Ровно через год после успешной силовой операции TOURNIQUET, приведшей к закрытию RaidForums, американские спецслужбы смогли повторить свой успех, но на этот - в отношении BreachForums.

После того, как ФБР удалось перехватить управление RaidForums в 2022 году, широко известный в криминальной киберсреде Pompompurin создал новый форум под названием BreachForums в качестве альтернативы закрывшейся площадке.

С тех пор он стал крупнейшим в своем роде форумом, получившим широкую популярность среди хакеров и банд вымогателей, которые достаточно часто его использовали для утечки украденных данных.

Кроме того, его админ отметился в различных громких взломах атаках, включая компрометацию корпоративного портала правоохранительных органов (LEEP) ФБР, кражу данных клиентов из Robinhood и утечку Twitter.

И вслед за признанием пришли и спецслужбы.

Как сообщило агентство Bloomberg, на прошедшей неделе правоохранительные органы США арестовали американца, который в ходе задержания подтвердил свою причастность к администрированию BreachForums с использованием аккаунта Pompompurin.

Конор Брайан Фитцпатрик был арестован у себя дома около 16:30 в среду, после чего в результате длительного обыска силовики вынесли вещдоки.

Фитцпатрику было предъявлено обвинение по одному пункту обвинения в заговоре с целью совершения мошенничества с устройствами доступа.

Он был освобожден под залог в 300 000 долл. и должен предстать перед судом Восточного округа Вирджинии 24 марта 2023 года.

Вместе с тем, задержание Pompompurin не привело к закрытию BreachForums, который к настоящему времени обзавелся новым админом под псевдонимом Baphomet, утверждающего об отсутствии доказательств доступа к Breached infra или ее модификации.

По крайней мере, это официальная легенда, в которую вряд ли поверят участники BreachForums, чьи логи и прочие следы пребывания уже шерстят аналитики спецслужб и их партнеров.

Исследователи SentinelOne раскрыли методы тактику уклонения и нетипичное поведение CatB ransomware.

Семейство программ-вымогателей CatB, также известное как CatB99 или Baxtoy, впервые было замечено в конце 2022 года, активные кампании - в ноябре.

Сходство строк в заметках о выкупе, а также модификации, оставленные полезными нагрузками программ-вымогателей, позволяют предположить, что CatB может быть либо эволюцией, либо прямым ребрендингом программы-вымогателя Pandora, которая была активна с начала до середины 2022 года и была нацелена на автомобильную промышленность.

Стоит отметить, что Pandora, в свою очередь, связывают с китайской АРТ Bronze Starlight (DEV-0401 или Emperor Dragonfly), которая, как известно, использует различные штаммы ransomware в качестве уловки, чтобы, вероятно, скрыть свои истинные цели кибершпионажа.

Действия группы привлекли внимание в силу того, что они продолжают использовать перехват DLL через Microsoft Distributed Transaction Coordinator (MSDTC) для извлечения и запуска полезной нагрузки программ-вымогателей, избегая таким образом обнаружения.

Полезные нагрузки CatB распространяются в виде набора из двух DLL. DLL-дроппер отвечает за первоначальные обходные проверки среды, а также за сброс и запуск второй DLL, которая обслуживает полезную нагрузку программы-вымогателя.

Дроппер (versions.dll) сбрасывает полезную нагрузку (oci.dll) в каталог System32. И, в конечном итоге, реализует злоупотребление службой MSDTC для внедрения мошеннической oci.dll, содержащей программу-вымогатель, в исполняемый файл msdtc.exe при перезапуске системы.

Одним из поразительных аспектов программы-вымогателя является отсутствие записки с требованием выкупа. Вместо этого каждый зашифрованный файл обновляется сообщением, призывающим жертв совершить платеж в биткойнах.

Согласно примечанию о выкупе, единственный способ связаться с злоумышленником — отправить электронное письмо на указанный адрес протонной почты.

Цена выкупа будет увеличиваться каждый день в течение пяти дней, и после пятого дня наступает полная утрата данных, если жертва не подчинится.

Еще одной особенностью вредоносного ПО является способность собирать конфиденциальные данные, такие как пароли, закладки, историю из веб-браузеров Google Chrome, Microsoft Edge (и Internet Explorer) и Mozilla Firefox. Вредоносное ПО CatB также попытается извлечь информацию из данных профиля Windows Mail.

Индикаторы компрометации и исследованные образцы представлены в отчете.

Банда-вымогателей Clop расширила список жертв GoAnywhere еще на пару десятков организаций.

Большинство потерпевших из перечисленных компаний не представили никаких комментариев, однако несколько все же подтвердили, что подверглись нападению и опубликовали заявления о кибератаках.

