Как сообщают в своем отчете ресерчеры ESET, скрытый буткит Unified Extensible Firmware Interface (UEFI) под названием BlackLotus стал первым широко известным вредоносным ПО, способным обходить защиту Secure Boot в Windows 11.

Впервые BlackLotus был обнаружен и изучен исследователями Лаборатории Касперского в октябре 2022 года, которые охарактеризовали его как сложное криминальное ПО.

Буткиты UEFI развертываются в прошивке системы и обеспечивают полный контроль над процессом загрузки ОС, что позволяет отключать средства безопасности на уровне ОС и развертывать произвольные полезные нагрузки во время запуска с высокими привилегиями.

BlackLotus реализуется в даркнете по цене 5000 долларов США (и 200 долларов США за последующую версию), представляет собой мощный и стойкий инструментарий, который запрограммирован на ассемблере и C и имеет размер 80 килобайт. При этом функционал включает определение геозоны, избегая заражений в Армении, Беларуси, Казахстане, Молдове, Румынии, России и Украине.

BlackLotus использует уязвимость CVE-2022-21894 (она же Baton Drop), чтобы обойти защиту UEFI Secure Boot и обеспечить постоянство. Ошибка была исправлена Microsoft в рамках PatchTuesday в январе 2022 года.

Успешная эксплуатация уязвимости обеспечивает выполнение кода на ранних этапах загрузки, позволяя злоумышленнику совершать вредоносные действия в системе с включенной UEFI Secure Boot без физического доступа к ней, прокладывая тем самым путь для атак Bring Your Own Vulnerable Driver (BYOVD).

Теперь можно считать это первым публично известным фактическим злоупотреблением этой уязвимостью. Эксплуатация остается все еще возможной, поскольку затронутые, действительно подписанные, двоичные файлы все еще не добавлены в список отзыва UEFI.

Помимо отключения BitLocker и Защитника Windows, BlackLotus также спроектирован так, чтобы сбрасывать драйвер ядра и загрузчик HTTP, который взаимодействует с C2 для получения дополнительных вредоносных ПО пользовательского режима или режима ядра.

Точный способ развертывания буткита пока неизвестен, но он начинается с компонента установщика, который отвечает за запись файлов в системный раздел EFI, отключение HVCI и BitLocker, а затем перезагрузку хоста.

За перезапуском следует использование CVE-2022-21894 для обеспечения устойчивости и установки буткита, после чего он автоматически выполняется при каждом запуске системы для развертывания драйвера ядра.

Драйвером реализует задачу запуска HTTP-загрузчика пользовательского режима и полезной нагрузки режима ядра следующего этапа, последний способен выполнять команды, полученные от сервера C2 по HTTPS, включая загрузку и выполнение драйвера ядра, библиотеки DLL или обычного исполняемого файла, а также получение обновлений буткита и даже его удаление буткита из зараженной системы.

За последние несколько лет было обнаружено множество критических уязвимостей, влияющих на безопасность систем UEFI. Однако из-за сложности экосистемы UEFI и связанных с ней проблем с цепочками поставок многие из них оставляют системы уязвимыми в течение длительного периода после исправления баг.

Так что, это просто вопрос времени, когда кто-то воспользуется этими обстоятельствами для создания буткита UEFI, способного работать в системах с включенной UEFI Secure Boot.

На этой неделе Cisco объявила об обновлениях программного обеспечения, устраняющих критическую уязвимость в веб-интерфейсе управления IP-телефонов серий 6800, 7800 и 8800.

Ошибка, отслеживаемая как CVE-2023-20078 (оценка CVSS 9,8) может быть использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Дефект безопасности, как поясняет Cisco в своем бюллетене, возникает из-за того, что вводимые пользователем данные недостаточно проверяются.

Потенциальный злоумышленник может воспользоваться этой багой, отправив сформированный запрос в веб-интерфейс управления, что в итоге позволит злоумышленнику выполнять произвольные команды в базовой операционной системе уязвимого устройства.

Уязвимые продукты включают IP-телефоны серий 6800, 7800 и 8800 с кроссплатформенной прошивкой. Недостаток устранен в выпуске прошивки версии 11.3.7SR1.

Обновление ПО также устраняет CVE-2023-20079 (оценка CVSS 7,5), еще одну проблему с недостаточной проверкой данных, введенных пользователем. Ошибка может быть использована для создания условия отказа в обслуживании (DoS).

