Sonicwall выпустила обновления безопасности для исправления уязвимости CVE-2023-0656 с оценкой CVSS 7,5 в веб-панели управления SonicOS.
Бага была обнаружена Алексом Бирнбергом из SSD Labs.
Среди уязвимых платформ: TZ, NSa, NSsp, NSv, NSsp, NSv с версиями 7.0.1-5095, 7.0.1-5083 и 6.5.4.4-44v-21-1551 (и более ранние версии).
При этом ошибка затрагивает интерфейс «веб-управления», на SonicOS SSLVPN не влияет.
Уязвимость переполнения буфера на основе стека в SonicOS позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать DoS, что может привести к сбою брандмауэра.
SonicWall PSIRT не сообщает о какой-либо эксплуатации ошибки в дикой природе или публикации PoC.
Разработчик настоятельно рекомендует организациям, использующим затронутые брандмауэры SonicWall, применить исправления.
До тех пор, пока не будут применены, следует ограничить доступ к управлению SonicOS доверенными источниками, изменив существующие правила доступа к управлению SonicOS.
Рекомендации больше относятся для Gen6 NSv, поскольку SonicWall ожидает, что официальная версия прошивки с необходимыми исправлениями для продукта будет доступна в середине марта 2023 года.
Бага была обнаружена Алексом Бирнбергом из SSD Labs.
Среди уязвимых платформ: TZ, NSa, NSsp, NSv, NSsp, NSv с версиями 7.0.1-5095, 7.0.1-5083 и 6.5.4.4-44v-21-1551 (и более ранние версии).
При этом ошибка затрагивает интерфейс «веб-управления», на SonicOS SSLVPN не влияет.
Уязвимость переполнения буфера на основе стека в SonicOS позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать DoS, что может привести к сбою брандмауэра.
SonicWall PSIRT не сообщает о какой-либо эксплуатации ошибки в дикой природе или публикации PoC.
Разработчик настоятельно рекомендует организациям, использующим затронутые брандмауэры SonicWall, применить исправления.
До тех пор, пока не будут применены, следует ограничить доступ к управлению SonicOS доверенными источниками, изменив существующие правила доступа к управлению SonicOS.
Рекомендации больше относятся для Gen6 NSv, поскольку SonicWall ожидает, что официальная версия прошивки с необходимыми исправлениями для продукта будет доступна в середине марта 2023 года.
͏Пока GranittHQ рассказывает про свои планы собрать базу данных всех известных жертв, зараженных шпионским ПО Candiru Predator, в Польше находят новых жертв скандального шпионского ПО Pegasus.
Reuters сообщило, что телефон мэра одного из городов в Польше был заражен национальными спецслужбами шпионским ПО Pegasus. Новостью о взломе поделилась газета Gazeta Wyborcza.
По данным издания, ПО использовалось для слежки за телефоном мэра города Сопота Яцека Карновского в 2018-2019 годах.
В то время он как раз работал над кампанией оппозиции по выборам в сенат.
И это не первый случай использования Pegasus в стране. В 2021 году Citizen Lab сообщала, что представители польской оппозиции были взломаны с помощью шпионского ПО NSO.
Правительство признало инцидент с оговоркой, что использовало шпионское ПО, но указало, что Pegasus никогда не использовался против политических оппонентов.
Если в Европе еще как-то пытаются расследовать нарушения прав и свобод, то в США этим даже не заморачиваются.
Согласно отчету Управления генерального инспектора Министерства внутренней безопасности показал, что Секретная служба (USSS) и Иммиграционная и таможенная служба (ICE) не получали постановлений суда на проведение операций в 2020 и 2021 годах, в которых применялись симуляторы вышек сотовой связи (также известные как stingrays) для перехвата мобильной связи.
При этом одно из отделений секретной службы несколько раз использовало stingrays от имени местного правоохранительного органа без получения ордера суда.
Как отметила ICE, ее сотрудники попросту не посчитали необходимым получение разрешения суда для некоторых своих мероприятий.
Кроме того, в отчете также установлено, что ни USSS, ни ICE не документировали операции, связанные с надзорным одобрением и процедурами удаления данных.
Всегда помни: большой брат следит за тобой.
Reuters сообщило, что телефон мэра одного из городов в Польше был заражен национальными спецслужбами шпионским ПО Pegasus. Новостью о взломе поделилась газета Gazeta Wyborcza.
По данным издания, ПО использовалось для слежки за телефоном мэра города Сопота Яцека Карновского в 2018-2019 годах.
В то время он как раз работал над кампанией оппозиции по выборам в сенат.
И это не первый случай использования Pegasus в стране. В 2021 году Citizen Lab сообщала, что представители польской оппозиции были взломаны с помощью шпионского ПО NSO.
Правительство признало инцидент с оговоркой, что использовало шпионское ПО, но указало, что Pegasus никогда не использовался против политических оппонентов.
Если в Европе еще как-то пытаются расследовать нарушения прав и свобод, то в США этим даже не заморачиваются.
Согласно отчету Управления генерального инспектора Министерства внутренней безопасности показал, что Секретная служба (USSS) и Иммиграционная и таможенная служба (ICE) не получали постановлений суда на проведение операций в 2020 и 2021 годах, в которых применялись симуляторы вышек сотовой связи (также известные как stingrays) для перехвата мобильной связи.
При этом одно из отделений секретной службы несколько раз использовало stingrays от имени местного правоохранительного органа без получения ордера суда.
Как отметила ICE, ее сотрудники попросту не посчитали необходимым получение разрешения суда для некоторых своих мероприятий.
Кроме того, в отчете также установлено, что ни USSS, ни ICE не документировали операции, связанные с надзорным одобрением и процедурами удаления данных.
Всегда помни: большой брат следит за тобой.
Исправлено четыре уязвимости в программируемых логических контроллерах (ПЛК) немецкого поставщика решений для промышленной автоматизации Wago, причем некоторые их них можно использовать для получения полного контроля над целевым устройством.
Недостатки в ПЛК обнаружил специалист Технологического института Джорджии Райан Пикрен в рамках работы над своей докторской диссертацией по безопасности промышленных систем управления ICS.
Специалист действительно хорош и ранее уже получал приличный профит от Apple за уязвимости в камере и эксплойт, который можно было использовать для взлома онлайн-аккаунтов и веб-камер пользователя.
В ходе анализа ПЛК Wago исследователь обнаружил несколько уязвимостей в веб-интерфейсе управления для администрирования, ввода в эксплуатацию и обновления устройств. CERT@VDE опубликовала бюллетень с описанием уязвимостей, информацией о затронутых продуктах и версиях.
Двум недостаткам был присвоен критический рейтинг серьезности, первый из которых связан с проблемой отсутствия аутентификации, отслеживается как CVE-2022-45138 и может быть использован злоумышленником, не прошедшим проверку подлинности, для чтения и установки некоторых параметров устройства, что может привести к полной компрометации контроллера.
Вторая критическая уязвимость, CVE-2022-45140, позволяет злоумышленнику, не прошедшему проверку подлинности, записывать произвольные данные с привилегиями root, что может привести к выполнению произвольного кода и полной компрометации системы.
Другие две уязвимости средней степени опасности могут быть использованы для XSS-атак и раскрытия информации с ограниченным воздействием.
Причем эти ошибки могут быть объединены в цепочку и использоваться двумя различными способами:
- когда есть прямой доступ к сети (т. е. злоумышленник находится внутри ICS или атакует устройство, подключенное к Интернету);
- через веб-запросы из разных источников (т. е. злоумышленник приманивает кто-то в ICS для просмотра своего вредоносного веб-сайта).
Исследователь объяснил, что ни один из сценариев не требует какого-либо взаимодействия с пользователем (помимо простого посещения сайта) или разрешений.
Цепочка полностью не аутентифицирована и в реальной атаке злоумышленник может использовать эти уязвимости для злонамеренного управления механизмами, фальсификации показаний датчиков и отключения всех средств контроля безопасности.
Недостатки в ПЛК обнаружил специалист Технологического института Джорджии Райан Пикрен в рамках работы над своей докторской диссертацией по безопасности промышленных систем управления ICS.
Специалист действительно хорош и ранее уже получал приличный профит от Apple за уязвимости в камере и эксплойт, который можно было использовать для взлома онлайн-аккаунтов и веб-камер пользователя.
В ходе анализа ПЛК Wago исследователь обнаружил несколько уязвимостей в веб-интерфейсе управления для администрирования, ввода в эксплуатацию и обновления устройств. CERT@VDE опубликовала бюллетень с описанием уязвимостей, информацией о затронутых продуктах и версиях.
Двум недостаткам был присвоен критический рейтинг серьезности, первый из которых связан с проблемой отсутствия аутентификации, отслеживается как CVE-2022-45138 и может быть использован злоумышленником, не прошедшим проверку подлинности, для чтения и установки некоторых параметров устройства, что может привести к полной компрометации контроллера.