Среди них оказался японский технологический гигант Hitachi, который публично признался, что стал мишенью злоумышленников Clop из-за уязвимости, оставив запись в заявление на своем веб-сайте об инциденте.

В компании заявили, что в результате атаки скомпрометированы некоторые данные сотрудников в нескольких странах, ведется расследование.

Пострадавших сотрудников уведомили об инцидент и оказали поддержку. Уведомления такие были направлены и в соответствующие органы по защите данных, правоохранительные структуры и иные заинтересованные организации, с которыми Hitachi активно сотрудничает.

В Hitachi отметили, что на данный момент не было никаких доказательств того, что их сетевая инфраструктура или данные клиентов были скомпрометированы в результате атаки.

Меньше повезло Rio Tinto, которая является второй по величине в мире металлургической и горнодобывающей корпорацией.

Несмотря на то, что компания отказалась комментировать свое попадание в список Clop, близкий к ней источник подтвердил начавшееся расследования инцидента, связанного с уязвимостью GoAnywhere MFT.

Другим крупным потерпевшим оказалась канадская правительственная организация Investissement Quebec, которая подтвердила, что один из ее поставщиков был атакован с помощью продукта GoAnywhere MFT.

В результате инцидента системы не пострадали, но была затронута личная информация некоторых сотрудников. Данные клиентов Investissement Quebec не подверглись риску. По соображениям безопасности в организации отказались от дальнейших комментариев.

В общей сложности Clop добавили на свой DLS 24 новые жертвы из различных стран. Что ж, поскольку бандой изначально было анонсирована более 130 потерпевших организаций, то - TO BE CONTINUED.

Ресерчеры CYFIRMA удивили обнаружением в дикой природе вредоносной ПО под названием ALC Ransomware, которая имитирует поведение шифровальщика, а при этом не шифрует файлы на компьютере-жертве.

Двоичный файл представляет собой 64-разрядный исполняемый файл PE с консольной подсистемой. Информация о времени компиляции отсутствует.

После запуска образец вредоносного ПО сбрасывает на машину следующие файлы: AlcDif.exe, RUS!.txt, Pass, Pey, ALCKEY и C.txt.

Сброшенный файл AlcDlf.exe — это полезная нагрузка, которая дополнительно блокирует экран и отключает диспетчер задач компьютера-жертвы. В ходе выполнения малварь отключает диспетчер задач, блокирует экран и отображает на экране заметку о выкупе с инструкциями о том, как расшифровать и восстановить данные.

Выполнение происходит очень быстро, так как вредоносному ПО требуется пара секунд, чтобы заблокировать экран жертвы, делая машину недоступной для пользователя. Отключив диспетчер задач, вредоносное ПО может работать без перерыва и продолжать свою вредоносную деятельность.

В примечании о выкупе также содержится QR-код для оплаты, который при сканировании указывает на тот же адрес кошелька, который указан на экране. При этом жертве предлагается заплатить сумму «554 XMR» (что эквивалентно примерно 83 680 долларов США).

Ресерчеры полагают, что ALC Ransomware является Scareware-программой. Вместе с тем, вредоносное ПО плохо разработано и недостаточно продумано, что указывает на то, что оно может находиться на ранних стадиях разработки или создано низкоквалифицированными или не обладающими ресурсами разработчиками. 

Данный тип вредоносных программ может быть использован киберпреступниками в рамках реализации схемы с низкими инвестициями и большими «дивидендами».

Учитывая, что ALC Ransomware оставляет на рабочем столе записку с требованием выкупа под названием «RUS!.txt», в которой упоминается о нацеливании ПО на Россию и ее союзников, исследователи CYFIRMA полагают, что ее авторы могут иметь непосредственное отношение к украинской стороне.

В целом же, по мнению исследователей, эффект такого типа вредоносного ПО с расширенными возможностями вполне может быть использован для дестабилизации обстановки в ходе гибридных и хакерских атак, и в совокупности многих факторов может нанести значительный ущерб жертвам и организациям.

Исследователи Akamai сообщают о новом DDoS-ботнете на базе Golang, получивший название HinataBot, который использует известные уязвимости для компрометации маршрутизаторов и серверов.

Любители аниме возможно распознали коллегу по цеху, так как Hinata происходит от имени персонажа из популярного аниме-сериала Наруто.

HinataBot стал активен с начала 2023 года и, как сообщают эксперты, его операторы регулярно обновляют малварь.

Причем злоумышленники, стоящие за ботнетом, были обнаружены на ландшафте угроз с декабря 2022 года и сначала пытались использовать общий вариант Mirai на основе Go, но затем переключились на собственное вредоносное ПО.