В дополнение к вышеупомянутым устройствам уязвимость также затрагивает IP-телефон для конференц-связи Cisco 8831, в том числе с кроссплатформенной прошивкой, а также IP-телефоны серии 7900, которые достигли статуса окончания срока службы (EoL) и не будут получать патчи.

Со слов Cisco, ей неизвестно об использовании какой-либо из этих уязвимостей в злонамеренных атаках.

Aruba Networks исправила шесть критических уязвимостей для своего протокола PAPI в рамках выпуска обновлений, закрывающего более 30 недостатков.

PAPI — это протокол управления точками доступа компании. Недостатки затрагивают Aruba Mobility Conductor, контроллеры Aruba Mobility Controller, а также шлюзы WLAN и SD-WAN, управляемые Aruba Central.

Четырем ошибкам, присвоены идентификаторы CVE, но еще не полностью раскрыты, так как касаются неавторизованных вводов команд в протокол.

В рекомендациях Aruba говорится, что CVE-2023-22747 - CVE-2023-22750 могут привести к удаленному выполнению кода без проверки подлинности.

Успешная эксплуатация даст злоумышленнику возможность выполнить код операционной системы от имени привилегированного пользователя.

В протоколе также есть две уязвимости переполнения буфера на основе стека, CVE-2023-22751 и CVE-2023-22752, которые также подвергают систему удаленному выполнению кода.

Все ошибки, о которых сообщил аналитик Эрик де Йонг через Bugcrowd, эксплуатируются путем отправки созданных пакетов цели через UDP-порт 8211.

PAPI также можно использовать в качестве вектора для эксплуатации пяти уязвимостей с высоким рейтингом в процессах ArubaOS: CVE-2023-22753 - CVE-2023-22757.

Ошибки переполнения буфера без проверки подлинности также позволяют злоумышленнику запускать команды операционной системы от имени привилегированного пользователя и могут быть реализованы через протокол PAPI.

Существует также уязвимость с высоким рейтингом, переполнение буфера чтения при обработке строк ASN.1 в операционной системе (CVE-2021-3712), но ее может атаковать только аутентифицированный пользователь.

Также есть несколько ошибок в веб-интерфейсе управления ArubaOS (CVE-2023-22758 - CVE-2023-22760 и CVE-2023-2276) и интерфейсе командной строки (CVE-2023-22762 - CVE-2023-22770), все из которых можно использовать только аутентифицированным пользователем.

Затронутые ветки программного обеспечения: ArubaOS 8.6.0.19 и ниже, 8.10.0.4 и ниже, 10.3.1.0 и ниже; вместе с SD-WAN 8.7.0.0-2.3.0.8 и ниже.

Недостатки устранили и Aruba заявляет, что ей ничего не известно о каких-либо публичных эксплойтах или активном использовании этих уязвимостей.

Однако пользователям рекомендуется обновиться как можно скорее, причем в ветке ArubaOS 8.6.x ошибки нельзя было исправить, поэтому этим пользователям придется реализовать обходные пути или выполнить обновление до ветки 8.10.x.

Новой версией вредоносной ПО SysUpdate для удаленного доступа под Linux вооружилась APT27, также известная как Bronze Union, Emissary Panda и Iron Tiger.

Фишку обнаружила Trend Micro, которая полагает что теперь китайская АРТ сможет атаковать в рамках операции кибершпионажа еще больший диапазон служб, используемых на целевых предприятиях.

Согласно последнему отчету, хакеры впервые протестировали версию Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали циркулировать в дикой природе.

Новый вариант вредоносного ПО написан на C++ с использованием библиотеки Asio, и его функциональность очень похожа на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак на системы за пределами Windows стала очевидной еще полгода назад, когда SEKOIA и Trend Micro отследили атаки APT27 на системы Linux и macOS с использованием нового бэкдора под названием «rshell».

В недавней кампании были развернуты боевые Windows и Linux-образцы в конкретных скомпрометированных системах. Одной из жертв была игорная компания на Филиппинах.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что злоумышленники использовали установщики, маскирующиеся под приложения для обмена сообщениями, такие как Youdu, в качестве приманки для активации последовательности атаки.

При этом ресерчеры наблюдали новый процесс загрузки SysUpdate, который теперь использует исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL с помощью rc.dll для загрузки шеллкода.

Шелл-код загружает в память первую стадию SysUpdate, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в жестко заданную папку и устанавливает постоянство с изменениями реестра или путем создания службы, в зависимости от разрешений процесса.

Второй этап запускался после следующей перезагрузки системы для распаковки и загрузки основной полезной нагрузки SysUpdate.