Вторая критическая уязвимость, CVE-2022-45140, позволяет злоумышленнику, не прошедшему проверку подлинности, записывать произвольные данные с привилегиями root, что может привести к выполнению произвольного кода и полной компрометации системы.
Другие две уязвимости средней степени опасности могут быть использованы для XSS-атак и раскрытия информации с ограниченным воздействием.
Причем эти ошибки могут быть объединены в цепочку и использоваться двумя различными способами:
- когда есть прямой доступ к сети (т. е. злоумышленник находится внутри ICS или атакует устройство, подключенное к Интернету);
- через веб-запросы из разных источников (т. е. злоумышленник приманивает кто-то в ICS для просмотра своего вредоносного веб-сайта).
Исследователь объяснил, что ни один из сценариев не требует какого-либо взаимодействия с пользователем (помимо простого посещения сайта) или разрешений.
Цепочка полностью не аутентифицирована и в реальной атаке злоумышленник может использовать эти уязвимости для злонамеренного управления механизмами, фальсификации показаний датчиков и отключения всех средств контроля безопасности.
Vde
VDE-2022-060 | CERT@VDE
Advisories
Лаборатория Касперского презентовала отчёт с результатами анализа ландшафта угроз для систем промышленной автоматизации за второе полугодие 2022 года.
Если в целом, то во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39,2 % при общемировом 34,3%).
При этом темпы роста показателя по сравнению с прошлым периодом имели наиболее значительное изменение среди исследуемых регионов (увеличение на 9 п.п).
Ресерчеры Kaspersky ICS CERT связывают такую динамику преимущественно с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 п.п. по сравнению с первым полугодием.
К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%) - этот показатель за период также резко вырос - на 11 п.п.
Всплеск обусловлен массовым заражением сайтов (в том числе промышленных организаций), использующих Bitrix CMS. Атакующие использовали бреши в системе, чтобы перенаправлять браузер на вредоносные веб-ресурсы и фишинговые страницы.
Как правило, компьютеры АСУ, с которых в интернет можно попасть на произвольные сайты, — это автоматизированные рабочие места операторов и инженеров.
По наблюдениям Лаборатории, самый заметный рост среди исследуемых отраслей по доле компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, наблюдается в энергетике - на 11,5 п.п.
В сфере инжиниринга и интеграции АСУ этот показатель вырос на 10 п.п., в автомобилестроении — на 8 п.п., в системах автоматизации зданий - на 4 п.п. При этом сектор автомобилестроения - лидер по доле атакованных компьютеров среди всех исследуемых отраслей (43%).
Дело в том, что повсеместная цифровизация на многих современных предприятиях, с одной стороны позволяет повысить эффективность производства, с другой - увеличивает потенциальное количество точек входа в периметр инфраструктуры.
Интернет выступил в роли основного источника угроз: атаки часто начинаются с попыток проникновения через устройства, получившие доступ к заражённым или вредоносным интернет-ресурсам.
Наглядно представленные в отчете тренды четко указывают, что особую значимость приобретают комплексные системы защиты предприятий, способные обеспечить безопасность как OT-сегмента, так и ИТ-инфраструктуры.
К числу таких относится разработанная ЛК экосистема Kaspersky OT CyberSecurity.
Настоятельно рекомендуем ознакомиться с полной версией отчета команды Kaspersky ICS CERT.
Если в целом, то во втором полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных вредоносных объектов на компьютерах АСУ (39,2 % при общемировом 34,3%).
При этом темпы роста показателя по сравнению с прошлым периодом имели наиболее значительное изменение среди исследуемых регионов (увеличение на 9 п.п).
Ресерчеры Kaspersky ICS CERT связывают такую динамику преимущественно с увеличением доли компьютеров АСУ, которые были атакованы вредоносными объектами из интернета: их количество выросло на 12 п.п. по сравнению с первым полугодием.
К таким угрозам относятся в том числе вредоносные скрипты и фишинговые страницы (JS и HTML). Они были заблокированы почти на каждом пятом компьютере АСУ (18%) - этот показатель за период также резко вырос - на 11 п.п.
Всплеск обусловлен массовым заражением сайтов (в том числе промышленных организаций), использующих Bitrix CMS. Атакующие использовали бреши в системе, чтобы перенаправлять браузер на вредоносные веб-ресурсы и фишинговые страницы.
Как правило, компьютеры АСУ, с которых в интернет можно попасть на произвольные сайты, — это автоматизированные рабочие места операторов и инженеров.
По наблюдениям Лаборатории, самый заметный рост среди исследуемых отраслей по доле компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, наблюдается в энергетике - на 11,5 п.п.
В сфере инжиниринга и интеграции АСУ этот показатель вырос на 10 п.п., в автомобилестроении — на 8 п.п., в системах автоматизации зданий - на 4 п.п. При этом сектор автомобилестроения - лидер по доле атакованных компьютеров среди всех исследуемых отраслей (43%).
Дело в том, что повсеместная цифровизация на многих современных предприятиях, с одной стороны позволяет повысить эффективность производства, с другой - увеличивает потенциальное количество точек входа в периметр инфраструктуры.
Интернет выступил в роли основного источника угроз: атаки часто начинаются с попыток проникновения через устройства, получившие доступ к заражённым или вредоносным интернет-ресурсам.
Наглядно представленные в отчете тренды четко указывают, что особую значимость приобретают комплексные системы защиты предприятий, способные обеспечить безопасность как OT-сегмента, так и ИТ-инфраструктуры.
К числу таких относится разработанная ЛК экосистема Kaspersky OT CyberSecurity.
Настоятельно рекомендуем ознакомиться с полной версией отчета команды Kaspersky ICS CERT.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2022 | Kaspersky ICS CERT
Статистические данные, представленные в отчете, получены с защищаемых продуктами «Лаборатории Касперского» компьютеров АСУ, которые Kaspersky ICS CERT относит к технологической инфраструктуре организаций.
͏На известном хакерском форуме продаются конфиденциальные данные Acer.
Acer со штаб-квартирой на Тайване входит в число крупнейших в мире компаний по производству оборудования и электроники со штатом в более 7800 человек и выручкой в 10 миллиардов тайваньских долларов.
Злоумышленники утверждают, что утечка объемом 160 ГБ включает несколько сотен каталогов с почти 3000 файлами.
Среди них корпоративная документация Acer в отношении решений и разработок, руководства для персонала по техническим вопросам, двоичные файлы, данные по серверной инфраструктуре, сменные цифровые ключи продуктов RDPK и другие чувствительные сведения.
Селлер утверждает, что утечка датируется февралем 2023 года. Можно, конечно, было предположить, что утечка связана с инцидентом 2021 года, когда Acer атаковали REvil, выкатив требования выкупа в размере 50 миллионов долларов.
Однако образцы данных содержат файлы, датированные 2022 годом, что потенциально указывает на ранее неизвестное нарушение. Конечно, нельзя исключать того, что злоумышленник мог «освежить» данные новыми датами и выдать за новую утечку.
Представители Acer от комментариев отказываются. А мы - ообязательно будем следить за развитием ситуации.
Acer со штаб-квартирой на Тайване входит в число крупнейших в мире компаний по производству оборудования и электроники со штатом в более 7800 человек и выручкой в 10 миллиардов тайваньских долларов.
Злоумышленники утверждают, что утечка объемом 160 ГБ включает несколько сотен каталогов с почти 3000 файлами.
Среди них корпоративная документация Acer в отношении решений и разработок, руководства для персонала по техническим вопросам, двоичные файлы, данные по серверной инфраструктуре, сменные цифровые ключи продуктов RDPK и другие чувствительные сведения.
Селлер утверждает, что утечка датируется февралем 2023 года. Можно, конечно, было предположить, что утечка связана с инцидентом 2021 года, когда Acer атаковали REvil, выкатив требования выкупа в размере 50 миллионов долларов.
Однако образцы данных содержат файлы, датированные 2022 годом, что потенциально указывает на ранее неизвестное нарушение. Конечно, нельзя исключать того, что злоумышленник мог «освежить» данные новыми датами и выдать за новую утечку.
Представители Acer от комментариев отказываются. А мы - ообязательно будем следить за развитием ситуации.
Всего через девять месяцев после обнаружения ZuoRAT, нацеленной на маршрутизаторы SOHO, исследователи Lumen Black Lotus Labs выявили другую ранее не известную шпионскую кампанию с использованием Hiatus.
Не встречавшееся ранее сложное вредоносное ПО HiatusRAT нацелено на маршрутизаторы бизнес-класса в рамках широкомасштабной шпионской кампании в Латинской Америке, Европе и Северной Америке, начавшейся с июля 2022 года.
