Как и обещали, рассказываем по ситуации с MSI.
После сообщений об атаке с использованием ransomware тайваньская MSI официально подтвердила, что сеть была взломана в результате кибератаки.
В пятничном уведомлении в адрес Тайваньской фондовой биржи (TWSE) компания сообщила, что некоторые из ее систем информационных служб пострадали в результате киберинцидента, о котором было доложено соответствующим государственным органам.
MSI быстро отреагировали, организовав сканирование и исправление уязвимостей в инфраструктуре, развертывание дополнительных брандмауэров и антивирусного ПО.
Тем не менее компания не раскрывает ни даты атаки, ни наличие шифрования, а также умалчивает последствия инцидента, в том числе утечку корпоративной информации и данных клиентов.
Представители MSI заверили, что ведутся восстановительные работы, а сама кибератака не оказала значительного влияния на бизнес с точки зрения финансов и операционной деятельности.
Позже в новом заявлении MSI порекомендовала пользователям избегать загрузки обновлений прошивки и BIOS из сторонних источников, использовать ПО только с официального сайта.
Как считают эксперты, ответственная за взлом банда Money Message использовала комбинацию изощренных методов взлома и тактик социальной инженерии, чтобы получить доступ к системам MSI и пошифровать часть файлов.
В настоящее время неясно, какой объем информации о клиентах был получен или украден злоумышленниками, но она может включать личную информацию.
Злоумышленники продолжают угрожать опубликовать украденные файлы на следующей неделе, если MSI не выполнит требования о выкупе.
Времени остается немного, будем посмотреть.
После сообщений об атаке с использованием ransomware тайваньская MSI официально подтвердила, что сеть была взломана в результате кибератаки.
В пятничном уведомлении в адрес Тайваньской фондовой биржи (TWSE) компания сообщила, что некоторые из ее систем информационных служб пострадали в результате киберинцидента, о котором было доложено соответствующим государственным органам.
MSI быстро отреагировали, организовав сканирование и исправление уязвимостей в инфраструктуре, развертывание дополнительных брандмауэров и антивирусного ПО.
Тем не менее компания не раскрывает ни даты атаки, ни наличие шифрования, а также умалчивает последствия инцидента, в том числе утечку корпоративной информации и данных клиентов.
Представители MSI заверили, что ведутся восстановительные работы, а сама кибератака не оказала значительного влияния на бизнес с точки зрения финансов и операционной деятельности.
Позже в новом заявлении MSI порекомендовала пользователям избегать загрузки обновлений прошивки и BIOS из сторонних источников, использовать ПО только с официального сайта.
Как считают эксперты, ответственная за взлом банда Money Message использовала комбинацию изощренных методов взлома и тактик социальной инженерии, чтобы получить доступ к системам MSI и пошифровать часть файлов.
В настоящее время неясно, какой объем информации о клиентах был получен или украден злоумышленниками, но она может включать личную информацию.
Злоумышленники продолжают угрожать опубликовать украденные файлы на следующей неделе, если MSI не выполнит требования о выкупе.
Времени остается немного, будем посмотреть.
Telegram
SecAtor
͏Тайваньский производитель MSI стал одной первый жертв новой группы вымогателей Money Message, которая затребовала у жертвы круглую сумму в размере 4 000 000 долларов.
Как известно, MSI является одним из лидеров в индустрии по производству электроники и…
Как известно, MSI является одним из лидеров в индустрии по производству электроники и…
Исследователи Cyble Research and Intelligence Labs (CRIL) расчехлили новую ransomware Cylance, название которой совпадает с ИБ-компанией, которую не так давно приобрела BlackBerry.
Ransomware ориентирована как Linux, так и Windows системы.
Группа еще не представила свой DLS и пока скрывает своих жертв. Но судя по тому, что образец засветился в телеметрии Unit 42 Palo Alto Networks, жертвы уже есть.
Особенностью нового штамма является возможность принимать различные параметры командной строки и гибко подстраиваться под индивидуальную тактику шифрования.
При запуске программа-вымогатель сначала изменяет привилегии в ОС, получая доступ к ограниченным действиям, включая отладку других процессов, изменение параметров безопасности системы и восстановление файлов и каталогов.
После этого программа-вымогатель создает запись запланированной задачи для сохранения, что позволяет ей автоматически запускаться каждый раз, когда жертва входит в свой компьютер.
После сбора сведений о дисковых томах и связанных с ними файловых системах, программа определяет конкретные диски и каталоги, которые необходимо зашифровать, оставляя попутно примечание о выкупе с именем CYLANCE_README.txt в нескольких папках.
Ransomware использует алгоритм быстрого потокового шифрования Salsa20 для шифрования файлов, избегая определенных имен папок, имен файлов и расширений файлов. Режим определяется параметром командной строки. По окончании к зашифрованным файлам добавляется расширение .Cylance.
Кроме того, вымогатель выполняет запрос WMI со следующей командной строкой, чтобы идентифицировать и удалить теневую копию через Win32_ShadowCopy.ID.
В версии для Linux актор вручную запускает Cylance на скомпрометированной системе, предоставляя целевую папку в качестве аргумента.
Используется потоковый шифр ChaCha, который является вариантом алгоритма шифрования Salsa20.
Затем исполняемый файл Linux приступает к шифрованию файлов в целевой папке и ее подпапках, добавляя примечание о выкупе в каждый затронутый каталог.
Судя по примитивной записки о выкупе и отсутствию DLS, можно полагать, что банда, по-видимому, находится еще в стадии разработки. Но одно угадывается точно: они полностью соответствуют превалирующей тенденции современных ransomware, ориентированных как на Windows системы, так и на Linux.
Индикаторы компрометации (IoC) и методы MITRE ATT&CK представлены в отчете.
Ransomware ориентирована как Linux, так и Windows системы.
Группа еще не представила свой DLS и пока скрывает своих жертв. Но судя по тому, что образец засветился в телеметрии Unit 42 Palo Alto Networks, жертвы уже есть.
Особенностью нового штамма является возможность принимать различные параметры командной строки и гибко подстраиваться под индивидуальную тактику шифрования.
При запуске программа-вымогатель сначала изменяет привилегии в ОС, получая доступ к ограниченным действиям, включая отладку других процессов, изменение параметров безопасности системы и восстановление файлов и каталогов.
После этого программа-вымогатель создает запись запланированной задачи для сохранения, что позволяет ей автоматически запускаться каждый раз, когда жертва входит в свой компьютер.
После сбора сведений о дисковых томах и связанных с ними файловых системах, программа определяет конкретные диски и каталоги, которые необходимо зашифровать, оставляя попутно примечание о выкупе с именем CYLANCE_README.txt в нескольких папках.
Ransomware использует алгоритм быстрого потокового шифрования Salsa20 для шифрования файлов, избегая определенных имен папок, имен файлов и расширений файлов. Режим определяется параметром командной строки. По окончании к зашифрованным файлам добавляется расширение .Cylance.
Кроме того, вымогатель выполняет запрос WMI со следующей командной строкой, чтобы идентифицировать и удалить теневую копию через Win32_ShadowCopy.ID.
В версии для Linux актор вручную запускает Cylance на скомпрометированной системе, предоставляя целевую папку в качестве аргумента.
Используется потоковый шифр ChaCha, который является вариантом алгоритма шифрования Salsa20.
Затем исполняемый файл Linux приступает к шифрованию файлов в целевой папке и ее подпапках, добавляя примечание о выкупе в каждый затронутый каталог.
