Fortinet в последнем бюллетене по безопасности сообщает о новой критической уязвимости RCE без аутентификации.

Ошибка опустошения буфера отслеживается как CVE-2023-25610 и имеет оценку CVSS v3 9,3.

Она влияет на FortiOS и FortiProxy и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код или вызывать DoS в графическом интерфейсе устройств, используя специально созданные запросы.

Бага затрагивает FortiOS (версии с 7.2.0 по 7.2.3, с 7.0.0 по 7.0.9, с 6.4.0 по 6.4.11, с 6.2.0 по 6.2.12) FortiOS 6.0 (все версии), FortiProxy (версии с 7.2.0 по 7.2.2, с 7.0.0 по 7.0.8, от 2.0.0 до 2.0.11), FortiProxy 1.2 (все версии) и FortiProxy 1.1 (все версии).

При этом Fortinet отмечает, что пятьдесят моделей устройств, перечисленных в бюллетене по безопасности, не подвержены RCE, только для DoS, даже если они работают под управлением уязвимой версии FortiOS.

В новых версиях для указанных продуктов CVE-2023-25610 исправлена.

Поскольку злоумышленники пристально следят за критическими уязвимостями Fortinet, особенно теми, которые не требуют аутентификации для использования, администраторам следует как можно скорее установить доступные обновления безопасности.

Для тех, кто не может применить обновления, Fortinet предлагает обходной путь отключения административного интерфейса HTTP/HTTPS или ограничения IP-адресов, которые могут получить к нему удаленный доступ.

Инструкции по применению обходных путей, которые также охватывают случаи использования порта не по умолчанию, включены в рекомендации по безопасности.

Пока же Fortinet заявляет, что в настоящее время ей неизвестно о каких-либо случаях активной эксплуатации в дикой природе.

Тайваньский производитель Acer подтвердил киберинцидент с утечкой более 160 ГБ данных, украденных в середине февраля 2023 года.

Как мы уже сообщали, селлер, известный под Kernelware, объявил аукцион на реализацию всего лота по наивысшей предложенной цене.

Покупателю предлагаются технические руководства, программные инструменты, сведения о серверной инфраструктуре, документация по моделям продуктов для телефонов, планшетов и ноутбуков, образы BIOS, файлы ПЗУ, файлы ISO и сменные цифровые ключи продукта (RDPK).

Согласно заявлению Acer, произошел взлом одного из ее серверов с электронной документацией для специалистов по ремонту.

В ходе расследования установлено, что никаких признаков нахождения на этом сервере данные о потребителях не получено.

Не менее серьезный инцидент произошел с Facebook (*признана в РФ экстремистской).

LLaMA (Large Language Model Meta AI), коллекция больших языковых моделей, разработанных внутри Meta, просочилась на 4chan на прошлой неделе, что стало первым случаем полной утечки модели ИИ крупной технологической компании.

Утечке предшествовало решение Meta предоставить доступ к модели исследователям из сообщества ИИ.

Несмотря на то, что злоумышленник скрыл свою личность, представившись на 4chan как llamanon, AnalyticsIndiaMag отмечает, что торрент-файл LLaMA содержал уникальный идентификатор, который теоретически позволил бы Meta отследить источники утечки.

Однако согласно Motherboard, Meta не опровергла и не подтвердила утечку, а также не предприняла никаких шагов для удаления торрента.

Google выпустила обновления безопасности для Android за март 2023 года, исправив в общей сложности 60 ошибок, в том числе две критически важные RCE-уязвимости, затрагивающие системы с версиями 11, 12 и 13.

Обновления развертываются в рамках двух отдельных уровней исправлений безопасности: 2023-03-01 и 2023-03-05.

Первый пакет содержит 31 исправление для основных компонентов Android, таких как Framework, System и Google Play.

Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в системном компоненте, которая может привести к RCE без дополнительных прав выполнения и взаимодействия с пользователем.

Две уязвимости отслеживаются как CVE-2023-20951 и CVE-2023-20954, подробности о которых Google не раскрывает.

Другие закрытые ошибки относятся к проблемам серьезного повышения привилегий, раскрытия информации и недостаткам с отказом в обслуживании.

