Израильская Check Point продолжает свои наблюдения за китайской Sharp Panda.
На этот раз хакеры вооружились новой версией Soul Framework для атак на правительственный сектор Юго-Восточной Азии в рамках своих кампании кибершпионажа, что означает отход от цепочек атак группы, выявленных в 2021 году.
С тех пор исследователи продолжали отслеживать использование инструментов АРТ в нескольких операциях в странах Юго-Восточной Азии, в частности во Вьетнаме, Таиланде и Индонезии.
Использование бэкдора Soul в реальных атаках было впервые подробно описано Symantec Broadcom в октябре 2021 года в связи с неустановленной шпионской операцией, направленной на оборону, здравоохранение и ИКТ в Юго-Восточной Азии.
Происхождение имплантата, согласно исследованию, опубликованному Fortinet FortiGuard Labs в феврале 2022 года, относится к октябрю 2017 года, когда вредоносное ПО перепрофилировало код из Gh0st RAT и других общедоступных инструментов.
Цепочка атак, подробно описанная Check Point, начинается с фишингового электронного письма, содержащего документ-приманку, в котором используется Royal Road Rich Text Format (RTF), чтобы сбросить загрузчик, используя одну из нескольких уязвимостей в Microsoft Equation Editor.
Загрузчик, в свою очередь, предназначен для извлечения SoulSearcher, с с2-сервера с геозоной, который отвечает только на запросы, исходящие с IP-адресов, соответствующих целевым странам.
Загрузчик реализует загрузку, расшифровку и выполнение бэкдора Soul и других его компонентов, что позволяет злоумышленнику собирать широкий спектр информации.
Основной модуль Soul отвечает за связь с C2-сервером, а его основная цель — получать и загружать в память дополнительные модули.
Интересно, что конфигурация бэкдора содержит функцию радиомолчания, которая включает механизм взаимодействия с C2-сервером по определенным часам и датам.
Полученные ресерчерами данные являются еще одним свидетельством обмена инструментами, который распространен среди китайских APТ для сбора разведывательной информации.
Хотя фреймворк Soul используется как минимум с 2017 года, стоящие за ним субъекты угроз постоянно обновляют и совершенствуют его архитектуру и возможности.
Исследователи отмечаеют, что кампания, вероятно, организована АРТ, чьи другие инструменты, возможности и положение в более широкой сети шпионской деятельности еще предстоит изучить.
На этот раз хакеры вооружились новой версией Soul Framework для атак на правительственный сектор Юго-Восточной Азии в рамках своих кампании кибершпионажа, что означает отход от цепочек атак группы, выявленных в 2021 году.
С тех пор исследователи продолжали отслеживать использование инструментов АРТ в нескольких операциях в странах Юго-Восточной Азии, в частности во Вьетнаме, Таиланде и Индонезии.
Использование бэкдора Soul в реальных атаках было впервые подробно описано Symantec Broadcom в октябре 2021 года в связи с неустановленной шпионской операцией, направленной на оборону, здравоохранение и ИКТ в Юго-Восточной Азии.
Происхождение имплантата, согласно исследованию, опубликованному Fortinet FortiGuard Labs в феврале 2022 года, относится к октябрю 2017 года, когда вредоносное ПО перепрофилировало код из Gh0st RAT и других общедоступных инструментов.
Цепочка атак, подробно описанная Check Point, начинается с фишингового электронного письма, содержащего документ-приманку, в котором используется Royal Road Rich Text Format (RTF), чтобы сбросить загрузчик, используя одну из нескольких уязвимостей в Microsoft Equation Editor.
Загрузчик, в свою очередь, предназначен для извлечения SoulSearcher, с с2-сервера с геозоной, который отвечает только на запросы, исходящие с IP-адресов, соответствующих целевым странам.
Загрузчик реализует загрузку, расшифровку и выполнение бэкдора Soul и других его компонентов, что позволяет злоумышленнику собирать широкий спектр информации.
Основной модуль Soul отвечает за связь с C2-сервером, а его основная цель — получать и загружать в память дополнительные модули.
Интересно, что конфигурация бэкдора содержит функцию радиомолчания, которая включает механизм взаимодействия с C2-сервером по определенным часам и датам.
Полученные ресерчерами данные являются еще одним свидетельством обмена инструментами, который распространен среди китайских APТ для сбора разведывательной информации.
Хотя фреймворк Soul используется как минимум с 2017 года, стоящие за ним субъекты угроз постоянно обновляют и совершенствуют его архитектуру и возможности.
Исследователи отмечаеют, что кампания, вероятно, организована АРТ, чьи другие инструменты, возможности и положение в более широкой сети шпионской деятельности еще предстоит изучить.
Check Point Research
Pandas with a Soul: Chinese Espionage Attacks Against Southeast Asian Government Entities - Check Point Research
Executive summary In 2021, Check Point Research published a report on a previously undisclosed toolset used by Sharp Panda, a long-running Chinese cyber-espionage operation targeting Southeast Asian government entities. Since then, we have continued to track…
Forwarded from Russian OSINT
Эксперты «Лаборатории Касперского» обнаружили мошенническую рассылку якобы от имени регулятора о запуске российской государственной криптовалюты. Такими сообщениями злоумышленники заманивают пользователей на ресурсы, где те рискуют потерять деньги. В конце февраля специалисты компании зафиксировали несколько тысяч подобных писем*. Схема, на которую обратили внимание эксперты, состоит из нескольких этапов.
1️⃣ Этап первый —
2️⃣ Этап второй —
3️⃣ Этап третий —
❗️Когда пользователи переходят по ссылке из письма, их могут перенаправлять на разные страницы — это распространённая практика у скамеров.
👉 Более подробно на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хакеры распространяют "заряженные" приложения обмена сообщениями, используемые для развертывания CapraRAT.
По мнению экспертов ESET, за кампанией стоит пакистанская АРТ Transparent Tribe, также известная как APT36, Mythic Leopard и Operation C-Major, которая использует троянизированный аналог WhatsApp - приложения для обмена сообщениями MeetUp и MeetsApp для распространения бэкдора.
Атака направлена преимущественно на пользователей устройств Android в Индии и Пакистане.
Согласно отчету, лица, ставшие жертвами продолжающейся кампании кибершпионажа, подавшись на обман, загрузили приложения для обмена сообщениями с вредоносным ПО CapraRAT с мошеннических веб-сайтов с помощью метода honeytrap, то есть любовной ловушкой.
Как установлено, CapraRAT, имеет сходство с вредоносным ПО CrimsonRAT для Windows и содержит "на борту" функции захвата снимков экрана и фотографий, записи телефонных звонков и аудио, а также возможность кражи хранящихся на устройстве данных.
ESET заявила, что вредоносная кампания имеет узкую направленность и не нашла доказательств того, что приложения были доступны в магазине Google Play.
Ранее Transparent Tribe проводила схожие атаки, направленные на правительственные организации Индии с использованием вредоносных версий решения для двухфакторной аутентификации под названием Kavach.
По мнению экспертов ESET, за кампанией стоит пакистанская АРТ Transparent Tribe, также известная как APT36, Mythic Leopard и Operation C-Major, которая использует троянизированный аналог WhatsApp - приложения для обмена сообщениями MeetUp и MeetsApp для распространения бэкдора.
Атака направлена преимущественно на пользователей устройств Android в Индии и Пакистане.
Согласно отчету, лица, ставшие жертвами продолжающейся кампании кибершпионажа, подавшись на обман, загрузили приложения для обмена сообщениями с вредоносным ПО CapraRAT с мошеннических веб-сайтов с помощью метода honeytrap, то есть любовной ловушкой.
Как установлено, CapraRAT, имеет сходство с вредоносным ПО CrimsonRAT для Windows и содержит "на борту" функции захвата снимков экрана и фотографий, записи телефонных звонков и аудио, а также возможность кражи хранящихся на устройстве данных.
ESET заявила, что вредоносная кампания имеет узкую направленность и не нашла доказательств того, что приложения были доступны в магазине Google Play.
Ранее Transparent Tribe проводила схожие атаки, направленные на правительственные организации Индии с использованием вредоносных версий решения для двухфакторной аутентификации под названием Kavach.
