Новой версией вредоносной ПО SysUpdate для удаленного доступа под Linux вооружилась APT27, также известная как Bronze Union, Emissary Panda и Iron Tiger.

Фишку обнаружила Trend Micro, которая полагает что теперь китайская АРТ сможет атаковать в рамках операции кибершпионажа еще больший диапазон служб, используемых на целевых предприятиях.

Согласно последнему отчету, хакеры впервые протестировали версию Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали циркулировать в дикой природе.

Новый вариант вредоносного ПО написан на C++ с использованием библиотеки Asio, и его функциональность очень похожа на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак на системы за пределами Windows стала очевидной еще полгода назад, когда SEKOIA и Trend Micro отследили атаки APT27 на системы Linux и macOS с использованием нового бэкдора под названием «rshell».

В недавней кампании были развернуты боевые Windows и Linux-образцы в конкретных скомпрометированных системах. Одной из жертв была игорная компания на Филиппинах.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что злоумышленники использовали установщики, маскирующиеся под приложения для обмена сообщениями, такие как Youdu, в качестве приманки для активации последовательности атаки.

При этом ресерчеры наблюдали новый процесс загрузки SysUpdate, который теперь использует исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL с помощью rc.dll для загрузки шеллкода.

Шелл-код загружает в память первую стадию SysUpdate, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в жестко заданную папку и устанавливает постоянство с изменениями реестра или путем создания службы, в зависимости от разрешений процесса.

Второй этап запускался после следующей перезагрузки системы для распаковки и загрузки основной полезной нагрузки SysUpdate.

Что касается версии SysUpdate для Windows, в ней есть функции для управления процессами, создания снимков экрана, выполнения операций с файлами и выполнения произвольных команд. Он также может взаимодействовать с серверами C2 через DNS-запросы TXT (метод, известный как туннелирование DNS).

Trend Micro отмечает, что АРТ использовала исполняемый файл, подписанный Wazuh, на более поздних этапах загрузки неопубликованных приложений, чтобы внедриться в среду жертвы, поскольку целевая организация использовала реальную платформу Wazuh.

Образцы Linux ELF, написанные на C++, примечательны использованием библиотеки Asio для переноса функций обработки файлов, что указывает на то, что злоумышленник хочет добавить кроссплатформенную поддержку для вредоносного ПО.

Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка сохраняемости, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т. д.

Учитывая, что rshell уже может работать на Linux и macOS, Trend Micro полагает, что нельзя сбрасывать со счетов возможность того, что версия вредоносного ПО для macOS может появиться в дикой природе в скором будущем.

Microsoft выпустила внеплановые обновления для устранения уязвимостей раскрытия информации Memory Mapped I/O Stale Data (MMIO), затрагивающих процессоры Intel.

Недостатки были раскрыты Intel еще 14 июня 2022 года, которые определили в класс уязвимостей отслеживаемых как: CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 и CVE-2022-21166.

Тогда поставщик предупредил, что процессы, работающие на виртуальной машине, могут получить доступ к данным с другой виртуальной машины, что в свою очередь, может привести к раскрытию конфиденциальной информации через границы доверия.

В Microsoft также выпустили бюллетень ADV220002 с подробным описанием сценариев, на которые могут повлиять эти уязвимости.

В компании отметили, что в средах с общими ресурсами, например в облачных сервисах, злоумышленник может использовать уязвимости для доступа к данным с другой виртуальной машины.

В автономных системах злоумышленнику потребуется предварительный доступ или возможность запускать специально созданное приложение в целевой системе для эксплуатации недостатка.

Однако тогда не было выпущено никаких обновлений безопасности, а всего лишь предоставлены меры по смягчению последствий для Windows Server 2019 и Windows Server 2022.

Теперь Microsoft выпустила несколько загадочный набор обновлений безопасности для Windows 10, 11 и Windows Server, которые устраняют уязвимости. Причем, как "ручные обновления" они доступны в каталоге Центра обновлений Microsoft.

Перед применением обновлений настоятельно рекомендуется внимательно прочитать рекомендации как Intel, так и Microsoft, так как из бюллетеней поддержки до сих пор неясно, являются ли они новыми микрокодами Intel или другими мерами по смягчению.

Более того, устранение этих уязвимостей может вызвать проблемы с производительностью.