Уровень 2023-03-05 содержит 29 исправлений для ядра Android и компонентов сторонних поставщиков от MediaTek, Unisoc и Qualcomm.

Наиболее серьезными проблемами, исправленными в этом месяце, являются две критические уязвимости в компонентах Qualcomm с закрытым исходным кодом, отслеживаемые как CVE-2022-33213 и CVE-2022-33256.

Пользователи Android 10 или более ранних версий, срок службы EoL которых истек с сентября 2022 года (для версии 10), не получат исправления для вышеуказанных недостатков.

Тем не менее некоторые важные исправления безопасности могут быть получены через системные обновления Google Play.

Пользователям старых устройств, которые все еще работают, рекомендуется переключиться на сторонний дистрибутив Android, такой как LineageOS, который предлагает обновленные образы ОС для устройств, которые больше не поддерживаются их OEM-производителями.

Израильская Check Point продолжает свои наблюдения за китайской Sharp Panda.

На этот раз хакеры вооружились новой версией Soul Framework для атак на правительственный сектор Юго-Восточной Азии в рамках своих кампании кибершпионажа, что означает отход от цепочек атак группы, выявленных в 2021 году.

С тех пор исследователи продолжали отслеживать использование инструментов АРТ в нескольких операциях в странах Юго-Восточной Азии, в частности во Вьетнаме, Таиланде и Индонезии.

Использование бэкдора Soul в реальных атаках было впервые подробно описано Symantec Broadcom в октябре 2021 года в связи с неустановленной шпионской операцией, направленной на оборону, здравоохранение и ИКТ в Юго-Восточной Азии.

Происхождение имплантата, согласно исследованию, опубликованному Fortinet FortiGuard Labs в феврале 2022 года, относится к октябрю 2017 года, когда вредоносное ПО перепрофилировало код из Gh0st RAT и других общедоступных инструментов.

Цепочка атак, подробно описанная Check Point, начинается с фишингового электронного письма, содержащего документ-приманку, в котором используется Royal Road Rich Text Format (RTF), чтобы сбросить загрузчик, используя одну из нескольких уязвимостей в Microsoft Equation Editor.

Загрузчик, в свою очередь, предназначен для извлечения SoulSearcher, с с2-сервера с геозоной, который отвечает только на запросы, исходящие с IP-адресов, соответствующих целевым странам.

Загрузчик реализует загрузку, расшифровку и выполнение бэкдора Soul и других его компонентов, что позволяет злоумышленнику собирать широкий спектр информации.

Основной модуль Soul отвечает за связь с C2-сервером, а его основная цель — получать и загружать в память дополнительные модули.

Интересно, что конфигурация бэкдора содержит функцию радиомолчания, которая включает механизм взаимодействия с C2-сервером по определенным часам и датам.

Полученные ресерчерами данные являются еще одним свидетельством обмена инструментами, который распространен среди китайских APТ для сбора разведывательной информации.

Хотя фреймворк Soul используется как минимум с 2017 года, стоящие за ним субъекты угроз постоянно обновляют и совершенствуют его архитектуру и возможности.

Исследователи отмечаеют, что кампания, вероятно, организована АРТ, чьи другие инструменты, возможности и положение в более широкой сети шпионской деятельности еще предстоит изучить.

Хакеры распространяют "заряженные" приложения обмена сообщениями, используемые для развертывания CapraRAT.

По мнению экспертов ESET, за кампанией стоит пакистанская АРТ Transparent Tribe, также известная как APT36, Mythic Leopard и Operation C-Major, которая использует троянизированный аналог WhatsApp - приложения для обмена сообщениями MeetUp и MeetsApp для распространения бэкдора.

Атака направлена преимущественно на пользователей устройств Android в Индии и Пакистане.

Согласно отчету, лица, ставшие жертвами продолжающейся кампании кибершпионажа, подавшись на обман, загрузили приложения для обмена сообщениями с вредоносным ПО CapraRAT с мошеннических веб-сайтов с помощью метода honeytrap, то есть любовной ловушкой.

Как установлено, CapraRAT, имеет сходство с вредоносным ПО CrimsonRAT для Windows и содержит "на борту" функции захвата снимков экрана и фотографий, записи телефонных звонков и аудио, а также возможность кражи хранящихся на устройстве данных.

