Стартовал очередной этап хакерского турнира Pwn2Own Vancouver 2023, на котором разыгрываются 1 080 000 долларов и Tesla Model 3 в категориях корпоративных приложений, коммуникаций, EoP, серверов, виртуализации и автомобилей.

В первый день исследователи успешно продемонстрировали эксплойты и взломали Windows 11, Tesla, Ubuntu и macOS.

Первым пал Adobe Reader в категории корпоративных приложений.

Абдул Азиз Харири из Haboob SA реализовал цепочку эксплойтов, благодаря которой смог последовательно проэксплуатировать 6 ошибок, выйти из песочницы и обойти перечень запрещенных API в macOS, и в конечном итоге заработать 50 000 долларов.

Команда STAR Labs продемонстрировала цепочку 0-day эксплойтов, нацеленную на платформу Microsoft SharePoint, которая принесла им вознаграждение в размере 100 000 долларов.

Кроме того, ресерчеры успешно взломали Ubuntu Desktop с помощью ранее известного эксплойта за 15 000 долларов.

Коллектив Synacktiv сорвал куш в 100 000 долларов и укатил в свой гараж Tesla Model 3 после успешного выполнения атаки TOCTOU на Tesla – Gateway в автомобильной категории.

Ими также была реализована 0-day TOCTOU для повышения привилегий в Apple macOS, которая принесла им еще 40 000 долларов.

Oracle VirtualBox был взломан с использованием OOB Read
и цепочки эксплойтов переполнения буфера на основе стека. Приз в 40 000 долларов США получил Бьен Фам из Qrious Security.

Исследователь Марцин Визовски смог повысить привилегии в Windows 11, используя o-day неверной проверки ввода, за что ему был выдан бонус в 30 000 зеленых.

На второй день Pwn2Own участники продемонстрируют 0-day эксплойты, нацеленные на Microsoft Teams, Oracle VirtualBox, мультимедиа Tesla Model 3 Unconfined Root и Ubuntu Desktop, а в последний - попытаются взломать Microsoft Teams, Windows 11 и VMware Workstation.

Будем следить за итогами.

Мы практически не читаем советских газет, поэтому следующая новость прошла бы мимо нас, если бы внимательные подписчики не прислали ее нам в почту.

Инфосек-компания Серенити, принадлежащая МТС, захотела нас всех заинтриговать. Как мы писали еще в ноябре, созданная в конце лета прошлого года контора не сильно торопилась радовать нас анонсами своих проектов, хотя туманно обещала распространять SOC-сервисы.

Но вместо SOC-сервисов решили сделать свой EncroChat c преферансомъ и куртизанъками с MVNO и файрволом. Но без шифрования. Дайте срочно 5 тыщ в месяц.

С точки зрения продаж перспектива, если честно, так себе. Хотя, если новый сервис назвать "Balenciaga mobile" и поставить точку продажи в ЦУМе...

Официальный сайт, кстати, так до сих пор и не сделали. Поэтому новости можно черпать с ВК Наумовой, где она рассказывает про молодость и смелость в ДНК компании и как она ремонт дома делала.

Хотите рецепт успешного инфосек стартапа? Бизнескоучинг + дайверсити + энергия + бородатый Черешнев! А SOC-сервисы в жопу, они скучные!

Cisco выпустила крупные обновления безопасности для ПО IOS и IOS XE, которые устраняют 10 уязвимостей, в том числе 6 из которых имеют высокий рейтинг серьезности и приводят к DoS, внедрению команд и повышению привилегий.

Наиболее важными являются 3 ошибки безопасности, которые могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, для вызова состояния DoS.

Первая из них - CVE-2023-20080, влияет на ретрансляцию IPv6 DHCP версии 6 (DHCPv6) и серверные функции ПО IOS и IOS XE.

Недостаточная проверка границ данных позволяет злоумышленнику отправлять сообщения DHCPv6 на уязвимое устройство и вызывать перезагрузку.

Вторая CVE-2023-20072 влияет на код обработки фрагментации пакетов туннельного протокола и может быть использована путем отправки созданных фрагментированных пакетов в уязвимую систему.