При этом недостатки могут быть не полностью устранены без отключения технологии Intel Hyper-Threading (Intel HT Technology) в некоторых сценариях.

Однозначных требований к исполнению от компаний так и не поступило, и чтоб понять, как лучше быть придется проштудировать тонну рекомендаций от обоих поставщиков.

Вновь обнаруженные проблемы в библиотеке TPM 2.0 представляют угрозу для миллиардов IoT и корпоративных устройств.

TPM - это аппаратное решение (криптопроцессор), предназначенное для обеспечения безопасных криптографических функций и механизмов физической безопасности.

Наиболее распространенные функции TPM используются для измерения целостности системы, а также для создания и использования ключей.

В спецификациях библиотеки Trusted Platform Module была раскрыта пара серьезных уязвимостей, которые потенциально могут привести к раскрытию информации или повышению привилегий.

Одна из них, CVE-2023-1017, связана с записью за пределами границ, а другая, CVE-2023-1018 - со чтением. О багах сообщили исследователи Quarkslab в ноябре 2022 года.

Уязвимости затрагивают приложения пользовательского режима и могут быть вызваны путем отправки вредоносных команд в TPM 2.0, микропрограмма которого основана на затронутой эталонной реализации TCG.

Как отмечаютенные проблемы вкрупные поставщики технологий, организации, использующие корпоративные компьютеры, серверы, устройства IoT и встроенные системы, которые включают TPM, могут быть уязвимы для недостатков, которые влияют на миллиарды устройств.

В процессе загрузки системы загружаемый загрузочный код (включая прошивку и компоненты операционной системы) может быть измерен и записан в TPM.

Консорциум TCG отметил, что недостатки являются результатом отсутствия необходимых проверок длины, что приводит к переполнению буфера, которое может проложить путь к раскрытию информации на местном уровне или повышению привилегий.

Пользователям высокодоверенных вычислительных сред рекомендуется применять обновления, выпущенные TCG, а также использовать TPM Remote Attestation для обнаружения любых изменений в устройствах.

Поставщикам же еще предстоит устранить недостатки для снижения рисков в цепочке поставок.

Китайские хакеры атакуют европейские организации с помощью нового бэкдора MQsTTang.

Проправительственная APT Mustang Panda, также известная как TA416 или Bronze President, представляет собой кибершпионскую группировку, которая осуществляет атаки для кражи данных по всему миру с использованием модифицированных вариантов вредоносного ПО PlugX.

Однако недавно замеченная вредоносная программа-бэкдор MQsTTang не похожа ни на одну ранее известную и позволяет предположить, что хакеры создали ее, дабы избежать обнаружения и скрыть свою причастность к атакам.

Кампанию с MQsTTang обнаружили исследователи ESET в начале января 2023 года, которая до сих пор остается активной.

Атаки в основном ориентированы на правительственные и политические организации в Европе и Азии, причем в первую очередь, на Тайвань и Украину.

Известно, что Mustang Panda и ранее была нацелена на европейские правительственные организации по меньшей мере с 2020 года, но, со слов специалистов, группировка еще больше усилила свою активность в Европе после начала СВО.

ESET характеризует MQsTTang как относительно «простой» бэкдор, который позволяет злоумышленникам удаленно выполнять команды на хосте жертвы.

Он представляет собой своего рода удаленную оболочку без каких-либо элементов, связанных с другими семействами вредоносных программ этой группы. По сути, это одноэтапный бэкдор без каких-либо методов обфускации.

При запуске малварь создает свою копию с аргументом командной строки, которая выполняет различные задачи, например запуск связи C2, создание постоянства и т.д.

Постоянство устанавливается путем добавлением нового ключа реестра в «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», который запускает вредоносное ПО при старте системы. После перезапуска выполняется только задача связи с C2.

Особенностью этого бэкдора является использование протокола MQTT (протокол обмена сообщениями IoT) для связи с сервером управления и контроля. MQTT обеспечивает устойчивость вредоносных программ к удалению C2, скрывает инфраструктуру злоумышленника и снижает вероятность ее обнаружения.

Чтобы остаться незамеченным и избежать обнаружения, MQsTTang проверяет наличие средств отладки или средств мониторинга на центральном компьютере. Если вдруг такие инструменты будут обнаружены, малварь поменяет свое поведение.