Что касается версии SysUpdate для Windows, в ней есть функции для управления процессами, создания снимков экрана, выполнения операций с файлами и выполнения произвольных команд. Он также может взаимодействовать с серверами C2 через DNS-запросы TXT (метод, известный как туннелирование DNS).

Trend Micro отмечает, что АРТ использовала исполняемый файл, подписанный Wazuh, на более поздних этапах загрузки неопубликованных приложений, чтобы внедриться в среду жертвы, поскольку целевая организация использовала реальную платформу Wazuh.

Образцы Linux ELF, написанные на C++, примечательны использованием библиотеки Asio для переноса функций обработки файлов, что указывает на то, что злоумышленник хочет добавить кроссплатформенную поддержку для вредоносного ПО.

Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка сохраняемости, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т. д.

Учитывая, что rshell уже может работать на Linux и macOS, Trend Micro полагает, что нельзя сбрасывать со счетов возможность того, что версия вредоносного ПО для macOS может появиться в дикой природе в скором будущем.

Microsoft выпустила внеплановые обновления для устранения уязвимостей раскрытия информации Memory Mapped I/O Stale Data (MMIO), затрагивающих процессоры Intel.

Недостатки были раскрыты Intel еще 14 июня 2022 года, которые определили в класс уязвимостей отслеживаемых как: CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166.

Тогда поставщик предупредил, что процессы, работающие на виртуальной машине, могут получить доступ к данным с другой виртуальной машины, что в свою очередь, может привести к раскрытию конфиденциальной информации через границы доверия.

В Microsoft также выпустили бюллетень ADV220002 с подробным описанием сценариев, на которые могут повлиять эти уязвимости.

В компании отметили, что в средах с общими ресурсами, например в облачных сервисах, злоумышленник может использовать уязвимости для доступа к данным с другой виртуальной машины.

В автономных системах злоумышленнику потребуется предварительный доступ или возможность запускать специально созданное приложение в целевой системе для эксплуатации недостатка.

Однако тогда не было выпущено никаких обновлений безопасности, а всего лишь предоставлены меры по смягчению последствий для Windows Server 2019 и Windows Server 2022.

Теперь Microsoft выпустила несколько загадочный набор обновлений безопасности для Windows 10, 11 и Windows Server, которые устраняют уязвимости. Причем, как "ручные обновления" они доступны в каталоге Центра обновлений Microsoft.

Перед применением обновлений настоятельно рекомендуется внимательно прочитать рекомендации как Intel, так и Microsoft, так как из бюллетеней поддержки до сих пор неясно, являются ли они новыми микрокодами Intel или другими мерами по смягчению.

Более того, устранение этих уязвимостей может вызвать проблемы с производительностью.

При этом недостатки могут быть не полностью устранены без отключения технологии Intel Hyper-Threading (Intel HT Technology) в некоторых сценариях.

Однозначных требований к исполнению от компаний так и не поступило, и чтоб понять, как лучше быть придется проштудировать тонну рекомендаций от обоих поставщиков.

Вновь обнаруженные проблемы в библиотеке TPM 2.0 представляют угрозу для миллиардов IoT и корпоративных устройств.

TPM - это аппаратное решение (криптопроцессор), предназначенное для обеспечения безопасных криптографических функций и механизмов физической безопасности.

Наиболее распространенные функции TPM используются для измерения целостности системы, а также для создания и использования ключей.

В спецификациях библиотеки Trusted Platform Module была раскрыта пара серьезных уязвимостей, которые потенциально могут привести к раскрытию информации или повышению привилегий.

Одна из них, CVE-2023-1017, связана с записью за пределами границ, а другая, CVE-2023-1018 - со чтением. О багах сообщили исследователи Quarkslab в ноябре 2022 года.

Уязвимости затрагивают приложения пользовательского режима и могут быть вызваны путем отправки вредоносных команд в TPM 2.0, микропрограмма которого основана на затронутой эталонной реализации TCG.

Как отмечаютенные проблемы вкрупные поставщики технологий, организации, использующие корпоративные компьютеры, серверы, устройства IoT и встроенные системы, которые включают TPM, могут быть уязвимы для недостатков, которые влияют на миллиарды устройств.

В процессе загрузки системы загружаемый загрузочный код (включая прошивку и компоненты операционной системы) может быть измерен и записан в TPM.

Консорциум TCG отметил, что недостатки являются результатом отсутствия необходимых проверок длины, что приводит к переполнению буфера, которое может проложить путь к раскрытию информации на местном уровне или повышению привилегий.