Судя по примитивной записки о выкупе и отсутствию DLS, можно полагать, что банда, по-видимому, находится еще в стадии разработки. Но одно угадывается точно: они полностью соответствуют превалирующей тенденции современных ransomware, ориентированных как на Windows системы, так и на Linux.
Индикаторы компрометации (IoC) и методы MITRE ATT&CK представлены в отчете.
Cyble
New Cylance Ransomware: Powerful CommandLine Options
CRIL analyzes Cylance, a new Ransomware variant that uses command-line options to target both Windows and Linux users.
This media is not supported in your browser
VIEW IN TELEGRAM
Редактор канала SecAtor пилит новый пост про АРТ
Cеверокорейская АРТ ARCHIPELAGO была замечена в атаках против лиц государственных, научных и военных ведомств, а также высокопоставленных политиков и исследователей в Южной Корее и США.
Такие выводы озвучили в Google TAG, полагаясь, что кластер ARCHIPELAGO является одной из подгрупп APT43.
Наблюдение за группой велось с 2012 года и показало, что злоумышленники часто нацеливались на жертвы, связанные с Северной Кореей. Причем приоритеты как APT43 и, соответственно, ARCHIPELAGO, совпадали и соответствовали общей стратегии разведки КНДР.
Цепочки атак ARCHIPELAGO в свойственной для корейцев манере начинаются с фишинга на канале электронной почты с вредоносными ссылками и редиректом на фейковые страницы авторизации.
Приманки тоже незамысловаты и включают сообщения от СМИ и аналитических центров с предложением интервью или запросов на комментарии по северокорейской тематике.
Но тактически злоумышленники ведут себя более сдержанно и прилагают много усилий на установление доверительного контакта, переписываясь в течение нескольких дней или недель, прежде чем заслать вредоносную ссылку.
А теперь из интересного. Злоумышленник использует метод "браузер в браузере" (BitB) для отображения мошеннических страниц входа в реальное окно для кражи учетных данных.
Причем, фишинговые сообщения выдавались за предупреждение о безопасности учетной записи Google, при этом на Google Диске в виде пустых файлов или образов ISO размещалась малварь BabyShark.
Так, например в последней атаке АРТ разослала электронные письма от имени Федерального кредитного союза Госудепартамента, предупреждая об опасности входа в учетную запись Google.
Специалисты добавили, что хакеры уклоняется от обнаружения антивирусными решениями, прежде всего, путем парольной защиты вредоносных файлов и распространяя пароль жертвам в последующих фишинговых сообщениях.
Другая фишка АРТ - уловка с мошенническими расширениями Google Chrome для сбора конфиденциальных данных, о чем свидетельствуют предыдущие кампании, получившие название Stolen Pencil и SharpTongue.
В последней атаке хакеры предприняли попытку поиграться с SHARPEXT, новым вредоносным расширением Chrome. Оно может анализировать электронные письма с активных почтовых вкладок Gmail или AOL, отправляя их злоумышленнику, если оно будет установлено на пользовательском ПК.
Деятельность АРТ, в очередной раз, подчеркивает, что северокорейский кластер продолжает оставаться серьезной угрозой, а активность будет только возрастать.
Такие выводы озвучили в Google TAG, полагаясь, что кластер ARCHIPELAGO является одной из подгрупп APT43.
Наблюдение за группой велось с 2012 года и показало, что злоумышленники часто нацеливались на жертвы, связанные с Северной Кореей. Причем приоритеты как APT43 и, соответственно, ARCHIPELAGO, совпадали и соответствовали общей стратегии разведки КНДР.
Цепочки атак ARCHIPELAGO в свойственной для корейцев манере начинаются с фишинга на канале электронной почты с вредоносными ссылками и редиректом на фейковые страницы авторизации.
Приманки тоже незамысловаты и включают сообщения от СМИ и аналитических центров с предложением интервью или запросов на комментарии по северокорейской тематике.
Но тактически злоумышленники ведут себя более сдержанно и прилагают много усилий на установление доверительного контакта, переписываясь в течение нескольких дней или недель, прежде чем заслать вредоносную ссылку.
А теперь из интересного. Злоумышленник использует метод "браузер в браузере" (BitB) для отображения мошеннических страниц входа в реальное окно для кражи учетных данных.
Причем, фишинговые сообщения выдавались за предупреждение о безопасности учетной записи Google, при этом на Google Диске в виде пустых файлов или образов ISO размещалась малварь BabyShark.
Так, например в последней атаке АРТ разослала электронные письма от имени Федерального кредитного союза Госудепартамента, предупреждая об опасности входа в учетную запись Google.
Специалисты добавили, что хакеры уклоняется от обнаружения антивирусными решениями, прежде всего, путем парольной защиты вредоносных файлов и распространяя пароль жертвам в последующих фишинговых сообщениях.
Другая фишка АРТ - уловка с мошенническими расширениями Google Chrome для сбора конфиденциальных данных, о чем свидетельствуют предыдущие кампании, получившие название Stolen Pencil и SharpTongue.
В последней атаке хакеры предприняли попытку поиграться с SHARPEXT, новым вредоносным расширением Chrome. Оно может анализировать электронные письма с активных почтовых вкладок Gmail или AOL, отправляя их злоумышленнику, если оно будет установлено на пользовательском ПК.
Деятельность АРТ, в очередной раз, подчеркивает, что северокорейский кластер продолжает оставаться серьезной угрозой, а активность будет только возрастать.
Google
How we’re protecting users from government-backed attacks from North Korea
Google's Threat Analysis Group shares information on ARCHIPELAGO as well as the work to stop government-backed attackers.
Всего через несколько дней после исправления двух 0-day в линейке своих решений Apple выпустила отдельные обновления для устаревших моделей.
Исправленные CVE-2023-28206 и CVE-2023-28205 реализуют цепочку эксплойтов, открывающую ядро iOS для атак.
При правильном использовании ошибки позволяют мотивированному преступнику запускать вредоносное ПО на целевом устройстве.
Согласно мнению исследователей и бюллетеню Apple, уязвимости использовались для глубокого доступа к привилегиям и запуска шпионских ПО в ходе целевых атак.
Обновленные версии iOS 15.7.5 и iPadOS 15.7.5 закрывают недостатки на старых моделях устройств, включая iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения).
Учитывая, что первая из ошибок также затрагивает macOS Big Sur и macOS Monterey, разработчик представил обновленные версии ПО macOS Big Sur 11.7.6 и macOS Monterey 12.6.5.
Как многие заметили, Apple ускорила выпуск исправлений для старых продуктов с нескольких недель до нескольких дней, что может указывать на особую критичность проблем, и поэтому пользователям следует не менее оперативно применять обновления.
Исправленные CVE-2023-28206 и CVE-2023-28205 реализуют цепочку эксплойтов, открывающую ядро iOS для атак.
При правильном использовании ошибки позволяют мотивированному преступнику запускать вредоносное ПО на целевом устройстве.
Согласно мнению исследователей и бюллетеню Apple, уязвимости использовались для глубокого доступа к привилегиям и запуска шпионских ПО в ходе целевых атак.
Обновленные версии iOS 15.7.5 и iPadOS 15.7.5 закрывают недостатки на старых моделях устройств, включая iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения).
Учитывая, что первая из ошибок также затрагивает macOS Big Sur и macOS Monterey, разработчик представил обновленные версии ПО macOS Big Sur 11.7.6 и macOS Monterey 12.6.5.