Cisco также устранила CVE-2023-20027 - проблему в реализации функции повторной сборки виртуальной фрагментации (VFR) IPv4 ПО IOS и IOS XE, которая возникает из-за того, что большие пакеты не собираются должным образом при включении VFR.

Бага может быть реализована путем отправки фрагментированных пакетов через интерфейс с поддержкой VFR на уязвимом устройстве.

Другая DoS-уязвимость высокой степени серьезности была устранена в функции профилирования клиента на основе HTTP в ПО IOS XE для контроллеров беспроводной локальной сети (WLC).

Ошибка отслеживается как CVE-2023-20067 и связана с недостаточной проверкой ввода полученного трафика.

Злоумышленник может воспользоваться этой уязвимостью, отправив созданный трафик через точку беспроводного доступа. Успешный эксплойт позволит злоумышленнику увеличить загрузку ЦП, что может привести к DoS и сбою новых ассоциаций беспроводных клиентов.

Cisco также исправила недостаточную проверку ввода в интерфейсе командной строки ПО IOS XE SD-WAN, которая могла позволить злоумышленнику, прошедшему проверку подлинности, выполнять команды в ОС с привилегиями корневого уровня.

Ошибка отслеживается как CVE-2023-20035 и позволяет злоумышленнику с ограниченными привилегиями захватить уязвимую систему.

Шестой серьезной уязвимостью является CVE-2023-20065, представляющая собой проблему с недостаточными ограничениями в подсистеме размещения приложений IOx ПО IOS XE и позволяет аутентифицированному злоумышленнику повысить свои привилегии до root.

Обновления Cisco для IOS и IOS XE также включают исправления для уязвимостей DoS средней степени серьезности, обхода пути и повышения привилегий.

Кроме того, Cisco также выпустила исправления для трех других серьезных ошибок, включая проблему безопасной загрузки в коммутаторах серии Catalyst 9300, ошибку повышения привилегий в DNA Center и DoS-уязвимость в ПО точки доступа (AP).

Несколько проблем средней степени серьезности были устранены в ПО SD-WAN vManage, DNA Center, Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD), IOS и IOS XE, AP.

Cisco неизвестно об использовании каких-либо из этих недостатков в злонамеренных атаках.

Как и обещали, кратко рассказываем об итогах второго дня Pwn2Own Vancouver 2023.

Участники хакерского турнира сорвали банк в 475 000 долларов США после успешной демонстрации 10 0-day в нескольких весьма известных продуктах.

В числе взломанных целей оказались: Tesla Model 3, коммуникационная платформа Microsoft Teams, платформа виртуализации Oracle VirtualBox и ОС Ubuntu Desktop.

Кульминационным моментом второго дня стала эффектная атака Дэвида Берара из Synacktiv и Винсента Деорса против Tesla - Infotainment Unconfined Root, которая привела к взлому с помощью переполнения кучи и цепочки эксплойтов записи OOB.

В качестве вознаграждения ресерчеры заработали 250 000 долларов, укатив с собой также и Tesla Model 3.

Томас Имберт и Томас Бузерар из Synacktiv реализовали цепочку из трех ошибок для повышения привилегий на хосте Oracle VirtualBox, заработав тем самым 80 000 долларов.

С третьей попытки Танги Дуброка из Synacktiv удалось продемонстрировать 0-day неправильного масштабирования указателя, который привел к повышению привилегий в Ubuntu Desktop и награде к 30 000 долларов.

Команда Team Viettel смогла взломать Microsoft Teams с помощью цепочки из двух баг, заработав 78 000 долларов, а затем и - Oracle VirtualBox с использованием ошибку Use-After-Free (UAF) и неинициализированной переменной, пополнив свою бюджет еще на 40 штук.

Сегодня, в последний день соревнований, исследователи попытаются реализовать 0-day в Ubuntu Desktop, Microsoft Teams, Windows 11 и VMware Workstation.

Как минимум 7500 из 2 млн. хостов, на которых запущено ПО для резервного резервного копирования и репликации (VBR) от Veeam, остаются уязвимыми для CVE-2023-27532, об исправлении которой мы сообщали в начале марта.