Пользователям высокодоверенных вычислительных сред рекомендуется применять обновления, выпущенные TCG, а также использовать TPM Remote Attestation для обнаружения любых изменений в устройствах.

Поставщикам же еще предстоит устранить недостатки для снижения рисков в цепочке поставок.

Китайские хакеры атакуют европейские организации с помощью нового бэкдора MQsTTang.

Проправительственная APT Mustang Panda, также известная как TA416 или Bronze President, представляет собой кибершпионскую группировку, которая осуществляет атаки для кражи данных по всему миру с использованием модифицированных вариантов вредоносного ПО PlugX.

Однако недавно замеченная вредоносная программа-бэкдор MQsTTang не похожа ни на одну ранее известную и позволяет предположить, что хакеры создали ее, дабы избежать обнаружения и скрыть свою причастность к атакам.

Кампанию с MQsTTang обнаружили исследователи ESET в начале января 2023 года, которая до сих пор остается активной.

Атаки в основном ориентированы на правительственные и политические организации в Европе и Азии, причем в первую очередь, на Тайвань и Украину.

Известно, что Mustang Panda и ранее была нацелена на европейские правительственные организации по меньшей мере с 2020 года, но, со слов специалистов, группировка еще больше усилила свою активность в Европе после начала СВО.

ESET характеризует MQsTTang как относительно «простой» бэкдор, который позволяет злоумышленникам удаленно выполнять команды на хосте жертвы.

Он представляет собой своего рода удаленную оболочку без каких-либо элементов, связанных с другими семействами вредоносных программ этой группы. По сути, это одноэтапный бэкдор без каких-либо методов обфускации.

При запуске малварь создает свою копию с аргументом командной строки, которая выполняет различные задачи, например запуск связи C2, создание постоянства и т.д.

Постоянство устанавливается путем добавлением нового ключа реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при старте системы. После перезапуска выполняется только задача связи с C2.

Особенностью этого бэкдора является использование протокола MQTT (протокол обмена сообщениями IoT) для связи с сервером управления и контроля. MQTT обеспечивает устойчивость вредоносных программ к удалению C2, скрывает инфраструктуру злоумышленника и снижает вероятность ее обнаружения.

Чтобы остаться незамеченным и избежать обнаружения, MQsTTang проверяет наличие средств отладки или средств мониторинга на центральном компьютере. Если вдруг такие инструменты будут обнаружены, малварь поменяет свое поведение.

В настоящее время нет однозначного мнения, был ли бэкдор MQsTTang разработан для проведения конкретной вредоносной кампании или он останется в арсенале Mustang Panda.

Тем не менее сам факт его наличия говорит об усилении возможностей и поиске новых тактик группировки для проведения новых злонамерных кампаний.

͏Лучшие инфосек-практики только на канале SecAtor.

Группа ученых из Оксфордского университета совместно с Armasuisse S+T и EWZ в своем исследовании раскрыли подробности новой атаки Brokenwire с использованием уязвимости в комбинированной системе зарядки электромобилей (CCS).

На данный момент CCS - одна из наиболее широко используемых технологий быстрой зарядки постоянным током для электромобилей (EV). Таким образом атака потенциально влияет на более чем 12 миллионов электромобилей. Помимо электромобилей, Brokenwire затрагивает электрокорабли, самолеты и большегрузные автомобили.

Атака прерывает необходимую управляющую связь между транспортным средством и зарядным устройством, что приводит к прерыванию сеансов зарядки и может быть проведена по беспроводной связи на расстоянии с использованием электромагнитных помех.

Кроме того, атака может быть организована с помощью готового радиооборудования и минимальных технических знаний. При бюджете мощности 1 Вт атака успешна с расстояния около 47 м. Используемое поведение CSMA/CA является обязательной частью стандартов HomePlug GreenPHY, DIN 70121 и ISO 15118, и все известные реализации демонстрируют это.

Brokenwire использует механизм множественного доступа с контролем и предотвращением конфликтов (CSMA/CA). В ходе атаки используется этот механизм доступа к каналу, чтобы заставить модемы PLC на обоих узлах бесконечно отключаться и прекращать связь.

Злоумышленник непрерывно передает распознаваемый сигнал, в данном случае HPGP преамбулу, убеждая любые прослушивающие узлы в том, что канал занят. Передача повторяется бесконечно, так что оба модема продолжают ждать и не могут передавать какие-либо данные. В этот момент весь процесс зарядки прерывается.