В настоящее время нет однозначного мнения, был ли бэкдор MQsTTang разработан для проведения конкретной вредоносной кампании или он останется в арсенале Mustang Panda.

Тем не менее сам факт его наличия говорит об усилении возможностей и поиске новых тактик группировки для проведения новых злонамерных кампаний.

͏Лучшие инфосек-практики только на канале SecAtor.

Группа ученых из Оксфордского университета совместно с Armasuisse S+T и EWZ в своем исследовании раскрыли подробности новой атаки Brokenwire с использованием уязвимости в комбинированной системе зарядки электромобилей (CCS).

На данный момент CCS - одна из наиболее широко используемых технологий быстрой зарядки постоянным током для электромобилей (EV). Таким образом атака потенциально влияет на более чем 12 миллионов электромобилей. Помимо электромобилей, Brokenwire затрагивает электрокорабли, самолеты и большегрузные автомобили.

Атака прерывает необходимую управляющую связь между транспортным средством и зарядным устройством, что приводит к прерыванию сеансов зарядки и может быть проведена по беспроводной связи на расстоянии с использованием электромагнитных помех.

Кроме того, атака может быть организована с помощью готового радиооборудования и минимальных технических знаний. При бюджете мощности 1 Вт атака успешна с расстояния около 47 м. Используемое поведение CSMA/CA является обязательной частью стандартов HomePlug GreenPHY, DIN 70121 и ISO 15118, и все известные реализации демонстрируют это.

Brokenwire использует механизм множественного доступа с контролем и предотвращением конфликтов (CSMA/CA). В ходе атаки используется этот механизм доступа к каналу, чтобы заставить модемы PLC на обоих узлах бесконечно отключаться и прекращать связь.

Злоумышленник непрерывно передает распознаваемый сигнал, в данном случае HPGP преамбулу, убеждая любые прослушивающие узлы в том, что канал занят. Передача повторяется бесконечно, так что оба модема продолжают ждать и не могут передавать какие-либо данные. В этот момент весь процесс зарядки прерывается.

Как выяснили исследователи, зарядный кабель действует как непреднамеренная антенна, которая приводит к электромагнитному излучению, делая кабель восприимчивым к электромагнитным помехам.

В то время как ПЛК использует дифференциальную передачу сигналов по двум проводам, любая асимметрия в двух путях приводит к сохранению некоторого сигнала. Таким образом, передавая сигнал атаки по воздуху, злоумышленник может вызвать достаточную связь с зарядным кабелем жертвы EVSE, чтобы он правильно обнаружил введенные преамбулы.

Brokenwire не требует физического доступа и может прерывать зарядку сразу нескольких автомобилей на расстоянии нескольких метров, что делает атаку скрытной и масштабируемой.

Хотя это может создавать неудобства только для отдельных лиц, прерывание процесса зарядки критически важных транспортных средств, таких как электрические машины скорой помощи, может иметь опасные для последствия.

Пока домашние зарядные устройства использует зарядку переменным током и другой стандарт связи (IEC 61851) Brokenwire не повлияет на процесс зарядки, однако это может измениться в будущем, когда они получат поддержку ISO 15118.

Единственный способ пока предотвратить атаку — не заряжать быстродействующее зарядное устройство постоянного тока.

Выводы исследования ученые продемонстрировали на практике, показав на видео остановку зарядки после подачи вредоносного сигнала.

Китайский исследователь 4ra1n выпустил PoC для RCE-уязвимости CVE-2023-21839, затрагивающей сервера Oracle WebLogic и имеющей оценку CVSS 7,5.

Уязвимость в продукте Oracle WebLogic Server для Oracle Fusion Middleware кроется в компоненте ядра и влияет на версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0.

Легко эксплуатируемая уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP, скомпрометировать Oracle WebLogic Server.

Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Oracle WebLogic Server.

Ошибка была исправлена Oracle 24 января этого года. Тем не менее, пользователям следует озаботиться соответствующими обновлениями для купирования потенциальных рисков эксплуатации.

Sonicwall выпустила обновления безопасности для исправления уязвимости CVE-2023-0656 с оценкой CVSS 7,5 в веб-панели управления SonicOS.