ESET заявила, что вредоносная кампания имеет узкую направленность и не нашла доказательств того, что приложения были доступны в магазине Google Play.

Ранее Transparent Tribe проводила схожие атаки, направленные на правительственные организации Индии с использованием вредоносных версий решения для двухфакторной аутентификации под названием Kavach.

Google на этой неделе выпустила Chrome 111 в стабильном канале с исправлениями для 40 уязвимостей.

В общей сложности внешние исследователи сообщили о 24 устраненных дефектах безопасности. К ним относятся восемь ошибок с высокой степенью серьезности, 11 ошибок со средней степенью серьезности и пять проблем с низкой степенью серьезности.

Три уязвимости высокой степени серьезности, которые раскрыли сторонние исследователи, представляют собой ошибки использования после освобождения, влияющие на Swiftshader, DevTools и WebRTC, за которые Google отвалила вознаграждение в размере 15 000, 4 000 и 3 000 долларов США соответственно.

В бюллетене также упоминаются два дефекта путаницы типов в V8 и CSS, за которые было выплачено 10 000 и 7 000 долларов соответственно.

Кроме того, устранена проблема переполнения буфера стека в отчетах о сбоях, за которую было выплачено вознаграждение в размере 3000 долларов США. За две ошибки переполнения буфера кучи в Metrics и UMA вознаграждение еще не определено.

Шесть уязвимостей средней степени серьезности, о которых сообщалось извне, — это ошибки недостаточного применения политик, влияющие на такие компоненты браузера, как API расширений, автозаполнение, API веб-платежей, навигация и намерения

В Chrome 111 устранены проблемы несоответствующей реализации средней степени серьезности в запросах разрешений, установке веб-приложений и автозаполнении, ошибка переполнения буфера кучи в API веб-аудио и уязвимость использования после освобождения в Core.

Незначительные дефекты, о которых сообщалось извне, включают две проблемы с недостаточным применением политик в Resource Timing, несоответствующую ошибку реализации в намерениях, ошибку путаницы типов в DevTools и несоответствующую уязвимость реализации во внутренних компонентах.

Google не упоминает об использовании каких-либо из этих уязвимостей в атаках. Обновленный Chrome в настоящее время доступен в версиях 111.0.5563.64/.65 для Windows и версии 111.0.5563.64 для Linux и macOS.

Исследователи Mandiant совметсно с SonicWall PSIRT сообщают о новой кампании кибершпионажа, в ходе которой злоумышленник UNC4540 нацелен на неисправленные устройства SonicWall Secure Mobile Access (SMA).

В ходе атак актор разворачивает специальное вредоносное ПО, используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении прошивки.

Малварь состоит из бинарного файла ELF, бэкдора TinyShell и нескольких сценариев bash, демонстрирующих глубокое понимание целевых сетевых устройств и адаптацию к системе для обеспечения стабильности и устойчивости.

Основной модуль firewalld выполняет SQL-команды в отношении базы данных устройства и крадет хешированные учетные данные всех вошедших в систему пользователей. Они копируются в текстовый файл, созданный злоумышленником в tmp/syslog.db, а затем извлекаются для взлома в автономном режиме.

firewalld также запускает другие вредоносные компоненты TinyShell, чтобы установить обратную оболочку на устройстве для упрощения удаленного доступа.

Основной вредоносный модуль также добавляет небольшой патч к легитимному бинарному файлу SonicWall, но исследователи Mandiant не смогли определить его точную цель.

Аналитики предполагают, что модификация способствует стабильности вредоносного ПО при вводе команды выключения на устройстве.

Пока непонятно, какая именно уязвимость использовалась для компрометации устройств. Учитывая, что целевые устройства не были исправлены, они могут быть уязвимыми для более старых недостатков (прежде всего таких, как CVE-2021-20038, CVE-2021-20039, CVE-2021-20045, CVE-2021-20016, CVE-2022-22282 и др).

Mandiant также предполагает, что вредоносное ПО могло быть установлено еще в 2021 году и сохранялось в ходе нескольких последующих обновлений прошивки.