С тех пор, в ловушки Akamai попадались новые сигнатуры, которые включают более модульную функциональность и дополнительные меры безопасности для предотвращения анализа, что подтверждает тот факт, что HinataBot все еще находится в активной разработке.

Среди методов, используемых для распространения вредоносного ПО применяются открытые сервера Hadoop YARN, недостатки безопасности в устройствах Realtek SDK (CVE-2014-8361) и маршрутизаторах Huawei HG532 (CVE-2017-17215).

Неисправленные баги, слабые и дефолтные учетные данные легкая добыча для злоумышленников и представляет собой простую точку входа, которая не требует сложной тактики в социальной инженерии или других методах.

Вредонос HinataBot, как и другие DDoS-ботнеты такого рода, способен связываться с С2 для получения инструкций и инициирования атак на целевой IP-адреса.

В то время как ранние версии ботнета использовали такие протоколы, как HTTP, UDP, TCP и ICMP для проведения DDoS-атак, последняя версия ограничена лишь HTTP и UDP.

Не сразу стало понятно, почему были отключены два других протокола, но специалисты провели 10-секундные тесты атак с использованием HTTP и UDP.

Они показали, что HTTP-поток сгенерировал 3,4 МБ данных о захвате пакетов и отправил 20 430 HTTP-запросов, а поток UDP создал 6733 пакета, в общей сложности с 421 МБ данных.

При гипотетической атаке с использованием 10 000 ботов поток UDP достигнет максимума в 3,3 терабита в секунду, что приведет к мощной и объемной атаке, а HTTP-поток будет генерировать трафик примерно 27 гигабит в секунду.

Учитывая, что DDoS-атаки становятся все более частыми, сложными и недорогими для злоумышленников при запуске, организациям любого размера рекомендуется проявить инициативу не скупиться на средствах защиты и разработать стратегию реагирования на подобные инциденты.

Хакеры украли у General Bytes криптовалюуту на более чем 1.5 млн. долларов.

Крупнейший производитель криптобанкоматов General Bytes сообщил, что стал жертвой злоумышленников и обнаружил эксплойт в своем главном сервисном интерфейсе.

Известно, что производитель выпустил 9 505 таких банкоматов по всему миру, тысячи из которых расположены в Соединенных Штатах. В субботу, 18 марта, компания сообщила общественности о серьезном инциденте, который произошел накануне 17 марта.

В опубликованном заявлении компания призывает клиентов принять немедленные меры для защиты своих средств и личной информации и внимательно прочитать бюллетень по безопасности.

В бюллетене по безопасности General Bytes сообщается, что злоумышленнику удалось удаленно загрузить вредоносное Java-приложение с помощью интерфейса master service, который обычно используется терминалами для загрузки видео.

Он получил доступ к привилегиям пользователя BATM, а также к базе данных, где смог прочитать и расшифровать ключи API, используемые для доступа к средствам на горячих кошельках и биржах.

Кроме того, хакер мог загружать имена пользователей, получать доступ к их хэшам паролей, отключать 2FA и отправлять средства с горячих кошельков.

Согласно статистике onchain, хакер вывел 56,28 биткойнов на сумму около 1,5 млн долларов, а также ликвидировал десятки других криптовалют, таких как ETH, USDT, BUSD, ADA, DAI, DOGE, SHIB и TRX.

Некоторые цифровые валюты были переведены в разные места, а часть была отправлена на платформу децентрализованного обмена (DEX) Uniswap.

Администраторам CAS (Crypto Application Server) настоятельно рекомендуется проверить свои файлы журналов "master.log" и "admin.log" на предмет любых подозрительных пробелов во времени, вызванных удалением записей журнала злоумышленником, чтобы скрыть свои действия на устройстве.

General Byte уже выпустила исправление CAS, которое устраняет используемую уязвимость, представленную в двух патчах: 20221118.48 и 20230120.44.

В отчете General Byte также предупреждалось, что загруженные вредоносные JAVA-приложения будут отображаться в папке "/ batm/ app/admin/standalone /deployments /" со случайным именем файлы .war и .war.deployed.

После инцидента General Bytes временно приостановила деятельность и активно занимается расследованием и оценкой причиненного ущерба.

Но учитывая масштабы этого взлома, General Byte вернется не скоро, так как компании придется перепроектировать и строить инфрастуктуру с нуля.

Самое эпичное, что взломанная система прошла несколько проверок безопасности с 2021 года, но ни одна из них не выявила используемую уязвимость.

По итогам 2022 года хакеры использовали 55 0-day в своих вредоносных кампаниях, причем большинство из них было обнаружено в ПО Microsoft, Google и Apple.

