удаленную оболочку без каких-либо элементов, связанных с другими семействами вредоносных программ этой группы. По сути, это одноэтапный бэкдор без каких-либо методов обфускации.

При запуске малварь создает свою копию с аргументом командной строки, которая выполняет различные задачи, например запуск связи C2, создание постоянства и т.д.

Постоянство устанавливается путем добавлением нового ключа реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при старте системы. После перезапуска выполняется только задача связи с C2.

Особенностью этого бэкдора является использование протокола MQTT (протокол обмена сообщениями IoT) для связи с сервером управления и контроля. MQTT обеспечивает устойчивость вредоносных программ к удалению C2, скрывает инфраструктуру злоумышленника и снижает вероятность ее обнаружения.

Чтобы остаться незамеченным и избежать обнаружения, MQsTTang проверяет наличие средств отладки или средств мониторинга на центральном компьютере. Если вдруг такие инструменты будут обнаружены, малварь поменяет свое поведение.

В настоящее время нет однозначного мнения, был ли бэкдор MQsTTang разработан для проведения конкретной вредоносной кампании или он останется в арсенале Mustang Panda.

Тем не менее сам факт его наличия говорит об усилении возможностей и поиске новых тактик группировки для проведения новых злонамерных кампаний.

͏Лучшие инфосек-практики только на канале SecAtor.

Группа ученых из Оксфордского университета совместно с Armasuisse S+T и EWZ в своем исследовании раскрыли подробности новой атаки Brokenwire с использованием уязвимости в комбинированной системе зарядки электромобилей (CCS).

На данный момент CCS - одна из наиболее широко используемых технологий быстрой зарядки постоянным током для электромобилей (EV). Таким образом атака потенциально влияет на более чем 12 миллионов электромобилей. Помимо электромобилей, Brokenwire затрагивает электрокорабли, самолеты и большегрузные автомобили.

Атака прерывает необходимую управляющую связь между транспортным средством и зарядным устройством, что приводит к прерыванию сеансов зарядки и может быть проведена по беспроводной связи на расстоянии с использованием электромагнитных помех.

Кроме того, атака может быть организована с помощью готового радиооборудования и минимальных технических знаний. При бюджете мощности 1 Вт атака успешна с расстояния около 47 м. Используемое поведение CSMA/CA является обязательной частью стандартов HomePlug GreenPHY, DIN 70121 и ISO 15118, и все известные реализации демонстрируют это.

Brokenwire использует механизм множественного доступа с контролем и предотвращением конфликтов (CSMA/CA). В ходе атаки используется этот механизм доступа к каналу, чтобы заставить модемы PLC на обоих узлах бесконечно отключаться и прекращать связь.

Злоумышленник непрерывно передает распознаваемый сигнал, в данном случае HPGP преамбулу, убеждая любые прослушивающие узлы в том, что канал занят. Передача повторяется бесконечно, так что оба модема продолжают ждать и не могут передавать какие-либо данные. В этот момент весь процесс зарядки прерывается.

Как выяснили исследователи, зарядный кабель действует как непреднамеренная антенна, которая приводит к электромагнитному излучению, делая кабель восприимчивым к электромагнитным помехам.

В то время как ПЛК использует дифференциальную передачу сигналов по двум проводам, любая асимметрия в двух путях приводит к сохранению некоторого сигнала. Таким образом, передавая сигнал атаки по воздуху, злоумышленник может вызвать достаточную связь с зарядным кабелем жертвы EVSE, чтобы он правильно обнаружил введенные преамбулы.

Brokenwire не требует физического доступа и может прерывать зарядку сразу нескольких автомобилей на расстоянии нескольких метров, что делает атаку скрытной и масштабируемой.

Хотя это может создавать неудобства только для отдельных лиц, прерывание процесса зарядки критически важных транспортных средств, таких как электрические машины скорой помощи, может иметь опасные для последствия.

Пока домашние зарядные устройства использует зарядку переменным током и другой стандарт связи (IEC 61851) Brokenwire не повлияет на процесс зарядки, однако это может измениться в будущем, когда они получат поддержку ISO 15118.

Единственный способ пока предотвратить атаку — не заряжать быстродействующее зарядное устройство постоянного тока.

Выводы исследования ученые продемонстрировали на практике, показав на видео остановку зарядки после подачи вредоносного сигнала.

Китайский исследователь 4ra1n выпустил PoC для RCE-уязвимости CVE-2023-21839, затрагивающей сервера Oracle WebLogic и имеющей оценку CVSS 7,5.

Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.

Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.

Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.

Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.

Sonicwall выпустила обновления безопасности для исправления уязвимости CVE-2023-0656 с оценкой CVSS 7,5 в веб-панели управления SonicOS.

Бага была обнаружена Алексом Бирнбергом из SSD Labs.

Среди уязвимых платформ: TZ, NSa, NSsp, NSv, NSsp, NSv с версиями 7.0.1-5095, 7.0.1-5083 и 6.5.4.4-44v-21-1551 (и более ранние версии).

При этом ошибка затрагивает интерфейс «веб-управления», на SonicOS SSLVPN не влияет.

Уязвимость переполнения буфера на основе стека в SonicOS позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать DoS, что может привести к сбою брандмауэра.

SonicWall PSIRT не сообщает о какой-либо эксплуатации ошибки в дикой природе или публикации PoC.

Разработчик настоятельно рекомендует организациям, использующим затронутые брандмауэры SonicWall, применить исправления.

До тех пор, пока не будут применены, следует ограничить доступ к управлению SonicOS доверенными источниками, изменив существующие правила доступа к управлению SonicOS.

Рекомендации больше относятся для Gen6 NSv, поскольку SonicWall ожидает, что официальная версия прошивки с необходимыми исправлениями для продукта будет доступна в середине марта 2023 года.

͏Пока GranittHQ рассказывает про свои планы собрать базу данных всех известных жертв, зараженных шпионским ПО Candiru Predator, в Польше находят новых жертв скандального шпионского ПО Pegasus.

Reuters сообщило, что телефон мэра одного из городов в Польше был заражен национальными спецслужбами шпионским ПО Pegasus. Новостью о взломе поделилась газета Gazeta Wyborcza.

По данным издания, ПО использовалось для слежки за телефоном мэра города Сопота Яцека Карновского в 2018-2019 годах.

В то время он как раз работал над кампанией оппозиции по выборам в сенат.

И это не первый случай использования Pegasus в стране. В 2021 году Citizen Lab сообщала, что представители польской оппозиции были взломаны с помощью шпионского ПО NSO.

Правительство признало инцидент с оговоркой, что использовало шпионское ПО, но указало, что Pegasus никогда не использовался против политических оппонентов.

Если в Европе еще как-то пытаются расследовать нарушения прав и свобод, то в США этим даже не заморачиваются.

Согласно отчету Управления генерального инспектора Министерства внутренней безопасности показал, что Секретная служба (USSS) и Иммиграционная и таможенная служба (ICE) не получали постановлений суда на проведение операций в 2020 и 2021 годах, в которых применялись симуляторы вышек сотовой связи (также известные как stingrays) для перехвата мобильной связи.

При этом одно из отделений секретной службы несколько раз использовало stingrays от имени местного правоохранительного органа без получения ордера суда.

Как отметила ICE, ее сотрудники попросту не посчитали необходимым получение разрешения суда для некоторых своих мероприятий.

Кроме того, в отчете также установлено, что ни USSS, ни ICE не документировали операции, связанные с надзорным одобрением и процедурами удаления данных.

Всегда помни: большой брат следит за тобой.