WeLiveSecurity
Love scam or espionage? Transparent Tribe lures Indian and Pakistani officials
ESET researchers analyze a campaign that has been distributing CapraRAT backdoors through trojanized and supposedly secure Android messaging apps.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• Snoop Project — один из самых перспективных #OSINT ПО для поиска user_name с учётом СНГ локаций. 90% из Вас уже слышали об этом инструменте и в более подробном описании он не нуждается.• 5 марта была опубликована новая версия данного инструмента, которая включает в себя следующие изменения:
- Расширена поисковая web-base Snoop до 2700 сайтов;
- Android. Ускорен поиск snoop на #Termux ~ на 200%;
- Переработана и улучшена интеллектуальная логика поиска;
- Добавлена проверка опечаток: nickname не может быть короче 2-х символов;
- Добавлена новая опция поиска: режим '
--quick', которая ускоряет общий поиск;- Переработана кодовая база некоторых частей ПО, в проекте стало меньше сторонних lib-зависимостей;
- Косметические изменения в ПО.
• Полное описание обновления читайте в Changelog'е.
• Скачать Snoop для Windows и Linux можно отсюда;
• Мануал по установке на Android;
• База данных из 2700+ ресурсов;
• Документация \ подробное руководство;
• Автор.
• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://xn--r1a.website/Social_engineering/2548
S.E. ▪️ S.E.Relax ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Google на этой неделе выпустила Chrome 111 в стабильном канале с исправлениями для 40 уязвимостей.
В общей сложности внешние исследователи сообщили о 24 устраненных дефектах безопасности. К ним относятся восемь ошибок с высокой степенью серьезности, 11 ошибок со средней степенью серьезности и пять проблем с низкой степенью серьезности.
Три уязвимости высокой степени серьезности, которые раскрыли сторонние исследователи, представляют собой ошибки использования после освобождения, влияющие на Swiftshader, DevTools и WebRTC, за которые Google отвалила вознаграждение в размере 15 000, 4 000 и 3 000 долларов США соответственно.
В бюллетене также упоминаются два дефекта путаницы типов в V8 и CSS, за которые было выплачено 10 000 и 7 000 долларов соответственно.
Кроме того, устранена проблема переполнения буфера стека в отчетах о сбоях, за которую было выплачено вознаграждение в размере 3000 долларов США. За две ошибки переполнения буфера кучи в Metrics и UMA вознаграждение еще не определено.
Шесть уязвимостей средней степени серьезности, о которых сообщалось извне, — это ошибки недостаточного применения политик, влияющие на такие компоненты браузера, как API расширений, автозаполнение, API веб-платежей, навигация и намерения
В Chrome 111 устранены проблемы несоответствующей реализации средней степени серьезности в запросах разрешений, установке веб-приложений и автозаполнении, ошибка переполнения буфера кучи в API веб-аудио и уязвимость использования после освобождения в Core.
Незначительные дефекты, о которых сообщалось извне, включают две проблемы с недостаточным применением политик в Resource Timing, несоответствующую ошибку реализации в намерениях, ошибку путаницы типов в DevTools и несоответствующую уязвимость реализации во внутренних компонентах.
Google не упоминает об использовании каких-либо из этих уязвимостей в атаках. Обновленный Chrome в настоящее время доступен в версиях 111.0.5563.64/.65 для Windows и версии 111.0.5563.64 для Linux и macOS.
В общей сложности внешние исследователи сообщили о 24 устраненных дефектах безопасности. К ним относятся восемь ошибок с высокой степенью серьезности, 11 ошибок со средней степенью серьезности и пять проблем с низкой степенью серьезности.
Три уязвимости высокой степени серьезности, которые раскрыли сторонние исследователи, представляют собой ошибки использования после освобождения, влияющие на Swiftshader, DevTools и WebRTC, за которые Google отвалила вознаграждение в размере 15 000, 4 000 и 3 000 долларов США соответственно.
В бюллетене также упоминаются два дефекта путаницы типов в V8 и CSS, за которые было выплачено 10 000 и 7 000 долларов соответственно.
Кроме того, устранена проблема переполнения буфера стека в отчетах о сбоях, за которую было выплачено вознаграждение в размере 3000 долларов США. За две ошибки переполнения буфера кучи в Metrics и UMA вознаграждение еще не определено.
Шесть уязвимостей средней степени серьезности, о которых сообщалось извне, — это ошибки недостаточного применения политик, влияющие на такие компоненты браузера, как API расширений, автозаполнение, API веб-платежей, навигация и намерения
В Chrome 111 устранены проблемы несоответствующей реализации средней степени серьезности в запросах разрешений, установке веб-приложений и автозаполнении, ошибка переполнения буфера кучи в API веб-аудио и уязвимость использования после освобождения в Core.
Незначительные дефекты, о которых сообщалось извне, включают две проблемы с недостаточным применением политик в Resource Timing, несоответствующую ошибку реализации в намерениях, ошибку путаницы типов в DevTools и несоответствующую уязвимость реализации во внутренних компонентах.
Google не упоминает об использовании каких-либо из этих уязвимостей в атаках. Обновленный Chrome в настоящее время доступен в версиях 111.0.5563.64/.65 для Windows и версии 111.0.5563.64 для Linux и macOS.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 111 to the stable channel for Windows, Mac and Linux . This will roll out ...
Исследователи Mandiant совметсно с SonicWall PSIRT сообщают о новой кампании кибершпионажа, в ходе которой злоумышленник UNC4540 нацелен на неисправленные устройства SonicWall Secure Mobile Access (SMA).
В ходе атак актор разворачивает специальное вредоносное ПО, используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении прошивки.
Малварь состоит из бинарного файла ELF, бэкдора TinyShell и нескольких сценариев bash, демонстрирующих глубокое понимание целевых сетевых устройств и адаптацию к системе для обеспечения стабильности и устойчивости.
Основной модуль firewalld выполняет SQL-команды в отношении базы данных устройства и крадет хешированные учетные данные всех вошедших в систему пользователей. Они копируются в текстовый файл, созданный злоумышленником в tmp/syslog.db, а затем извлекаются для взлома в автономном режиме.
firewalld также запускает другие вредоносные компоненты TinyShell, чтобы установить обратную оболочку на устройстве для упрощения удаленного доступа.
Основной вредоносный модуль также добавляет небольшой патч к легитимному бинарному файлу SonicWall, но исследователи Mandiant не смогли определить его точную цель.
Аналитики предполагают, что модификация способствует стабильности вредоносного ПО при вводе команды выключения на устройстве.
Пока непонятно, какая именно уязвимость использовалась для компрометации устройств. Учитывая, что целевые устройства не были исправлены, они могут быть уязвимыми для более старых недостатков (прежде всего таких, как CVE-2021-20038, CVE-2021-20039, CVE-2021-20045, CVE-2021-20016, CVE-2022-22282 и др).
Mandiant также предполагает, что вредоносное ПО могло быть установлено еще в 2021 году и сохранялось в ходе нескольких последующих обновлений прошивки.
Злоумышленники добились этого, используя специальные сценарии. Например, благодаря сценарию iptabled, который по сути является тем же модулем, что и firewalld, но вызывается сценарием запуска (rc.local) только в случае выхода, сбоя или невозможности запуска основного вредоносного процесса.
Кроме того, злоумышленники реализовали процесс, при котором скрипт bash (geoBotnetd) проверяет наличие новых обновлений прошивки в «/cf/FIRMWARE/NEW/INITRD.GZ» каждые 10 секунд. Если таковая обнаружена, вредоносная программа внедряется в пакет обновления.
Сценарий также добавляет бэкдор-пользователя с именем acme в файл обновления, чтобы он мог сохранить доступ после того, как обновление микропрограммы будет применено к взломанному устройству.
Системным администраторам рекомендуется применять последние обновления безопасности, предоставляемые SonicWall для устройств SMA100.
Рекомендуемая целевая версия на данный момент — 10.2.1.7 и выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаруживать и останавливать эту угрозу.
Обнаруженная кампания имеет много общего с недавними атаками, направленными на 0-day в устройствах Fortinet SSL-VPN, описанными в бюллетене разработчика.
В ходе атак актор разворачивает специальное вредоносное ПО, используется для кражи учетных данных пользователей, предоставления злоумышленникам доступа к оболочке и даже сохранения при обновлении прошивки.
Малварь состоит из бинарного файла ELF, бэкдора TinyShell и нескольких сценариев bash, демонстрирующих глубокое понимание целевых сетевых устройств и адаптацию к системе для обеспечения стабильности и устойчивости.