Как выяснили исследователи, зарядный кабель действует как непреднамеренная антенна, которая приводит к электромагнитному излучению, делая кабель восприимчивым к электромагнитным помехам.

В то время как ПЛК использует дифференциальную передачу сигналов по двум проводам, любая асимметрия в двух путях приводит к сохранению некоторого сигнала. Таким образом, передавая сигнал атаки по воздуху, злоумышленник может вызвать достаточную связь с зарядным кабелем жертвы EVSE, чтобы он правильно обнаружил введенные преамбулы.

Brokenwire не требует физического доступа и может прерывать зарядку сразу нескольких автомобилей на расстоянии нескольких метров, что делает атаку скрытной и масштабируемой.

Хотя это может создавать неудобства только для отдельных лиц, прерывание процесса зарядки критически важных транспортных средств, таких как электрические машины скорой помощи, может иметь опасные для последствия.

Пока домашние зарядные устройства использует зарядку переменным током и другой стандарт связи (IEC 61851) Brokenwire не повлияет на процесс зарядки, однако это может измениться в будущем, когда они получат поддержку ISO 15118.

Единственный способ пока предотвратить атаку — не заряжать быстродействующее зарядное устройство постоянного тока.

Выводы исследования ученые продемонстрировали на практике, показав на видео остановку зарядки после подачи вредоносного сигнала.

Китайский исследователь 4ra1n выпустил PoC для RCE-уязвимости CVE-2023-21839, затрагивающей сервера Oracle WebLogic и имеющей оценку CVSS 7,5.

Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.

Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.

Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.

Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.

Sonicwall выпустила обновления безопасности для исправления уязвимости CVE-2023-0656 с оценкой CVSS 7,5 в веб-панели управления SonicOS.

Бага была обнаружена Алексом Бирнбергом из SSD Labs.

Среди уязвимых платформ: TZ, NSa, NSsp, NSv, NSsp, NSv с версиями 7.0.1-5095, 7.0.1-5083 и 6.5.4.4-44v-21-1551 (и более ранние версии).

При этом ошибка затрагивает интерфейс «веб-управления», на SonicOS SSLVPN не влияет.

Уязвимость переполнения буфера на основе стека в SonicOS позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать DoS, что может привести к сбою брандмауэра.

SonicWall PSIRT не сообщает о какой-либо эксплуатации ошибки в дикой природе или публикации PoC.

Разработчик настоятельно рекомендует организациям, использующим затронутые брандмауэры SonicWall, применить исправления.

До тех пор, пока не будут применены, следует ограничить доступ к управлению SonicOS доверенными источниками, изменив существующие правила доступа к управлению SonicOS.

Рекомендации больше относятся для Gen6 NSv, поскольку SonicWall ожидает, что официальная версия прошивки с необходимыми исправлениями для продукта будет доступна в середине марта 2023 года.

͏Пока GranittHQ рассказывает про свои планы собрать базу данных всех известных жертв, зараженных шпионским ПО Candiru Predator, в Польше находят новых жертв скандального шпионского ПО Pegasus.

Reuters сообщило, что телефон мэра одного из городов в Польше был заражен национальными спецслужбами шпионским ПО Pegasus. Новостью о взломе поделилась газета Gazeta Wyborcza.

По данным издания, ПО использовалось для слежки за телефоном мэра города Сопота Яцека Карновского в 2018-2019 годах.

В то время он как раз работал над кампанией оппозиции по выборам в сенат.

И это не первый случай использования Pegasus в стране. В 2021 году Citizen Lab сообщала, что представители польской оппозиции были взломаны с помощью шпионского ПО NSO.

Правительство признало инцидент с оговоркой, что использовало шпионское ПО, но указало, что Pegasus никогда не использовался против политических оппонентов.

Если в Европе еще как-то пытаются расследовать нарушения прав и свобод, то в США этим даже не заморачиваются.

Согласно отчету Управления генерального инспектора Министерства внутренней безопасности показал, что Секретная служба (USSS) и Иммиграционная и таможенная служба (ICE) не получали постановлений суда на проведение операций в 2020 и 2021 годах, в которых применялись симуляторы вышек сотовой связи (также известные как stingrays) для перехвата мобильной связи.

При этом одно из отделений секретной службы несколько раз использовало stingrays от имени местного правоохранительного органа без получения ордера суда.

Как отметила ICE, ее сотрудники попросту не посчитали необходимым получение разрешения суда для некоторых своих мероприятий.