Злоумышленник развертывает два вредоносных двоичных файла HiatusRAT и вариант tcpdump, который позволяет перехватывать пакеты на целевом устройстве.
После того как целевая система заражена, HiatusRAT обеспечивает злоумышленнику удаленное взаимодействие с системой, используя встроенную функциональность для преобразования зараженной машины в скрытый прокси.
Двоичный файл захвата пакетов позволяет субъекту отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов.
Кластер угроз, в первую очередь, выделяет модели маршрутизаторов DrayTek Vigor с истекшим сроком службы (EoL) 2960 и 3900. К настоящему времени было скомпрометировано около 100 из них, подключенных к Интернету.
Некоторые из целевых организаций относятся к фармацевтике, ИТ-услуга, консалтингу и муниципальным органам власти, среди прочих.
Интересно, что это лишь небольшая часть из 4100 маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом доступе, что указывает на попытку злоумышленника минимализировать свою вредоносную активность, обеспечивая скрытность своей кампании.
Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN-соединений, есть основания паорлагать, что основной целью кампании является шпионаж, помимо также - создание скрытых прокси-сетей.
Уязвимые устройства обычно находятся за пределами традиционного периметра безопасности, в связи с чем они редко отслеживаются и обновляются. Именно это помогает актеру установить и поддерживать долгосрочное постоянство без обнаружения.
Точный начальный вектор доступа, использованный в атаках, неизвестен, но за успешным нарушением следует развертывание скрипта bash, который загружает и выполняет HiatusRAT и двоичный файл для захвата пакетов.
HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах и связываться с удаленным сервером для получения файлов или выполнения произвольных команд. Он также может проксировать трафик C2 через маршрутизатор.
По словам исследователей, использование скомпрометированных маршрутизаторов в качестве прокси-инфраструктуры, вероятно, является попыткой запутать операции C2.
Hiatus подтверждает, что злоумышленники не оставляют попыток эксплуатации маршрутизаторов, что демонстрирует необходимость защиты экосистемы маршрутизаторов.
Их следует регулярно контролировать, перезагружать и обновлять, а устройства с истекшим сроком службы следует своевременно заменять.
Не встречавшееся ранее сложное вредоносное ПО HiatusRAT нацелено на маршрутизаторы бизнес-класса в рамках широкомасштабной шпионской кампании в Латинской Америке, Европе и Северной Америке, начавшейся с июля 2022 года.
Злоумышленник развертывает два вредоносных двоичных файла HiatusRAT и вариант tcpdump, который позволяет перехватывать пакеты на целевом устройстве.
После того как целевая система заражена, HiatusRAT обеспечивает злоумышленнику удаленное взаимодействие с системой, используя встроенную функциональность для преобразования зараженной машины в скрытый прокси.
Двоичный файл захвата пакетов позволяет субъекту отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов.
Кластер угроз, в первую очередь, выделяет модели маршрутизаторов DrayTek Vigor с истекшим сроком службы (EoL) 2960 и 3900. К настоящему времени было скомпрометировано около 100 из них, подключенных к Интернету.
Некоторые из целевых организаций относятся к фармацевтике, ИТ-услуга, консалтингу и муниципальным органам власти, среди прочих.
Интересно, что это лишь небольшая часть из 4100 маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом доступе, что указывает на попытку злоумышленника минимализировать свою вредоносную активность, обеспечивая скрытность своей кампании.
Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN-соединений, есть основания паорлагать, что основной целью кампании является шпионаж, помимо также - создание скрытых прокси-сетей.
Уязвимые устройства обычно находятся за пределами традиционного периметра безопасности, в связи с чем они редко отслеживаются и обновляются. Именно это помогает актеру установить и поддерживать долгосрочное постоянство без обнаружения.
Точный начальный вектор доступа, использованный в атаках, неизвестен, но за успешным нарушением следует развертывание скрипта bash, который загружает и выполняет HiatusRAT и двоичный файл для захвата пакетов.
HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах и связываться с удаленным сервером для получения файлов или выполнения произвольных команд. Он также может проксировать трафик C2 через маршрутизатор.
По словам исследователей, использование скомпрометированных маршрутизаторов в качестве прокси-инфраструктуры, вероятно, является попыткой запутать операции C2.
Hiatus подтверждает, что злоумышленники не оставляют попыток эксплуатации маршрутизаторов, что демонстрирует необходимость защиты экосистемы маршрутизаторов.
Их следует регулярно контролировать, перезагружать и обновлять, а устройства с истекшим сроком службы следует своевременно заменять.
Lumen Blog
New HiatusRAT router malware covertly spies on victims
Lumen Black Lotus Labs identified a new campaign involving compromised routers. HiatusRAT allows threat actors to remotely interact with the system.
Metabase Q сообщает о новом штамме вредоносных программ FiXS, нацеленных на банкоматы в Латинской Америке.
За последние несколько лет атаки на стали более изощренными, серьезными и частыми, что привело к серьезным последствиям как для финансовых учреждений.
Согласно последним сообщениям, Мексика ежегодно несет миллиардные убытки из-за атак на банкоматы, занимая второе место после Бразилии.
Новая угроза, получившая название FiXS, в настоящее время нацелена на банки в Мексике, но оказалась независимой от поставщика и работает на любом банкомате, поддерживающем CEN XFS (eXtensions for Financial Services).
Как и известное вредоносное ПО Ploutus, FiXS требует использования внешней клавиатуры, что позволяет предположить, что киберпреступники внедряют его через физический доступ к банкоматам.
Согласно Metabase Q, FiXS скрывается внутри, казалось бы, безобидной программы, дает указание зараженной машине выдать деньги через 30 минут после последней перезагрузки и ожидает загрузки кассет перед выдачей.
Вредонос внедряется в дроппер, который декодирует вредоносное ПО с помощью инструкции XOR и сохраняет его во временной директории системы.
Затем FiXS запускается через ShellExecute Windows API.
Сам дроппер известен как Neshta (conhost.exe), вирус-заражатель файлов, написанный на Delphi и впервые обнаруженный в 2003 году.
Реализованное с помощью CEN XFS API, вредоносное ПО может работать на любом банкомате на базе Windows с небольшими модификациями.
FiXS работает в бесконечном цикле, чтобы определять правильный ввод с клавиатуры для отображения окна, отображения информации о кассе, закрытия сеанса и завершения процесса или выдачи денег.
В отличие от Ploutus или другого сложного вредоносного ПО для банкоматов, угроза не имеет богатого интерфейса и может отображать только количество купюр в каждой кассете и в корзине.
Поскольку вредоносное ПО дает указание банкомату выдать деньги через 30 минут после последней перезагрузки, Metabase Q полагает, что наличные деньги извлекаются дропами вскоре после его установки.
Как полагают ресерчеры Metabase Q, для банков и финучреждений крайне важно прогнозировать потенциальные компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на эти типы угроз.
А сам FiXS становится последним в длинном списке вредоносных программ, таких как Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer и ATMii, нацеленных на банкоматы для кражи денег.
За последние несколько лет атаки на стали более изощренными, серьезными и частыми, что привело к серьезным последствиям как для финансовых учреждений.
Согласно последним сообщениям, Мексика ежегодно несет миллиардные убытки из-за атак на банкоматы, занимая второе место после Бразилии.
Новая угроза, получившая название FiXS, в настоящее время нацелена на банки в Мексике, но оказалась независимой от поставщика и работает на любом банкомате, поддерживающем CEN XFS (eXtensions for Financial Services).
Как и известное вредоносное ПО Ploutus, FiXS требует использования внешней клавиатуры, что позволяет предположить, что киберпреступники внедряют его через физический доступ к банкоматам.
Согласно Metabase Q, FiXS скрывается внутри, казалось бы, безобидной программы, дает указание зараженной машине выдать деньги через 30 минут после последней перезагрузки и ожидает загрузки кассет перед выдачей.
Вредонос внедряется в дроппер, который декодирует вредоносное ПО с помощью инструкции XOR и сохраняет его во временной директории системы.
Затем FiXS запускается через ShellExecute Windows API.
Сам дроппер известен как Neshta (conhost.exe), вирус-заражатель файлов, написанный на Delphi и впервые обнаруженный в 2003 году.
Реализованное с помощью CEN XFS API, вредоносное ПО может работать на любом банкомате на базе Windows с небольшими модификациями.
FiXS работает в бесконечном цикле, чтобы определять правильный ввод с клавиатуры для отображения окна, отображения информации о кассе, закрытия сеанса и завершения процесса или выдачи денег.
В отличие от Ploutus или другого сложного вредоносного ПО для банкоматов, угроза не имеет богатого интерфейса и может отображать только количество купюр в каждой кассете и в корзине.