7 марта Veeam выпустила обновления безопасности для устранения уязвимости для VBR V11 и V12, рекомендуя клиентам незамедлительно пропатчить уязвимые устройства и защитить установки с неподдерживаемыми версиями, используя временное исправление.

В целом же, программное обеспечение Veeam VBR используют более 450 000 клиентов по всему миру, которым следует знать, что на днях команда Horizon3 Attack Team опубликовала технический анализ уязвимости и представила PoC.

Кросс-платформенный код эксплойта на ядре .NET может работать в Linux и позволяет получать учетные данные в виде открытого текста из базы данных конфигурации VBR, злоупотребляя незащищенной конечной точкой API.

Настоятельно рекомендуем клиентам максимально серьезно отнестись к уязвимости и как можно скорее применить исправления.

Особенно, учитывая, что помимо Horizon3 на прошлой неделе исследователи из Huntress также продемонстрировали свой собственный PoC-эксплойт.

Он способен сбрасывать учетные данные в открытом виде и выполнять RCE с помощью дополнительных вызовов API, превращая уязвимый экземпляр Veeam в вектор для начального доступа или дальнейшей компрометации.

Несмотря на то, что сообщений о попытках эксплуатации баги в дикой природе еще не поступало, ресерчеры полагают, что в ближайшее время ситуация может измениться.

Злоумышленники с большой долей вероятности смогут создать свои собственные эксплойты для атак на открытые в Интернете серверы Veeam.

Automattic намерена принудительно исправить плагин для интернет-магазинов WooCommerce Payments для WordPress на более чем 500 000 установках.

Патч устраняет критическую уязвимость, которая позволяет злоумышленникам, не прошедшим проверку подлинности, получить административный доступ к уязвимым хранилищам. Затрагивает версии с 4.8.0 по 5.6.1.

Другими словами, как поясняет Wordfence, проблема может позволить неавторизованному злоумышленнику выдать себя за администратора и полностью захватить веб-сайт без какого-либо взаимодействия с пользователем или социальной инженерии

По словам исследователя Sucuri Бена Мартина, уязвимость находится в файле PHP с именем class-platform-checkout-session.php. Обнаружение и сообщение об уязвимости приписывается Майклу Маццолини из швейцарской GoldNetwork.

WooCommerce также заявила, что работает с WordPress для автоматического обновления сайтов с использованием уязвимых версий ПО. В числе исправленных: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.

Кроме того, разработчики плагина отметили, что он отключает бета-программу WooPay из-за опасений, что дефект безопасности может повлиять на службу проверки платежей.

На сегодняшний день нет никаких доказательств того, что уязвимость использовалась в реальных атаках, но как ожидают в Wordfence, что она будет широко применятся, как только станет доступен PoC.

Помимо обновления до последней версии, пользователям рекомендуется проверять наличие вновь добавленных администраторов и, в случае обнаружения - менять админские пароли, платежный шлюз и ключи API WooCommerce.

С несвойственной оперативностью Microsoft выпустила исправления для недавно обнаруженного недостатка конфиденциальности Acropalypse, позволяющего частично восстанавливать обрезанные изображения.

Как отметил энтузиаст XenoPanther, вчера Microsoft неожиданно выпустила и активно тестирует обновленную версию Windows 11 Snipping Tool версии 11.2302.20.0 для участников программы предварительной оценки на канале Canary через Microsoft Store.

Ошибку, из-за которой не удалялись обрезанные данные изображения при сохранении изменений в исходном файле в Windows 11 пофиксили, но в Windows 10 баг до сих пор не исправлен.

Когда будет доступен патч для стабильных версий Windows пока не понятно, а пока же возможно просто следует воздержаться от использования "ножниц" учитывая, что достойных альтернатив более чем, предостаточно.

🔥Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и IT:

▶️ Russian OSINT — авторский канал о кибербезопасности, хакерах, OSINT-технологиях, а также самые горячие новости IT-индустрии.

▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.

▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.

▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".

▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.

▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.

Завершился очередной этап хакерского турнира Pwn2Own Vancouver 2023.

Участники раскрыли 27 уникальных 0-day и выиграли в общей сложности 1 035 000 долларов, укатив с собой и электрокар.