Кроме того, в отчете также установлено, что ни USSS, ни ICE не документировали операции, связанные с надзорным одобрением и процедурами удаления данных.

Всегда помни: большой брат следит за тобой.

Исправлено четыре уязвимости в программируемых логических контроллерах (ПЛК) немецкого поставщика решений для промышленной автоматизации Wago, причем некоторые их них можно использовать для получения полного контроля над целевым устройством.

Недостатки в ПЛК обнаружил специалист Технологического института Джорджии Райан Пикрен в рамках работы над своей докторской диссертацией по безопасности промышленных систем управления ICS.

Специалист действительно хорош и ранее уже получал приличный профит от Apple за уязвимости в камере и эксплойт, который можно было использовать для взлома онлайн-аккаунтов и веб-камер пользователя.

В ходе анализа ПЛК Wago исследователь обнаружил несколько уязвимостей в веб-интерфейсе управления для администрирования, ввода в эксплуатацию и обновления устройств. CERT@VDE опубликовала бюллетень с описанием уязвимостей, информацией о затронутых продуктах и версиях.

Двум недостаткам был присвоен критический рейтинг серьезности, первый из которых связан с проблемой отсутствия аутентификации, отслеживается как CVE-2022-45138 и может быть использован злоумышленником, не прошедшим проверку подлинности, для чтения и установки некоторых параметров устройства, что может привести к полной компрометации контроллера.

Вторая критическая уязвимость, CVE-2022-45140, позволяет злоумышленнику, не прошедшему проверку подлинности, записывать произвольные данные с привилегиями root, что может привести к выполнению произвольного кода и полной компрометации системы.

Другие две уязвимости средней степени опасности могут быть использованы для XSS-атак и раскрытия информации с ограниченным воздействием.

Причем эти ошибки могут быть объединены в цепочку и использоваться двумя различными способами:
- когда есть прямой доступ к сети (т. е. злоумышленник находится внутри ICS или атакует устройство, подключенное к Интернету);
- через веб-запросы из разных источников (т. е. злоумышленник приманивает кто-то в ICS для просмотра своего вредоносного веб-сайта).

Исследователь объяснил, что ни один из сценариев не требует какого-либо взаимодействия с пользователем (помимо простого посещения сайта) или разрешений.

Цепочка полностью не аутентифицирована и в реальной атаке злоумышленник может использовать эти уязвимости для злонамеренного управления механизмами, фальсификации показаний датчиков и отключения всех средств контроля безопасности.

Лаборатория Касперского презентовала отчёт с результатами анализа ландшафта угроз для систем промышленной автоматизации за второе полугодие 2022 года.

Если в целом, то во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39,2 % при общемировом 34,3%).

При этом темпы роста показателя по сравнению с прошлым периодом имели наиболее значительное изменение среди исследуемых регионов (увеличение на 9 п.п).

Ресерчеры Kaspersky ICS CERT связывают такую динамику преимущественно с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 п.п. по сравнению с первым полугодием.

К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%) - этот показатель за период также резко вырос - на 11 п.п.

Всплеск обусловлен массовым заражением сайтов (в том числе промышленных организаций), использующих Bitrix CMS. Атакующие использовали бреши в системе, чтобы перенаправлять браузер на вредоносные веб-ресурсы и фишинговые страницы.

Как правило, компьютеры АСУ, с которых в интернет можно попасть на произвольные сайты, — это автоматизированные рабочие места операторов и инженеров.

По наблюдениям Лаборатории, самый заметный рост среди исследуемых отраслей по доле компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, наблюдается в энергетике - на 11,5 п.п.

В сфере инжиниринга и интеграции АСУ этот показатель вырос на 10 п.п., в автомобилестроении — на 8 п.п., в системах автоматизации зданий - на 4 п.п. При этом сектор автомобилестроения - лидер по доле атакованных компьютеров среди всех исследуемых отраслей (43%).

Дело в том, что повсеместная цифровизация на многих современных предприятиях, с одной стороны позволяет повысить эффективность производства, с другой - увеличивает потенциальное количество точек входа в периметр инфраструктуры.

Интернет выступил в роли основного источника угроз: атаки часто начинаются с попыток проникновения через устройства, получившие доступ к заражённым или вредоносным интернет-ресурсам.

Наглядно представленные в отчете тренды четко указывают, что особую значимость приобретают комплексные системы защиты предприятий, способные обеспечить безопасность как OT-сегмента, так и ИТ-инфраструктуры.

К числу таких относится разработанная ЛК экосистема Kaspersky OT CyberSecurity.