Поскольку вредоносное ПО дает указание банкомату выдать деньги через 30 минут после последней перезагрузки, Metabase Q полагает, что наличные деньги извлекаются дропами вскоре после его установки.
Как полагают ресерчеры Metabase Q, для банков и финучреждений крайне важно прогнозировать потенциальные компрометации устройств и сосредоточиться на сокращении времени обнаружения и реагирования на эти типы угроз.
А сам FiXS становится последним в длинном списке вредоносных программ, таких как Ploutus, Prilex, SUCEFUL, GreenDispenser, RIPPER, Alice, ATMitch, Skimer и ATMii, нацеленных на банкоматы для кражи денег.
Metabase Q
FiXS the new ATM Malware in LATAM - Metabase Q
FiXs is a new ATM malware that steals data from ATMs and infects computers. This is a detailed beginner's guide.
Миллионы пользователей Microsoft Office под угрозой ибо мамкины хацкеры и не только вооружились новым PoC для недавно исправленной уязвимости безопасности CVE-2023-21716.
Уязвимость с оценкой CVSS 9,8 позволяет удаленно выполнить произвольный код в системе жертвы с его правами.
Это означает, что злоумышленник может получить полный контроль над компьютером, используя этот баг.
Учитывая, что недостаток существует в wwlib.dll пакета Microsoft Office, то уязвимы все версии.
Технический анализ ошибки CVE-2023-21716 и PoC-эксплойт позволяет реализовать вектор атаки когда злоумышленник, не прошедший проверку подлинности, отправляет вредоносное электронное письмо, содержащее полезную нагрузку RTF.
Если жертва откроет вредоносный файл, злоумышленник получит доступ для выполнения команд в приложении, используемом для открытия файла.
Это может привести к установке другой малвари, краже конфиденциальных данных или другим злонамерным действиям.
Эта уязвимость была обнаружена, проанализирована и описана Джошуа Дж. Дрейком.
Исследователь объясняет, что синтаксический анализатор RTF в Microsoft Word имеет уязвимость, которая срабатывает «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».
Дрейк говорит, что после повреждения памяти происходит дополнительная обработка, и субъект угрозы может использовать ошибку для выполнения произвольного кода.
На данный момент нет никаких признаков того, что уязвимость эксплуатируется на практике, и текущая оценка Microsoft такова, что использование этой проблемы «менее вероятно».
Специалист добавил, что в Microsoft Office 2010 и более поздних версиях используется защищенный просмотр для ограничения возможного ущерба, причиняемого вредоносными документами, полученными из ненадежных источников.
Защищенный просмотр срабатывает, когда проявляется эта уязвимость и поэтому для получения полных привилегий потребуется дополнительная уязвимость выхода из песочницы.
Не для кого не секрет, что критические уязвимости, подобные этой, привлекают внимание злоумышленников, а более продвинутые из них пытаются перепроектировать исправление, чтобы найти способ использовать его.
Как правило, когда код эксплойта становится доступным, более широкий круг злоумышленников начинает использовать недостаток, поскольку для модификации PoC требуется меньше усилий, чем для создания эксплойта с нуля
Для защиты от этой уязвимости пользователям рекомендуется как можно скорее обновить Microsoft Office до последней версии.
Кроме того, пользователи должны проявлять осторожность при открытии электронных писем из неизвестных или подозрительных источников.
Уязвимость с оценкой CVSS 9,8 позволяет удаленно выполнить произвольный код в системе жертвы с его правами.
Это означает, что злоумышленник может получить полный контроль над компьютером, используя этот баг.
Учитывая, что недостаток существует в wwlib.dll пакета Microsoft Office, то уязвимы все версии.
Технический анализ ошибки CVE-2023-21716 и PoC-эксплойт позволяет реализовать вектор атаки когда злоумышленник, не прошедший проверку подлинности, отправляет вредоносное электронное письмо, содержащее полезную нагрузку RTF.
Если жертва откроет вредоносный файл, злоумышленник получит доступ для выполнения команд в приложении, используемом для открытия файла.
Это может привести к установке другой малвари, краже конфиденциальных данных или другим злонамерным действиям.
Эта уязвимость была обнаружена, проанализирована и описана Джошуа Дж. Дрейком.
Исследователь объясняет, что синтаксический анализатор RTF в Microsoft Word имеет уязвимость, которая срабатывает «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».
Дрейк говорит, что после повреждения памяти происходит дополнительная обработка, и субъект угрозы может использовать ошибку для выполнения произвольного кода.
На данный момент нет никаких признаков того, что уязвимость эксплуатируется на практике, и текущая оценка Microsoft такова, что использование этой проблемы «менее вероятно».
Специалист добавил, что в Microsoft Office 2010 и более поздних версиях используется защищенный просмотр для ограничения возможного ущерба, причиняемого вредоносными документами, полученными из ненадежных источников.
Защищенный просмотр срабатывает, когда проявляется эта уязвимость и поэтому для получения полных привилегий потребуется дополнительная уязвимость выхода из песочницы.
Не для кого не секрет, что критические уязвимости, подобные этой, привлекают внимание злоумышленников, а более продвинутые из них пытаются перепроектировать исправление, чтобы найти способ использовать его.
Как правило, когда код эксплойта становится доступным, более широкий круг злоумышленников начинает использовать недостаток, поскольку для модификации PoC требуется меньше усилий, чем для создания эксплойта с нуля
Для защиты от этой уязвимости пользователям рекомендуется как можно скорее обновить Microsoft Office до последней версии.
Кроме того, пользователи должны проявлять осторожность при открытии электронных писем из неизвестных или подозрительных источников.
Fortinet в последнем бюллетене по безопасности сообщает о новой критической уязвимости RCE без аутентификации.
Ошибка опустошения буфера отслеживается как CVE-2023-25610 и имеет оценку CVSS v3 9,3.
Она влияет на FortiOS и FortiProxy и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код или вызывать DoS в графическом интерфейсе устройств, используя специально созданные запросы.
Бага затрагивает FortiOS (версии с 7.2.0 по 7.2.3, с 7.0.0 по 7.0.9, с 6.4.0 по 6.4.11, с 6.2.0 по 6.2.12) FortiOS 6.0 (все версии), FortiProxy (версии с 7.2.0 по 7.2.2, с 7.0.0 по 7.0.8, от 2.0.0 до 2.0.11), FortiProxy 1.2 (все версии) и FortiProxy 1.1 (все версии).
При этом Fortinet отмечает, что пятьдесят моделей устройств, перечисленных в бюллетене по безопасности, не подвержены RCE, только для DoS, даже если они работают под управлением уязвимой версии FortiOS.
В новых версиях для указанных продуктов CVE-2023-25610 исправлена.
Поскольку злоумышленники пристально следят за критическими уязвимостями Fortinet, особенно теми, которые не требуют аутентификации для использования, администраторам следует как можно скорее установить доступные обновления безопасности.
Для тех, кто не может применить обновления, Fortinet предлагает обходной путь отключения административного интерфейса HTTP/HTTPS или ограничения IP-адресов, которые могут получить к нему удаленный доступ.
Инструкции по применению обходных путей, которые также охватывают случаи использования порта не по умолчанию, включены в рекомендации по безопасности.
Пока же Fortinet заявляет, что в настоящее время ей неизвестно о каких-либо случаях активной эксплуатации в дикой природе.
Ошибка опустошения буфера отслеживается как CVE-2023-25610 и имеет оценку CVSS v3 9,3.
Она влияет на FortiOS и FortiProxy и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код или вызывать DoS в графическом интерфейсе устройств, используя специально созданные запросы.
Бага затрагивает FortiOS (версии с 7.2.0 по 7.2.3, с 7.0.0 по 7.0.9, с 6.4.0 по 6.4.11, с 6.2.0 по 6.2.12) FortiOS 6.0 (все версии), FortiProxy (версии с 7.2.0 по 7.2.2, с 7.0.0 по 7.0.8, от 2.0.0 до 2.0.11), FortiProxy 1.2 (все версии) и FortiProxy 1.1 (все версии).
При этом Fortinet отмечает, что пятьдесят моделей устройств, перечисленных в бюллетене по безопасности, не подвержены RCE, только для DoS, даже если они работают под управлением уязвимой версии FortiOS.
В новых версиях для указанных продуктов CVE-2023-25610 исправлена.
Поскольку злоумышленники пристально следят за критическими уязвимостями Fortinet, особенно теми, которые не требуют аутентификации для использования, администраторам следует как можно скорее установить доступные обновления безопасности.
Для тех, кто не может применить обновления, Fortinet предлагает обходной путь отключения административного интерфейса HTTP/HTTPS или ограничения IP-адресов, которые могут получить к нему удаленный доступ.
Инструкции по применению обходных путей, которые также охватывают случаи использования порта не по умолчанию, включены в рекомендации по безопасности.