Злоумышленники добились этого, используя специальные сценарии. Например, благодаря сценарию iptabled, который по сути является тем же модулем, что и firewalld, но вызывается сценарием запуска (rc.local) только в случае выхода, сбоя или невозможности запуска основного вредоносного процесса.

Кроме того, злоумышленники реализовали процесс, при котором скрипт bash (geoBotnetd) проверяет наличие новых обновлений прошивки в «/cf/FIRMWARE/NEW/INITRD.GZ» каждые 10 секунд. Если таковая обнаружена, вредоносная программа внедряется в пакет обновления.

Сценарий также добавляет бэкдор-пользователя с именем acme в файл обновления, чтобы он мог сохранить доступ после того, как обновление микропрограммы будет применено к взломанному устройству.

Системным администраторам рекомендуется применять последние обновления безопасности, предоставляемые SonicWall для устройств SMA100.

Рекомендуемая целевая версия на данный момент — 10.2.1.7 и выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаруживать и останавливать эту угрозу.

Обнаруженная кампания имеет много общего с недавними атаками, направленными на 0-day в устройствах Fortinet SSL-VPN, описанными в бюллетене разработчика.

Cisco объявила об исправлениях для уязвимости высокой степени риска отказа в обслуживании (DoS) в ПО IOS XR для корпоративных маршрутизаторов серий ASR 9000, ASR 9902 и ASR 9903.

Отслеживаемая как CVE-2023-20049 имеет оценку CVSS 8,6 и влияет на функцию аппаратной разгрузки обнаружения двунаправленной пересылки BFD для платформы и может быть использована удаленно без аутентификации.

На уязвимых устройствах с включенной функцией аппаратной разгрузки BFD искаженные пакеты обрабатываются неправильно, что позволяет злоумышленнику отправлять созданные пакеты IPv4 BFD на настроенный адрес IPv4 и запускать уязвимость.

Успешный эксплойт может позволить злоумышленнику вызвать исключения линейной карты или аппаратный сброс, что приведет к потере трафика по этой линейной карте во время перезагрузки линейной карты.

В качестве обходного пути технический гигант рекомендует отключить функцию аппаратной разгрузки BFD, что можно сделать, удалив все команды hw-module bfw-hw-offload enable и сбросив линейную карту.

Дефект затрагивает маршрутизаторы служб агрегации серии ASR 9000 с установленной линейной картой Lightspeed или Lightspeed-Plus, а также компактные высокопроизводительные маршрутизаторы ASR 9902 и ASR 9903.

Исправления для этой уязвимости были включены в программное обеспечение IOS XR версий 7.5.3, 7.6.2 и 7.7.1.

На этой неделе Cisco также анонсировала исправления для уязвимости раскрытия информации в GRand Unified Bootloader (GRUB) для программного обеспечения IOS XR.

Уязвимость, отслеживаемая как CVE-2023-20064, может быть использована злоумышленниками, не прошедшими проверку подлинности и имеющими физический доступ к устройству.

Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Дополнительная информация доступна на странице безопасности Cisco.

Veeam призывает клиентов исправить серьезную уязвимость ПО для резервного копирования и репликации.

Как заявляет Veeam, ее продукт для резервного копирования, аварийного восстановления и защиты данных используют более 450 000 клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72 % компаний из списка Global 2000.

CVE-2023-27532 была обнаружена в середине февраля исследователем, известным как Shanigen, и затрагивает все версии Veeam Backup & Replication (VBR).

Злоумышленники, не прошедшие проверку подлинности, могут использовать его для доступа к узлам инфраструктуры резервного копирования после получения зашифрованных учетных данных, хранящихся в базе данных конфигурации VeeamVBR.

Согласно бюллетеню Veeam, основной причиной этой уязвимости является Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные.

Компания выпустила обновления, устраняющие эту уязвимость для VBR V11 и V12, при этом клиентам, использующим более старые версии, рекомендуется сначала обновить один из этих двух поддерживаемых продуктов.

Veeam также предоставляет временное исправление для CVE-2023-27532 для тех, кто не может оперативно развернуть обвновления, выпущенные на этой неделе.

Клиентам следует заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.

Однако важно отметить, что этот обходной путь следует использовать только в нераспределенных средах Veeam, поскольку он также повлияет на подключения серверов монтирования к серверу VBR.