Настоятельно рекомендуем ознакомиться с полной версией отчета команды Kaspersky ICS CERT.

͏На известном хакерском форуме продаются конфиденциальные данные Acer.

Acer со штаб-квартирой на Тайване входит в число крупнейших в мире компаний по производству оборудования и электроники со штатом в более 7800 человек и выручкой в 10 миллиардов тайваньских долларов.

Злоумышленники утверждают, что утечка объемом 160 ГБ включает несколько сотен каталогов с почти 3000 файлами.

Среди них корпоративная документация Acer в отношении решений и разработок, руководства для персонала по техническим вопросам, двоичные файлы, данные по серверной инфраструктуре, сменные цифровые ключи продуктов RDPK и другие чувствительные сведения.

Селлер утверждает, что утечка датируется февралем 2023 года. Можно, конечно, было предположить, что утечка связана с инцидентом 2021 года, когда Acer атаковали REvil, выкатив требования выкупа в размере 50 миллионов долларов.

Однако образцы данных содержат файлы, датированные 2022 годом, что потенциально указывает на ранее неизвестное нарушение. Конечно, нельзя исключать того, что злоумышленник мог «освежить» данные новыми датами и выдать за новую утечку.

Представители Acer от комментариев отказываются. А мы - ообязательно будем следить за развитием ситуации.

Всего через девять месяцев после обнаружения ZuoRAT, нацеленной на маршрутизаторы SOHO, исследователи Lumen Black Lotus Labs выявили другую ранее не известную шпионскую кампанию с использованием Hiatus.

Не встречавшееся ранее сложное вредоносное ПО HiatusRAT нацелено на маршрутизаторы бизнес-класса в рамках широкомасштабной шпионской кампании в Латинской Америке, Европе и Северной Америке, начавшейся с июля 2022 года.

Злоумышленник развертывает два вредоносных двоичных файла HiatusRAT и вариант tcpdump, который позволяет перехватывать пакеты на целевом устройстве.

После того как целевая система заражена, HiatusRAT обеспечивает злоумышленнику удаленное взаимодействие с системой, используя встроенную функциональность для преобразования зараженной машины в скрытый прокси.

Двоичный файл захвата пакетов позволяет субъекту отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов.

Кластер угроз, в первую очередь, выделяет модели маршрутизаторов DrayTek Vigor с истекшим сроком службы (EoL) 2960 и 3900. К настоящему времени было скомпрометировано около 100 из них, подключенных к Интернету.

Некоторые из целевых организаций относятся к фармацевтике, ИТ-услуга, консалтингу и муниципальным органам власти, среди прочих.

Интересно, что это лишь небольшая часть из 4100 маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом доступе, что указывает на попытку злоумышленника минимализировать свою вредоносную активность, обеспечивая скрытность своей кампании.

Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN-соединений, есть основания паорлагать, что основной целью кампании является шпионаж, помимо также - создание скрытых прокси-сетей.

Уязвимые устройства обычно находятся за пределами традиционного периметра безопасности, в связи с чем они редко отслеживаются и обновляются. Именно это помогает актеру установить и поддерживать долгосрочное постоянство без обнаружения.

Точный начальный вектор доступа, использованный в атаках, неизвестен, но за успешным нарушением следует развертывание скрипта bash, который загружает и выполняет HiatusRAT и двоичный файл для захвата пакетов.

HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах и связываться с удаленным сервером для получения файлов или выполнения произвольных команд. Он также может проксировать трафик C2 через маршрутизатор.

По словам исследователей, использование скомпрометированных маршрутизаторов в качестве прокси-инфраструктуры, вероятно, является попыткой запутать операции C2.

Hiatus подтверждает, что злоумышленники не оставляют попыток эксплуатации маршрутизаторов, что демонстрирует необходимость защиты экосистемы маршрутизаторов.

Их следует регулярно контролировать, перезагружать и обновлять, а устройства с истекшим сроком службы следует своевременно заменять.

Metabase Q сообщает о новом штамме вредоносных программ FiXS, нацеленных на банкоматы в Латинской Америке.

За последние несколько лет атаки на стали более изощренными, серьезными и частыми, что привело к серьезным последствиям как для финансовых учреждений.

Согласно последним сообщениям, Мексика ежегодно несет миллиардные убытки из-за атак на банкоматы, занимая второе место после Бразилии.

Новая угроза, получившая название FiXS, в настоящее время нацелена на банки в Мексике, но оказалась независимой от поставщика и работает на любом банкомате, поддерживающем CEN XFS (eXtensions for Financial Services).