Бага была обнаружена Алексом Бирнбергом из SSD Labs.

Среди уязвимых платформ: TZ, NSa, NSsp, NSv, NSsp, NSv с версиями 7.0.1-5095, 7.0.1-5083 и 6.5.4.4-44v-21-1551 (и более ранние версии).

При этом ошибка затрагивает интерфейс «веб-управления», на SonicOS SSLVPN не влияет.

Уязвимость переполнения буфера на основе стека в SonicOS позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать DoS, что может привести к сбою брандмауэра.

SonicWall PSIRT не сообщает о какой-либо эксплуатации ошибки в дикой природе или публикации PoC.

Разработчик настоятельно рекомендует организациям, использующим затронутые брандмауэры SonicWall, применить исправления.

До тех пор, пока не будут применены, следует ограничить доступ к управлению SonicOS доверенными источниками, изменив существующие правила доступа к управлению SonicOS.

Рекомендации больше относятся для Gen6 NSv, поскольку SonicWall ожидает, что официальная версия прошивки с необходимыми исправлениями для продукта будет доступна в середине марта 2023 года.

͏Пока GranittHQ рассказывает про свои планы собрать базу данных всех известных жертв, зараженных шпионским ПО Candiru Predator, в Польше находят новых жертв скандального шпионского ПО Pegasus.

Reuters сообщило, что телефон мэра одного из городов в Польше был заражен национальными спецслужбами шпионским ПО Pegasus. Новостью о взломе поделилась газета Gazeta Wyborcza.

По данным издания, ПО использовалось для слежки за телефоном мэра города Сопота Яцека Карновского в 2018-2019 годах.

В то время он как раз работал над кампанией оппозиции по выборам в сенат.

И это не первый случай использования Pegasus в стране. В 2021 году Citizen Lab сообщала, что представители польской оппозиции были взломаны с помощью шпионского ПО NSO.

Правительство признало инцидент с оговоркой, что использовало шпионское ПО, но указало, что Pegasus никогда не использовался против политических оппонентов.

Если в Европе еще как-то пытаются расследовать нарушения прав и свобод, то в США этим даже не заморачиваются.

Согласно отчету Управления генерального инспектора Министерства внутренней безопасности показал, что Секретная служба (USSS) и Иммиграционная и таможенная служба (ICE) не получали постановлений суда на проведение операций в 2020 и 2021 годах, в которых применялись симуляторы вышек сотовой связи (также известные как stingrays) для перехвата мобильной связи.

При этом одно из отделений секретной службы несколько раз использовало stingrays от имени местного правоохранительного органа без получения ордера суда.

Как отметила ICE, ее сотрудники попросту не посчитали необходимым получение разрешения суда для некоторых своих мероприятий.

Кроме того, в отчете также установлено, что ни USSS, ни ICE не документировали операции, связанные с надзорным одобрением и процедурами удаления данных.

Всегда помни: большой брат следит за тобой.

Исправлено четыре уязвимости в программируемых логических контроллерах (ПЛК) немецкого поставщика решений для промышленной автоматизации Wago, причем некоторые их них можно использовать для получения полного контроля над целевым устройством.

Недостатки в ПЛК обнаружил специалист Технологического института Джорджии Райан Пикрен в рамках работы над своей докторской диссертацией по безопасности промышленных систем управления ICS.

Специалист действительно хорош и ранее уже получал приличный профит от Apple за уязвимости в камере и эксплойт, который можно было использовать для взлома онлайн-аккаунтов и веб-камер пользователя.

В ходе анализа ПЛК Wago исследователь обнаружил несколько уязвимостей в веб-интерфейсе управления для администрирования, ввода в эксплуатацию и обновления устройств. CERT@VDE опубликовала бюллетень с описанием уязвимостей, информацией о затронутых продуктах и версиях.

Двум недостаткам был присвоен критический рейтинг серьезности, первый из которых связан с проблемой отсутствия аутентификации, отслеживается как CVE-2022-45138 и может быть использован злоумышленником, не прошедшим проверку подлинности, для чтения и установки некоторых параметров устройства, что может привести к полной компрометации контроллера.

Вторая критическая уязвимость, CVE-2022-45140, позволяет злоумышленнику, не прошедшему проверку подлинности, записывать произвольные данные с привилегиями root, что может привести к выполнению произвольного кода и полной компрометации системы.