В общем зачете победу одержала команда Synacktiv, которые смогли заработать 53 балла, 530 000 долларов и Tesla Model 3.

В последний день Pwn2Own исследователи сорвали банк в размере 185 000 долларов после демонстрации 5 0-day эксплойтов, нацеленных на Windows 11, Ubuntu Desktop и VMware Workstation.

Кульминацией стал взлом операционной системы Ubuntu Desktop, который произвели трижды три разные команды.

Три рабочих 0-day в Ubuntu были продемонстрированы Кайлом Зенгом из ASU SEFCOM (double free bug), Минги Чо из Theori (Use-After-Free) и Бьен Фамом из Qrious Security (эксплойт был известен ранее).

Первые двое получили по 30 000 долларов за свои эксплойты, Фам заработал только 15 000 долларов.

Полностью пропатченная ОС Windows 11 была снова взломана на Pwn2Own, а Томас Имберт из Synacktiv получил 30 000 долларов за ошибку Use-After-Free (UAF).

Команда STAR Labs успешно применила неинициализированные переменные и цепочку эксплойтов UAF в ходе атаки на VMWare Workstation, за что получила вознаграждение в размере 80 000 долларов.

Теперь у поставщиков ПО есть 90 дней для исправления 0-day, продемонстрированных и раскрытых в ходе Pwn2Own, прежде чем Trend Micro Zero Day Initiative опубликует технические подробности.

После предварительного тестирования, о котором мы сообщали на прошлой неделе, Microsoft выпустила экстренное обновление для Snipping Tool для Windows 10 и Windows 11 c исправлением уязвимости раскрытия информации, получившей наименование Acropalypse.

Отслеживваемая как CVE-2023-28303 вызвана тем, что редакторы изображений неправильно удаляли обрезанные данные изображения при перезаписи исходного файла.

Она затрагивает и инструмент разметки Google Pixel, который также оставлял обрезанные данные в исходном файле.

Оставшиеся дополнительные данные могут быть использованы для частичного восстановления содержимого обрезанного изображения, что может привести к раскрытию конфиденциальной информации, которое пользователь хотел скрыть.

Несмотря низкий уровень серьезности, согласно подсчетам исследователей количество общедоступных изображений, затронутых Acropalypse, может оказаться достаточно внушительным: только на VirusTotal размещено более 4000.

Пользователям рекомендуется перейти к использованию обновленных версии Windows 11 Snipping Tool - 10.2008.3001.0 и Windows 10 Snip & Sketch - 11.2302.20.0.

И всегда помнить о возможности восстановления заретушированных данных в снимках, исполненных с помощью более ранних версий ПО.

Все подозрения оправдались, теперь и официально.

Сотрудники ФБР подтвердили взлом BreachForums, который, судя по опубликованным в пятницу прошлой недели судебным документам, был осуществлен задолго до задержания основателя площадки Помпомпурина.

На днях 20-летний Конор Брайан Фитцпатрик предстал перед судом Восточного округа Вирджинии, ему было предъявлено обвинение в краже и продаже конфиденциальной личной информации американских граждан, организаций и госучреждений.

Завладев базой и изучив журналы активности сотрудники бюро без труда обнаружили IP-адрес Фитцпатрика (69.115.201.194), который он один раз засветил в ходе авторизации на форуме, вероятно, после того, как забыл воспользоваться Tor или включить VPN.

Этот же IP он использовал для доступа к своей учетной записи iCloud со своего iPhone. Соответствующие логи аккаунта FITZPATRICK на iCloud предоставила любезная Apple Inc.

Кроме того, также взломав в феврале 2022 года предшественника BreachForums, сотрудники бюро отыскали в логах RaidForums приватную переписку Помпомпурина с его владельцем, где он фактически в разговоре раскрыл свой email (conorfitzpatrick02@gmail.com), который позже также увязали с его личностью.

В конечном, счете становится понятным, почему при задержании Фитцпатрик не стал, что он именно стоял за аккаунтом на BreachForums, а также одноименной учетной записью на RaidForums. Он признался, что зарабатывал около 1000 долларов в день и тратил почти весь доход на содержание инфраструктуры.