Как и известное вредоносное ПО Ploutus, FiXS требует использования внешней клавиатуры, что позволяет предположить, что киберпреступники внедряют его через физический доступ к банкоматам.

Согласно Metabase Q, FiXS скрывается внутри, казалось бы, безобидной программы, дает указание зараженной машине выдать деньги через 30 минут после последней перезагрузки и ожидает загрузки кассет перед выдачей.

Вредонос внедряется в дроппер, который декодирует вредоносное ПО с помощью инструкции XOR и сохраняет его во временной директории системы.

Затем FiXS запускается через ShellExecute Windows API.

Сам дроппер известен как Neshta (conhost.exe), вирус-заражатель файлов, написанный на Delphi и впервые обнаруженный в 2003 году.

Реализованное с помощью CEN XFS API, вредоносное ПО может работать на любом банкомате на базе Windows с небольшими модификациями.

FiXS работает в бесконечном цикле, чтобы определять правильный ввод с клавиатуры для отображения окна, отображения информации о кассе, закрытия сеанса и завершения процесса или выдачи денег.

В отличие от Ploutus или другого сложного вредоносного ПО для банкоматов, угроза не имеет богатого интерфейса и может отображать только количество купюр в каждой кассете и в корзине.

Поскольку вредоносное ПО дает указание банкомату выдать деньги через 30 минут после последней перезагрузки, Metabase Q полагает, что наличные деньги извлекаются дропами вскоре после его установки.

Как полагают ресерчеры Metabase Q, для банков и финучреждений крайне важно прогнозировать потенциальные компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на эти типы угроз.

А сам FiXS становится последним в длинном списке вредоносных программ, таких как Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer и ATMii, нацеленных на банкоматы для кражи денег.

Миллионы пользователей Microsoft Office под угрозой ибо мамкины хацкеры и не только вооружились новым PoC для недавно исправленной уязвимости безопасности CVE-2023-21716.

Уязвимость с оценкой CVSS 9,8 позволяет удаленно выполнить произвольный код в системе жертвы с его правами.

Это означает, что злоумышленник может получить полный контроль над компьютером, используя этот баг.

Учитывая, что недостаток существует в wwlib.dll пакета Microsoft Office, то уязвимы все версии.

Технический анализ ошибки CVE-2023-21716 и PoC-эксплойт позволяет реализовать вектор атаки когда злоумышленник, не прошедший проверку подлинности, отправляет вредоносное электронное письмо, содержащее полезную нагрузку RTF.

Если жертва откроет вредоносный файл, злоумышленник получит доступ для выполнения команд в приложении, используемом для открытия файла.

Это может привести к установке другой малвари, краже конфиденциальных данных или другим злонамерным действиям.

Эта уязвимость была обнаружена, проанализирована и описана Джошуа Дж. Дрейком.

Исследователь объясняет, что синтаксический анализатор RTF в Microsoft Word имеет уязвимость, которая срабатывает «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».

Дрейк говорит, что после повреждения памяти происходит дополнительная обработка, и субъект угрозы может использовать ошибку для выполнения произвольного кода.

На данный момент нет никаких признаков того, что уязвимость эксплуатируется на практике, и текущая оценка Microsoft такова, что использование этой проблемы «менее вероятно».

Специалист добавил, что в Microsoft Office 2010 и более поздних версиях используется защищенный просмотр для ограничения возможного ущерба, причиняемого вредоносными документами, полученными из ненадежных источников.

Защищенный просмотр срабатывает, когда проявляется эта уязвимость и поэтому для получения полных привилегий потребуется дополнительная уязвимость выхода из песочницы.

Не для кого не секрет, что критические уязвимости, подобные этой, привлекают внимание злоумышленников, а более продвинутые из них пытаются перепроектировать исправление, чтобы найти способ использовать его.

Как правило, когда код эксплойта становится доступным, более широкий круг злоумышленников начинает использовать недостаток, поскольку для модификации PoC требуется меньше усилий, чем для создания эксплойта с нуля

Для защиты от этой уязвимости пользователям рекомендуется как можно скорее обновить Microsoft Office до последней версии.

Кроме того, пользователи должны проявлять осторожность при открытии электронных писем из неизвестных или подозрительных источников.

Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с 8 марта!!!

Вы по-настоящему особенные! Прекрасные и умные одновременно!

Желаем нас радовать, инциденты расследовать, уютную рабочую атмосферу создавать!

Ура, товарищи!