К таким выводам пришли исследователи Mandiant, отметившие операционные системы для настольных компьютеров (19), веб-браузеры (11), продукты для управления ИТ и сетями (10) и мобильные операционные системы (6) наиболее уязвимыми типами продуктов.

Большинство из уязвимостей (53 из 55) позволяли злоумышленнику либо получить повышенные привилегии, либо удаленно выполнить код на уязвимых устройствах.

При этом, по данным Mandiant, большинство прошлогодних 0-day (13) были использованы АРТ, нацеленными, преимущественно, на ОС, веб-браузеры и решения по управления сетями.

АРТ предпочитали нацеливаться на продукты пограничной инфраструктуры, поскольку в них обычно отсутствуют решения для обнаружения, и они с меньшей вероятностью вызывают тревогу.

Кроме того, их эксплуатация не требует взаимодействия с жертвой и может способствовать горизонтальному перемещению внутри скомпрометированной сети.

Финансово мотивированным злоумышленникам приписывается использование 4 0-day в прошлом году, три из которых - ransomware.

Несмотря на предпринимаемые западом усилия взят под контроль рынок коммерческого шпионского ПО, Mandiant сообщает, что в 2022 году проблема продолжала оставаться достаточно острой: полулегальные поставщики вредоносных ПО обнаружили и эксплуатировали как минимум 3 0-day.

В тоже время Mandiant не смогли определить точную мотивацию использования 16 уязвимостей.

Что касается решений, на которые нацеливались хакеры, то в 2022 году Windows была подвержена 15 уязвимостям нулевого дня, Chrome занимает второе место с 9 активно эксплуатируемыми уязвимостями, iOS — третье с 5 0-day и затем macOS с 4.

По сравнению с показателем 2021 года (80 0-day) наблюдается небольшой спад. Тем не менее, прошедший год превосходит все остальные периоды по количеству активно эксплуатируемых уязвимостей.

Mandiant ожидают, что эта тенденция сохранится и в 2023 году. Однако текущая миграция на облачные сервисы может сократить количество раскрываемых 0-day, поскольку поставщики облачных услуг используют другой статистический подход в безопасности.

В целом, несмотря на то, что обнаружение 0-day является ресурсоемкой задачей, а успешная эксплуатация не гарантируется, общее количество обнаруженных и эксплуатируемых уязвимостей продолжает расти, типы целевого ПО, включая устройства IoT и облачные решения продолжают развиваться, а число участников, использующих их, расширилось.

Как мы и предполагали, участникам BreachForums стоит сейчас напрячься и переживать.

После ареста агентами ФБР США основателя BreachForums, известного как Помпомпурин, взявший на себя полное управление сайтом новый админ Baphomet заверил общественность, что платформа будет продолжать работать.

Baphomet рассказал, что разрабатывал план действий на случай нештатных ситуаций, которой вполне можно считать арест 21-летнего Конора Брайана Фицпатрика в своем доме в Пикскилле, штат Нью-Йорк, в прошлую среду.

Но, как говориться в анекдоте, есть нюанс.

Веб-сайт в настоящее время недоступен, а совсем недавно Baphomet предупредил участников, что платформа будет отключена, поскольку ей предстоит перенос на новую инфраструктуру.

Причиной такого решения стало подозрение, что спецслужбы могли получить доступ к машине Poms.

Безусловно, Baphomet успел быстро заблокировать адмиинский доступ Помпомпурина, оставив несколько старых, несущественных серверов совершенно без изменений.

Однако поверив перед миграцией один из CDN, который использовался только для загрузки больших файлов время от времени, он заметил, что кто-то вошел в систему 19 марта, 1:34 EST, до того, как он успел сам посетить на сервер.

После чего Baphomet пришел к выводу, что кто-то узнал учетные данные и получил возможность войти в систему.

Теперь, как он и не только он, считает, ничто не может считаться безопасным, будь то конфигурации, исходный код или информация о наших пользователях и т.д.

ЧТД

Промышленные организации, использующие продукты HMI и SCADA от Aveva, были проинформированы о потенциально серьезных уязвимостях.

Рекомендации по безопасности, опубликованные на прошлой неделе Aveva, информируют пользователей о трех уязвимостях в продуктах InTouch Access Anywhere HMI и Plant SCADA Access Anywhere.

Первоначально обнаруженная Regel из компании Crisec уязвимость отслеживалась как CVE-2022-23854 и могла позволить злоумышленнику, не прошедшему проверку подлинности, имеющему сетевой доступ к защищенному шлюзу, читать файлы в системе за пределами веб-сервера защищенного шлюза. Необходимо знать, на каком пути они находятся.