Основной модуль firewalld выполняет SQL-команды в отношении базы данных устройства и крадет хешированные учетные данные всех вошедших в систему пользователей. Они копируются в текстовый файл, созданный злоумышленником в tmp/syslog.db, а затем извлекаются для взлома в автономном режиме.
firewalld также запускает другие вредоносные компоненты TinyShell, чтобы установить обратную оболочку на устройстве для упрощения удаленного доступа.
Основной вредоносный модуль также добавляет небольшой патч к легитимному бинарному файлу SonicWall, но исследователи Mandiant не смогли определить его точную цель.
Аналитики предполагают, что модификация способствует стабильности вредоносного ПО при вводе команды выключения на устройстве.
Пока непонятно, какая именно уязвимость использовалась для компрометации устройств. Учитывая, что целевые устройства не были исправлены, они могут быть уязвимыми для более старых недостатков (прежде всего таких, как CVE-2021-20038, CVE-2021-20039, CVE-2021-20045, CVE-2021-20016, CVE-2022-22282 и др).
Mandiant также предполагает, что вредоносное ПО могло быть установлено еще в 2021 году и сохранялось в ходе нескольких последующих обновлений прошивки.
Злоумышленники добились этого, используя специальные сценарии. Например, благодаря сценарию iptabled, который по сути является тем же модулем, что и firewalld, но вызывается сценарием запуска (rc.local) только в случае выхода, сбоя или невозможности запуска основного вредоносного процесса.
Кроме того, злоумышленники реализовали процесс, при котором скрипт bash (geoBotnetd) проверяет наличие новых обновлений прошивки в «/cf/FIRMWARE/NEW/INITRD.GZ» каждые 10 секунд. Если таковая обнаружена, вредоносная программа внедряется в пакет обновления.
Сценарий также добавляет бэкдор-пользователя с именем acme в файл обновления, чтобы он мог сохранить доступ после того, как обновление микропрограммы будет применено к взломанному устройству.
Системным администраторам рекомендуется применять последние обновления безопасности, предоставляемые SonicWall для устройств SMA100.
Рекомендуемая целевая версия на данный момент — 10.2.1.7 и выше, которая включает мониторинг целостности файлов (FIM) и идентификацию аномальных процессов, которые должны обнаруживать и останавливать эту угрозу.
Обнаруженная кампания имеет много общего с недавними атаками, направленными на 0-day в устройствах Fortinet SSL-VPN, описанными в бюллетене разработчика.
Google Cloud Blog
Suspected Chinese Campaign to Persist on SonicWall Devices, Highlights Importance of Monitoring Edge Devices | Google Cloud Blog
Cisco объявила об исправлениях для уязвимости высокой степени риска отказа в обслуживании (DoS) в ПО IOS XR для корпоративных маршрутизаторов серий ASR 9000, ASR 9902 и ASR 9903.
Отслеживаемая как CVE-2023-20049 имеет оценку CVSS 8,6 и влияет на функцию аппаратной разгрузки обнаружения двунаправленной пересылки BFD для платформы и может быть использована удаленно без аутентификации.
На уязвимых устройствах с включенной функцией аппаратной разгрузки BFD искаженные пакеты обрабатываются неправильно, что позволяет злоумышленнику отправлять созданные пакеты IPv4 BFD на настроенный адрес IPv4 и запускать уязвимость.
Успешный эксплойт может позволить злоумышленнику вызвать исключения линейной карты или аппаратный сброс, что приведет к потере трафика по этой линейной карте во время перезагрузки линейной карты.
В качестве обходного пути технический гигант рекомендует отключить функцию аппаратной разгрузки BFD, что можно сделать, удалив все команды hw-module bfw-hw-offload enable и сбросив линейную карту.
Дефект затрагивает маршрутизаторы служб агрегации серии ASR 9000 с установленной линейной картой Lightspeed или Lightspeed-Plus, а также компактные высокопроизводительные маршрутизаторы ASR 9902 и ASR 9903.
Исправления для этой уязвимости были включены в программное обеспечение IOS XR версий 7.5.3, 7.6.2 и 7.7.1.
На этой неделе Cisco также анонсировала исправления для уязвимости раскрытия информации в GRand Unified Bootloader (GRUB) для программного обеспечения IOS XR.
Уязвимость, отслеживаемая как CVE-2023-20064, может быть использована злоумышленниками, не прошедшими проверку подлинности и имеющими физический доступ к устройству.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Дополнительная информация доступна на странице безопасности Cisco.
Отслеживаемая как CVE-2023-20049 имеет оценку CVSS 8,6 и влияет на функцию аппаратной разгрузки обнаружения двунаправленной пересылки BFD для платформы и может быть использована удаленно без аутентификации.
На уязвимых устройствах с включенной функцией аппаратной разгрузки BFD искаженные пакеты обрабатываются неправильно, что позволяет злоумышленнику отправлять созданные пакеты IPv4 BFD на настроенный адрес IPv4 и запускать уязвимость.
Успешный эксплойт может позволить злоумышленнику вызвать исключения линейной карты или аппаратный сброс, что приведет к потере трафика по этой линейной карте во время перезагрузки линейной карты.
В качестве обходного пути технический гигант рекомендует отключить функцию аппаратной разгрузки BFD, что можно сделать, удалив все команды hw-module bfw-hw-offload enable и сбросив линейную карту.
Дефект затрагивает маршрутизаторы служб агрегации серии ASR 9000 с установленной линейной картой Lightspeed или Lightspeed-Plus, а также компактные высокопроизводительные маршрутизаторы ASR 9902 и ASR 9903.
Исправления для этой уязвимости были включены в программное обеспечение IOS XR версий 7.5.3, 7.6.2 и 7.7.1.
На этой неделе Cisco также анонсировала исправления для уязвимости раскрытия информации в GRand Unified Bootloader (GRUB) для программного обеспечения IOS XR.
Уязвимость, отслеживаемая как CVE-2023-20064, может быть использована злоумышленниками, не прошедшими проверку подлинности и имеющими физический доступ к устройству.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Дополнительная информация доступна на странице безопасности Cisco.
Veeam призывает клиентов исправить серьезную уязвимость ПО для резервного копирования и репликации.
Как заявляет Veeam, ее продукт для резервного копирования, аварийного восстановления и защиты данных используют более 450 000 клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72 % компаний из списка Global 2000.
CVE-2023-27532 была обнаружена в середине февраля исследователем, известным как Shanigen, и затрагивает все версии Veeam Backup & Replication (VBR).
Злоумышленники, не прошедшие проверку подлинности, могут использовать его для доступа к узлам инфраструктуры резервного копирования после получения зашифрованных учетных данных, хранящихся в базе данных конфигурации VeeamVBR.
Согласно бюллетеню Veeam, основной причиной этой уязвимости является Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные.
Компания выпустила обновления, устраняющие эту уязвимость для VBR V11 и V12, при этом клиентам, использующим более старые версии, рекомендуется сначала обновить один из этих двух поддерживаемых продуктов.
Veeam также предоставляет временное исправление для CVE-2023-27532 для тех, кто не может оперативно развернуть обвновления, выпущенные на этой неделе.
Клиентам следует заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.
Однако важно отметить, что этот обходной путь следует использовать только в нераспределенных средах Veeam, поскольку он также повлияет на подключения серверов монтирования к серверу VBR.
Как заявляет Veeam, ее продукт для резервного копирования, аварийного восстановления и защиты данных используют более 450 000 клиентов по всему миру, в том числе 82 % компаний из списка Fortune 500 и 72 % компаний из списка Global 2000.
CVE-2023-27532 была обнаружена в середине февраля исследователем, известным как Shanigen, и затрагивает все версии Veeam Backup & Replication (VBR).
Злоумышленники, не прошедшие проверку подлинности, могут использовать его для доступа к узлам инфраструктуры резервного копирования после получения зашифрованных учетных данных, хранящихся в базе данных конфигурации VeeamVBR.
Согласно бюллетеню Veeam, основной причиной этой уязвимости является Veeam.Backup.Service.exe (по умолчанию работает на TCP 9401), который позволяет пользователям, не прошедшим проверку подлинности, запрашивать зашифрованные учетные данные.
Компания выпустила обновления, устраняющие эту уязвимость для VBR V11 и V12, при этом клиентам, использующим более старые версии, рекомендуется сначала обновить один из этих двух поддерживаемых продуктов.
Veeam также предоставляет временное исправление для CVE-2023-27532 для тех, кто не может оперативно развернуть обвновления, выпущенные на этой неделе.