Спустя месяц, после того, как мы сообщали о критических уязвимостях IBM Aspera Faspex и первых попытках их эксплуатации, за дело взялись вымогатели.

Теперь IBM Aspera Faspex для атак на корпоративные сети на базе Linux пользуются IceFire Ransomware.

Ранее известная разновидность программы-вымогателя на базе Windows, известная как IceFire, расширила свою деятельность на корпоративные сети Linux, принадлежащие нескольким организациям медиа- и развлекательного сектора по всему миру.

По данным SentinelOne, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в ПО для обмена файлами IBM Aspera Faspex (CVE-2022-47986 , оценка CVSS: 9,8).

Большинство атак, наблюдаемых SentinelOne, были направлены на компании, расположенные в Турции, Иране, Пакистане и ОАЭ.

IceFire был впервые обнаружен в марте 2022 года командой MalwareHunterTeam.

Но, как отмечали GuidePoint Security, Malwarebytes и NCC Group, в августе 2022 года о жертвах стало известно только через сайт утечки в даркнете.

Двоичный файл ransomware, нацеленный на Linux, представляет собой 64-разрядный ELF-файл размером 2,18 МБ, который устанавливается на хостах CentOS, на которых запущена уязвимая версия ПО файлового сервера IBM Aspera Faspex.

Он также способен избегать шифрования определенных путей, чтобы зараженная машина продолжала работать.

Как отмечают исследователи, по сравнению с Windows, на Linux сложнее разверачивать программы-вымогатели, особенно в больших масштабах.

Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, практически не эффективны.

Чтобы преодолеть такие трудности, злоумышленники прибегают к использованию уязвимостей приложений. Поэтому и IBM Aspera Faspex оказалась в тренде.

В популярный сервере автоматизации с открытым кодом Jenkins обнаружили пару серьезных уязвимостей, которые могут привести к выполнению кода в целевых системах.

Недостатки отслеживаются как CVE-2023-27898 и CVE-2023-27905 и влияют на сервер Jenkins и Центр обновлений.

Специалисты Aqua, занимающейся облачной безопасностью, дали общее название недостаткам CorePlague. Уязвимостям подвержены все версии Jenkins до 2.319.2.

Использование этих уязвимостей может позволить потенциальному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на сервере Jenkins жертвы, что в свою очередь может привести к полной компрометации сервера.

Недостатки связанны с обработкой подключаемых модулей, доступных в Центре обновлений, что потенциально позволяет субъекту угрозы загрузить подключаемый модуль с вредоносной полезной нагрузкой и инициировать атаку с использованием межсайтовых сценариев (XSS).

Специалисты пояснили, что как только жертва откроет Available Plugin Manager на своем сервере Jenkins, то сразу запустится XSS, позволяющий злоумышленникам выполнять произвольный код на сервере, используя API консоли сценариев.

Причем это случай сохраненного XSS, когда код JavaScript внедряется на сервер, уязвимость может быть активирована без установки плагина или даже без посещения URL-адреса плагина.

Тревожным моментом является тот факт, что уязвимости способны повлиять на собственные сервера Jenkins и могут быть использованы даже в сценариях, когда сервер не является общедоступным через Интернет, поскольку общедоступный центр обновлений Jenkins может быть скомпрометирован злоумышленником.

Однако для успешной реализации атаки мошеннический плагин должен быть совместим с сервером Jenkins и отображаться поверх основного канала на странице Available Plugin Manager.

Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:

🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.

👻 Mr.Robot — Канал про анонимность в сети, OSINT, социальную инженерию, пентесты и хакеров.

🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.

͏В отличие от Acer, которую выхлопали хакеры, швейцарская Acronis, по всей видимости, решила до последнего опровергать утечку, анонсированную тем же селлером, который продает данные тайваньской компании.

Компания предлагает решения для резервного копирования, аварийного восстановления, защиты от вирусов и защиты конечных точек. Представители Acronis заявили, что учетная запись одного клиента была скомпрометирована после того, как хакер слил гигабайты информации, предположительно украденной у компании.

В случае с Acronis злоумышленник опубликовал архивный файл размером 12 Гб, якобы содержащий файлы сертификатов, журналы команд, системные конфигурации и информационные журналы, архивы файловой системы, сценарии и резервные копии данных конфигурации.