Как многие заметили, Apple ускорила выпуск исправлений для старых продуктов с нескольких недель до нескольких дней, что может указывать на особую критичность проблем, и поэтому пользователям следует не менее оперативно применять обновления.
Apple Support
About the security content of iOS 15.7.5 and iPadOS 15.7.5
This document describes the security content of iOS 15.7.5 and iPadOS 15.7.5.
Исследователи выпустили новый полезный ресурс для инфосек-сообщества под названием LOLDrivers (Living Off The Land Drivers), который был ранее анонсирован на ИБ-мероприятий SANS DFIR.
Проект с открытым исходным кодом LOLDrivers реализует единый перечень драйверов Windows, используемых злоумышленниками для обхода средств контроля безопасности в ходе атак, значительно упрощая выявление и изучение угроз.
Мониторинг драйверов позволяет заблаговременно обнаруживать потенциальные угрозы, принимать оперативные меры по устранению уязвимостей, минимизируя риск потенциальной эксплуатации.
Функционал loldrivers.io позволяет выполнить поиск и фильтровать драйверы в таблице, присутствует возможность получить CSV, JSON, Sysmon и Sigma. Кроме того, добавлены категории: уязвимый драйвер, вредоносный драйвер, экспериментальный драйвер и скомпрометированный сертификат.
При работе с черным списком Microsoft некоторые хэши отсутствуют в VirusTotal или Google. Поэтому ресерчеры создали проверенный ключ в YAML. Если хэш доступен на VirusTotal, достаточно пометить поле как TRUE, в противном случае - FALSE.
Несмотря на то, что исследователи смогли собрать подавляющее большинство известных уязвимых драйверов, они намерены продолжать работу, привлекая к сотрудничеству всех желающих.
Для этого разработан простой и понятный шаблон YAML, а также простое приложение Streamlit, которое позволяет быстро и без усилий создавать файлы YAML, способствуя беспрепятственному участию в проекте.
В целом, LOLDrivers достаточно позитивный, способствует духу сотрудничества и обмена знаниями в сообществе инфосека. Авторам респект.
Проект с открытым исходным кодом LOLDrivers реализует единый перечень драйверов Windows, используемых злоумышленниками для обхода средств контроля безопасности в ходе атак, значительно упрощая выявление и изучение угроз.
Мониторинг драйверов позволяет заблаговременно обнаруживать потенциальные угрозы, принимать оперативные меры по устранению уязвимостей, минимизируя риск потенциальной эксплуатации.
Функционал loldrivers.io позволяет выполнить поиск и фильтровать драйверы в таблице, присутствует возможность получить CSV, JSON, Sysmon и Sigma. Кроме того, добавлены категории: уязвимый драйвер, вредоносный драйвер, экспериментальный драйвер и скомпрометированный сертификат.
При работе с черным списком Microsoft некоторые хэши отсутствуют в VirusTotal или Google. Поэтому ресерчеры создали проверенный ключ в YAML. Если хэш доступен на VirusTotal, достаточно пометить поле как TRUE, в противном случае - FALSE.
Несмотря на то, что исследователи смогли собрать подавляющее большинство известных уязвимых драйверов, они намерены продолжать работу, привлекая к сотрудничеству всех желающих.
Для этого разработан простой и понятный шаблон YAML, а также простое приложение Streamlit, которое позволяет быстро и без усилий создавать файлы YAML, способствуя беспрепятственному участию в проекте.
В целом, LOLDrivers достаточно позитивный, способствует духу сотрудничества и обмена знаниями в сообществе инфосека. Авторам респект.
Medium
Living Off The Land Drivers
Today, we are excited to announce the release of the Living Off The Land Drivers project. This project aims to consolidate as many…
В своем отчете Sucuri сообщает о более чем миллионе сайтов WordPress, которые были заражены вредоносным ПО Balada Injector.
Впервые замеченное еще в 2017 году вредоносное ПО является разработкой неустановленной хакерской группы, которая стала наиболее активна с марта этого года.
Balada Injector предназначен для внедрения вредоносного кода на сайты WordPress, что позволяет злоумышленникам получить доступ к базе данных сайта и потенциально красть конфиденциальную информацию.
Малварь также может использоваться для модификации веб-сайтов или перенаправления посетителей на вредоносные линки.
Исследователи Sucuri выявили угрозу, проанализировав данные службы брандмауэра веб-приложений (WAF), которая отслеживает трафик на предмет подозрительной активности.
Согласно их выводам, большинство пострадавших сайтов работали на устаревших версиях WordPress, собственно, на которые были установлены уязвимые темы или плагины.
Это позволило злоумышленникам легко получать доступ к серверной части сайта и внедрять вредоносный код без какого-либо взаимодействия с пользователем.
Balada Injector смог быстро распространиться отчасти благодаря тому, что способна самостоятельно обходить базовые меры безопасности, такие как CAPTCHA и простую 2FA.
Вредонос также способен определить, был ли сайт заражен другими типами вредоносных программ, прежде чем атаковать его, что, в свою очередь, усложняет задачу по его обнаружению и удалению.
В конечном итоге вредоносное ПО позволяет добавлять аккаунты фейковых администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры для постоянного доступа.
Рецептов для защиты не много: поклонникам WordPress рекомендуется своевременно обновляться, а также регулярно сканировать свои ресурсы на наличие признаков заражения, используя хотя бы простые решения безопасности, например, тот же Sucuri WAF или Wordfence.
Впервые замеченное еще в 2017 году вредоносное ПО является разработкой неустановленной хакерской группы, которая стала наиболее активна с марта этого года.
Balada Injector предназначен для внедрения вредоносного кода на сайты WordPress, что позволяет злоумышленникам получить доступ к базе данных сайта и потенциально красть конфиденциальную информацию.
Малварь также может использоваться для модификации веб-сайтов или перенаправления посетителей на вредоносные линки.
Исследователи Sucuri выявили угрозу, проанализировав данные службы брандмауэра веб-приложений (WAF), которая отслеживает трафик на предмет подозрительной активности.
Согласно их выводам, большинство пострадавших сайтов работали на устаревших версиях WordPress, собственно, на которые были установлены уязвимые темы или плагины.
Это позволило злоумышленникам легко получать доступ к серверной части сайта и внедрять вредоносный код без какого-либо взаимодействия с пользователем.
Balada Injector смог быстро распространиться отчасти благодаря тому, что способна самостоятельно обходить базовые меры безопасности, такие как CAPTCHA и простую 2FA.
Вредонос также способен определить, был ли сайт заражен другими типами вредоносных программ, прежде чем атаковать его, что, в свою очередь, усложняет задачу по его обнаружению и удалению.
В конечном итоге вредоносное ПО позволяет добавлять аккаунты фейковых администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры для постоянного доступа.
Рецептов для защиты не много: поклонникам WordPress рекомендуется своевременно обновляться, а также регулярно сканировать свои ресурсы на наличие признаков заражения, используя хотя бы простые решения безопасности, например, тот же Sucuri WAF или Wordfence.
Sucuri Blog
Balada Injector: Synopsis of a Massive Ongoing WordPress Malware Campaign
A synopsis of the massive ongoing WordPress malware campaign: Balada Injector, including common techniques, functionalities, and vulnerability exploits used in attacks.
Ресерчеры BI.ZONE выпустили отчет в отношении новой кампании финансово мотивированной группы Watch Wolf, которая нацелена на российских финансовый сектор и реализует атаки через SEO poisoning.