Пока же Fortinet заявляет, что в настоящее время ей неизвестно о каких-либо случаях активной эксплуатации в дикой природе.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Тайваньский производитель Acer подтвердил киберинцидент с утечкой более 160 ГБ данных, украденных в середине февраля 2023 года.
Как мы уже сообщали, селлер, известный под Kernelware, объявил аукцион на реализацию всего лота по наивысшей предложенной цене.
Покупателю предлагаются технические руководства, программные инструменты, сведения о серверной инфраструктуре, документация по моделям продуктов для телефонов, планшетов и ноутбуков, образы BIOS, файлы ПЗУ, файлы ISO и сменные цифровые ключи продукта (RDPK).
Согласно заявлению Acer, произошел взлом одного из ее серверов с электронной документацией для специалистов по ремонту.
В ходе расследования установлено, что никаких признаков нахождения на этом сервере данные о потребителях не получено.
Не менее серьезный инцидент произошел с Facebook (*признана в РФ экстремистской).
LLaMA (Large Language Model Meta AI), коллекция больших языковых моделей, разработанных внутри Meta, просочилась на 4chan на прошлой неделе, что стало первым случаем полной утечки модели ИИ крупной технологической компании.
Утечке предшествовало решение Meta предоставить доступ к модели исследователям из сообщества ИИ.
Несмотря на то, что злоумышленник скрыл свою личность, представившись на 4chan как llamanon, AnalyticsIndiaMag отмечает, что торрент-файл LLaMA содержал уникальный идентификатор, который теоретически позволил бы Meta отследить источники утечки.
Однако согласно Motherboard, Meta не опровергла и не подтвердила утечку, а также не предприняла никаких шагов для удаления торрента.
Как мы уже сообщали, селлер, известный под Kernelware, объявил аукцион на реализацию всего лота по наивысшей предложенной цене.
Покупателю предлагаются технические руководства, программные инструменты, сведения о серверной инфраструктуре, документация по моделям продуктов для телефонов, планшетов и ноутбуков, образы BIOS, файлы ПЗУ, файлы ISO и сменные цифровые ключи продукта (RDPK).
Согласно заявлению Acer, произошел взлом одного из ее серверов с электронной документацией для специалистов по ремонту.
В ходе расследования установлено, что никаких признаков нахождения на этом сервере данные о потребителях не получено.
Не менее серьезный инцидент произошел с Facebook (*признана в РФ экстремистской).
LLaMA (Large Language Model Meta AI), коллекция больших языковых моделей, разработанных внутри Meta, просочилась на 4chan на прошлой неделе, что стало первым случаем полной утечки модели ИИ крупной технологической компании.
Утечке предшествовало решение Meta предоставить доступ к модели исследователям из сообщества ИИ.
Несмотря на то, что злоумышленник скрыл свою личность, представившись на 4chan как llamanon, AnalyticsIndiaMag отмечает, что торрент-файл LLaMA содержал уникальный идентификатор, который теоретически позволил бы Meta отследить источники утечки.
Однако согласно Motherboard, Meta не опровергла и не подтвердила утечку, а также не предприняла никаких шагов для удаления торрента.
PCMAG
Acer Breached, Hacker Selling Access to 160GB of Stolen Data
The hacker claims the stolen data includes confidential presentations from Acer, along with software files for the company's PC products. Acer says consumer data was not breached.
Google выпустила обновления безопасности для Android за март 2023 года, исправив в общей сложности 60 ошибок, в том числе две критически важные RCE-уязвимости, затрагивающие системы с версиями 11, 12 и 13.
Обновления развертываются в рамках двух отдельных уровней исправлений безопасности: 2023-03-01 и 2023-03-05.
Первый пакет содержит 31 исправление для основных компонентов Android, таких как Framework, System и Google Play.
Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в системном компоненте, которая может привести к RCE без дополнительных прав выполнения и взаимодействия с пользователем.
Две уязвимости отслеживаются как CVE-2023-20951 и CVE-2023-20954, подробности о которых Google не раскрывает.
Другие закрытые ошибки относятся к проблемам серьезного повышения привилегий, раскрытия информации и недостаткам с отказом в обслуживании.
Уровень 2023-03-05 содержит 29 исправлений для ядра Android и компонентов сторонних поставщиков от MediaTek, Unisoc и Qualcomm.
Наиболее серьезными проблемами, исправленными в этом месяце, являются две критические уязвимости в компонентах Qualcomm с закрытым исходным кодом, отслеживаемые как CVE-2022-33213 и CVE-2022-33256.
Пользователи Android 10 или более ранних версий, срок службы EoL которых истек с сентября 2022 года (для версии 10), не получат исправления для вышеуказанных недостатков.
Тем не менее некоторые важные исправления безопасности могут быть получены через системные обновления Google Play.
Пользователям старых устройств, которые все еще работают, рекомендуется переключиться на сторонний дистрибутив Android, такой как LineageOS, который предлагает обновленные образы ОС для устройств, которые больше не поддерживаются их OEM-производителями.
Обновления развертываются в рамках двух отдельных уровней исправлений безопасности: 2023-03-01 и 2023-03-05.
Первый пакет содержит 31 исправление для основных компонентов Android, таких как Framework, System и Google Play.
Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в системном компоненте, которая может привести к RCE без дополнительных прав выполнения и взаимодействия с пользователем.
Две уязвимости отслеживаются как CVE-2023-20951 и CVE-2023-20954, подробности о которых Google не раскрывает.
Другие закрытые ошибки относятся к проблемам серьезного повышения привилегий, раскрытия информации и недостаткам с отказом в обслуживании.
Уровень 2023-03-05 содержит 29 исправлений для ядра Android и компонентов сторонних поставщиков от MediaTek, Unisoc и Qualcomm.
Наиболее серьезными проблемами, исправленными в этом месяце, являются две критические уязвимости в компонентах Qualcomm с закрытым исходным кодом, отслеживаемые как CVE-2022-33213 и CVE-2022-33256.
Пользователи Android 10 или более ранних версий, срок службы EoL которых истек с сентября 2022 года (для версии 10), не получат исправления для вышеуказанных недостатков.
Тем не менее некоторые важные исправления безопасности могут быть получены через системные обновления Google Play.
Пользователям старых устройств, которые все еще работают, рекомендуется переключиться на сторонний дистрибутив Android, такой как LineageOS, который предлагает обновленные образы ОС для устройств, которые больше не поддерживаются их OEM-производителями.
Израильская Check Point продолжает свои наблюдения за китайской Sharp Panda.
На этот раз хакеры вооружились новой версией Soul Framework для атак на правительственный сектор Юго-Восточной Азии в рамках своих кампании кибершпионажа, что означает отход от цепочек атак группы, выявленных в 2021 году.
С тех пор исследователи продолжали отслеживать использование инструментов АРТ в нескольких операциях в странах Юго-Восточной Азии, в частности во Вьетнаме, Таиланде и Индонезии.
Использование бэкдора Soul в реальных атаках было впервые подробно описано Symantec Broadcom в октябре 2021 года в связи с неустановленной шпионской операцией, направленной на оборону, здравоохранение и ИКТ в Юго-Восточной Азии.
Происхождение имплантата, согласно исследованию, опубликованному Fortinet FortiGuard Labs в феврале 2022 года, относится к октябрю 2017 года, когда вредоносное ПО перепрофилировало код из Gh0st RAT и других общедоступных инструментов.
Цепочка атак, подробно описанная Check Point, начинается с фишингового электронного письма, содержащего документ-приманку, в котором используется Royal Road Rich Text Format (RTF), чтобы сбросить загрузчик, используя одну из нескольких уязвимостей в Microsoft Equation Editor.
Загрузчик, в свою очередь, предназначен для извлечения SoulSearcher, с с2-сервера с геозоной, который отвечает только на запросы, исходящие с IP-адресов, соответствующих целевым странам.
Загрузчик реализует загрузку, расшифровку и выполнение бэкдора Soul и других его компонентов, что позволяет злоумышленнику собирать широкий спектр информации.
Основной модуль Soul отвечает за связь с C2-сервером, а его основная цель — получать и загружать в память дополнительные модули.
Интересно, что конфигурация бэкдора содержит функцию радиомолчания, которая включает механизм взаимодействия с C2-сервером по определенным часам и датам.
Полученные ресерчерами данные являются еще одним свидетельством обмена инструментами, который распространен среди китайских APТ для сбора разведывательной информации.
Хотя фреймворк Soul используется как минимум с 2017 года, стоящие за ним субъекты угроз постоянно обновляют и совершенствуют его архитектуру и возможности.
Исследователи отмечаеют, что кампания, вероятно, организована АРТ, чьи другие инструменты, возможности и положение в более широкой сети шпионской деятельности еще предстоит изучить.