После того, как об инциденте стало известно, директор по ИБ компании Кевин Рид пояснил, что утечка данных, по-видимому, полностью поступила из учетной записи одного клиента.

Основываясь на собственном расследовании, Acronis пришла к выводу, что учетные данные, использованные одним конкретным клиентом для загрузки диагностических данных в службу поддержки Acronis, были скомпрометированы.

Ни одна другая система или учетные данные не были затронуты. Нет никаких доказательств какой-либо другой успешной атаки, и в утечке нет данных, которых нет в папке этого одного клиента. Acronis также отдельно пояснила, что ни один из ее продуктов не пострадал от взлома.

К настоящему времени Acronis блокнула аккаунт на время решения проблемы, поделилась IOC с отраслевыми партнерами и ведет расследование с правоохранительными органами.

Но будем посмотреть.

Исследователи Claroty обнаружили с десяток серьезных уязвимостей в умном домофоне E11 китайской компании Akuvox.

При этом вендор не только не выпустил ни одного исправления, но и удалил описание продукта с веб-сайта (как видно из кеш Google).

Akuvox E11 - видеодомофон SIP (Session Initiation Protocol), специально разработанный для частных домовладении и квартир.

Уязвимости могут позволить злоумышленникам удаленно выполнять код, чтобы активировать и управлять камерой и микрофоном устройства, красть видео и изображения или закрепиться в сети. Среди них:

⁃ CVE-2023-0344 (CVSS: 9,1) — Akuvox E11 использует пользовательскую версию SSH-сервера dropbear. Этот сервер допускает небезопасный вариант, которого по умолчанию нет на официальном SSH-сервере dropbear.

⁃ CVE-2023-0345 (CVSS: 9,8) — сервер защищенной оболочки Akuvox E11 (SSH) включен по умолчанию, и к нему может получить доступ пользователь root. Этот пароль не может быть изменен пользователем.

⁃ CVE-2023-0352 (CVSS: 9,1) — веб-страница восстановления пароля Akuvox E11 может быть доступна без аутентификации, и злоумышленник может загрузить файл ключа устройства. Злоумышленник может затем использовать эту страницу, чтобы восстановить пароль по умолчанию.

⁃ CVE-2023-0354 (CVSS: 9,1) — к веб-серверу Akuvox E11 можно получить доступ без какой-либо аутентификации пользователя, и это может позволить злоумышленнику получить доступ к конфиденциальной информации, а также создавать и загружать перехваченные пакеты с известными URL-адресами по умолчанию.

Атаки могут проявляться либо через удаленное выполнение кода в локальной сети (LAN), либо через удаленную активацию камеры и микрофона E11, что позволяет злоумышленнику собирать и эксфильтровать мультимедиа-записи.

Третий вектор атаки использует внешний небезопасный сервер протокола передачи файлов (FTP) для загрузки сохраненных изображений и данных.

Большинство из 13 проблем до сих пор не устранены. Claroty отмечает, что Akuvox с тех пор решил проблему с разрешениями FTP-сервера, отключив возможность отображать его содержимое, чтобы злоумышленники больше не могли считывать файлы.

При отсутствии исправлений организациям, использующим домофон, рекомендуется отключить его от сети до тех пор, пока не будут устранены уязвимости, чтобы смягчить потенциальные удаленные атаки.

Также рекомендуется изменить пароль по умолчанию, используемый для защиты веб-интерфейса, и изолировать устройство Akuvox от корпоративной сети, чтобы предотвратить атаки бокового перемещения.

Исследователи из Школы кибербезопасности Корейского университета в Сеуле представили новую атаку CASPER на сети с воздушным зазором, позволяющую передавать данные на ближайший смартфон со скоростью 20 бит/сек через динамик.

CASPER задействует динамики целевого компьютера в качестве канала передачи данных и высокочастотный звук, не улавливаемый человеческим ухом, транслируя двоичный код или азбуку Морзе на микрофон на расстоянии до 1,5 м.

Принимающий микрофон может находиться в смартфоне в кармане злоумышленника или ноутбуке в том же помещении.