Находящаяся с 2021 года в поле зрения исследователей Watch Wolf нацелена на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.
Но в последней кампании, которая началась не ранее ноября 2022 года, - делает это нестандартно: вместо классической рассылки вредоносов по email, занимаются SEO‑продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры.
Они насыщают свои ресурсы ключевыми словами и закупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord.
На самом деле в папке загрузки оказывается SFX‑архив, после открытия которого на компьютер загружается ПО DarkWatchman, которое представляет собой JS‑скрипт и запускается посредством wscript.exe.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии.
Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Используя реестр и инструментарий управления Windows, бэкдор незаметно собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает известную с 2014 года троянскую программу Buhtrap.
С ее помощью Watch Wolf выводит средства со счетов компании. Кроме того, доставлялись и дополнительные модули, например VNC, который позволял злоумышленникам получить удаленный доступ.
Мы солидарны с исследователями во мнении, что бизнес должен быть в курсе трендов в технике и тактике атак для защиты активов.
Особенно, если учесть, что в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
Находящаяся с 2021 года в поле зрения исследователей Watch Wolf нацелена на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.
Но в последней кампании, которая началась не ранее ноября 2022 года, - делает это нестандартно: вместо классической рассылки вредоносов по email, занимаются SEO‑продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры.
Они насыщают свои ресурсы ключевыми словами и закупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord.
На самом деле в папке загрузки оказывается SFX‑архив, после открытия которого на компьютер загружается ПО DarkWatchman, которое представляет собой JS‑скрипт и запускается посредством wscript.exe.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии.
Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Используя реестр и инструментарий управления Windows, бэкдор незаметно собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает известную с 2014 года троянскую программу Buhtrap.
С ее помощью Watch Wolf выводит средства со счетов компании. Кроме того, доставлялись и дополнительные модули, например VNC, который позволял злоумышленникам получить удаленный доступ.
Мы солидарны с исследователями во мнении, что бизнес должен быть в курсе трендов в технике и тактике атак для защиты активов.
Особенно, если учесть, что в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
BI.ZONE
SEO poisoning: обзор атаки Watch Wolf на бухгалтеров
Рассылка вредоносов по email уже стала классической атакой. По данным нашей киберразведки, злоумышленники из Watch Wolf вышли на новый уровень: они занимаются SEO-продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры
Вслед за Apple, разработчики Microsoft выкатили свой апрельский PatchTuesday для исправления почти сотни уязвимостей, в том числе одной 0-day.
При этом семь уязвимостей классифицируются как критические и допускают RCE.
В общем устранено 45 RCE-ошибок, наряду с 20 уязвимостями повышения привилегий, 8 - обхода функций безопасности, 10 - раскрытия информации, 9 - DoS и 6 - спуфинга.
Активно используемая в злонамерных атаках CVE-2023-28252 представляет собой уязвимость уязвимость повышения привилегий в драйвере Windows CLFS, которая позволяет злоумышленнику повысить привилегии до SYSTEM.
Согласно Microsoft, ошибка была обнаружена Гэнвэй Цзяном из Mandiant и Куан Джином из DBAPPSecurity WeBin Lab.
Кроме того, исправлены RCE-уязвимости (CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311) Microsoft Office, Word и Publisher, которые можно использовать, просто заставляя жертв открывать вредоносные документы.
Учитывая высокий фишинговый потенциал уязвимостей, злоумышленники, скорее всего, попытаются оперативно разобраться, как их можно эффективно задействовать в своих кампаниях.
В этой связи, пользователям Microsoft Office настоятельно рекомендуется как можно скорее установить последние обновления безопасности.
Правда, не стоит полагаться на Microsoft, которым на практике приходилось неоднократно дорабатывать патчи и чинить попутно лагающий после обновлений софт.
Полное описание для каждой уязвимости и систем - здесь.
При этом семь уязвимостей классифицируются как критические и допускают RCE.
В общем устранено 45 RCE-ошибок, наряду с 20 уязвимостями повышения привилегий, 8 - обхода функций безопасности, 10 - раскрытия информации, 9 - DoS и 6 - спуфинга.
Активно используемая в злонамерных атаках CVE-2023-28252 представляет собой уязвимость уязвимость повышения привилегий в драйвере Windows CLFS, которая позволяет злоумышленнику повысить привилегии до SYSTEM.
Согласно Microsoft, ошибка была обнаружена Гэнвэй Цзяном из Mandiant и Куан Джином из DBAPPSecurity WeBin Lab.
Кроме того, исправлены RCE-уязвимости (CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311) Microsoft Office, Word и Publisher, которые можно использовать, просто заставляя жертв открывать вредоносные документы.
Учитывая высокий фишинговый потенциал уязвимостей, злоумышленники, скорее всего, попытаются оперативно разобраться, как их можно эффективно задействовать в своих кампаниях.
В этой связи, пользователям Microsoft Office настоятельно рекомендуется как можно скорее установить последние обновления безопасности.
Правда, не стоит полагаться на Microsoft, которым на практике приходилось неоднократно дорабатывать патчи и чинить попутно лагающий после обновлений софт.
Полное описание для каждой уязвимости и систем - здесь.
Решили отдельно остановиться на исправленной апрельским патчем Microsoft 0-day повышения привилегий в Windows (CLFS), которая затрагивает все поддерживаемые серверные и клиентские версии Windows и может быть использована локальными злоумышленниками в атаках низкой сложности.
На самом деле львиную долю работы в процессе раскрытия CVE-2023-28252 проделали эксперты из команды GReAT Лаборатории Касперского помимо упоминаемых Mandiant и DBAPPSecurity WeBin.
0-day впервые была обнаружена Лабораторией Касперского в феврале 2023 года в расследования атак, в рамках которых операторы на серверах Microsoft Windows пытались развернуть новую версию Nokoyawa ransomware на предприятиях малого и среднего бизнеса в ближневосточном и североамериканском регионах.
По данным Лаборатории Касперского, стоящая за ransomware группа с июня 2022 года использовала как минимум еще пять эксплойтов, нацеленных на драйвер CLFS, в ходе атак на отраслевые организации в сфере торговли, энергетики, производства, здравоохранения и разработки ПО.
С 2018 года Redmond исправила не менее 32 локальных уязвимости повышения привилегий в драйвере Windows CLFS, причем три из них (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376) также использовались в реальных условиях в качестве 0-day, при этом - преимущественно АРТ.
Не будем подробно останавливаться на представленной в отчете технической составляющей проблемы, тем более что всеми подробностями Лаборатория обещает поделиться только через девять дней после выпуска патча.
Отметим, что по мнению исследователей, основной целью использования эксплойтов повышения привилегий было создание дампа содержимого куста реестра HKEY_LOCAL_MACHINE\SAM.
А что касается вредоносного ПО, то в качестве основного инструмента злоумышленники используют Cobalt Strike BEACON. Он запускается с множеством пользовательских загрузчиков, предназначенных для предотвращения обнаружения AV.
В некоторых других атаках до использования уязвимости CLFS машины жертвы были заражены специальным модульным бэкдором Pipemagic, который запускался через скрипт MSBuild.
В качестве последней полезной нагрузки в атаках с использованием CVE-2023-28252 субъект пытался развернуть Nokoyawa (ребрендинг шифровальщика JSWorm), но в обновленной версии.
Как показывает исследование Лаборатории, киберпреступные группы становятся все более изощренными, используя эксплойты нулевого дня в своих атаках, при том, что это было доступно, в первую очередь, только APT.