Если злоумышленник получит доступ к конфиденциальной информации, такой как, например, файлы конфигурации, в которых хранятся данные доступа, то это может привести к серьезным проблемам.

Взаимодействие с пользователем не требуется. Уязвимость можно очень легко использовать с помощью инструмента командной строки, такого как curl. 

Регель раскрыл свои выводы еще в сентябре 2022 года в списке рассылки Full Disclosure и тогда же выпустил PoC. Его раскрытие произошло после того, как поставщик выпустил исправление для уязвимости.

Aveva опубликовала бюллетень с описанием этой уязвимости, а также двух других недостатков, затрагивающих продукты InTouch Access Anywhere и Plant SCADA Access Anywhere. 

Новые недостатки влияют на сторонние компоненты. Одна из них — критическая ошибка OpenSSL, которая может привести к атакам типа DoS или RCE, а другая — проблема средней степени серьезности, связанная с использованием уязвимой версии jQuery.

Исследователь также отметил, что экземпляры шлюза InTouch Access Anywhere Gateway часто имеют доступ к Интернету, что позволяет удаленным злоумышленникам использовать уязвимость непосредственно из Интернета (более 1100 систем доступно).

Обновления ПО, устраняющие все уязвимости, доступны у поставщика.

Выявлена проблема безопасности в утилите Pixel для редактирования скриншотов Markup, которая может позволить злоумышленникам восстанавливать обрезанные или отредактированные изображения и потенциально раскрывать конфиденциальную информацию.

Уязвимость была обнаружена реверс-инженерами Саймоном Ааронсом и Дэвидом Бьюкененом, о чем Google сообщила в начале января.

Недостаток был устранен в обновлении от марта 2023 года, однако старые фотографии все еще могут быть подвержены риску.

Ошибка получила название Acropalypse или, более формально, CVE-2023-21036.

Исследователи даже разместили (acropalypse.app) онлайн-утилиту для восстановления скриншотов Acropalypse, чтобы владельцы Pixel (и не только) могли протестировать свои собственные отредактированные изображения и посмотреть, можно ли их восстановить.

Для злоумышленника тоже весьма полезная бага, которую можно использовать.

Например, в сценарии когда кто-то отправит кому-то скриншот своей банковской карты с отредактированными номерами, а злоумышленник сможет снять цензуру с изображения и восстановить учетные данные карты.

В примере проведенном инженерами им удалось восстановить 80 процентов исходного образа, включая учетные данные и только верхние 20 процентов изображения были повреждены.

Они объяснили, что когда изображение обрезается с помощью разметки, отредактированная версия снимка экрана сохраняется в том же месте, что и оригинал, но не удаляется.

Это означает, что злоумышленники могут восстановить оставшиеся части исходных данных изображения.

Большинство сайтов социальных сетей, таких как Twitter, повторно обрабатывают изображения при их загрузке, тем самым удаляя следы исходных данных, оставшиеся на изображении.

Однако в Discord любые изображения, размещенные на платформе до 17 января, могут все еще иметь этот недостаток.

В целом, достаточно интересный инструмент для OSINTера, так как позволяет частично восстанавливать исходные, неотредактированные данные изображения обрезанной фотографии.

͏Нашим фанатам из комментов к пятничной шутке про Джанет Йеллен посвящается.

Лаборатория Касперского выпустила отчет об активности новой проукраинской APT, которая в октябре 2022 года атаковала госорганы, сельхоз и транспортные организации Донецка, Луганска и Крыма. В комментариях заявляется о нескольких десятках атак.

Вероятно первичным вектором компрометации служил целевой фишинг (Касперы его не поймали). Зато они нашли приманки, маскирующиеся, к примеру, под письмо Крымского избиркома и документы Минфина ДНР. Тут все стандартно.

А вот дальше для заражения использовались неизвестные ранее кастомные бэкдор и модульный фреймворк, которые исследователи назвали PowerMagic и CommonMagic соответственно. И хотя, как говорят эксперты, особо ничего сложного в них нет, но никаких совпадений кода с ранее выявленными вредоносами не выявлено.

Еще из интересного - использование CommonMagic облака OneDrive в качестве канала связи, а также наличие двух вредоносных модулей, один из которых каждые 3 секунды делает скриншоты экрана, а второй тырит файлы с подключаемых к скомпрометированной системе USB-носителей.

Касперские не выявили каких-либо TTPs, которые позволили бы провести хотя бы приблизительную атрибуцию (обещают в следующей серии), но мы-то понимаем, в чьих конкретно интересах вероятнее всего были атакованы Крым, ДНР и ЛНР.

А всем нашим горячим поклонникам хотим ответить следующим видео.