Как и в случае почти всех аналогичных атак, нацеленных на изолированные от сети компьютеры, инсайдер или злоумышленник, имеющий физический доступ к цели, должен сначала заразить ее вредоносным ПО.

Хоть этот сценарий и может показаться мифическим, однако примеры успешных атак все же есть: Stuxnet (поразивший иранский завод по обогащению урана в Натанзе), Agent.BTZ (атаковавший военную базу США) и модульный бэкдор Remsec (более пяти лет тайно собирал информацию из закрытых правительственных сетей).

Вредоносное ПО может автономно сканировать файловую систему цели, находить файлы или типы файлов, которые соответствуют жестко заданному списку, и проводить их эксфильтрацию.

Более реалистичен, конечно же, кейлоггинг, который более подходит для низкой скорости передачи данных.

Вредоносное ПО кодирует данные для извлечения, в двоичном коде или согласно Морзе передает их через внутренний динамик с помощью частотной модуляции, достигая незаметного ультразвука в диапазоне от 17 кГц до 20 кГц.

Исследователи проэкспериментировали, используя компьютер на базе Linux (Ubuntu 20.04) в качестве цели и Samsung Galaxy Z Flip 3 в качестве приемника.

В эксперименте с азбукой Морзе исследователи установили длину на бит 100 мс и использовали 18 кГц для точек и 19 кГц для тире. Смартфон находился на расстоянии 50 см и смог расшифровать присланное слово.

В эксперименте с двоичными данными длина на бит была установлена равной 50 мс, при этом нули передаются на частоте 18 кГц и единицы на частоте 19 кГц. Стартовый/конечный бит длительностью 50 мс также использовался на частоте 17 кГц для обозначения начала нового сообщения.

На основании проведенных тестов максимальное расстояние до приемника составляет 1,5 метра (4,9 фута) при длине на бит 100 мс.

Общие результаты эксперимента показывают, что максимальная надежная скорость передачи битов 20 бит/с достижима, когда длина на бит составляет 50 мс.

При такой скорости вредоносное ПО может передать стандартный 8-символьный пароль примерно за 3 секунды, а 2048-битный ключ RSA — за 100 секунд.

Все, что свыше, например, небольшой файл размером 10 КБ, потребует более часа для эксфильтрации.

Решением проблемы низкой скорости передачи данных было бы изменение полосы частот для нескольких одновременных передач, однако внутренние динамики могут воспроизводить звук только в одной полосе частот, поэтому атака практически ограничена.

Исследователи поделились способами защиты от атаки CASPER, самым простым из которых оказалось удаление внутреннего динамика с критически важных компьютеров. В качестве альтернативы - установка фильтра верхних частот.

Неутешительные прогнозы представителей инфосек-отрасли сбылись: банда вымогателей Clop приступила к вымогательству выкупа с компаний, чьи данные были украдены ими с помощью 0-day в Fortra GoAnywhere MFT.

Как мы уже сообщали ранее, злоумышленники заявляли, что в числе их жертв может оказаться как минимум 130 организаций.

С тех пор две компании, Community Health Systems (CHS) и Hatch Bank сообщили о киберинцидентах, сопровождавшихся утечками данных в ходе атак GoAnywhere MFT.

В качестве пруфов Clop приступили к публичному раскрытию жертв атак GoAnywhere, добавив уже семь новых компаний на свой сайт DLS.

Неясно, сколько требуют злоумышленники сейчас, но в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в результате аналогичных атак с использованием 0-day в Accellion FTA.

На тот момент от деятельности вымогателей пострадало более 100 компаний по всему миру, включая Shell, Qualys, Kroger, и было украдено неимоверное количество данных, которые злоумышленники медленно сливали в сеть, требуя выкуп в миллионы долларов.

Голландская инфосек-компания EclecticIQ в своем новом отчете поделилась подробностями февральских атак АРТ Dark Pink, направленных на правительственные и военные организации в странах Юго-Восточной Азии с помощью вредоносного ПО KamiKakaBot.

Dark Pink, также известный как Saaiwc, был достаточно четко изучен и описан исследователями Group-IB еще в начале этого года, включая набор пользовательских инструментов TelePowerBot и KamiKakaBot, применявшихся для запуска команд и кражи информации.

Предполагается, что субъект имеет азиатско-тихоокеанское происхождение и был активен как минимум с середины 2021 года, а с 2022 года усилил активность.

Как отмечает EclecticIQ, последние наблюдавшиеся атаки были почти идентичны предыдущим.

Основное отличие февральской кампании заключается в улучшенной процедуре обфускации вредоносного ПО, которое стало более эффективно уклоняться от средств защиты.

Атаки реализуются посредством социальной инженерии, приманки содержат вложения файлов ISO-образов к email-сообщениям для доставки вредоносного ПО.

Образ ISO включает исполняемый файл (Winword.exe), загрузчик (MSVCR100.dll) и документ-приманку Microsoft Word, последний из которых поставляется с полезной нагрузкой KamiKakaBot.

Загрузчик, со своей стороны, предназначен для загрузки вредоносного ПО KamiKakaBot путем использования метода боковой загрузки DLL для обхода средств защиты и загрузки его в память двоичного файла Winword.exe.

KamiKakaBot, в первую очередь, предназначен для кражи данных, хранящихся в веб-браузерах, и удаленного выполнения кода с помощью командной строки (cmd.exe), а также для применения методов уклонения, сливаясь с окружением жертвы и затрудняя обнаружение.

Постоянство на скомпрометированном узле достигается путем злоупотребления вспомогательной библиотекой Winlogon для внесения вредоносных изменений в ключ реестра Windows.

Собранные данные впоследствии эксфильтрируются в Telegram-бот в виде ZIP-архива.

При этом исследователи отмечают, что использование легальных веб-сервисов в качестве C2 (таких как Telegram), остается приоритетом для различных субъектов угроз, начиная от обычных киберпреступников и заканчивая продвинутыми АРТ.

Атрибуция была основана на схожести TTPs, хотя ресерчеры и признают, что есть вероятность отнесения новой кампании к группе с аналогичными признаками.

Вместе с тем, в февральских атаках использовалась та же инфраструктура С2, что и в январе 2023 года, идентичны и методы доставки и выполнения вредоносных программ.

Хотя KamiKakaBot и загрузчик являются универсальным типом вредоносного ПО, в настоящее время продолжают использоваться лишь Dark Pink APT.

͏Главное - надежная сегментация сети.

Лучшие инфосек практики на канале SecAtor.

И снова "большие братья" следят за тобой. Платформа телемедицины Cerebral сообщила об утечке медицинских данных, которая затронула более 3,1 миллиона пользователей.

Cerebral — это сервис, специализирующийся на виртуальном лечении психических заболеваний, тревоги и депрессии.

Сервис стал крайне популярен в разгар пандемии и для продвижения, как многие, использовал технологии отслеживания Facebook, Google, TikTok.

Через месяц после того, как группа сенаторов начала расследование в отношении Cerebral, разработчики платформы выпустили уведомление о нарушении в отношении более чем 3 миллионов пациентов.

В уведомлении указано, что несанкционированное раскрытие данных о здоровье пациентов началось в 2019 году.

Cerebral обвиняется в регулярном обмене данными с третьими лицами в рекламных целях без согласия пациентов, несмотря на обещания пользователям, что данные, которые они ввели на платформу, останутся конфиденциальными.

Cerebral признала, что собирала и передавала имена пользователей, номера телефонов, адреса электронной почты, даты рождения, IP-адреса и другие демографические данные, а также данные, собранные в ходе онлайн-консультаций психического состояния и услуги, которые выбрал пациент.

По итогу сервис пренебрег врачебной тайной стал виновником раскрытия информации, за что вполне вероятно понесет ответственность.

Это раскрытие информации произошло всего через несколько дней после того, как Федеральная торговая комиссия США (FTC) достигла соглашения в размере 7,8 млн долларов с сервисом онлайн-консультаций BetterHelp за обмен конфиденциальными медицинскими данными с такими рекламодателями, как Facebook, Snapchat, Criteo и Pinterest.

Все трекеры, активные на платформе Cerebral, были удалены или перенастроены, чтобы предотвратить раскрытие конфиденциальных данных.

В компании также заявили, что не знают о каком-либо неправомерном использовании конфиденциальной медицинской информации.

Кроме того, фирма покроет расходы для лиц, подверженных риску кражи личных данных и мошенничества.