Теперь же киберпреступники располагают всеми необходимыми ресурсами, чтобы активно задействовать 0-day в своих атаках.
На самом деле львиную долю работы в процессе раскрытия CVE-2023-28252 проделали эксперты из команды GReAT Лаборатории Касперского помимо упоминаемых Mandiant и DBAPPSecurity WeBin.
0-day впервые была обнаружена Лабораторией Касперского в феврале 2023 года в расследования атак, в рамках которых операторы на серверах Microsoft Windows пытались развернуть новую версию Nokoyawa ransomware на предприятиях малого и среднего бизнеса в ближневосточном и североамериканском регионах.
По данным Лаборатории Касперского, стоящая за ransomware группа с июня 2022 года использовала как минимум еще пять эксплойтов, нацеленных на драйвер CLFS, в ходе атак на отраслевые организации в сфере торговли, энергетики, производства, здравоохранения и разработки ПО.
С 2018 года Redmond исправила не менее 32 локальных уязвимости повышения привилегий в драйвере Windows CLFS, причем три из них (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376) также использовались в реальных условиях в качестве 0-day, при этом - преимущественно АРТ.
Не будем подробно останавливаться на представленной в отчете технической составляющей проблемы, тем более что всеми подробностями Лаборатория обещает поделиться только через девять дней после выпуска патча.
Отметим, что по мнению исследователей, основной целью использования эксплойтов повышения привилегий было создание дампа содержимого куста реестра HKEY_LOCAL_MACHINE\SAM.
А что касается вредоносного ПО, то в качестве основного инструмента злоумышленники используют Cobalt Strike BEACON. Он запускается с множеством пользовательских загрузчиков, предназначенных для предотвращения обнаружения AV.
В некоторых других атаках до использования уязвимости CLFS машины жертвы были заражены специальным модульным бэкдором Pipemagic, который запускался через скрипт MSBuild.
В качестве последней полезной нагрузки в атаках с использованием CVE-2023-28252 субъект пытался развернуть Nokoyawa (ребрендинг шифровальщика JSWorm), но в обновленной версии.
Как показывает исследование Лаборатории, киберпреступные группы становятся все более изощренными, используя эксплойты нулевого дня в своих атаках, при том, что это было доступно, в первую очередь, только APT.
Теперь же киберпреступники располагают всеми необходимыми ресурсами, чтобы активно задействовать 0-day в своих атаках.
Securelist
Nokoyawa ransomware attacks with Windows zero-day
In February 2023, we found a zero-day exploit, supporting different versions and builds of Windows, including Windows 11. This particular zero-day was used by a sophisticated cybercrime group that carries out ransomware attacks.
Выводы инфосек комьюнити, подкрепленные авторитетным мнением Лаборатории Касперского, о причастности северокорейской АРТ к недавно раскрытой атаке на цепочку поставок на VoIP 3CX официально подтвердила и сама компания.
3CX в этом вопросе полагается на результаты привлеченной к расследованию гугловской Mandiant, которая, в свою очередь, атрибутировала активность к кластеру UNC4736.
На деле, как верно подметили и ЛК и CrowdStrike - это Lazarus Group, на счету которых за последние годы есть не менее «изящные» кибератаки, в том числе взлом Sony Pictures или вспышка WannaCry.
Тем более, что цепочка атак 3CX включала использование методов боковой загрузки DLL для загрузки похитителя информации, известного как ICONIC Stealer, за которым последовал второй этап под названием Gopuram в ряде атак, направленных компании, связанные с криптой.
Как сообщили представители компании, злоумышленники заразили системы 3CX вредоносным ПО, известным как Taxhaul (или TxRLoader), которое развернуло загрузчик вредоносного ПО второго уровня под названием Coldcat (по Mandiant).
Вредоносная программа сохранялась на скомпрометированных системах за счет боковой загрузки DLL через законные двоичные файлы Microsoft Windows, что усложняло ее обнаружение.
Системы macOS, на которые направлена атака, также были заражены вредоносным ПО под названием Simplesea, которое Mandiant все еще анализирует, чтобы определить, пересекается ли оно с ранее известными штаммами вредоносных программ.
Компания все еще расследует масштабы нарушения и еще не определила, как именно была проведена атака на цепочку поставок, была ли взломана среда разработки или какой-либо другой метод.
Будем следить за результатами расследования.
3CX в этом вопросе полагается на результаты привлеченной к расследованию гугловской Mandiant, которая, в свою очередь, атрибутировала активность к кластеру UNC4736.
На деле, как верно подметили и ЛК и CrowdStrike - это Lazarus Group, на счету которых за последние годы есть не менее «изящные» кибератаки, в том числе взлом Sony Pictures или вспышка WannaCry.
Тем более, что цепочка атак 3CX включала использование методов боковой загрузки DLL для загрузки похитителя информации, известного как ICONIC Stealer, за которым последовал второй этап под названием Gopuram в ряде атак, направленных компании, связанные с криптой.
Как сообщили представители компании, злоумышленники заразили системы 3CX вредоносным ПО, известным как Taxhaul (или TxRLoader), которое развернуло загрузчик вредоносного ПО второго уровня под названием Coldcat (по Mandiant).
Вредоносная программа сохранялась на скомпрометированных системах за счет боковой загрузки DLL через законные двоичные файлы Microsoft Windows, что усложняло ее обнаружение.
Системы macOS, на которые направлена атака, также были заражены вредоносным ПО под названием Simplesea, которое Mandiant все еще анализирует, чтобы определить, пересекается ли оно с ранее известными штаммами вредоносных программ.
Компания все еще расследует масштабы нарушения и еще не определила, как именно была проведена атака на цепочку поставок, была ли взломана среда разработки или какой-либо другой метод.
Будем следить за результатами расследования.
Достаточно серьезное число критических уязвимостей устранено в рамках апрельских обновлений вендорами и поставщиками ICS, проблемные решения которых не раз подвергали их клиентов серьезным инцидентам. Вкратце отметим наиболее важные из них.
Критическая уязвимость в FortiPresence (версии 1.0, 1.1 и 1.2) от Fortinet приводит к удаленному неавторизованному доступу к экземплярам Redis и MongoDB. CVE-2022-41331 с оценкой CVSS 9,3 может быть использована с помощью специально созданных запросов проверки подлинности.
Согласно бюллетеню, Fortinet также объявила об исправлениях для серьезных уязвимостей различных категорий, включая и RCE, в FortiOS, FortiProxy, FortiSandbox, FortiDeceptor, FortiWeb, FortiClient для Windows и macOS, FortiSOAR, FortiADC, FortiDDoS, FortiDDoS-F, FortiAnalyzer. и FortiManager.
Из наиболее серьезных серьезных проблем, которые исправила SAP: CVE-2023-27267, CVE-2023-28765 и CVE-2023-29186. Остальные 11 недостатков, раскрытые в последнем бюллетене относятся к уязвимостям с низким и средним уровнем серьезности.
CVE-2023-27267 имеет оценку CVSS 9,0, связана с недостаточной проверкой ввода и отсутствием аутентификации и затрагивает на OSCommand Bridge агента диагностики SAP версии 720. Она позволяет злоумышленнику полностью скомпрометировать систему.
Другая CVE-2023-28765 (CVSS: 9,8)- это уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence (версии 420 и 430), которая позволяет злоумышленнику с базовыми привилегиями получить доступ к учетным записям.