P.S. У TheHackerNews случилась инфосек-шизофрения, которая, впрочем, легко объясняется разночтениями в современной политической повестке, и они написали, что были атакованы ключевые сектора Украины. Видимо поработали "тысячи русских хакеров" (с)

Ресерчеры Cisco Talos сообщают об обнаружении четырех уязвимостей в беспроводной системе Netgear Orbi, в том числе в основном маршрутизаторе-концентраторе и маршрутизаторах-спутниках, расширяющих радиус действия сети.

Ячеистая структура системы позволяет пользователям настраивать несколько точек доступа к Wi-Fi в помещениях, используя различные точки доступа. Система Netgear Orbi подключается к модему или шлюзу пользователя и использует «спутники» для передачи сигнала Wi-Fi в разные точки дома.

Одна из найденных проблем CVE-2022-37337 (TALOS-2022-1596) затрагивает Orbi Satellite и приводит к выполнению произвольных команд на устройстве.

Злоумышленник должен предварительно пройти аутентификацию в системе: ему потребуется доступ к незащищенной сети или учетные данные для входа в сеть, защищенную паролем. После чего уже может отправить специально созданный HTTP-запрос, чтобы активировать уязвимость.

Две другие проблемы, CVE-2022-38452 (TALOS-2022-1595) и CVE-2022-36429 (TALOS-2022-1597), касаются в основном маршрутизатора Orbi и также могут привести к произвольному выполнению команды через отправку специально созданного сетевого запроса или объекта JSON соответственно.

Последняя CVE-2022-38458 (TALOS-2022-1598) позволяет реализовать атаку MiTM для злоупотребления инструментом управления веб-сервисами службы и раскрытия конфиденциальной информации.

Netgear выпустил исправления для TALOS-2022-1596 - TALOS-2022-1598, обновление доступно для клиентов. Однако по прошествии 90-дневного срока раскрытия уязвимостей Cisco производитель так и не смог закрыть TALOS-2022-1595.

Пользователям рекомендуется как можно скорее обновить уязвимые Netgear Orbi Satellite RBS750 (версии 4.6.8.5).

В продолжение вчерашней темы с возможностью восстановления скриншотов. Аналогичной уязвимости подвержен инструмент Snipping Tool в Windows 11 и злоумышленники также легко могут восстановить целую картинку из обрезанного фрагмента.

Как мы уже сообщали, проблема затрагивала пользователей смартфонов Google Pixel, но как оказалось - это касается и компьютеров с ОС Windows 11.

Самое интересное, что внесение минимальных изменений во вредоносный скрипт для смартфонов Pixel позволит восстанавливать данные некоторых изображений, обрезанных с помощью инструмента Snipping Tool для Windows 11 и Snip & Sketch для Windows 10.

Для суеверных, можно самостоятельно проверить информацию.

Для этого достаточно открыть изображение с помощью Snipping Tool, обрезать его и сохранить. Хотя по размеру (в пикселях) оно будет меньше, но размер файла останется прежним — биты информации по-прежнему будут храниться и их можно будет попытаться извлечь, хотя бы частично.

Официальных заявлений от Microsoft пока не поступало, но устранение этого недостатка, вероятно, выйдет в ближайшее время.

Исследователи Rapid7 раскрывают уязвимости, которым подвержено популярное решение для администрирования серверов Linux CloudPanel от MGT-COMMERCE.

Решение используется поставщиками облачного виртуального хостинга, такими как AWS, Azure, GCP, Digital Ocean и многими другими известными организациями.

Две проблемы CWE-183 и CWE-494 были обнаружены Тодом Бердсли в ноябре 2022 года, третья CVE-2023-0391 месяцев позже. Уведомления об ошибках своевременно направлялись в MGT-COMMERCE, после чего в соответствии с политикой раскрытия уязвимостей 21 марта 2023 года состоялось их публичное раскрытие.

Первая проблема, связанная с надежностью сценария установки (CWE-494) была достаточно быстро решена поставщиком - менее чем за день, путем публикации криптографически защищенной контрольной суммы сценария установки. Веб-сайт поставщика теперь включает эту проверку хэша sha256.

Вторая проблема (CWE-183) связана с тем, что во время установки сценарий установки заблаговременно отбрасывает правила локального брандмауэра для основной ОС, заменяя их гораздо более разрешительными правилами.

Кроме того, после завершения первоначальной установки учетная запись администратора суперпользователя для CloudPanel пуста. Как правило, пользователь переходит на веб-панель хост-сервера и устанавливает выбранное значение пароля.

Однако после завершения установки, злоумышленник может посетить ту же веб-панель и установить выбранный пароль для учетной записи администратора. При этом окно атаки ограничено, поскольку реальный администратор CloudPanel имеет возможность сбросить правила брандмауэра после завершения установки.

Если злоумышленнику все же удастся захватить контроль, это позволит ему установить вредоносное ПО, заменить сертификаты или иным образом изменить базовую ОС. Для эксплуатации злоумышленнику необходимо иметь возможность обнаружения свежих установок CloudPanel.

Как раз третья бага CVE-2023-0391 способствует решению злоумышленником этой проблемы и значительно упрощает поиск этих новых серверов CloudPanel в автоматическом режиме.

Она связана с тем, что все установки CloudPanel используют один и тот же жестко запрограммированный закрытый ключ SSL-сертификата (CWE-321).

После установки CloudPanel поставляется со статическим SSL-сертификатом для шифрования связи с административным интерфейсом, который генерируется MGT-COMMERCE один раз и поставляется с каждой установкой.

Поскольку SSL-сертификат имеет уникальный, но многократно используемый открытый ключ, поиск немодифицированных экземпляров CloudPanel становится тривиальной задачей при использовании современных методов сетевого сканирования.

Злоумышленник может непрерывно искать в режиме реального времени новые экземпляры CloudPanel, а затем использовать проблему CWE-183, описанную выше.

Конечно, существуют и другие методы идентификации экземпляров CloudPanel, но повторно используемый сертификат приводит к второстепенной, более серьезной проблеме, связанной с тем, что шифрование, реализуемое соединением HTTPS, не заслуживает доверия, повергая компрометации пароль администратора и токены сеанса.

В целом же, согласно сервису Netlas.io в сети удалось обнаружить до 12 тысяч серверов, в т.ч. расположенные в РФ (в то время как Shodan показывает лишь 5,8 тысяч) с сертификатом, выданным cloudpanel.clp.

На момент публикации две последние проблемы остаются нерешенными поставщиком.

При отсутствии исправления для этих проблем пользователи должны позаботиться об установке CloudPanel только в изолированных сетях таким образом, чтобы они были скрыты за пределами правил локального брандмауэра.

В отсутствие патча для CVE-2023-0391 пользователям CloudPanel рекомендуется создавать и устанавливать собственные сертификаты для использования SSL.

Последние обновления безопасности Microsoft KB5007651 вызывают ложные сообщения об отключении защиты локального центра безопасности LSA.

Как всегда, о проблемах стало известно после многочисленных жалоб пользователей, которые сообщили, что в приложении «Безопасность Windows» отображается сообщение «Защита локальной системы безопасности отключена. Ваше устройство может быть уязвимым» (когда эта функция включена).

Эта ошибка появилась в Защитнике Windows после обязательного обновления безопасности, которое поставлялось вместе с мартовским обновлением Windows 11.

Local Security Authority — это функция, которая предотвращает внедрение кода и снижает вероятность компрометации учетных данных. Функция проверяет входы в систему Windows, что необходимо для нормальной работы ОС.

Переключатель безопасности в приложении «Настройки» добавляет дополнительную защиту LCA для предотвращения внедрения кода, который может скомпрометировать учетные данные. С помощью нее Microsoft пытается предотвратить случайный обмен или утечку конфиденциальной информации, такой как пароли, токены, сертификаты и т.д.

После последнего обновления приложение предлагает включить защиту локального администратора безопасности и перезагрузить устройство, даже если оно уже включено (переключатель включен). Функция работает в фоновом режиме.

Проблема широко распространена и компания предпринимает шаги, чтобы приостановить развертывание неудачного обновления безопасности Windows.

Пока нет нового патча, чтобы исправить ошибку предыдущего патча предлагается использовать следующий обходной путь:

- открыть редактор реестра Windows;
- перейти в: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
- убедиться в наличии RunAsPPL и RunAsPPLBoot;
- если нет RunAsPLLBoot в списке - создать записи DWORD для RunAsPPL и RunAsPPLBoot;
- установить значение для обеих записей - 2.

После перезагрузки предупреждения должны прекратиться.

͏Proofpoint научился в квантовый инфосек - теперь они поставляют новости ИБ прямо из будущего.

Команда Cisco Talos обнаружила две уязвимости высокой степени серьезности в диспетчере данных KingHistorian китайского разработчика WellinTech, который используется для сбора и обработки больших массивов данных в ICS.

Впервые выявленные в прошлом году проблемы приводят к раскрытию информации и переполнению буфера.

Одна из них отслеживается как CVE-2022-45124 (TALOS-2022-1683) и может позволить злоумышленнику, перехватившему пакет проверки подлинности, получить имя пользователя и пароль законного пользователя, вошедшего в систему.

Второй уязвимостью CVE-2022-43663 (TALOS-2022-1674) можно воспользоваться, отправив специально созданный сетевой пакет, который вызывает переполнение буфера.

Пока неясно, можно ли использовать уязвимость для выполнения произвольного кода или только для сбоя процесса.

Cisco уведомила вендора о недостатках в безопасности в декабре 2022 года, который выпустил необходимые исправления в начале этого месяца.

Cisco не поделилась какой-либо информацией о реальных последствиях потенциального использования этих уязвимостей.

Но, предполагается, что компрометация архива может быть очень полезна для злоумышленников в плане шпионажа и вызова сбоев в работе предприятий.

Пользователям рекомендуется как можно скорее обновить затронутый продукт WellinTech KingHistorian (в версии 35.01.00.05).

Очередная порция критических уязвимостей обнаружена в промышленных системах управления Delta Electronics и Rockwell Automation.

По этому поводу американская CISA во вторник выпустила предупреждения, опубликовав целых восемь рекомендаций по ICS, которые включают в себя описание 13 уязвимостей в ПО для мониторинга устройств InfraSuite Device Master от Delta Electronics.

Вероятно, в ближайшее время по этому поводу отметиться Team82 из Claroty, которая обычно в первую очередь информирует регулятора о критических недостатках, а впоследствии указывает их у себя в блоге в порядке раскрытия.

Все недостатки затрагивают весь набор версий вплоть до 1.0.5.

Успешная эксплуатация баг может позволить злоумышленнику, не прошедшему проверку подлинности, получить доступ к файлам и учетным данным, повысить привилегии и реализовать RCE.

Самой критической является CVE-2023-1133 с оценкой CVSS: 9,8, которая обусловлена приемом InfraSuite Device Master непроверенных UDP-пакетов и десериализацией содержимого, тем самым позволяя неавторизованному удаленному злоумышленнику выполнить RCE.

Две другие ошибки десериализации, CVE-2023-1139 (CVSS: 8,8) и CVE-2023-1145 (CVSS: 7,8) также могут быть использованы для RCE.

Другой перечень уязвимостей затрагивает следующие версии ПО ThinManager ThinServer от Rockwell Automation: 6.x – 10.x, 11.0.0 – 11.0.5, 11.1.0 – 11.1.5, 11.2.0 – 11.2.6, 12.0.0 – 12.0.4, 12.1.0 – 12.1.5 и 13.0.0 – 13.0.1.

Наиболее серьезными являются две ошибки, CVE-2023-28755 (CVSS: 9,8) и CVE-2023-28756 (CVSS: 7,5), которые могут позволить неавторизованому удаленному злоумышленнику загружать произвольные файлы в каталог, в котором установлен ThinServer.exe.

Более того, злоумышленник может использовать CVE-2023-28755 для перезаписи существующих исполняемых файлов троянизированными версиями, что потенциально может привести к RCE или сбою ПО.

Пользователям рекомендуется обновиться до исправленных версий 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6, и 13.0.2.

При этом следует учитывать, что версии ThinManager ThinServer 6.x–10.x устарели, поэтому необходимо выполнить обновление до поддерживаемой версии.

В качестве обходных путей предлагается ограничить удаленный доступ к порту 2031/TCP известными тонкими клиентами и серверами ThinManager.

Google выпустила обновления для Chrome 111, которые включают исправления для восьми уязвимостей.

О семи из восьми уязвимостей сообщили внешние исследователи. Все они являются ошибками безопасности памяти высокой степени серьезности, четыре из которых связаны с использованием после освобождения и могут привести к повреждению данных, RCE или DoS.

Если ориентироваться на сумму вознаграждению (10 000 долларов США), наиболее важной из этих уязвимостей является CVE-2023-1528 (ошибка использования после освобождения) в компоненте паролей Chrome.

Следующая на очереди - CVE-2023-1529 (доступ за пределами памяти в WebHID), за которую Google заплатила вознаграждение в размере 8000 долларов США.

Три другие проблемы использования после освобождения были закрыты в компонентах PDF, графическом движке ANGLE и в WebProtect.

За первую техгигант выплатил вознаграждение в размере 7000 долларов исследователю из Национального центра кибербезопасности Великобритании (NCSC). Две другие - в процессе оценки.

Последнее обновление Chrome 111 также содержит исправления для двух проблем с чтением за пределами границ в GPU Video и ANGLE, которые были найдены исследователями Google Project Zero.

Компания не сообщает об использовании каких-либо из этих уязвимостей в реальных атаках. Последний выпуск Chrome доступен в версиях 111.0.5563.110 для Mac и Linux и 111.0.5563.110/.111 - для Windows.