Энергично перехвативший штурвал управления BreachForums новый модер Baphomet после того, как последовав примеру ФБР и внимательно просмотрев логи, достаточно быстро сдулся и прикрыл лавочку.

И уже вряд ли продолжит реализацию своей задумки возродить форум на новой инфре.

Будем, конечно, посмотреть.

Представители кибершпионской конъюнктуры из поднебесной становятся все более опытными и изощрёнными в обходе решений безопасности.

К такому заключению пришли специалисты из Trendmicro, которые представили анализ недавних кампаний проправительственной китайской группировки Earth Preta.

Субъект угрозы, активен как минимум с 2012 года и отслеживается в ряде компаний по кибербезопасности, как Bronze President, HoneyMyte, Mustang Panda, RedDelta и Red Lich.

Цепочка атак начинается как обычно, а именно с рассылки фишинговых электронных писем с целью развертывания широкого спектра инструментов для организации бэкдора, доступа к C2 и извлечения данных.

Как правило, сообщения содержат вредоносные вложения в виде архивов-приманок, распространяемых посредством Dropbox или Google Drive для загрузки DLL, ярлыков LNK и файлов с поддельными расширениями для того, чтобы закрепиться в системе и затем установить один из бэкдоров TONEINS, TONESHELL, PUBLOAD, and MQsTTang (aka QMAGENT).

Аналогичные вектора заражений с ссылками на Google Drive использовались в апреле 2021 года для установки Cobalt Strike.

Как считают специалисты, Earth Preta закрепляет тенденцию скрывать полезную нагрузку в поддельных файлах, маскируя их под легитимные, так как этот метод доказал свою эффективность для предотвращения обнаружений.

Этот сценарий с первоначальной точкой входа впервые был замечен в конце прошлого года и в настоящее время получил небольшую, но очень примечательную доработку, при которой ссылка на скачивание архива встраивается в другой документ-приманку, а конечный файл защищен паролем, что позволяет обходить службы сканирования.

Первоначальный доступ к среде сопровождается поиском учетной записи жертвы с последующим повышением привилегий, при этом злоумышленники используют пользовательские инструменты, такие как ABPASS и CCPASS, чтобы обойти User Account Control (механизм контроля учетных записей в Windows 10).

Помимо прочего хакеры разварачивают малварь "USB Driver.exe" (HIUPAN или MISTCLOAK) и "rzlog4cpp.dll" (ACNSHELL или BLUEHAZE), чтобы заинсталлироваться на съемные накопили и создать reverse shell для горизонтального перемещения в сети.

Среди других вредоносных утилит встречались: CLEXEC - бэкдор, способный выполнять команды и очищать журналы событий; COOLCLIENT и TROCLIENT - имплантаты, предназначенные для записи нажатий клавиш, чтения и удаления файлов; PlugX для распространения через USB-накопители.

Субъект угрозы также разработал сложные настраиваемые инструменты, используемые для эксфильтрации, такие как NUPAKAGE и ZPAKAGE, оба из которых оснащены для сбора файлов Microsoft Office.

Результаты анализа еще раз подчеркивают возросший потенциал китайских APT и их постоянные инвестиции в совершенствование своего арсенала, а Earth Preta явный пример субъекта угрозы, который регулярно совершенствует свои ТТП, усиливает возможности разработки и создает универсальный набор вредоносных инструментов для осуществления кибершпионской деятельности.

GitHub приостанавил работу репозитория Twitter, после инцидента с обнаружением утечки исходников в одном из частных репозиториев.

Администрация предприняла указанные шаги после после получения DMCA-уведомления от Twitter о нарушении авторских прав в службу размещения кода GitHub с просьбой удалить репозиторий, содержащий исходный код.

По данным Twitter, в репозитории, принадлежащем пользователю GitHub FreeSpeechEnthusiast, незаконно размещался проприетарный исходный код платформы и внутренних инструментов.

В дополнение к удалению репозитория администрация соцсети также запросила информацию, которая могла бы помочь ей идентифицировать владельца и пользователей, которые могли получить доступ к репозиторию до его приостановки, включая IP-адреса или другую информацию о сеансах, а также любые журналы, связанные с этим репозиторием или его ответвлениями.