Последняя с CVSS 8,7 - уязвимость обхода каталога (CVE-2023-29186) влияет на SAP NetWeaver (версий 707, 737, 747 и 757) и позволяет злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP.
Siemens и Schneider Electric на пару представили бюллетени для 38 уязвимостей.
26 из них приходится на Siemens, которая выпустила исправления для некоторых из проблем, для других - только обходные пути и меры по их устранению, а по ряду - вовсе не планирует никаких действий.
Наиболее серьезной является CVE-2023-28489, затрагивающая удаленные терминалы (RTU) Sicam серии A8000 для телеуправления и автоматизации в секторе энергоснабжения. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные команды на целевом устройстве
Siemens проинформировала клиентов об уязвимостях DoS высокой степени серьезности в веб-сервере Simatic и устройствах Siprotec 5, а также критических недостатках в ОС Wind River VxWorks, ядре Linux, OPC Foundation Local Discovery Server (LDS), Luxion KeyShot и различных библиотеках.
Несколько критических ошибок, раскрытых Siemens, связаны с анализом специально созданных файлов, что часто может привести к RCE. Затронутые продукты включают JT Open Toolkit, JT Utilities, Teamcenter Visualization, JT2Go и TIA Portal.
Schneider Electric представила исправления для большинства недостатков и поделилась мерами по устранению проблем, которые ей еще предстоит исправить с помощью обновлений.
Наиболее важные рекомендации охватывают две критические и одну высокой степени серьезности уязвимости, влияющие на ПО для онлайн-мониторинга APC и Easy UPS. Эксплуатация может привести к RCE или DoS.
Клиенты также были проинформированы о серьезной RCE-проблеме в InsightHome и InsightFacility. В ПО EcoStruxure Control Expert для ПЛК и ПАК Modicon были обнаружены недостатки RCE и DoS. Кроме того, ошибки DoS были обнаружены в некоторых ПЛК и PAC Modicon.
Критическая уязвимость в FortiPresence (версии 1.0, 1.1 и 1.2) от Fortinet приводит к удаленному неавторизованному доступу к экземплярам Redis и MongoDB. CVE-2022-41331 с оценкой CVSS 9,3 может быть использована с помощью специально созданных запросов проверки подлинности.
Согласно бюллетеню, Fortinet также объявила об исправлениях для серьезных уязвимостей различных категорий, включая и RCE, в FortiOS, FortiProxy, FortiSandbox, FortiDeceptor, FortiWeb, FortiClient для Windows и macOS, FortiSOAR, FortiADC, FortiDDoS, FortiDDoS-F, FortiAnalyzer. и FortiManager.
Из наиболее серьезных серьезных проблем, которые исправила SAP: CVE-2023-27267, CVE-2023-28765 и CVE-2023-29186. Остальные 11 недостатков, раскрытые в последнем бюллетене относятся к уязвимостям с низким и средним уровнем серьезности.
CVE-2023-27267 имеет оценку CVSS 9,0, связана с недостаточной проверкой ввода и отсутствием аутентификации и затрагивает на OSCommand Bridge агента диагностики SAP версии 720. Она позволяет злоумышленнику полностью скомпрометировать систему.
Другая CVE-2023-28765 (CVSS: 9,8)- это уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence (версии 420 и 430), которая позволяет злоумышленнику с базовыми привилегиями получить доступ к учетным записям.
Последняя с CVSS 8,7 - уязвимость обхода каталога (CVE-2023-29186) влияет на SAP NetWeaver (версий 707, 737, 747 и 757) и позволяет злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP.
Siemens и Schneider Electric на пару представили бюллетени для 38 уязвимостей.
26 из них приходится на Siemens, которая выпустила исправления для некоторых из проблем, для других - только обходные пути и меры по их устранению, а по ряду - вовсе не планирует никаких действий.
Наиболее серьезной является CVE-2023-28489, затрагивающая удаленные терминалы (RTU) Sicam серии A8000 для телеуправления и автоматизации в секторе энергоснабжения. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные команды на целевом устройстве
Siemens проинформировала клиентов об уязвимостях DoS высокой степени серьезности в веб-сервере Simatic и устройствах Siprotec 5, а также критических недостатках в ОС Wind River VxWorks, ядре Linux, OPC Foundation Local Discovery Server (LDS), Luxion KeyShot и различных библиотеках.
Несколько критических ошибок, раскрытых Siemens, связаны с анализом специально созданных файлов, что часто может привести к RCE. Затронутые продукты включают JT Open Toolkit, JT Utilities, Teamcenter Visualization, JT2Go и TIA Portal.
Schneider Electric представила исправления для большинства недостатков и поделилась мерами по устранению проблем, которые ей еще предстоит исправить с помощью обновлений.
Наиболее важные рекомендации охватывают две критические и одну высокой степени серьезности уязвимости, влияющие на ПО для онлайн-мониторинга APC и Easy UPS. Эксплуатация может привести к RCE или DoS.
Клиенты также были проинформированы о серьезной RCE-проблеме в InsightHome и InsightFacility. В ПО EcoStruxure Control Expert для ПЛК и ПАК Modicon были обнаружены недостатки RCE и DoS. Кроме того, ошибки DoS были обнаружены в некоторых ПЛК и PAC Modicon.
FortiGuard
April 2023 Vulnerability Advisories
Сразу после очередных разоблачений spyware от Google TAG и Amnesty International новую порцию «шокирующих» откровений выкатила Microsoft Threat Intelligence на пару с Citizen Lab, как обычно, под предлогом борьбы за демократию.
На этот раз под раздачу попал очередной израильский spyware-разработчик QuaDream.
Согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и неправительственных организации в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Имена жертв не разглашаются.
Спецсофт нацелен на владельцев iPhone и согласно данным, эта угроза распространяется через приглашения в календаре с использованием 0-click эксплойта ENDOFDAYS.
0-day, используемая операторами шпионской ПО, затрагивает версии iOS до 14.4.2. Как объясняют в Citizen Lab, злоумышленники применяли «невидимые приглашения в календаре iCloud».
Собственно, что происходит при такой атаке? Владелец iPhone получает приглашение в свой календарь от незнакомого отправителя. В случае перехода внутри приглашения на сгенерированную ссылку, происходит загрузка вредоносного содержимого.
Добавляются файлы .ics, содержащие приглашения на два перекрывающихся события, датированные задним числом, чтобы не предупреждать пользователей.
Microsoft Threat Intelligence отслеживает QuaDream как DEV-0196, описывая его как атакующую частную частную организацию (PSOA).
Правда, сама компания-разработчик напрямую не участвует в нацеливании, а лишь реализует свои эксплуатационные услуги и вредоносное ПО госзаказчикам.
Вредоносная программа под названием KingsPawn содержит модуль мониторинга и основной модуль, оба из которых представляют собой файлы Mach-O, написанные на Objective-C и Go соответственно.
В совокупности ПО реализует: чистку следов вредоносного ПО, сбор информации об устройстве, данных сотовой связи и Wi-Fi, файлов, обеспечивает доступ к камере, местоположению, журналам вызовов и iOS Keychain, а также позволяет создать одноразовый пароль iCloud, вести запись телефонных звонков и включать микрофон.
Другие образцы поддерживают запись звука с телефонных звонков и микрофона, выполнение запросов в базах данных SQL.
При этом Apple на данный момент не предоставила официальную информацию о том, каким образом можно защититься от этой атаки.