На этот раз хакеры вооружились новой версией Soul Framework для атак на правительственный сектор Юго-Восточной Азии в рамках своих кампании кибершпионажа, что означает отход от цепочек атак группы, выявленных в 2021 году.
С тех пор исследователи продолжали отслеживать использование инструментов АРТ в нескольких операциях в странах Юго-Восточной Азии, в частности во Вьетнаме, Таиланде и Индонезии.
Использование бэкдора Soul в реальных атаках было впервые подробно описано Symantec Broadcom в октябре 2021 года в связи с неустановленной шпионской операцией, направленной на оборону, здравоохранение и ИКТ в Юго-Восточной Азии.
Происхождение имплантата, согласно исследованию, опубликованному Fortinet FortiGuard Labs в феврале 2022 года, относится к октябрю 2017 года, когда вредоносное ПО перепрофилировало код из Gh0st RAT и других общедоступных инструментов.
Цепочка атак, подробно описанная Check Point, начинается с фишингового электронного письма, содержащего документ-приманку, в котором используется Royal Road Rich Text Format (RTF), чтобы сбросить загрузчик, используя одну из нескольких уязвимостей в Microsoft Equation Editor.
Загрузчик, в свою очередь, предназначен для извлечения SoulSearcher, с с2-сервера с геозоной, который отвечает только на запросы, исходящие с IP-адресов, соответствующих целевым странам.
Загрузчик реализует загрузку, расшифровку и выполнение бэкдора Soul и других его компонентов, что позволяет злоумышленнику собирать широкий спектр информации.
Основной модуль Soul отвечает за связь с C2-сервером, а его основная цель — получать и загружать в память дополнительные модули.
Интересно, что конфигурация бэкдора содержит функцию радиомолчания, которая включает механизм взаимодействия с C2-сервером по определенным часам и датам.
Полученные ресерчерами данные являются еще одним свидетельством обмена инструментами, который распространен среди китайских APТ для сбора разведывательной информации.
Хотя фреймворк Soul используется как минимум с 2017 года, стоящие за ним субъекты угроз постоянно обновляют и совершенствуют его архитектуру и возможности.
Исследователи отмечаеют, что кампания, вероятно, организована АРТ, чьи другие инструменты, возможности и положение в более широкой сети шпионской деятельности еще предстоит изучить.
Check Point Research
Pandas with a Soul: Chinese Espionage Attacks Against Southeast Asian Government Entities - Check Point Research
Executive summary In 2021, Check Point Research published a report on a previously undisclosed toolset used by Sharp Panda, a long-running Chinese cyber-espionage operation targeting Southeast Asian government entities. Since then, we have continued to track…
Forwarded from Russian OSINT
Эксперты «Лаборатории Касперского» обнаружили мошенническую рассылку якобы от имени регулятора о запуске российской государственной криптовалюты. Такими сообщениями злоумышленники заманивают пользователей на ресурсы, где те рискуют потерять деньги. В конце февраля специалисты компании зафиксировали несколько тысяч подобных писем*. Схема, на которую обратили внимание эксперты, состоит из нескольких этапов.
1️⃣ Этап первый —
2️⃣ Этап второй —
3️⃣ Этап третий —
❗️Когда пользователи переходят по ссылке из письма, их могут перенаправлять на разные страницы — это распространённая практика у скамеров.
👉 Более подробно на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хакеры распространяют "заряженные" приложения обмена сообщениями, используемые для развертывания CapraRAT.
По мнению экспертов ESET, за кампанией стоит пакистанская АРТ Transparent Tribe, также известная как APT36, Mythic Leopard и Operation C-Major, которая использует троянизированный аналог WhatsApp - приложения для обмена сообщениями MeetUp и MeetsApp для распространения бэкдора.
Атака направлена преимущественно на пользователей устройств Android в Индии и Пакистане.
Согласно отчету, лица, ставшие жертвами продолжающейся кампании кибершпионажа, подавшись на обман, загрузили приложения для обмена сообщениями с вредоносным ПО CapraRAT с мошеннических веб-сайтов с помощью метода honeytrap, то есть любовной ловушкой.
Как установлено, CapraRAT, имеет сходство с вредоносным ПО CrimsonRAT для Windows и содержит "на борту" функции захвата снимков экрана и фотографий, записи телефонных звонков и аудио, а также возможность кражи хранящихся на устройстве данных.
ESET заявила, что вредоносная кампания имеет узкую направленность и не нашла доказательств того, что приложения были доступны в магазине Google Play.
Ранее Transparent Tribe проводила схожие атаки, направленные на правительственные организации Индии с использованием вредоносных версий решения для двухфакторной аутентификации под названием Kavach.
По мнению экспертов ESET, за кампанией стоит пакистанская АРТ Transparent Tribe, также известная как APT36, Mythic Leopard и Operation C-Major, которая использует троянизированный аналог WhatsApp - приложения для обмена сообщениями MeetUp и MeetsApp для распространения бэкдора.
Атака направлена преимущественно на пользователей устройств Android в Индии и Пакистане.
Согласно отчету, лица, ставшие жертвами продолжающейся кампании кибершпионажа, подавшись на обман, загрузили приложения для обмена сообщениями с вредоносным ПО CapraRAT с мошеннических веб-сайтов с помощью метода honeytrap, то есть любовной ловушкой.
Как установлено, CapraRAT, имеет сходство с вредоносным ПО CrimsonRAT для Windows и содержит "на борту" функции захвата снимков экрана и фотографий, записи телефонных звонков и аудио, а также возможность кражи хранящихся на устройстве данных.
ESET заявила, что вредоносная кампания имеет узкую направленность и не нашла доказательств того, что приложения были доступны в магазине Google Play.
Ранее Transparent Tribe проводила схожие атаки, направленные на правительственные организации Индии с использованием вредоносных версий решения для двухфакторной аутентификации под названием Kavach.
WeLiveSecurity
Love scam or espionage? Transparent Tribe lures Indian and Pakistani officials
ESET researchers analyze a campaign that has been distributing CapraRAT backdoors through trojanized and supposedly secure Android messaging apps.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• Snoop Project — один из самых перспективных #OSINT ПО для поиска user_name с учётом СНГ локаций. 90% из Вас уже слышали об этом инструменте и в более подробном описании он не нуждается.• 5 марта была опубликована новая версия данного инструмента, которая включает в себя следующие изменения:
- Расширена поисковая web-base Snoop до 2700 сайтов;
- Android. Ускорен поиск snoop на #Termux ~ на 200%;
- Переработана и улучшена интеллектуальная логика поиска;
- Добавлена проверка опечаток: nickname не может быть короче 2-х символов;
- Добавлена новая опция поиска: режим '
--quick', которая ускоряет общий поиск;- Переработана кодовая база некоторых частей ПО, в проекте стало меньше сторонних lib-зависимостей;
- Косметические изменения в ПО.
• Полное описание обновления читайте в Changelog'е.
• Скачать Snoop для Windows и Linux можно отсюда;
• Мануал по установке на Android;
• База данных из 2700+ ресурсов;
• Документация \ подробное руководство;
• Автор.
• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://xn--r1a.website/Social_engineering/2548
S.E. ▪️ S.E.Relax ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Google на этой неделе выпустила Chrome 111 в стабильном канале с исправлениями для 40 уязвимостей.
В общей сложности внешние исследователи сообщили о 24 устраненных дефектах безопасности. К ним относятся восемь ошибок с высокой степенью серьезности, 11 ошибок со средней степенью серьезности и пять проблем с низкой степенью серьезности.
Три уязвимости высокой степени серьезности, которые раскрыли сторонние исследователи, представляют собой ошибки использования после освобождения, влияющие на Swiftshader, DevTools и WebRTC, за которые Google отвалила вознаграждение в размере 15 000, 4 000 и 3 000 долларов США соответственно.
В бюллетене также упоминаются два дефекта путаницы типов в V8 и CSS, за которые было выплачено 10 000 и 7 000 долларов соответственно.
Кроме того, устранена проблема переполнения буфера стека в отчетах о сбоях, за которую было выплачено вознаграждение в размере 3000 долларов США. За две ошибки переполнения буфера кучи в Metrics и UMA вознаграждение еще не определено.
Шесть уязвимостей средней степени серьезности, о которых сообщалось извне, — это ошибки недостаточного применения политик, влияющие на такие компоненты браузера, как API расширений, автозаполнение, API веб-платежей, навигация и намерения
В Chrome 111 устранены проблемы несоответствующей реализации средней степени серьезности в запросах разрешений, установке веб-приложений и автозаполнении, ошибка переполнения буфера кучи в API веб-аудио и уязвимость использования после освобождения в Core.