Другие две уязвимости средней степени опасности могут быть использованы для XSS-атак и раскрытия информации с ограниченным воздействием.

Причем эти ошибки могут быть объединены в цепочку и использоваться двумя различными способами:
- когда есть прямой доступ к сети (т. е. злоумышленник находится внутри ICS или атакует устройство, подключенное к Интернету);
- через веб-запросы из разных источников (т. е. злоумышленник приманивает кто-то в ICS для просмотра своего вредоносного веб-сайта).

Исследователь объяснил, что ни один из сценариев не требует какого-либо взаимодействия с пользователем (помимо простого посещения сайта) или разрешений.

Цепочка полностью не аутентифицирована и в реальной атаке злоумышленник может использовать эти уязвимости для злонамеренного управления механизмами, фальсификации показаний датчиков и отключения всех средств контроля безопасности.

Лаборатория Касперского презентовала отчёт с результатами анализа ландшафта угроз для систем промышленной автоматизации за второе полугодие 2022 года.

Если в целом, то во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39,2 % при общемировом 34,3%).

При этом темпы роста показателя по сравнению с прошлым периодом имели наиболее значительное изменение среди исследуемых регионов (увеличение на 9 п.п).

Ресерчеры Kaspersky ICS CERT связывают такую динамику преимущественно с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 п.п. по сравнению с первым полугодием.

К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%) - этот показатель за период также резко вырос - на 11 п.п.

Всплеск обусловлен массовым заражением сайтов (в том числе промышленных организаций), использующих Bitrix CMS. Атакующие использовали бреши в системе, чтобы перенаправлять браузер на вредоносные веб-ресурсы и фишинговые страницы.

Как правило, компьютеры АСУ, с которых в интернет можно попасть на произвольные сайты, — это автоматизированные рабочие места операторов и инженеров.

По наблюдениям Лаборатории, самый заметный рост среди исследуемых отраслей по доле компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, наблюдается в энергетике - на 11,5 п.п.

В сфере инжиниринга и интеграции АСУ этот показатель вырос на 10 п.п., в автомобилестроении — на 8 п.п., в системах автоматизации зданий - на 4 п.п. При этом сектор автомобилестроения - лидер по доле атакованных компьютеров среди всех исследуемых отраслей (43%).

Дело в том, что повсеместная цифровизация на многих современных предприятиях, с одной стороны позволяет повысить эффективность производства, с другой - увеличивает потенциальное количество точек входа в периметр инфраструктуры.

Интернет выступил в роли основного источника угроз: атаки часто начинаются с попыток проникновения через устройства, получившие доступ к заражённым или вредоносным интернет-ресурсам.

Наглядно представленные в отчете тренды четко указывают, что особую значимость приобретают комплексные системы защиты предприятий, способные обеспечить безопасность как OT-сегмента, так и ИТ-инфраструктуры.

К числу таких относится разработанная ЛК экосистема Kaspersky OT CyberSecurity.

Настоятельно рекомендуем ознакомиться с полной версией отчета команды Kaspersky ICS CERT.

͏На известном хакерском форуме продаются конфиденциальные данные Acer.

Acer со штаб-квартирой на Тайване входит в число крупнейших в мире компаний по производству оборудования и электроники со штатом в более 7800 человек и выручкой в 10 миллиардов тайваньских долларов.

Злоумышленники утверждают, что утечка объемом 160 ГБ включает несколько сотен каталогов с почти 3000 файлами.

Среди них корпоративная документация Acer в отношении решений и разработок, руководства для персонала по техническим вопросам, двоичные файлы, данные по серверной инфраструктуре, сменные цифровые ключи продуктов RDPK и другие чувствительные сведения.

Селлер утверждает, что утечка датируется февралем 2023 года. Можно, конечно, было предположить, что утечка связана с инцидентом 2021 года, когда Acer атаковали REvil, выкатив требования выкупа в размере 50 миллионов долларов.

Однако образцы данных содержат файлы, датированные 2022 годом, что потенциально указывает на ранее неизвестное нарушение. Конечно, нельзя исключать того, что злоумышленник мог «освежить» данные новыми датами и выдать за новую утечку.

Представители Acer от комментариев отказываются. А мы - ообязательно будем следить за развитием ситуации.

Всего через девять месяцев после обнаружения ZuoRAT, нацеленной на маршрутизаторы SOHO, исследователи Lumen Black Lotus Labs выявили другую ранее не известную шпионскую кампанию с использованием Hiatus.

Не встречавшееся ранее сложное вредоносное ПО HiatusRAT нацелено на маршрутизаторы бизнес-класса в рамках широкомасштабной шпионской кампании в Латинской Америке, Европе и Северной Америке, начавшейся с июля 2022 года.

Злоумышленник развертывает два вредоносных двоичных файла HiatusRAT и вариант tcpdump, который позволяет перехватывать пакеты на целевом устройстве.

После того как целевая система заражена, HiatusRAT обеспечивает злоумышленнику удаленное взаимодействие с системой, используя встроенную функциональность для преобразования зараженной машины в скрытый прокси.

Двоичный файл захвата пакетов позволяет субъекту отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов.

Кластер угроз, в первую очередь, выделяет модели маршрутизаторов DrayTek Vigor с истекшим сроком службы (EoL) 2960 и 3900. К настоящему времени было скомпрометировано около 100 из них, подключенных к Интернету.

Некоторые из целевых организаций относятся к фармацевтике, ИТ-услуга, консалтингу и муниципальным органам власти, среди прочих.

Интересно, что это лишь небольшая часть из 4100 маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом доступе, что указывает на попытку злоумышленника минимализировать свою вредоносную активность, обеспечивая скрытность своей кампании.

Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN-соединений, есть основания паорлагать, что основной целью кампании является шпионаж, помимо также - создание скрытых прокси-сетей.

Уязвимые устройства обычно находятся за пределами традиционного периметра безопасности, в связи с чем они редко отслеживаются и обновляются. Именно это помогает актеру установить и поддерживать долгосрочное постоянство без обнаружения.

Точный начальный вектор доступа, использованный в атаках, неизвестен, но за успешным нарушением следует развертывание скрипта bash, который загружает и выполняет HiatusRAT и двоичный файл для захвата пакетов.

HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах и связываться с удаленным сервером для получения файлов или выполнения произвольных команд. Он также может проксировать трафик C2 через маршрутизатор.

По словам исследователей, использование скомпрометированных маршрутизаторов в качестве прокси-инфраструктуры, вероятно, является попыткой запутать операции C2.

Hiatus подтверждает, что злоумышленники не оставляют попыток эксплуатации маршрутизаторов, что демонстрирует необходимость защиты экосистемы маршрутизаторов.

Их следует регулярно контролировать, перезагружать и обновлять, а устройства с истекшим сроком службы следует своевременно заменять.

Metabase Q сообщает о новом штамме вредоносных программ FiXS, нацеленных на банкоматы в Латинской Америке.

За последние несколько лет атаки на стали более изощренными, серьезными и частыми, что привело к серьезным последствиям как для финансовых учреждений.

Согласно последним сообщениям, Мексика ежегодно несет миллиардные убытки из-за атак на банкоматы, занимая второе место после Бразилии.

Новая угроза, получившая название FiXS, в настоящее время нацелена на банки в Мексике, но оказалась независимой от поставщика и работает на любом банкомате, поддерживающем CEN XFS (eXtensions for Financial Services).

Как и известное вредоносное ПО Ploutus, FiXS требует использования внешней клавиатуры, что позволяет предположить, что киберпреступники внедряют его через физический доступ к банкоматам.

Согласно Metabase Q, FiXS скрывается внутри, казалось бы, безобидной программы, дает указание зараженной машине выдать деньги через 30 минут после последней перезагрузки и ожидает загрузки кассет перед выдачей.

Вредонос внедряется в дроппер, который декодирует вредоносное ПО с помощью инструкции XOR и сохраняет его во временной директории системы.

Затем FiXS запускается через ShellExecute Windows API.

Сам дроппер известен как Neshta (conhost.exe), вирус-заражатель файлов, написанный на Delphi и впервые обнаруженный в 2003 году.

Реализованное с помощью CEN XFS API, вредоносное ПО может работать на любом банкомате на базе Windows с небольшими модификациями.

FiXS работает в бесконечном цикле, чтобы определять правильный ввод с клавиатуры для отображения окна, отображения информации о кассе, закрытия сеанса и завершения процесса или выдачи денег.

В отличие от Ploutus или другого сложного вредоносного ПО для банкоматов, угроза не имеет богатого интерфейса и может отображать только количество купюр в каждой кассете и в корзине.

Поскольку вредоносное ПО дает указание банкомату выдать деньги через 30 минут после последней перезагрузки, Metabase Q полагает, что наличные деньги извлекаются дропами вскоре после его установки.

Как полагают ресерчеры Metabase Q, для банков и финучреждений крайне важно прогнозировать потенциальные компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на эти типы угроз.

А сам FiXS становится последним в длинном списке вредоносных программ, таких как Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer и ATMii, нацеленных на банкоматы для кражи денег.

Миллионы пользователей Microsoft Office под угрозой ибо мамкины хацкеры и не только вооружились новым PoC для недавно исправленной уязвимости безопасности CVE-2023-21716.

Уязвимость с оценкой CVSS 9,8 позволяет удаленно выполнить произвольный код в системе жертвы с его правами.

Это означает, что злоумышленник может получить полный контроль над компьютером, используя этот баг.

Учитывая, что недостаток существует в wwlib.dll пакета Microsoft Office, то уязвимы все версии.

Технический анализ ошибки CVE-2023-21716 и PoC-эксплойт позволяет реализовать вектор атаки когда злоумышленник, не прошедший проверку подлинности, отправляет вредоносное электронное письмо, содержащее полезную нагрузку RTF.

Если жертва откроет вредоносный файл, злоумышленник получит доступ для выполнения команд в приложении, используемом для открытия файла.

Это может привести к установке другой малвари, краже конфиденциальных данных или другим злонамерным действиям.

Эта уязвимость была обнаружена, проанализирована и описана Джошуа Дж. Дрейком.

Исследователь объясняет, что синтаксический анализатор RTF в Microsoft Word имеет уязвимость, которая срабатывает «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».

Дрейк говорит, что после повреждения памяти происходит дополнительная обработка, и субъект угрозы может использовать ошибку для выполнения произвольного кода.

На данный момент нет никаких признаков того, что уязвимость эксплуатируется на практике, и текущая оценка Microsoft такова, что использование этой проблемы «менее вероятно».

Специалист добавил, что в Microsoft Office 2010 и более поздних версиях используется защищенный просмотр для ограничения возможного ущерба, причиняемого вредоносными документами, полученными из ненадежных источников.

Защищенный просмотр срабатывает, когда проявляется эта уязвимость и поэтому для получения полных привилегий потребуется дополнительная уязвимость выхода из песочницы.

Не для кого не секрет, что критические уязвимости, подобные этой, привлекают внимание злоумышленников, а более продвинутые из них пытаются перепроектировать исправление, чтобы найти способ использовать его.

Как правило, когда код эксплойта становится доступным, более широкий круг злоумышленников начинает использовать недостаток, поскольку для модификации PoC требуется меньше усилий, чем для создания эксплойта с нуля

Для защиты от этой уязвимости пользователям рекомендуется как можно скорее обновить Microsoft Office до последней версии.

Кроме того, пользователи должны проявлять осторожность при открытии электронных писем из неизвестных или подозрительных источников.

Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с 8 марта!!!

Вы по-настоящему особенные! Прекрасные и умные одновременно!

Желаем нас радовать, инциденты расследовать, уютную рабочую атмосферу создавать!

Ура, товарищи!

Fortinet в последнем бюллетене по безопасности сообщает о новой критической уязвимости RCE без аутентификации.

Ошибка опустошения буфера отслеживается как CVE-2023-25610 и имеет оценку CVSS v3 9,3.

Она влияет на FortiOS и FortiProxy и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код или вызывать DoS в графическом интерфейсе устройств, используя специально созданные запросы.

Бага затрагивает FortiOS (версии с 7.2.0 по 7.2.3, с 7.0.0 по 7.0.9, с 6.4.0 по 6.4.11, с 6.2.0 по 6.2.12) FortiOS 6.0 (все версии), FortiProxy (версии с 7.2.0 по 7.2.2, с 7.0.0 по 7.0.8, от 2.0.0 до 2.0.11), FortiProxy 1.2 (все версии) и FortiProxy 1.1 (все версии).

При этом Fortinet отмечает, что пятьдесят моделей устройств, перечисленных в бюллетене по безопасности, не подвержены RCE, только для DoS, даже если они работают под управлением уязвимой версии FortiOS.

В новых версиях для указанных продуктов CVE-2023-25610 исправлена.

Поскольку злоумышленники пристально следят за критическими уязвимостями Fortinet, особенно теми, которые не требуют аутентификации для использования, администраторам следует как можно скорее установить доступные обновления безопасности.

Для тех, кто не может применить обновления, Fortinet предлагает обходной путь отключения административного интерфейса HTTP/HTTPS или ограничения IP-адресов, которые могут получить к нему удаленный доступ.

Инструкции по применению обходных путей, которые также охватывают случаи использования порта не по умолчанию, включены в рекомендации по безопасности.

Пока же Fortinet заявляет, что в настоящее время ей неизвестно о каких-либо случаях активной эксплуатации в дикой природе.

Тайваньский производитель Acer подтвердил киберинцидент с утечкой более 160 ГБ данных, украденных в середине февраля 2023 года.

Как мы уже сообщали, селлер, известный под Kernelware, объявил аукцион на реализацию всего лота по наивысшей предложенной цене.

Покупателю предлагаются технические руководства, программные инструменты, сведения о серверной инфраструктуре, документация по моделям продуктов для телефонов, планшетов и ноутбуков, образы BIOS, файлы ПЗУ, файлы ISO и сменные цифровые ключи продукта (RDPK).

Согласно заявлению Acer, произошел взлом одного из ее серверов с электронной документацией для специалистов по ремонту.

В ходе расследования установлено, что никаких признаков нахождения на этом сервере данные о потребителях не получено.

Не менее серьезный инцидент произошел с Facebook (*признана в РФ экстремистской).

LLaMA (Large Language Model Meta AI), коллекция больших языковых моделей, разработанных внутри Meta, просочилась на 4chan на прошлой неделе, что стало первым случаем полной утечки модели ИИ крупной технологической компании.

Утечке предшествовало решение Meta предоставить доступ к модели исследователям из сообщества ИИ.

Несмотря на то, что злоумышленник скрыл свою личность, представившись на 4chan как llamanon, AnalyticsIndiaMag отмечает, что торрент-файл LLaMA содержал уникальный идентификатор, который теоретически позволил бы Meta отследить источники утечки.

Однако согласно Motherboard, Meta не опровергла и не подтвердила утечку, а также не предприняла никаких шагов для удаления торрента.

Google выпустила обновления безопасности для Android за март 2023 года, исправив в общей сложности 60 ошибок, в том числе две критически важные RCE-уязвимости, затрагивающие системы с версиями 11, 12 и 13.

Обновления развертываются в рамках двух отдельных уровней исправлений безопасности: 2023-03-01 и 2023-03-05.

Первый пакет содержит 31 исправление для основных компонентов Android, таких как Framework, System и Google Play.

Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в системном компоненте, которая может привести к RCE без дополнительных прав выполнения и взаимодействия с пользователем.

Две уязвимости отслеживаются как CVE-2023-20951 и CVE-2023-20954, подробности о которых Google не раскрывает.

Другие закрытые ошибки относятся к проблемам серьезного повышения привилегий, раскрытия информации и недостаткам с отказом в обслуживании.

Уровень 2023-03-05 содержит 29 исправлений для ядра Android и компонентов сторонних поставщиков от MediaTek, Unisoc и Qualcomm.

Наиболее серьезными проблемами, исправленными в этом месяце, являются две критические уязвимости в компонентах Qualcomm с закрытым исходным кодом, отслеживаемые как CVE-2022-33213 и CVE-2022-33256.

Пользователи Android 10 или более ранних версий, срок службы EoL которых истек с сентября 2022 года (для версии 10), не получат исправления для вышеуказанных недостатков.

Тем не менее некоторые важные исправления безопасности могут быть получены через системные обновления Google Play.

Пользователям старых устройств, которые все еще работают, рекомендуется переключиться на сторонний дистрибутив Android, такой как LineageOS, который предлагает обновленные образы ОС для устройств, которые больше не поддерживаются их OEM-производителями.