А это и не нужно, цель другая, которую уже обозначила Microsoft, заявив, что борьба с такими злоумышленниками требует коллективных усилий и сотрудничества всех заинтересованных сторон.
На этот раз под раздачу попал очередной израильский spyware-разработчик QuaDream.
Согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и неправительственных организации в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Имена жертв не разглашаются.
Спецсофт нацелен на владельцев iPhone и согласно данным, эта угроза распространяется через приглашения в календаре с использованием 0-click эксплойта ENDOFDAYS.
0-day, используемая операторами шпионской ПО, затрагивает версии iOS до 14.4.2. Как объясняют в Citizen Lab, злоумышленники применяли «невидимые приглашения в календаре iCloud».
Собственно, что происходит при такой атаке? Владелец iPhone получает приглашение в свой календарь от незнакомого отправителя. В случае перехода внутри приглашения на сгенерированную ссылку, происходит загрузка вредоносного содержимого.
Добавляются файлы .ics, содержащие приглашения на два перекрывающихся события, датированные задним числом, чтобы не предупреждать пользователей.
Microsoft Threat Intelligence отслеживает QuaDream как DEV-0196, описывая его как атакующую частную частную организацию (PSOA).
Правда, сама компания-разработчик напрямую не участвует в нацеливании, а лишь реализует свои эксплуатационные услуги и вредоносное ПО госзаказчикам.
Вредоносная программа под названием KingsPawn содержит модуль мониторинга и основной модуль, оба из которых представляют собой файлы Mach-O, написанные на Objective-C и Go соответственно.
В совокупности ПО реализует: чистку следов вредоносного ПО, сбор информации об устройстве, данных сотовой связи и Wi-Fi, файлов, обеспечивает доступ к камере, местоположению, журналам вызовов и iOS Keychain, а также позволяет создать одноразовый пароль iCloud, вести запись телефонных звонков и включать микрофон.
Другие образцы поддерживают запись звука с телефонных звонков и микрофона, выполнение запросов в базах данных SQL.
При этом Apple на данный момент не предоставила официальную информацию о том, каким образом можно защититься от этой атаки.
А это и не нужно, цель другая, которую уже обозначила Microsoft, заявив, что борьба с такими злоумышленниками требует коллективных усилий и сотрудничества всех заинтересованных сторон.
The Citizen Lab
Sweet QuaDreams
At least five civil society victims of QuaDream’s spyware and exploits were identified in North America, Central Asia, Southeast Asia, Europe, and the Middle East. Victims include journalists, political opposition figures, and an NGO worker. Traces of a suspected…
Более 360 000 доступных в сети серверов с запущенной службой Windows Message Queuing (MSMQ) потенциально уязвимы для атак, нацеленных на критическую CVE-2023-21554, которую Microsoft исправила последним PAtchTuesday наряду с сотней других.
Об ошибке сообщили исследователи Уэйн Лоу из FortiGuard Lab и Хайфей Ли из Check Point Research.
Она позволяет неавторизованным злоумышленникам добиться RCE на серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности без взаимодействия с пользователем.
Затрагивает все поддерживаемые выпуски серверных и клиентских версий Windows.
Учитывая это, количество уязвимых систем, вероятно, намного больше, особенно если принимать во внимание, что служба MSMQ работает и на недоступных через Интернет машинах.
Кроме того, хотя и MSMQ является необязательным компонентом Windows, она обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления ПО со всеми вытекающими последствиями.
К примеру, в случае установки Exchange Server.
На фоне предыдущего опыта атак с использованием этого типа уязвимостей, разработчик пометил CVE-2023-21554 тегом вероятной эксплуатации. Тем временем, GreyNoise уже фиксирует попытки сканирования серверов с Windows MSMQ.
Microsoft предупреждает и советует администраторам, которые не могут развернуть исправление, отключить службу Windows MSMQ (если возможно) для исключения вектора атаки.
Кроме того, целесообразно заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.
Об ошибке сообщили исследователи Уэйн Лоу из FortiGuard Lab и Хайфей Ли из Check Point Research.
Она позволяет неавторизованным злоумышленникам добиться RCE на серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности без взаимодействия с пользователем.
Затрагивает все поддерживаемые выпуски серверных и клиентских версий Windows.
Учитывая это, количество уязвимых систем, вероятно, намного больше, особенно если принимать во внимание, что служба MSMQ работает и на недоступных через Интернет машинах.
Кроме того, хотя и MSMQ является необязательным компонентом Windows, она обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления ПО со всеми вытекающими последствиями.
К примеру, в случае установки Exchange Server.
На фоне предыдущего опыта атак с использованием этого типа уязвимостей, разработчик пометил CVE-2023-21554 тегом вероятной эксплуатации. Тем временем, GreyNoise уже фиксирует попытки сканирования серверов с Windows MSMQ.
Microsoft предупреждает и советует администраторам, которые не могут развернуть исправление, отключить службу Windows MSMQ (если возможно) для исключения вектора атаки.
Кроме того, целесообразно заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.
Twitter
We are aware of CVE-2023-21554 and are actively investigating. More to come.
Forwarded from Russian OSINT
Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) создан сервис под названием
"На основе всех обращений пользователей формируется тепловая карта. Если сбой массовый, специалисты Центра подключатся к решению проблемы совместно с операторами связи и владельцами сервисов", - сообщает Роскомнадзор.
https://portal.noc.gov.ru/ru/monitoring
👆Также есть cервис Looking Glass, он позволяет в режиме реального времени получить информацию об IP-адресах, автономных системах и оптимальных маршрутах трафика.
Please open Telegram to view this post
VIEW IN TELEGRAM
Очередные атаки на Израиль, а именно на житницу долину реки Иордан - один из самых важных сельскохозяйственных регионов Ближнего Востока, а также системы управления Galil Sewage Corporation.
Регион стал целью хакеров, которым удалось получить доступ к ICS оросительных систем. Хакеры атаковали ПЛК производства израильской Unitronics.
Согласно израильской The Jerusalem Post, атака была впервые замечена, когда фермеры в регионе начали замечать, что уровень воды не контролируется должным образом, в результате чего происходило падение урожайности сельскохозкультур.
Начавшееся расследования показало, что хакерам удалось получить доступ и манипулировать ICS системами контроля подачи воды, вызывав повреждение инфраструктуры.
Предполагается, что использовась техника «гидравлического удара». Суть ее заключается в отправке импульсов воды под высоким давлением через трубы и клапаны, нарушая таким образом их работоспособность.
Этот метод часто используется злоумышленниками для нанесения физического ущерба или проведения атак типа DoS, но считается, что это первый случай первый случай его успешного применения в отношении ирригационных систем.
В результате этого инцидента многие фермеры лишились надлежащего орошения и, как следствие, урожая, а некоторые и вовсе остались без своих ферм.
По мнению Radiflow, пострадавшие фермы, вероятно, оставили свои ICS открытыми для Интернета и использовали пароли по умолчанию.
На текущий момент, как полагают в Otorio, за атаками на системы водоснабжения в Израиле могут стоять антиизраильские хактивисты OPIsrael, которые на протяжении последних десяти лет проводят аналогичные кибернападения в период посевных работ.
Регион стал целью хакеров, которым удалось получить доступ к ICS оросительных систем. Хакеры атаковали ПЛК производства израильской Unitronics.
Согласно израильской The Jerusalem Post, атака была впервые замечена, когда фермеры в регионе начали замечать, что уровень воды не контролируется должным образом, в результате чего происходило падение урожайности сельскохозкультур.
Начавшееся расследования показало, что хакерам удалось получить доступ и манипулировать ICS системами контроля подачи воды, вызывав повреждение инфраструктуры.
Предполагается, что использовась техника «гидравлического удара». Суть ее заключается в отправке импульсов воды под высоким давлением через трубы и клапаны, нарушая таким образом их работоспособность.
Этот метод часто используется злоумышленниками для нанесения физического ущерба или проведения атак типа DoS, но считается, что это первый случай первый случай его успешного применения в отношении ирригационных систем.
В результате этого инцидента многие фермеры лишились надлежащего орошения и, как следствие, урожая, а некоторые и вовсе остались без своих ферм.
По мнению Radiflow, пострадавшие фермы, вероятно, оставили свои ICS открытыми для Интернета и использовали пароли по умолчанию.
На текущий момент, как полагают в Otorio, за атаками на системы водоснабжения в Израиле могут стоять антиизраильские хактивисты OPIsrael, которые на протяжении последних десяти лет проводят аналогичные кибернападения в период посевных работ.
The Jerusalem Post
Cyber attack leaves irrigation systems in Upper Galilee dysfunctional
Water controllers for irrigating fields in the Jordan Valley were damaged, as were control systems for the Galil Sewage Corporation.
͏ФБР США вдруг предупреждает владельцев мобильных девайсов воздержаться от использования зарядных станций в аэропортах, отелях или торговых центрах.
Все объясняется тем, что злоумышленники нашли способы использовать общедоступные USB-порты для внедрения вредоносных ПО.
Представители ФБР советуют полагаться только на портативные зарядки и электрическую розетку.
В то же время АНБ 👇
Все объясняется тем, что злоумышленники нашли способы использовать общедоступные USB-порты для внедрения вредоносных ПО.
Представители ФБР советуют полагаться только на портативные зарядки и электрическую розетку.
В то же время АНБ 👇
Популярная платформа потокового мультимедиа Kodi взломана и протекла, теперь уже официально.
Компания признала утечку данных, которая затронула более 400 000 пользовательских записей и личных сообщений.
Нарушение было обнаружено специалистами WizCase, которые сообщили, что хакеры украли имена пользователей, адреса электронной почты и хешированные пароли со старого форума.
Kodi - бесплатное программное обеспечение, которое используется миллионами людей по всему миру для доступа к фильмам и телешоу на своих устройствах.
Хакеры получили доступ к базе данных форума через уязвимость в ПО, используемом для управления учетными записями пользователей на сайте, через учетную запись доверенного, но неактивного члена команды из числа админов форума.
Злоумышленники злоупотребили ею для создания резервных копий базы данных.
Это позволило им выгрузить более 400 тысяч пользовательских аккаунтиов, а также получить доступ к их приватной переписке.
Помимо прочего доступ был получен и к другой конфиденциальной информации, такой как IP-адреса и личные данные, полные имена или номера телефонов, если они были указаны в профиле пользователей. Более того, хакеры пытались продать дамп данных, на ныне несуществующей торговой площадке BreachForums.
В настоящее время Kodi работает с правоохранительными органами в рамках расследования инцидента и принятия.
В качестве мер реагирования разработчики внедрили двухфакторную аутентификацию для всех новых учетных записей, а также призвали пользователей как можно скорее сменить свои пароли.
Компания признала утечку данных, которая затронула более 400 000 пользовательских записей и личных сообщений.
Нарушение было обнаружено специалистами WizCase, которые сообщили, что хакеры украли имена пользователей, адреса электронной почты и хешированные пароли со старого форума.
Kodi - бесплатное программное обеспечение, которое используется миллионами людей по всему миру для доступа к фильмам и телешоу на своих устройствах.
Хакеры получили доступ к базе данных форума через уязвимость в ПО, используемом для управления учетными записями пользователей на сайте, через учетную запись доверенного, но неактивного члена команды из числа админов форума.
Злоумышленники злоупотребили ею для создания резервных копий базы данных.
Это позволило им выгрузить более 400 тысяч пользовательских аккаунтиов, а также получить доступ к их приватной переписке.
Помимо прочего доступ был получен и к другой конфиденциальной информации, такой как IP-адреса и личные данные, полные имена или номера телефонов, если они были указаны в профиле пользователей. Более того, хакеры пытались продать дамп данных, на ныне несуществующей торговой площадке BreachForums.
В настоящее время Kodi работает с правоохранительными органами в рамках расследования инцидента и принятия.
В качестве мер реагирования разработчики внедрили двухфакторную аутентификацию для всех новых учетных записей, а также призвали пользователей как можно скорее сменить свои пароли.
GEARRICE
The data of more than 401,000 Kodi forum users has been exposed through a security breach - GEARRICE
The Kodi community has been hit hard recently. And it is that as confirmed by those responsible recently, the Kodi forum has suffered a security breachwhich
Критическая CVE-2023-28808 обхода аутентификации в решениях для хранения данных Hikvision раскрывает видеоданные, хранящиеся в продуктах Hybrid SAN и кластерных хранилищах.
На этой неделе Hikvision проинформировала об устранении критической уязвимости, которая была описана поставщиком как проблема контроля доступа, которую можно использовать для получения разрешений администратора путем отправки специально созданных сообщений на целевое устройство.
Уязвимость была обнаружена еще в конце декабря 2022 года, о чем в январе поставщику сообщили через CERT India.
Хранилище Hybrid SAN, в первую очередь предназначено для хранения видеозаписей видеонаблюдения. Но его также можно настроить для хранения бизнес-данных, в связи с чем потенциальное воздействие достаточно широкое — злоумышленник может удалить как данные, так и резервные копии.
Hikvision заявляет, что злоумышленнику необходимо иметь сетевой доступ к целевому устройству, чтобы использовать CVE-2023-28808 и не обнаружила сведений об эксплуатации ошибки в дикой природе.
Однако представители индийской инфосек-компании Redinent, которой приписывают обнаружение уязвимости, уже подтвердили, что многие затронутые системы могут быть подвергнуты воздействию удаленно из Интернета.
Исправления включены в версии 2.3.8-8 для гибридных SAN и версии 1.1.4 для кластерных устройств хранения. Производитель предоставил подробные инструкции по установке обновлений.
На этой неделе Hikvision проинформировала об устранении критической уязвимости, которая была описана поставщиком как проблема контроля доступа, которую можно использовать для получения разрешений администратора путем отправки специально созданных сообщений на целевое устройство.
Уязвимость была обнаружена еще в конце декабря 2022 года, о чем в январе поставщику сообщили через CERT India.
Хранилище Hybrid SAN, в первую очередь предназначено для хранения видеозаписей видеонаблюдения. Но его также можно настроить для хранения бизнес-данных, в связи с чем потенциальное воздействие достаточно широкое — злоумышленник может удалить как данные, так и резервные копии.
Hikvision заявляет, что злоумышленнику необходимо иметь сетевой доступ к целевому устройству, чтобы использовать CVE-2023-28808 и не обнаружила сведений об эксплуатации ошибки в дикой природе.
Однако представители индийской инфосек-компании Redinent, которой приписывают обнаружение уязвимости, уже подтвердили, что многие затронутые системы могут быть подвергнуты воздействию удаленно из Интернета.
Исправления включены в версии 2.3.8-8 для гибридных SAN и версии 1.1.4 для кластерных устройств хранения. Производитель предоставил подробные инструкции по установке обновлений.