Незначительные дефекты, о которых сообщалось извне, включают две проблемы с недостаточным применением политик в Resource Timing, несоответствующую ошибку реализации в намерениях, ошибку путаницы типов в DevTools и несоответствующую уязвимость реализации во внутренних компонентах.
Google не упоминает об использовании каких-либо из этих уязвимостей в атаках. Обновленный Chrome в настоящее время доступен в версиях 111.0.5563.64/.65 для Windows и версии 111.0.5563.64 для Linux и macOS.
В общей сложности внешние исследователи сообщили о 24 устраненных дефектах безопасности. К ним относятся восемь ошибок с высокой степенью серьезности, 11 ошибок со средней степенью серьезности и пять проблем с низкой степенью серьезности.
Три уязвимости высокой степени серьезности, которые раскрыли сторонние исследователи, представляют собой ошибки использования после освобождения, влияющие на Swiftshader, DevTools и WebRTC, за которые Google отвалила вознаграждение в размере 15 000, 4 000 и 3 000 долларов США соответственно.
В бюллетене также упоминаются два дефекта путаницы типов в V8 и CSS, за которые было выплачено 10 000 и 7 000 долларов соответственно.
Кроме того, устранена проблема переполнения буфера стека в отчетах о сбоях, за которую было выплачено вознаграждение в размере 3000 долларов США. За две ошибки переполнения буфера кучи в Metrics и UMA вознаграждение еще не определено.
Шесть уязвимостей средней степени серьезности, о которых сообщалось извне, — это ошибки недостаточного применения политик, влияющие на такие компоненты браузера, как API расширений, автозаполнение, API веб-платежей, навигация и намерения
В Chrome 111 устранены проблемы несоответствующей реализации средней степени серьезности в запросах разрешений, установке веб-приложений и автозаполнении, ошибка переполнения буфера кучи в API веб-аудио и уязвимость использования после освобождения в Core.
Незначительные дефекты, о которых сообщалось извне, включают две проблемы с недостаточным применением политик в Resource Timing, несоответствующую ошибку реализации в намерениях, ошибку путаницы типов в DevTools и несоответствующую уязвимость реализации во внутренних компонентах.
Google не упоминает об использовании каких-либо из этих уязвимостей в атаках. Обновленный Chrome в настоящее время доступен в версиях 111.0.5563.64/.65 для Windows и версии 111.0.5563.64 для Linux и macOS.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 111 to the stable channel for Windows, Mac and Linux . This will roll out ...
Исследователи Mandiant совметсно с SonicWall PSIRT сообщают о новой кампании кибершпионажа, в ходе которой злоумышленник UNC4540 нацелен на неисправленные устройства SonicWall Secure Mobile Access (SMA).
В ходе атак актор разворачивает специальное вредоносное ПО, используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении прошивки.
Малварь состоит из бинарного файла ELF, бэкдора TinyShell и нескольких сценариев bash, демонстрирующих глубокое понимание целевых сетевых устройств и адаптацию к системе для обеспечения стабильности и устойчивости.
Основной модуль firewalld выполняет SQL-команды в отношении базы данных устройства и крадет хешированные учетные данные всех вошедших в систему пользователей. Они копируются в текстовый файл, созданный злоумышленником в tmp/syslog.db, а затем извлекаются для взлома в автономном режиме.
firewalld также запускает другие вредоносные компоненты TinyShell, чтобы установить обратную оболочку на устройстве для упрощения удаленного доступа.
Основной вредоносный модуль также добавляет небольшой патч к легитимному бинарному файлу SonicWall, но исследователи Mandiant не смогли определить его точную цель.
Аналитики предполагают, что модификация способствует стабильности вредоносного ПО при вводе команды выключения на устройстве.
Пока непонятно, какая именно уязвимость использовалась для компрометации устройств. Учитывая, что целевые устройства не были исправлены, они могут быть уязвимыми для более старых недостатков (прежде всего таких, как CVE-2021-20038, CVE-2021-20039, CVE-2021-20045, CVE-2021-20016, CVE-2022-22282 и др).
Mandiant также предполагает, что вредоносное ПО могло быть установлено еще в 2021 году и сохранялось в ходе нескольких последующих обновлений прошивки.
Злоумышленники добились этого, используя специальные сценарии. Например, благодаря сценарию iptabled, который по сути является тем же модулем, что и firewalld, но вызывается сценарием запуска (rc.local) только в случае выхода, сбоя или невозможности запуска основного вредоносного процесса.
Кроме того, злоумышленники реализовали процесс, при котором скрипт bash (geoBotnetd) проверяет наличие новых обновлений прошивки в «/cf/FIRMWARE/NEW/INITRD.GZ» каждые 10 секунд. Если таковая обнаружена, вредоносная программа внедряется в пакет обновления.
Сценарий также добавляет бэкдор-пользователя с именем acme в файл обновления, чтобы он мог сохранить доступ после того, как обновление микропрограммы будет применено к взломанному устройству.
Системным администраторам рекомендуется применять последние обновления безопасности, предоставляемые SonicWall для устройств SMA100.
Рекомендуемая целевая версия на данный момент — 10.2.1.7 и выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаруживать и останавливать эту угрозу.
Обнаруженная кампания имеет много общего с недавними атаками, направленными на 0-day в устройствах Fortinet SSL-VPN, описанными в бюллетене разработчика.
В ходе атак актор разворачивает специальное вредоносное ПО, используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении прошивки.
Малварь состоит из бинарного файла ELF, бэкдора TinyShell и нескольких сценариев bash, демонстрирующих глубокое понимание целевых сетевых устройств и адаптацию к системе для обеспечения стабильности и устойчивости.
Основной модуль firewalld выполняет SQL-команды в отношении базы данных устройства и крадет хешированные учетные данные всех вошедших в систему пользователей. Они копируются в текстовый файл, созданный злоумышленником в tmp/syslog.db, а затем извлекаются для взлома в автономном режиме.
firewalld также запускает другие вредоносные компоненты TinyShell, чтобы установить обратную оболочку на устройстве для упрощения удаленного доступа.
Основной вредоносный модуль также добавляет небольшой патч к легитимному бинарному файлу SonicWall, но исследователи Mandiant не смогли определить его точную цель.
Аналитики предполагают, что модификация способствует стабильности вредоносного ПО при вводе команды выключения на устройстве.
Пока непонятно, какая именно уязвимость использовалась для компрометации устройств. Учитывая, что целевые устройства не были исправлены, они могут быть уязвимыми для более старых недостатков (прежде всего таких, как CVE-2021-20038, CVE-2021-20039, CVE-2021-20045, CVE-2021-20016, CVE-2022-22282 и др).
Mandiant также предполагает, что вредоносное ПО могло быть установлено еще в 2021 году и сохранялось в ходе нескольких последующих обновлений прошивки.
Злоумышленники добились этого, используя специальные сценарии. Например, благодаря сценарию iptabled, который по сути является тем же модулем, что и firewalld, но вызывается сценарием запуска (rc.local) только в случае выхода, сбоя или невозможности запуска основного вредоносного процесса.
Кроме того, злоумышленники реализовали процесс, при котором скрипт bash (geoBotnetd) проверяет наличие новых обновлений прошивки в «/cf/FIRMWARE/NEW/INITRD.GZ» каждые 10 секунд. Если таковая обнаружена, вредоносная программа внедряется в пакет обновления.
Сценарий также добавляет бэкдор-пользователя с именем acme в файл обновления, чтобы он мог сохранить доступ после того, как обновление микропрограммы будет применено к взломанному устройству.
Системным администраторам рекомендуется применять последние обновления безопасности, предоставляемые SonicWall для устройств SMA100.
Рекомендуемая целевая версия на данный момент — 10.2.1.7 и выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаруживать и останавливать эту угрозу.
Обнаруженная кампания имеет много общего с недавними атаками, направленными на 0-day в устройствах Fortinet SSL-VPN, описанными в бюллетене разработчика.
Google Cloud Blog
Suspected Chinese Campaign to Persist on SonicWall Devices, Highlights Importance of Monitoring Edge Devices | Google Cloud Blog
Cisco объявила об исправлениях для уязвимости высокой степени риска отказа в обслуживании (DoS) в ПО IOS XR для корпоративных маршрутизаторов серий ASR 9000, ASR 9902 и ASR 9903.
Отслеживаемая как CVE-2023-20049 имеет оценку CVSS 8,6 и влияет на функцию аппаратной разгрузки обнаружения двунаправленной пересылки BFD для платформы и может быть использована удаленно без аутентификации.
На уязвимых устройствах с включенной функцией аппаратной разгрузки BFD искаженные пакеты обрабатываются неправильно, что позволяет злоумышленнику отправлять созданные пакеты IPv4 BFD на настроенный адрес IPv4 и запускать уязвимость.