GitHub выполнил требование Twitter и приостановил публичный доступ к репозиторию в пятницу.

Помимо прочего принадлежащая Microsoft платформа также опубликовала и сам запрос.

В свою очередь, Twitter для установления виновника утечки подал документы с запросом в Окружной суд США по Северному округу Калифорнии с просьбой обязать GitHub предоставить всю идентифицирующую информацию.

GitHub при этом не подтвердил и не опроверг, предоставил ли он такую информацию. Компания также не прокомментировала, как долго исходный код Twitter был общедоступен.

В целом же, предполагаемая утечка исходного кода — лишь последнее дополнение к веренице проблем, которые преследуют последнее время платформу.

В конце декабря злоумышленники продавали данные более 400 миллионов пользователей Twitter, раскрыв при этом 63 ГБ данных на более чем 200 миллионов пользователей с их именами и адресами электронной почты.

Twitter отрицал какие-либо утечки с использованием ошибок в системах компании, и тем не менее вынужден был отвечать по коллективному иску в связи с предполагаемым инцидентом.

Apple выпустила серию обновлений, включая широкий спектр исправлений безопасности для всех устройств:

Исправления затрагивают iOS, iPadOS, tvOS, watchOS, всех разновидностей macOS, а также прошивку для внешнего монитора Studio Display от Apple.

Следует отметить, что если вы используете macOS Ventura и подключили свой Mac к Studio Display, простого обновления самой ОС Ventura недостаточно для защиты от потенциальных атак на системном уровне.

Согласно бюллетеню Apple, ошибка в собственной прошивке экрана дисплея может быть использована приложением, работающим на Mac, для выполнения произвольного кода с привилегиями ядра.

В целом, пакет исправляет многочисленные баги в различных компонентах, приводящих к RCE, раскрытию информации, обходу Apple Gatekeeper, доступу к Bluetooth, просмотру скрытых фотографий без аутентификации и контактов, раскрытию памяти процесса, считыванию конфиденциальной информации о местоположении и др.

Обновлениия доступны в версиях: iOS 16.4, iPadOS 16.4, macOS Ventura 13.3, macOS Monterey 12.6.4, macOS Big Sur 11.7.5, tvOS 16.4 и watchOS 9.4.

Кроме того, в пакете обновлений закрыта также 0-day в WebKit, которая позволяет злоумышленникам внедрить вредоносное ПО на старые устройства iOS 15 или iPadOS 15.

CVE-2023-23529 связана с ошибкой путаницы типов в движке браузера WebKit. Обработка вредоносного веб-контента может привести к RCE.

Сообщение об ошибке было приписано анонимному исследователю.

Изначально эта проблема была устранена внедрением улучшенных проверок в рамках обновлений, выпущенных 13 февраля 2023 года.

В новом бюллетене Apple отметила свою осведомленность в отношении использования уязвимости в реальных атаках.

Подробности эксплуатации в настоящее время разглашаются, но такое сокрытие является стандартной процедурой. Вероятно, это было связано с таргетированными атаками.

Обновление доступно в версиях iOS 15.7.4 и iPadOS 15.7.4 для iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod. сенсорный (7-е поколение).

͏Не прошло и недели после того, как Breached накрыли, а энтузиасты на хайпе пытаются подтянуть тему под себя.

Позиционирующий себя бывшим членом банды Anonymous, хакер-аноним с псевдонимом Pirata в Twitter начал собирать команду админов для новой площадки, которую он уже запустил на замену BF.

Все бы ничего, если не сомнительный нейминг - kkksecforum, на который сразу же обратили внимание VX-underground, которые заприметили в аббревиатуре аналогию с Ku Klux Klan, а сам ресурс прозвали «форумом белых националистов по кибербезопасности».

Pirata отверг все аналогии и по этому поводу решил разместить на сайте несколько объявлений с разъяснением ситуации, отдельно отметив значение KKK в качестве LOL (по-португальски).

В свою очередь, vx-underground позже привели пример того, что многие бразильцы пишут «ккккккккк» вместо «хахахаха». Тем не менее, остались при своем мнении о крайне неудачном выборе названия, с которым в комментариях практически все согласились.

В любом случае сегмент Raid и Breach продолжит оставаться в тренде даркнета, но уже под новыми брендами, один из них - kkksecforum, уже в деле.

Внезапное прозрение настигло товарищей из американской Mandiant: "Мы разжигаем пожар!" - именно так они назвали свою очередную статью (там, судя по всему, аллюзия на песню Билли Джоэла, если кто разбирается - поправьте нас в комментариях).

Статья длинная, но суть сводится к следующему - в ходе проведения Россией СВО хактивисты всех мастей все чаще стали атаковать OT-системы (если кто не знает - это системы, функционирование которых непосредственно влияет на реальный мир, в отличие от IT). А это очень даже может привести к техногенным катастрофам и человеческим жертвам среди мирного населения.

Неожыданно (!) оказалось, что если всячески поощрять хактивистов, пиарить их в соцсеточках, называть "киберсопротивлением", то рано или поздно они начнут херачить по промышленным объектам в надежде убить или покалечить побольше некомбатантов.

Но Mandiant беспокоит даже не это, а то, что, во-первых, может быть ответочка (очень завуалированно написали, но смысл ясен). А во-вторых, то, что "правильных хактивистов" вполне может занести на повороте и они долбанут уже по хорошим американским ресурсам (а не по плохим русским), преследуя какие-то свои политические или идеологические цели.

Мы так-то писали про это без малого год назад, комментируя попытку уебать Rutube, - "допускаем, что со временем докатятся и до атак на объекты критической инфраструктуры и АСУ ТП, которые могут привести к человеческим жертвам (очень этого не хочется, но вероятность существует)."

До атак докатились, человеческих жертв, слава Богу, пока нет.

Поэтому Mandiant кипишует не зря. Аннушка уже разлила масло, а фарш невозможно провернуть назад. Добро пожаловать в дивный новый мир.

Знакомьтесь, Netlas.io

Первый российский стартап, представивший поисковую систему, по многим параметрам превосходяющую свои зарубежные аналоги: shodan, censys и zoomeye.

Сервис позволяет искать различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства и даже промышленные системы.

Функционал поиска и поисковый язык реализованы достаточно гибко. Предусмотрены различные комбинации фильтров (по подсетям, портам, протоколам, технологиям и даже по наличию уязвимостей), которые позволяют оптимизировать поисковую выдачу.

Несмотря на то, что команда проекта находятся в процессе Beta-тестирования и еще совершенствуют сканеры, по количеству результатов и объему собираемой информации сервис на данном этапе превосходит конкурентов и уже привлек внимание пользователей, которые на форумах и в Twitter оставляют все больше положительных отзывов и рекомендаций.

Помимо стандартного набора функций поиска, присущего интернет-сканерам, разработчики Netlas.io добавили в свой продукт дополнительные библиотеки данных.

Интегрирована уникальная база DNS, насчитывающая свыше 2,5 млрд. доменных имен. Все домены периодически резолвятся, так что можно выполнять Forward-DNS преобразования (восстановление доменов привязанных к IP адресу), искать поддомены, а также домены, привязанные к одному почтовому серверу или серверу имен.

Кроме того, сервис Netlas.io включает библиотеки данных whois, которые они самостоятельно собирают и парсят. Причем, и IP и доменный whois, в общем сложности - весь диапазон IPv4 (свыше 11 млн. подсетей) и 270 млн. доменов верхнего уровня.

Такая фича позволяет осуществлять поиск не только по названию домена или IP адресу, а вообще по любому полю, что открывает совершенно потрясающие возможности для OSINT-специалистов и пентестеров при проведении разведки и анализе периметра компании.

Например, используя доменный whois в Netlas.io, можно узнать, что на Сбер зарегистрировано свыше 700 доменов!

В перспективе команда рассчитывает реализовать инструментарий для автоматизации построения периметра. Связывая в одном сервисе данные всех библиотек, позволит на выходе получить совершенно уникальный функционал для выявления поверхности атак.

У редакции канала нет никаких сомнений, что команде Netlas.io удастся создать высококлассный инструмент, который будет широко востребован среди специалистов инфосек-индустрии.

Настоятельно рекомендуем присмотреться к Netlas.io, а более подробно ознакомиться с примерами поисковых запросов, описанием функционала, новостями проекта и всякими хитрыми фишечками можно на канале стартапа - https://xn--r1a.website/netlas.

Новая малварь, нацеленная на Apple macOS и получившая название MacStealer, является очередным примером задействования Telegram в качестве платформы для C2 и извлечения данных.

Вредоносное ПО, в первую очередь, поражает устройства, работающие под управлением macOS Catalina (10.15) и вплоть до последней версии ОС Apple Ventura (13.2), и предназначена для кражи конфиденциальной информации со скомпрометированных устройств.

Как сообщают исследователи из Uptycs, вредонос способен красть документы, файлы cookie из браузера жертвы, а также данные для входа.

MacStealer распространяется как вредоносное ПО как услуга (MaaS). Впервые MacStealer попал в поле зрения в начале марта 2023 года после рекламы на хакерских форумах, за покупку которого просят скромыне 100 долларов.

Причем вредоносное ПО находится в стадии разработки и авторы планируют добавить функции для сбора данных из браузера Safari и приложения Notes.

В своем текущем исполнении MacStealer реализует извлечение данных цепочки ключей iCloud, паролей и информации о кредитных картах из браузеров Google Chrome, Mozilla Firefox и Brave. Он также поддерживает сбор файлов Microsoft Office, изображений, архивов и скриптов Python.

Точный метод, используемый для доставки вредоносного ПО, неизвестен, но оно распространяется в виде файла DMG (weed.dmg), который при запуске открывает запрос поддельного пароля для сбора паролей под видом запроса доступа к приложению "Настройки системы".

Поскольку Mac становятся все более популярными при использовании на предприятиях, тем важнее становятся данные, хранящиеся на них. Поэтому для устранения угроз пользователям рекомендуется обновлять свою ОС и ПО, включая и средства защиты, а также избегать загрузки файлов из недоверенных источников.

MacStealer является одним из нескольких похитителей информации, появившихся буквально за последние несколько месяцев, и дополняет и без того большое число аналогичных инструментов, существующих в настоящее время в дикой природе.

Исследователи приписывают АРТ SideCopy нападения на Индию и Афганистан, а также связь с новой фишинговой кампанией Action RAT.

К такому выводу пришли в Cyble, согласно отчету которых операция SideCopy была направлена на подразделения исследований и разработок (DRDO) Министерства обороны Индии.

Как известно SideCopy, эмулирует цепочки заражений, связанные с SideWinder, для доставки собственного вредоносного ПО. В некоторых отчетах предполагается, что этот злоумышленник имеет общие характеристики с Transparent Tribe (APT36).

Группировка активна как минимум с 2019 года и последовательность атак, организованная группой пакистанского происхождения, включает использование фишинговых электронных писем для получения первоначального доступа.

Сообщения, как правило, приходят с ZIP-архивом, который содержит файлы быстрого доступа Windows (.LNK), маскирующийся под информацию о баллистической ракете K-4, разработанной DRDO.

Выполнение файла LNK приводит к извлечению HTML-приложения с удаленного сервера, которое, в свою очередь, отображает презентацию приманки, параллельно и незаметно для жертвы разворачивая бэкдор Action RAT.

Помимо сбора информации о компьютере-жертве, малварь способна выполнять команды, отправляемые с C2, включая сбор файлов и удаление последующих вредоносных программ.

Кроме того, реализуемый злоумышленниками сценарий атаки включает установку нового софта для кражи информации AuTo Stealer, который предназначен для сбора и эксфильтрации файлов Microsoft Office, документов PDF, баз данных и текстовых файлов, а также изображений передавая их по HTTP или TCP.

Как отмечают специалисты, APT постоянно совершенствует методы, включая новые инструменты в свой арсенал.

Это не первый случай, когда SideCopy использует Action RAT в своих атаках, направленных против Индии.

Так, в декабре 2021 года Malwarebytes уже раскрывала серию вторжений в несколько министерств Афганистана и Индии для кражи конфиденциальных данных.