Клиентам следует заблокировать внешние подключения к порту TCP 9401 с помощью брандмауэра резервного сервера.
Однако важно отметить, что этот обходной путь следует использовать только в нераспределенных средах Veeam, поскольку он также повлияет на подключения серверов монтирования к серверу VBR.
Veeam Software
NEW Veeam Backup for Microsoft 365 v7 Delivers the Most Advanced Protection Against Cyber Attacks and Outages
Спустя месяц, после того, как мы сообщали о критических уязвимостях IBM Aspera Faspex и первых попытках их эксплуатации, за дело взялись вымогатели.
Теперь IBM Aspera Faspex для атак на корпоративные сети на базе Linux пользуются IceFire Ransomware.
Ранее известная разновидность программы-вымогателя на базе Windows, известная как IceFire, расширила свою деятельность на корпоративные сети Linux, принадлежащие нескольким организациям медиа- и развлекательного сектора по всему миру.
По данным SentinelOne, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в ПО для обмена файлами IBM Aspera Faspex (CVE-2022-47986 , оценка CVSS: 9,8).
Большинство атак, наблюдаемых SentinelOne, были направлены на компании, расположенные в Турции, Иране, Пакистане и ОАЭ.
IceFire был впервые обнаружен в марте 2022 года командой MalwareHunterTeam.
Но, как отмечали GuidePoint Security, Malwarebytes и NCC Group, в августе 2022 года о жертвах стало известно только через сайт утечки в даркнете.
Двоичный файл ransomware, нацеленный на Linux, представляет собой 64-разрядный ELF-файл размером 2,18 МБ, который устанавливается на хостах CentOS, на которых запущена уязвимая версия ПО файлового сервера IBM Aspera Faspex.
Он также способен избегать шифрования определенных путей, чтобы зараженная машина продолжала работать.
Как отмечают исследователи, по сравнению с Windows, на Linux сложнее разверачивать программы-вымогатели, особенно в больших масштабах.
Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, практически не эффективны.
Чтобы преодолеть такие трудности, злоумышленники прибегают к использованию уязвимостей приложений. Поэтому и IBM Aspera Faspex оказалась в тренде.
Теперь IBM Aspera Faspex для атак на корпоративные сети на базе Linux пользуются IceFire Ransomware.
Ранее известная разновидность программы-вымогателя на базе Windows, известная как IceFire, расширила свою деятельность на корпоративные сети Linux, принадлежащие нескольким организациям медиа- и развлекательного сектора по всему миру.
По данным SentinelOne, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в ПО для обмена файлами IBM Aspera Faspex (CVE-2022-47986 , оценка CVSS: 9,8).
Большинство атак, наблюдаемых SentinelOne, были направлены на компании, расположенные в Турции, Иране, Пакистане и ОАЭ.
IceFire был впервые обнаружен в марте 2022 года командой MalwareHunterTeam.
Но, как отмечали GuidePoint Security, Malwarebytes и NCC Group, в августе 2022 года о жертвах стало известно только через сайт утечки в даркнете.
Двоичный файл ransomware, нацеленный на Linux, представляет собой 64-разрядный ELF-файл размером 2,18 МБ, который устанавливается на хостах CentOS, на которых запущена уязвимая версия ПО файлового сервера IBM Aspera Faspex.
Он также способен избегать шифрования определенных путей, чтобы зараженная машина продолжала работать.
Как отмечают исследователи, по сравнению с Windows, на Linux сложнее разверачивать программы-вымогатели, особенно в больших масштабах.
Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, практически не эффективны.
Чтобы преодолеть такие трудности, злоумышленники прибегают к использованию уязвимостей приложений. Поэтому и IBM Aspera Faspex оказалась в тренде.
Telegram
SecAtor
Ресерчеры Аssetnote обнаружили RCE-уязвимость CVE-2022-47986 в одном из самых популярных корпоративных решений для быстрой и безопасной передачи файлов - IBM Aspera Faspex.
Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera…
Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera…
В популярный сервере автоматизации с открытым кодом Jenkins обнаружили пару серьезных уязвимостей, которые могут привести к выполнению кода в целевых системах.
Недостатки отслеживаются как CVE-2023-27898 и CVE-2023-27905 и влияют на сервер Jenkins и Центр обновлений.
Специалисты Aqua, занимающейся облачной безопасностью, дали общее название недостаткам CorePlague. Уязвимостям подвержены все версии Jenkins до 2.319.2.
Использование этих уязвимостей может позволить потенциальному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на сервере Jenkins жертвы, что в свою очередь может привести к полной компрометации сервера.
Недостатки связанны с обработкой подключаемых модулей, доступных в Центре обновлений, что потенциально позволяет субъекту угрозы загрузить подключаемый модуль с вредоносной полезной нагрузкой и инициировать атаку с использованием межсайтовых сценариев (XSS).
Специалисты пояснили, что как только жертва откроет Available Plugin Manager на своем сервере Jenkins, то сразу запустится XSS, позволяющий злоумышленникам выполнять произвольный код на сервере, используя API консоли сценариев.
Причем это случай сохраненного XSS, когда код JavaScript внедряется на сервер, уязвимость может быть активирована без установки плагина или даже без посещения URL-адреса плагина.
Тревожным моментом является тот факт, что уязвимости способны повлиять на собственные сервера Jenkins и могут быть использованы даже в сценариях, когда сервер не является общедоступным через Интернет, поскольку общедоступный центр обновлений Jenkins может быть скомпрометирован злоумышленником.
Однако для успешной реализации атаки мошеннический плагин должен быть совместим с сервером Jenkins и отображаться поверх основного канала на странице Available Plugin Manager.
Недостатки отслеживаются как CVE-2023-27898 и CVE-2023-27905 и влияют на сервер Jenkins и Центр обновлений.
Специалисты Aqua, занимающейся облачной безопасностью, дали общее название недостаткам CorePlague. Уязвимостям подвержены все версии Jenkins до 2.319.2.
Использование этих уязвимостей может позволить потенциальному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на сервере Jenkins жертвы, что в свою очередь может привести к полной компрометации сервера.
Недостатки связанны с обработкой подключаемых модулей, доступных в Центре обновлений, что потенциально позволяет субъекту угрозы загрузить подключаемый модуль с вредоносной полезной нагрузкой и инициировать атаку с использованием межсайтовых сценариев (XSS).
Специалисты пояснили, что как только жертва откроет Available Plugin Manager на своем сервере Jenkins, то сразу запустится XSS, позволяющий злоумышленникам выполнять произвольный код на сервере, используя API консоли сценариев.
Причем это случай сохраненного XSS, когда код JavaScript внедряется на сервер, уязвимость может быть активирована без установки плагина или даже без посещения URL-адреса плагина.
Тревожным моментом является тот факт, что уязвимости способны повлиять на собственные сервера Jenkins и могут быть использованы даже в сценариях, когда сервер не является общедоступным через Интернет, поскольку общедоступный центр обновлений Jenkins может быть скомпрометирован злоумышленником.
Однако для успешной реализации атаки мошеннический плагин должен быть совместим с сервером Jenkins и отображаться поверх основного канала на странице Available Plugin Manager.
Aqua
CorePlague: Critical Vulnerabilities in Jenkins Server Lead to RCE
Aqua Research revealed a chain of vulnerabilities CVE-2023-27898, CVE-2023-27905 in Jenkins Server & Update Center which could lead to a complete compromise
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:
🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.
👻 Mr.Robot — Канал про анонимность в сети, OSINT, социальную инженерию, пентесты и хакеров.
🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.
🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.
👻 Mr.Robot — Канал про анонимность в сети, OSINT, социальную инженерию, пентесты и хакеров.
🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.
͏В отличие от Acer, которую выхлопали хакеры, швейцарская Acronis, по всей видимости, решила до последнего опровергать утечку, анонсированную тем же селлером, который продает данные тайваньской компании.
Компания предлагает решения для резервного копирования, аварийного восстановления, защиты от вирусов и защиты конечных точек. Представители Acronis заявили, что учетная запись одного клиента была скомпрометирована после того, как хакер слил гигабайты информации, предположительно украденной у компании.
В случае с Acronis злоумышленник опубликовал архивный файл размером 12 Гб, якобы содержащий файлы сертификатов, журналы команд, системные конфигурации и информационные журналы, архивы файловой системы, сценарии и резервные копии данных конфигурации.
После того, как об инциденте стало известно, директор по ИБ компании Кевин Рид пояснил, что утечка данных, по-видимому, полностью поступила из учетной записи одного клиента.
Основываясь на собственном расследовании, Acronis пришла к выводу, что учетные данные, использованные одним конкретным клиентом для загрузки диагностических данных в службу поддержки Acronis, были скомпрометированы.
Ни одна другая система или учетные данные не были затронуты. Нет никаких доказательств какой-либо другой успешной атаки, и в утечке нет данных, которых нет в папке этого одного клиента. Acronis также отдельно пояснила, что ни один из ее продуктов не пострадал от взлома.
К настоящему времени Acronis блокнула аккаунт на время решения проблемы, поделилась IOC с отраслевыми партнерами и ведет расследование с правоохранительными органами.
Но будем посмотреть.
Компания предлагает решения для резервного копирования, аварийного восстановления, защиты от вирусов и защиты конечных точек. Представители Acronis заявили, что учетная запись одного клиента была скомпрометирована после того, как хакер слил гигабайты информации, предположительно украденной у компании.
В случае с Acronis злоумышленник опубликовал архивный файл размером 12 Гб, якобы содержащий файлы сертификатов, журналы команд, системные конфигурации и информационные журналы, архивы файловой системы, сценарии и резервные копии данных конфигурации.
После того, как об инциденте стало известно, директор по ИБ компании Кевин Рид пояснил, что утечка данных, по-видимому, полностью поступила из учетной записи одного клиента.
Основываясь на собственном расследовании, Acronis пришла к выводу, что учетные данные, использованные одним конкретным клиентом для загрузки диагностических данных в службу поддержки Acronis, были скомпрометированы.
Ни одна другая система или учетные данные не были затронуты. Нет никаких доказательств какой-либо другой успешной атаки, и в утечке нет данных, которых нет в папке этого одного клиента. Acronis также отдельно пояснила, что ни один из ее продуктов не пострадал от взлома.
К настоящему времени Acronis блокнула аккаунт на время решения проблемы, поделилась IOC с отраслевыми партнерами и ведет расследование с правоохранительными органами.
Но будем посмотреть.
Исследователи Claroty обнаружили с десяток серьезных уязвимостей в умном домофоне E11 китайской компании Akuvox.
При этом вендор не только не выпустил ни одного исправления, но и удалил описание продукта с веб-сайта (как видно из кеш Google).
Akuvox E11 - видеодомофон SIP (Session Initiation Protocol), специально разработанный для частных домовладении и квартир.
Уязвимости могут позволить злоумышленникам удаленно выполнять код, чтобы активировать и управлять камерой и микрофоном устройства, красть видео и изображения или закрепиться в сети. Среди них:
⁃ CVE-2023-0344 (CVSS: 9,1) — Akuvox E11 использует пользовательскую версию SSH-сервера dropbear. Этот сервер допускает небезопасный вариант, которого по умолчанию нет на официальном SSH-сервере dropbear.
⁃ CVE-2023-0345 (CVSS: 9,8) — сервер защищенной оболочки Akuvox E11 (SSH) включен по умолчанию, и к нему может получить доступ пользователь root. Этот пароль не может быть изменен пользователем.
⁃ CVE-2023-0352 (CVSS: 9,1) — веб-страница восстановления пароля Akuvox E11 может быть доступна без аутентификации, и злоумышленник может загрузить файл ключа устройства. Злоумышленник может затем использовать эту страницу, чтобы восстановить пароль по умолчанию.
⁃ CVE-2023-0354 (CVSS: 9,1) — к веб-серверу Akuvox E11 можно получить доступ без какой-либо аутентификации пользователя, и это может позволить злоумышленнику получить доступ к конфиденциальной информации, а также создавать и загружать перехваченные пакеты с известными URL-адресами по умолчанию.
Атаки могут проявляться либо через удаленное выполнение кода в локальной сети (LAN), либо через удаленную активацию камеры и микрофона E11, что позволяет злоумышленнику собирать и эксфильтровать мультимедиа-записи.
Третий вектор атаки использует внешний небезопасный сервер протокола передачи файлов (FTP) для загрузки сохраненных изображений и данных.
Большинство из 13 проблем до сих пор не устранены. Claroty отмечает, что Akuvox с тех пор решил проблему с разрешениями FTP-сервера, отключив возможность отображать его содержимое, чтобы злоумышленники больше не могли считывать файлы.
При отсутствии исправлений организациям, использующим домофон, рекомендуется отключить его от сети до тех пор, пока не будут устранены уязвимости, чтобы смягчить потенциальные удаленные атаки.
Также рекомендуется изменить пароль по умолчанию, используемый для защиты веб-интерфейса, и изолировать устройство Akuvox от корпоративной сети, чтобы предотвратить атаки бокового перемещения.
При этом вендор не только не выпустил ни одного исправления, но и удалил описание продукта с веб-сайта (как видно из кеш Google).
Akuvox E11 - видеодомофон SIP (Session Initiation Protocol), специально разработанный для частных домовладении и квартир.
Уязвимости могут позволить злоумышленникам удаленно выполнять код, чтобы активировать и управлять камерой и микрофоном устройства, красть видео и изображения или закрепиться в сети. Среди них:
⁃ CVE-2023-0344 (CVSS: 9,1) — Akuvox E11 использует пользовательскую версию SSH-сервера dropbear. Этот сервер допускает небезопасный вариант, которого по умолчанию нет на официальном SSH-сервере dropbear.
⁃ CVE-2023-0345 (CVSS: 9,8) — сервер защищенной оболочки Akuvox E11 (SSH) включен по умолчанию, и к нему может получить доступ пользователь root. Этот пароль не может быть изменен пользователем.
⁃ CVE-2023-0352 (CVSS: 9,1) — веб-страница восстановления пароля Akuvox E11 может быть доступна без аутентификации, и злоумышленник может загрузить файл ключа устройства. Злоумышленник может затем использовать эту страницу, чтобы восстановить пароль по умолчанию.
⁃ CVE-2023-0354 (CVSS: 9,1) — к веб-серверу Akuvox E11 можно получить доступ без какой-либо аутентификации пользователя, и это может позволить злоумышленнику получить доступ к конфиденциальной информации, а также создавать и загружать перехваченные пакеты с известными URL-адресами по умолчанию.
Атаки могут проявляться либо через удаленное выполнение кода в локальной сети (LAN), либо через удаленную активацию камеры и микрофона E11, что позволяет злоумышленнику собирать и эксфильтровать мультимедиа-записи.
Третий вектор атаки использует внешний небезопасный сервер протокола передачи файлов (FTP) для загрузки сохраненных изображений и данных.
Большинство из 13 проблем до сих пор не устранены. Claroty отмечает, что Akuvox с тех пор решил проблему с разрешениями FTP-сервера, отключив возможность отображать его содержимое, чтобы злоумышленники больше не могли считывать файлы.
При отсутствии исправлений организациям, использующим домофон, рекомендуется отключить его от сети до тех пор, пока не будут устранены уязвимости, чтобы смягчить потенциальные удаленные атаки.
Также рекомендуется изменить пароль по умолчанию, используемый для защиты веб-интерфейса, и изолировать устройство Akuvox от корпоративной сети, чтобы предотвратить атаки бокового перемещения.
Claroty
The Silent Spy Among Us: Smart Intercom Attacks
Исследователи из Школы кибербезопасности Корейского университета в Сеуле представили новую атаку CASPER на сети с воздушным зазором, позволяющую передавать данные на ближайший смартфон со скоростью 20 бит/сек через динамик.
CASPER задействует динамики целевого компьютера в качестве канала передачи данных и высокочастотный звук, не улавливаемый человеческим ухом, транслируя двоичный код или азбуку Морзе на микрофон на расстоянии до 1,5 м.
Принимающий микрофон может находиться в смартфоне в кармане злоумышленника или ноутбуке в том же помещении.
Как и в случае почти всех аналогичных атак, нацеленных на изолированные от сети компьютеры, инсайдер или злоумышленник, имеющий физический доступ к цели, должен сначала заразить ее вредоносным ПО.
Хоть этот сценарий и может показаться мифическим, однако примеры успешных атак все же есть: Stuxnet (поразивший иранский завод по обогащению урана в Натанзе), Agent.BTZ (атаковавший военную базу США) и модульный бэкдор Remsec (более пяти лет тайно собирал информацию из закрытых правительственных сетей).
Вредоносное ПО может автономно сканировать файловую систему цели, находить файлы или типы файлов, которые соответствуют жестко заданному списку, и проводить их эксфильтрацию.
Более реалистичен, конечно же, кейлоггинг, который более подходит для низкой скорости передачи данных.
Вредоносное ПО кодирует данные для извлечения, в двоичном коде или согласно Морзе передает их через внутренний динамик с помощью частотной модуляции, достигая незаметного ультразвука в диапазоне от 17 кГц до 20 кГц.
Исследователи проэкспериментировали, используя компьютер на базе Linux (Ubuntu 20.04) в качестве цели и Samsung Galaxy Z Flip 3 в качестве приемника.
В эксперименте с азбукой Морзе исследователи установили длину на бит 100 мс и использовали 18 кГц для точек и 19 кГц для тире. Смартфон находился на расстоянии 50 см и смог расшифровать присланное слово.
В эксперименте с двоичными данными длина на бит была установлена равной 50 мс, при этом нули передаются на частоте 18 кГц и единицы на частоте 19 кГц. Стартовый/конечный бит длительностью 50 мс также использовался на частоте 17 кГц для обозначения начала нового сообщения.
На основании проведенных тестов максимальное расстояние до приемника составляет 1,5 метра (4,9 фута) при длине на бит 100 мс.
Общие результаты эксперимента показывают, что максимальная надежная скорость передачи битов 20 бит/с достижима, когда длина на бит составляет 50 мс.
При такой скорости вредоносное ПО может передать стандартный 8-символьный пароль примерно за 3 секунды, а 2048-битный ключ RSA — за 100 секунд.
Все, что свыше, например, небольшой файл размером 10 КБ, потребует более часа для эксфильтрации.
Решением проблемы низкой скорости передачи данных было бы изменение полосы частот для нескольких одновременных передач, однако внутренние динамики могут воспроизводить звук только в одной полосе частот, поэтому атака практически ограничена.
Исследователи поделились способами защиты от атаки CASPER, самым простым из которых оказалось удаление внутреннего динамика с критически важных компьютеров. В качестве альтернативы - установка фильтра верхних частот.
CASPER задействует динамики целевого компьютера в качестве канала передачи данных и высокочастотный звук, не улавливаемый человеческим ухом, транслируя двоичный код или азбуку Морзе на микрофон на расстоянии до 1,5 м.
Принимающий микрофон может находиться в смартфоне в кармане злоумышленника или ноутбуке в том же помещении.
Как и в случае почти всех аналогичных атак, нацеленных на изолированные от сети компьютеры, инсайдер или злоумышленник, имеющий физический доступ к цели, должен сначала заразить ее вредоносным ПО.
Хоть этот сценарий и может показаться мифическим, однако примеры успешных атак все же есть: Stuxnet (поразивший иранский завод по обогащению урана в Натанзе), Agent.BTZ (атаковавший военную базу США) и модульный бэкдор Remsec (более пяти лет тайно собирал информацию из закрытых правительственных сетей).
Вредоносное ПО может автономно сканировать файловую систему цели, находить файлы или типы файлов, которые соответствуют жестко заданному списку, и проводить их эксфильтрацию.
Более реалистичен, конечно же, кейлоггинг, который более подходит для низкой скорости передачи данных.
Вредоносное ПО кодирует данные для извлечения, в двоичном коде или согласно Морзе передает их через внутренний динамик с помощью частотной модуляции, достигая незаметного ультразвука в диапазоне от 17 кГц до 20 кГц.
Исследователи проэкспериментировали, используя компьютер на базе Linux (Ubuntu 20.04) в качестве цели и Samsung Galaxy Z Flip 3 в качестве приемника.
В эксперименте с азбукой Морзе исследователи установили длину на бит 100 мс и использовали 18 кГц для точек и 19 кГц для тире. Смартфон находился на расстоянии 50 см и смог расшифровать присланное слово.
В эксперименте с двоичными данными длина на бит была установлена равной 50 мс, при этом нули передаются на частоте 18 кГц и единицы на частоте 19 кГц. Стартовый/конечный бит длительностью 50 мс также использовался на частоте 17 кГц для обозначения начала нового сообщения.
На основании проведенных тестов максимальное расстояние до приемника составляет 1,5 метра (4,9 фута) при длине на бит 100 мс.
Общие результаты эксперимента показывают, что максимальная надежная скорость передачи битов 20 бит/с достижима, когда длина на бит составляет 50 мс.
При такой скорости вредоносное ПО может передать стандартный 8-символьный пароль примерно за 3 секунды, а 2048-битный ключ RSA — за 100 секунд.
Все, что свыше, например, небольшой файл размером 10 КБ, потребует более часа для эксфильтрации.
Решением проблемы низкой скорости передачи данных было бы изменение полосы частот для нескольких одновременных передач, однако внутренние динамики могут воспроизводить звук только в одной полосе частот, поэтому атака практически ограничена.
Исследователи поделились способами защиты от атаки CASPER, самым простым из которых оказалось удаление внутреннего динамика с критически важных компьютеров. В качестве альтернативы - установка фильтра верхних частот.
www.documentcloud.org
sensors-23-02970
Неутешительные прогнозы представителей инфосек-отрасли сбылись: банда вымогателей Clop приступила к вымогательству выкупа с компаний, чьи данные были украдены ими с помощью 0-day в Fortra GoAnywhere MFT.
Как мы уже сообщали ранее, злоумышленники заявляли, что в числе их жертв может оказаться как минимум 130 организаций.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank сообщили о киберинцидентах, сопровождавшихся утечками данных в ходе атак GoAnywhere MFT.
В качестве пруфов Clop приступили к публичному раскрытию жертв атак GoAnywhere, добавив уже семь новых компаний на свой сайт DLS.
Неясно, сколько требуют злоумышленники сейчас, но в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в результате аналогичных атак с использованием 0-day в Accellion FTA.
На тот момент от деятельности вымогателей пострадало более 100 компаний по всему миру, включая Shell, Qualys, Kroger, и было украдено неимоверное количество данных, которые злоумышленники медленно сливали в сеть, требуя выкуп в миллионы долларов.
Как мы уже сообщали ранее, злоумышленники заявляли, что в числе их жертв может оказаться как минимум 130 организаций.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank сообщили о киберинцидентах, сопровождавшихся утечками данных в ходе атак GoAnywhere MFT.
В качестве пруфов Clop приступили к публичному раскрытию жертв атак GoAnywhere, добавив уже семь новых компаний на свой сайт DLS.
Неясно, сколько требуют злоумышленники сейчас, но в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в результате аналогичных атак с использованием 0-day в Accellion FTA.
На тот момент от деятельности вымогателей пострадало более 100 компаний по всему миру, включая Shell, Qualys, Kroger, и было украдено неимоверное количество данных, которые злоумышленники медленно сливали в сеть, требуя выкуп в миллионы долларов.
Telegram
SecAtor
Порой хакеры, как террористы, берут на себя ответственность за те или иные инциденты, то ли жажда славы, то ли желание поднять репутацию в среде, не понятно.
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием…
Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием…
Голландская инфосек-компания EclecticIQ в своем новом отчете поделилась подробностями февральских атак АРТ Dark Pink, направленных на правительственные и военные организации в странах Юго-Восточной Азии с помощью вредоносного ПО KamiKakaBot.
Dark Pink, также известный как Saaiwc, был достаточно четко изучен и описан исследователями Group-IB еще в начале этого года, включая набор пользовательских инструментов TelePowerBot и KamiKakaBot, применявшихся для запуска команд и кражи информации.
Предполагается, что субъект имеет азиатско-тихоокеанское происхождение и был активен как минимум с середины 2021 года, а с 2022 года усилил активность.
Как отмечает EclecticIQ, последние наблюдавшиеся атаки были почти идентичны предыдущим.
Основное отличие февральской кампании заключается в улучшенной процедуре обфускации вредоносного ПО, которое стало более эффективно уклоняться от средств защиты.
Атаки реализуются посредством социальной инженерии, приманки содержат вложения файлов ISO-образов к email-сообщениям для доставки вредоносного ПО.
Образ ISO включает исполняемый файл (Winword.exe), загрузчик (MSVCR100.dll) и документ-приманку Microsoft Word, последний из которых поставляется с полезной нагрузкой KamiKakaBot.
Загрузчик, со своей стороны, предназначен для загрузки вредоносного ПО KamiKakaBot путем использования метода боковой загрузки DLL для обхода средств защиты и загрузки его в память двоичного файла Winword.exe.
KamiKakaBot, в первую очередь, предназначен для кражи данных, хранящихся в веб-браузерах, и удаленного выполнения кода с помощью командной строки (cmd.exe), а также для применения методов уклонения, сливаясь с окружением жертвы и затрудняя обнаружение.
Постоянство на скомпрометированном узле достигается путем злоупотребления вспомогательной библиотекой Winlogon для внесения вредоносных изменений в ключ реестра Windows.
Собранные данные впоследствии эксфильтрируются в Telegram-бот в виде ZIP-архива.
При этом исследователи отмечают, что использование легальных веб-сервисов в качестве C2 (таких как Telegram), остается приоритетом для различных субъектов угроз, начиная от обычных киберпреступников и заканчивая продвинутыми АРТ.
Атрибуция была основана на схожести TTPs, хотя ресерчеры и признают, что есть вероятность отнесения новой кампании к группе с аналогичными признаками.
Вместе с тем, в февральских атаках использовалась та же инфраструктура С2, что и в январе 2023 года, идентичны и методы доставки и выполнения вредоносных программ.
Хотя KamiKakaBot и загрузчик являются универсальным типом вредоносного ПО, в настоящее время продолжают использоваться лишь Dark Pink APT.
Dark Pink, также известный как Saaiwc, был достаточно четко изучен и описан исследователями Group-IB еще в начале этого года, включая набор пользовательских инструментов TelePowerBot и KamiKakaBot, применявшихся для запуска команд и кражи информации.
Предполагается, что субъект имеет азиатско-тихоокеанское происхождение и был активен как минимум с середины 2021 года, а с 2022 года усилил активность.
Как отмечает EclecticIQ, последние наблюдавшиеся атаки были почти идентичны предыдущим.
Основное отличие февральской кампании заключается в улучшенной процедуре обфускации вредоносного ПО, которое стало более эффективно уклоняться от средств защиты.
Атаки реализуются посредством социальной инженерии, приманки содержат вложения файлов ISO-образов к email-сообщениям для доставки вредоносного ПО.
Образ ISO включает исполняемый файл (Winword.exe), загрузчик (MSVCR100.dll) и документ-приманку Microsoft Word, последний из которых поставляется с полезной нагрузкой KamiKakaBot.
Загрузчик, со своей стороны, предназначен для загрузки вредоносного ПО KamiKakaBot путем использования метода боковой загрузки DLL для обхода средств защиты и загрузки его в память двоичного файла Winword.exe.
KamiKakaBot, в первую очередь, предназначен для кражи данных, хранящихся в веб-браузерах, и удаленного выполнения кода с помощью командной строки (cmd.exe), а также для применения методов уклонения, сливаясь с окружением жертвы и затрудняя обнаружение.
Постоянство на скомпрометированном узле достигается путем злоупотребления вспомогательной библиотекой Winlogon для внесения вредоносных изменений в ключ реестра Windows.
Собранные данные впоследствии эксфильтрируются в Telegram-бот в виде ZIP-архива.
При этом исследователи отмечают, что использование легальных веб-сервисов в качестве C2 (таких как Telegram), остается приоритетом для различных субъектов угроз, начиная от обычных киберпреступников и заканчивая продвинутыми АРТ.
Атрибуция была основана на схожести TTPs, хотя ресерчеры и признают, что есть вероятность отнесения новой кампании к группе с аналогичными признаками.
Вместе с тем, в февральских атаках использовалась та же инфраструктура С2, что и в январе 2023 года, идентичны и методы доставки и выполнения вредоносных программ.
Хотя KamiKakaBot и загрузчик являются универсальным типом вредоносного ПО, в настоящее время продолжают использоваться лишь Dark Pink APT.
Eclecticiq
Dark Pink APT Group Strikes Government Entities in South Asian Countries
Multiple KamiKakaBot malware are used to target government entities in ASEAN countries. EclecticIQ Intelligence and Research team attribute it to APT group, Dark Pink.
И снова "большие братья" следят за тобой. Платформа телемедицины Cerebral сообщила об утечке медицинских данных, которая затронула более 3,1 миллиона пользователей.
Cerebral — это сервис, специализирующийся на виртуальном лечении психических заболеваний, тревоги и депрессии.
Сервис стал крайне популярен в разгар пандемии и для продвижения, как многие, использовал технологии отслеживания Facebook, Google, TikTok.
Через месяц после того, как группа сенаторов начала расследование в отношении Cerebral, разработчики платформы выпустили уведомление о нарушении в отношении более чем 3 миллионов пациентов.
В уведомлении указано, что несанкционированное раскрытие данных о здоровье пациентов началось в 2019 году.
Cerebral обвиняется в регулярном обмене данными с третьими лицами в рекламных целях без согласия пациентов, несмотря на обещания пользователям, что данные, которые они ввели на платформу, останутся конфиденциальными.
Cerebral признала, что собирала и передавала имена пользователей, номера телефонов, адреса электронной почты, даты рождения, IP-адреса и другие демографические данные, а также данные, собранные в ходе онлайн-консультаций психического состояния и услуги, которые выбрал пациент.
По итогу сервис пренебрег врачебной тайной стал виновником раскрытия информации, за что вполне вероятно понесет ответственность.
Это раскрытие информации произошло всего через несколько дней после того, как Федеральная торговая комиссия США (FTC) достигла соглашения в размере 7,8 млн долларов с сервисом онлайн-консультаций BetterHelp за обмен конфиденциальными медицинскими данными с такими рекламодателями, как Facebook, Snapchat, Criteo и Pinterest.
Все трекеры, активные на платформе Cerebral, были удалены или перенастроены, чтобы предотвратить раскрытие конфиденциальных данных.
В компании также заявили, что не знают о каком-либо неправомерном использовании конфиденциальной медицинской информации.
Кроме того, фирма покроет расходы для лиц, подверженных риску кражи личных данных и мошенничества.
Cerebral — это сервис, специализирующийся на виртуальном лечении психических заболеваний, тревоги и депрессии.
Сервис стал крайне популярен в разгар пандемии и для продвижения, как многие, использовал технологии отслеживания Facebook, Google, TikTok.
Через месяц после того, как группа сенаторов начала расследование в отношении Cerebral, разработчики платформы выпустили уведомление о нарушении в отношении более чем 3 миллионов пациентов.
В уведомлении указано, что несанкционированное раскрытие данных о здоровье пациентов началось в 2019 году.
Cerebral обвиняется в регулярном обмене данными с третьими лицами в рекламных целях без согласия пациентов, несмотря на обещания пользователям, что данные, которые они ввели на платформу, останутся конфиденциальными.
Cerebral признала, что собирала и передавала имена пользователей, номера телефонов, адреса электронной почты, даты рождения, IP-адреса и другие демографические данные, а также данные, собранные в ходе онлайн-консультаций психического состояния и услуги, которые выбрал пациент.
По итогу сервис пренебрег врачебной тайной стал виновником раскрытия информации, за что вполне вероятно понесет ответственность.
Это раскрытие информации произошло всего через несколько дней после того, как Федеральная торговая комиссия США (FTC) достигла соглашения в размере 7,8 млн долларов с сервисом онлайн-консультаций BetterHelp за обмен конфиденциальными медицинскими данными с такими рекламодателями, как Facebook, Snapchat, Criteo и Pinterest.
Все трекеры, активные на платформе Cerebral, были удалены или перенастроены, чтобы предотвратить раскрытие конфиденциальных данных.
В компании также заявили, что не знают о каком-либо неправомерном использовании конфиденциальной медицинской информации.
Кроме того, фирма покроет расходы для лиц, подверженных риску кражи личных данных и мошенничества.
CNN
Mental health startup exposes the personal data of more than 3 million people
A mental health startup exposed the personal data of as many as 3.1 million people online. In some cases, possibly sensitive information on mental health treatment was leaked, according to a company statement and a Department of Health and Human services…
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.• Любая таргетированная атака начинается с разведки. Пентестеры, социальные инженеры и Red Team также собирают всю необходимую информацию о своей цели прежде чем приступить к наступательной части. В этом им помогают десятки инструментов, методов и ресурсов.
• Ниже будет представлена подборка инструментов для поиска информации по исходному коду:
- RepoSearch — поиск исходного кода в репозиториях SVN и GitHub.
- Libraries.io — поиск по 4 000 000+ пакетам в 32 пакетных менеджерах.
- NerdyData — поиск веб-ресурсов, использующих определенные технологии.
- Sourcegraph — функциональный поисковик по open-source репозиториям.
- Search from Cyber_detective — поиск в 20 репозиториях с открытым исходным кодом при помощи дорков.
- HotExamples — Позволяет увидеть примеры использования того или иного класса или метода из нескольких проектов.
- PublicWWW — позволяет найти любой буквенно-цифровой фрагмент, в том числе куски HTML, JavaScript, CSS-кода в коде веб-страниц.
- grep.app — поиск по содержимому Git. Полезен для поиска строк, связанных с уязвимостями индикаторами компрометации и вредоносными программами.
- github-search — коллекция консольных инструментов для исследования Github.
- Github Dorks — утилита для поиска с использованием дорков через GitHub Search API.
- TheScrapper — предназначен для поиска адресов электронной почты и учетных записей социальных сетей в исходном коде веб-сайта.
- gitGraber — инструмент для мониторинга GitHub и поиска конфиденциальных данных, например, кредов от Google, Amazon, Paypal, Github, Mailgun, Facebook, Twitter...
- Gitrob — поможет найти потенциально конфиденциальные файлы, помещенные в общедоступные репозитории на Github. Клонирует репозиторий, перебирает историю коммитов, помечает подозрительные файлы и выводит результаты в веб-интерфейс.
• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://xn--r1a.website/Social_engineering/2548
S.E. ▪️ S.E.Relax ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Неизвестный злоумышленник атакует государственные учреждения и крупные организации используя 0-day в ПО Fortinet FortiOS.
Как заявили исследователи, использование уязвимости приводит к потере данных и повреждению ОС, а сложность эксплойта предполагает, что за атаками стоит продвинутый субъект, нацеленный преимущественно на правительственные или связанные с ними организации.
Уязвимость, о которой идет речь отслеживается как CVE-2022-41328 и представляет собой ошибку обхода пути в FortiOS, которая может привести к выполнению произвольного кода с помощью специально созданных команд CLI.
Этот недостаток затрагивает версии FortiOS с 6.0, 6.2, с 6.4.0 по 6.4.11, с 7.0.0 по 7.0.9 и с 7.2.0 по 7.2.3. Исправления доступны в версиях 6.4.12, 7.0.10 и 7.2.4 соответственно.
Раскрытие информации произошло через несколько дней после того, как Fortinet выпустила исправления для устранения 15 недостатков безопасности, включая CVE-2022-41328 и критическую проблему CVE-2023-25610 (оценка CVSS: 9,3), влияющую на FortiOS и FortiProxy.
По данным компании, несколько устройств FortiGate, принадлежащих неназванному клиенту, уже пострадали от внезапной остановки системы и последующего сбоя.
Анализ инцидента показал, что злоумышленники модифицировали образ прошивки устройства, включив в него новую полезную нагрузку («/bin/fgfm»), чтобы она всегда запускалась до начала процесса загрузки.
Вредоносное ПО /bin/fgfm предназначено для установления контакта с удаленным сервером для загрузки файлов, эксфильтрации данных со взломанного хоста и предоставления доступа к удаленному центру управления.
Причем, изменения, внесенные в прошивку, предоставляют злоумышленнику постоянный доступ и контроль, не говоря уже об отключении проверки прошивки при запуске.
В Fortinet заявили, что атака была таргетированной и доказательства указывают на участие АРТ.
Учитывая сложность эксплойта, злоумышленник глубоко разбирается в FortiOS и базовом оборудовании, обладая расширенными возможностями для реверса и проектирования различных компонентов FortiOS.
Как заявили исследователи, использование уязвимости приводит к потере данных и повреждению ОС, а сложность эксплойта предполагает, что за атаками стоит продвинутый субъект, нацеленный преимущественно на правительственные или связанные с ними организации.
Уязвимость, о которой идет речь отслеживается как CVE-2022-41328 и представляет собой ошибку обхода пути в FortiOS, которая может привести к выполнению произвольного кода с помощью специально созданных команд CLI.
Этот недостаток затрагивает версии FortiOS с 6.0, 6.2, с 6.4.0 по 6.4.11, с 7.0.0 по 7.0.9 и с 7.2.0 по 7.2.3. Исправления доступны в версиях 6.4.12, 7.0.10 и 7.2.4 соответственно.
Раскрытие информации произошло через несколько дней после того, как Fortinet выпустила исправления для устранения 15 недостатков безопасности, включая CVE-2022-41328 и критическую проблему CVE-2023-25610 (оценка CVSS: 9,3), влияющую на FortiOS и FortiProxy.
По данным компании, несколько устройств FortiGate, принадлежащих неназванному клиенту, уже пострадали от внезапной остановки системы и последующего сбоя.
Анализ инцидента показал, что злоумышленники модифицировали образ прошивки устройства, включив в него новую полезную нагрузку («/bin/fgfm»), чтобы она всегда запускалась до начала процесса загрузки.
Вредоносное ПО /bin/fgfm предназначено для установления контакта с удаленным сервером для загрузки файлов, эксфильтрации данных со взломанного хоста и предоставления доступа к удаленному центру управления.
Причем, изменения, внесенные в прошивку, предоставляют злоумышленнику постоянный доступ и контроль, не говоря уже об отключении проверки прошивки при запуске.
В Fortinet заявили, что атака была таргетированной и доказательства указывают на участие АРТ.
Учитывая сложность эксплойта, злоумышленник глубоко разбирается в FortiOS и базовом оборудовании, обладая расширенными возможностями для реверса и проектирования различных компонентов FortiOS.
Fortinet Blog
Analysis of FG-IR-22-369
A following write-up that details Fortinet's investigation into the incident that led to the discovery of FG-IR-22-369 and additional IoCs identified during our ongoing analysis.…
͏Lockbit ransomware продолжает удивлять и бить все рекорды. Банда заявила о получении данных SpaceX после того, как они взломали другую американскую компанию, пригрозив Илону Маску сливом чувствительной технической документации.
Помимо этого, команда Lockbit добавила 8 новых жертв. Одна из них — гонконгская авиастроительная компания, а другая - авиакомпания Таиланда Nok Air. При этом ни одна из жертв не сообщила о кибератаке.
Medusa указала на своем сайте утечки Управление аэропортов Кении в списке жертв.
Хакеры также атаковали еще одну крупную цель - MPS, которая по итогу не заплатила выкуп, а расследование показало, что личная информация клиентов была затронута.
Отметились и Monti, добавив первую жертву - транспортное агентство Чикаго, отвечающее за региональный финансовый надзор, финансирование и планирование транзита.
Тем временем, ALPHV зарансомили Ring LLC, специализирующуюся на технологиях умного дома и принадлежащую Amazon.
Play успешно атаковали сеть города Окленд, администрация до сих пор не может оправиться от последствий инцидента.
Bian Lian нанесли удар по крупной компании из Испании, которая является одним из ведущих мировых операторов парков отдыха с доходом в 2,3 млрд. долл.
После двухмесячного отпуска Snatch препарировали двух крупных жертв: одна - реализует платежные решения из Франции, а другая - технологические услуги с доходом в 1,2 миллиарда долларов из США.
Помимо этого, команда Lockbit добавила 8 новых жертв. Одна из них — гонконгская авиастроительная компания, а другая - авиакомпания Таиланда Nok Air. При этом ни одна из жертв не сообщила о кибератаке.
Medusa указала на своем сайте утечки Управление аэропортов Кении в списке жертв.
Хакеры также атаковали еще одну крупную цель - MPS, которая по итогу не заплатила выкуп, а расследование показало, что личная информация клиентов была затронута.
Отметились и Monti, добавив первую жертву - транспортное агентство Чикаго, отвечающее за региональный финансовый надзор, финансирование и планирование транзита.
Тем временем, ALPHV зарансомили Ring LLC, специализирующуюся на технологиях умного дома и принадлежащую Amazon.
Play успешно атаковали сеть города Окленд, администрация до сих пор не может оправиться от последствий инцидента.
Bian Lian нанесли удар по крупной компании из Испании, которая является одним из ведущих мировых операторов парков отдыха с доходом в 2,3 млрд. долл.
После двухмесячного отпуска Snatch препарировали двух крупных жертв: одна - реализует платежные решения из Франции, а другая - технологические услуги с доходом в 1,2 миллиарда долларов из США.