Успешный эксплойт может позволить злоумышленнику вызвать исключения линейной карты или аппаратный сброс, что приведет к потере трафика по этой линейной карте во время перезагрузки линейной карты.
В качестве обходного пути технический гигант рекомендует отключить функцию аппаратной разгрузки BFD, что можно сделать, удалив все команды hw-module bfw-hw-offload enable и сбросив линейную карту.
Дефект затрагивает маршрутизаторы служб агрегации серии ASR 9000 с установленной линейной картой Lightspeed или Lightspeed-Plus, а также компактные высокопроизводительные маршрутизаторы ASR 9902 и ASR 9903.
Исправления для этой уязвимости были включены в программное обеспечение IOS XR версий 7.5.3, 7.6.2 и 7.7.1.
На этой неделе Cisco также анонсировала исправления для уязвимости раскрытия информации в GRand Unified Bootloader (GRUB) для программного обеспечения IOS XR.
Уязвимость, отслеживаемая как CVE-2023-20064, может быть использована злоумышленниками, не прошедшими проверку подлинности и имеющими физический доступ к устройству.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Дополнительная информация доступна на странице безопасности Cisco.
Отслеживаемая как CVE-2023-20049 имеет оценку CVSS 8,6 и влияет на функцию аппаратной разгрузки обнаружения двунаправленной пересылки BFD для платформы и может быть использована удаленно без аутентификации.
На уязвимых устройствах с включенной функцией аппаратной разгрузки BFD искаженные пакеты обрабатываются неправильно, что позволяет злоумышленнику отправлять созданные пакеты IPv4 BFD на настроенный адрес IPv4 и запускать уязвимость.
Успешный эксплойт может позволить злоумышленнику вызвать исключения линейной карты или аппаратный сброс, что приведет к потере трафика по этой линейной карте во время перезагрузки линейной карты.
В качестве обходного пути технический гигант рекомендует отключить функцию аппаратной разгрузки BFD, что можно сделать, удалив все команды hw-module bfw-hw-offload enable и сбросив линейную карту.
Дефект затрагивает маршрутизаторы служб агрегации серии ASR 9000 с установленной линейной картой Lightspeed или Lightspeed-Plus, а также компактные высокопроизводительные маршрутизаторы ASR 9902 и ASR 9903.
Исправления для этой уязвимости были включены в программное обеспечение IOS XR версий 7.5.3, 7.6.2 и 7.7.1.
На этой неделе Cisco также анонсировала исправления для уязвимости раскрытия информации в GRand Unified Bootloader (GRUB) для программного обеспечения IOS XR.
Уязвимость, отслеживаемая как CVE-2023-20064, может быть использована злоумышленниками, не прошедшими проверку подлинности и имеющими физический доступ к устройству.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Дополнительная информация доступна на странице безопасности Cisco.
Veeam призывает клиентов исправить серьезную уязвимость ПО для резервного копирования и репликации.
Как заявляет Veeam, ее продукт для резервного копирования, аварийного восстановления и защиты данных используют более 450 000 клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72 % компаний из списка Global 2000.
CVE-2023-27532 была обнаружена в середине февраля исследователем, известным как Shanigen, и затрагивает все версии Veeam Backup & Replication (VBR).
Злоумышленники, не прошедшие проверку подлинности, могут использовать его для доступа к узлам инфраструктуры резервного копирования после получения зашифрованных учетных данных, хранящихся в базе данных конфигурации VeeamVBR.
Согласно бюллетеню Veeam, основной причиной этой уязвимости является Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные.
Компания выпустила обновления, устраняющие эту уязвимость для VBR V11 и V12, при этом клиентам, использующим более старые версии, рекомендуется сначала обновить один из этих двух поддерживаемых продуктов.
Veeam также предоставляет временное исправление для CVE-2023-27532 для тех, кто не может оперативно развернуть обвновления, выпущенные на этой неделе.
Клиентам следует заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.
Однако важно отметить, что этот обходной путь следует использовать только в нераспределенных средах Veeam, поскольку он также повлияет на подключения серверов монтирования к серверу VBR.
Как заявляет Veeam, ее продукт для резервного копирования, аварийного восстановления и защиты данных используют более 450 000 клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72 % компаний из списка Global 2000.
CVE-2023-27532 была обнаружена в середине февраля исследователем, известным как Shanigen, и затрагивает все версии Veeam Backup & Replication (VBR).
Злоумышленники, не прошедшие проверку подлинности, могут использовать его для доступа к узлам инфраструктуры резервного копирования после получения зашифрованных учетных данных, хранящихся в базе данных конфигурации VeeamVBR.
Согласно бюллетеню Veeam, основной причиной этой уязвимости является Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные.
Компания выпустила обновления, устраняющие эту уязвимость для VBR V11 и V12, при этом клиентам, использующим более старые версии, рекомендуется сначала обновить один из этих двух поддерживаемых продуктов.
Veeam также предоставляет временное исправление для CVE-2023-27532 для тех, кто не может оперативно развернуть обвновления, выпущенные на этой неделе.
Клиентам следует заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.
Однако важно отметить, что этот обходной путь следует использовать только в нераспределенных средах Veeam, поскольку он также повлияет на подключения серверов монтирования к серверу VBR.
Veeam Software
NEW Veeam Backup for Microsoft 365 v7 Delivers the Most Advanced Protection Against Cyber Attacks and Outages
Спустя месяц, после того, как мы сообщали о критических уязвимостях IBM Aspera Faspex и первых попытках их эксплуатации, за дело взялись вымогатели.
Теперь IBM Aspera Faspex для атак на корпоративные сети на базе Linux пользуются IceFire Ransomware.
Ранее известная разновидность программы-вымогателя на базе Windows, известная как IceFire, расширила свою деятельность на корпоративные сети Linux, принадлежащие нескольким организациям медиа- и развлекательного сектора по всему миру.
По данным SentinelOne, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в ПО для обмена файлами IBM Aspera Faspex (CVE-2022-47986 , оценка CVSS: 9,8).
Большинство атак, наблюдаемых SentinelOne, были направлены на компании, расположенные в Турции, Иране, Пакистане и ОАЭ.
IceFire был впервые обнаружен в марте 2022 года командой MalwareHunterTeam.
Но, как отмечали GuidePoint Security, Malwarebytes и NCC Group, в августе 2022 года о жертвах стало известно только через сайт утечки в даркнете.
Двоичный файл ransomware, нацеленный на Linux, представляет собой 64-разрядный ELF-файл размером 2,18 МБ, который устанавливается на хостах CentOS, на которых запущена уязвимая версия ПО файлового сервера IBM Aspera Faspex.
Он также способен избегать шифрования определенных путей, чтобы зараженная машина продолжала работать.
Как отмечают исследователи, по сравнению с Windows, на Linux сложнее разверачивать программы-вымогатели, особенно в больших масштабах.
Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, практически не эффективны.
Чтобы преодолеть такие трудности, злоумышленники прибегают к использованию уязвимостей приложений. Поэтому и IBM Aspera Faspex оказалась в тренде.
Теперь IBM Aspera Faspex для атак на корпоративные сети на базе Linux пользуются IceFire Ransomware.
Ранее известная разновидность программы-вымогателя на базе Windows, известная как IceFire, расширила свою деятельность на корпоративные сети Linux, принадлежащие нескольким организациям медиа- и развлекательного сектора по всему миру.
По данным SentinelOne, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в ПО для обмена файлами IBM Aspera Faspex (CVE-2022-47986 , оценка CVSS: 9,8).
Большинство атак, наблюдаемых SentinelOne, были направлены на компании, расположенные в Турции, Иране, Пакистане и ОАЭ.
IceFire был впервые обнаружен в марте 2022 года командой MalwareHunterTeam.
Но, как отмечали GuidePoint Security, Malwarebytes и NCC Group, в августе 2022 года о жертвах стало известно только через сайт утечки в даркнете.
Двоичный файл ransomware, нацеленный на Linux, представляет собой 64-разрядный ELF-файл размером 2,18 МБ, который устанавливается на хостах CentOS, на которых запущена уязвимая версия ПО файлового сервера IBM Aspera Faspex.
Он также способен избегать шифрования определенных путей, чтобы зараженная машина продолжала работать.
Как отмечают исследователи, по сравнению с Windows, на Linux сложнее разверачивать программы-вымогатели, особенно в больших масштабах.
Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, практически не эффективны.
Чтобы преодолеть такие трудности, злоумышленники прибегают к использованию уязвимостей приложений. Поэтому и IBM Aspera Faspex оказалась в тренде.
Telegram
SecAtor
Ресерчеры Аssetnote обнаружили RCE-уязвимость CVE-2022-47986 в одном из самых популярных корпоративных решений для быстрой и безопасной передачи файлов - IBM Aspera Faspex.
Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera…
Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera…