В своем отчете Sucuri сообщает о более чем миллионе сайтов WordPress, которые были заражены вредоносным ПО Balada Injector.
Впервые замеченное еще в 2017 году вредоносное ПО является разработкой неустановленной хакерской группы, которая стала наиболее активна с марта этого года.
Balada Injector предназначен для внедрения вредоносного кода на сайты WordPress, что позволяет злоумышленникам получить доступ к базе данных сайта и потенциально красть конфиденциальную информацию.
Малварь также может использоваться для модификации веб-сайтов или перенаправления посетителей на вредоносные линки.
Исследователи Sucuri выявили угрозу, проанализировав данные службы брандмауэра веб-приложений (WAF), которая отслеживает трафик на предмет подозрительной активности.
Согласно их выводам, большинство пострадавших сайтов работали на устаревших версиях WordPress, собственно, на которые были установлены уязвимые темы или плагины.
Это позволило злоумышленникам легко получать доступ к серверной части сайта и внедрять вредоносный код без какого-либо взаимодействия с пользователем.
Balada Injector смог быстро распространиться отчасти благодаря тому, что способна самостоятельно обходить базовые меры безопасности, такие как CAPTCHA и простую 2FA.
Вредонос также способен определить, был ли сайт заражен другими типами вредоносных программ, прежде чем атаковать его, что, в свою очередь, усложняет задачу по его обнаружению и удалению.
В конечном итоге вредоносное ПО позволяет добавлять аккаунты фейковых администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры для постоянного доступа.
Рецептов для защиты не много: поклонникам WordPress рекомендуется своевременно обновляться, а также регулярно сканировать свои ресурсы на наличие признаков заражения, используя хотя бы простые решения безопасности, например, тот же Sucuri WAF или Wordfence.
Впервые замеченное еще в 2017 году вредоносное ПО является разработкой неустановленной хакерской группы, которая стала наиболее активна с марта этого года.
Balada Injector предназначен для внедрения вредоносного кода на сайты WordPress, что позволяет злоумышленникам получить доступ к базе данных сайта и потенциально красть конфиденциальную информацию.
Малварь также может использоваться для модификации веб-сайтов или перенаправления посетителей на вредоносные линки.
Исследователи Sucuri выявили угрозу, проанализировав данные службы брандмауэра веб-приложений (WAF), которая отслеживает трафик на предмет подозрительной активности.
Согласно их выводам, большинство пострадавших сайтов работали на устаревших версиях WordPress, собственно, на которые были установлены уязвимые темы или плагины.
Это позволило злоумышленникам легко получать доступ к серверной части сайта и внедрять вредоносный код без какого-либо взаимодействия с пользователем.
Balada Injector смог быстро распространиться отчасти благодаря тому, что способна самостоятельно обходить базовые меры безопасности, такие как CAPTCHA и простую 2FA.
Вредонос также способен определить, был ли сайт заражен другими типами вредоносных программ, прежде чем атаковать его, что, в свою очередь, усложняет задачу по его обнаружению и удалению.
В конечном итоге вредоносное ПО позволяет добавлять аккаунты фейковых администраторов WordPress, собирать данные, хранящиеся на базовых хостах, и оставлять бэкдоры для постоянного доступа.
Рецептов для защиты не много: поклонникам WordPress рекомендуется своевременно обновляться, а также регулярно сканировать свои ресурсы на наличие признаков заражения, используя хотя бы простые решения безопасности, например, тот же Sucuri WAF или Wordfence.
Sucuri Blog
Balada Injector: Synopsis of a Massive Ongoing WordPress Malware Campaign
A synopsis of the massive ongoing WordPress malware campaign: Balada Injector, including common techniques, functionalities, and vulnerability exploits used in attacks.
Ресерчеры BI.ZONE выпустили отчет в отношении новой кампании финансово мотивированной группы Watch Wolf, которая нацелена на российских финансовый сектор и реализует атаки через SEO poisoning.
Находящаяся с 2021 года в поле зрения исследователей Watch Wolf нацелена на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.
Но в последней кампании, которая началась не ранее ноября 2022 года, - делает это нестандартно: вместо классической рассылки вредоносов по email, занимаются SEO‑продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры.
Они насыщают свои ресурсы ключевыми словами и закупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord.
На самом деле в папке загрузки оказывается SFX‑архив, после открытия которого на компьютер загружается ПО DarkWatchman, которое представляет собой JS‑скрипт и запускается посредством wscript.exe.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии.
Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Используя реестр и инструментарий управления Windows, бэкдор незаметно собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает известную с 2014 года троянскую программу Buhtrap.
С ее помощью Watch Wolf выводит средства со счетов компании. Кроме того, доставлялись и дополнительные модули, например VNC, который позволял злоумышленникам получить удаленный доступ.
Мы солидарны с исследователями во мнении, что бизнес должен быть в курсе трендов в технике и тактике атак для защиты активов.
Особенно, если учесть, что в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
Находящаяся с 2021 года в поле зрения исследователей Watch Wolf нацелена на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.
Но в последней кампании, которая началась не ранее ноября 2022 года, - делает это нестандартно: вместо классической рассылки вредоносов по email, занимаются SEO‑продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры.
Они насыщают свои ресурсы ключевыми словами и закупают контекстную рекламу — все это помогает выводить такие сайты на первую страницу результатов поиска.
Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), причем не с самого сайта, а с файлообменника мессенджера Discord.
На самом деле в папке загрузки оказывается SFX‑архив, после открытия которого на компьютер загружается ПО DarkWatchman, которое представляет собой JS‑скрипт и запускается посредством wscript.exe.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии.
Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Используя реестр и инструментарий управления Windows, бэкдор незаметно собирает информацию о системе (язык, часовой пояс, используемые антивирусы), а затем устанавливает известную с 2014 года троянскую программу Buhtrap.
С ее помощью Watch Wolf выводит средства со счетов компании. Кроме того, доставлялись и дополнительные модули, например VNC, который позволял злоумышленникам получить удаленный доступ.
Мы солидарны с исследователями во мнении, что бизнес должен быть в курсе трендов в технике и тактике атак для защиты активов.
Особенно, если учесть, что в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
BI.ZONE
SEO poisoning: обзор атаки Watch Wolf на бухгалтеров
Рассылка вредоносов по email уже стала классической атакой. По данным нашей киберразведки, злоумышленники из Watch Wolf вышли на новый уровень: они занимаются SEO-продвижением мошеннических сайтов, чтобы бухгалтеры сами установили бэкдор на компьютеры
Вслед за Apple, разработчики Microsoft выкатили свой апрельский PatchTuesday для исправления почти сотни уязвимостей, в том числе одной 0-day.
При этом семь уязвимостей классифицируются как критические и допускают RCE.
В общем устранено 45 RCE-ошибок, наряду с 20 уязвимостями повышения привилегий, 8 - обхода функций безопасности, 10 - раскрытия информации, 9 - DoS и 6 - спуфинга.
Активно используемая в злонамерных атаках CVE-2023-28252 представляет собой уязвимость уязвимость повышения привилегий в драйвере Windows CLFS, которая позволяет злоумышленнику повысить привилегии до SYSTEM.
Согласно Microsoft, ошибка была обнаружена Гэнвэй Цзяном из Mandiant и Куан Джином из DBAPPSecurity WeBin Lab.
Кроме того, исправлены RCE-уязвимости (CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311) Microsoft Office, Word и Publisher, которые можно использовать, просто заставляя жертв открывать вредоносные документы.
Учитывая высокий фишинговый потенциал уязвимостей, злоумышленники, скорее всего, попытаются оперативно разобраться, как их можно эффективно задействовать в своих кампаниях.
В этой связи, пользователям Microsoft Office настоятельно рекомендуется как можно скорее установить последние обновления безопасности.
Правда, не стоит полагаться на Microsoft, которым на практике приходилось неоднократно дорабатывать патчи и чинить попутно лагающий после обновлений софт.
Полное описание для каждой уязвимости и систем - здесь.
При этом семь уязвимостей классифицируются как критические и допускают RCE.
В общем устранено 45 RCE-ошибок, наряду с 20 уязвимостями повышения привилегий, 8 - обхода функций безопасности, 10 - раскрытия информации, 9 - DoS и 6 - спуфинга.
Активно используемая в злонамерных атаках CVE-2023-28252 представляет собой уязвимость уязвимость повышения привилегий в драйвере Windows CLFS, которая позволяет злоумышленнику повысить привилегии до SYSTEM.
Согласно Microsoft, ошибка была обнаружена Гэнвэй Цзяном из Mandiant и Куан Джином из DBAPPSecurity WeBin Lab.
Кроме того, исправлены RCE-уязвимости (CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 и CVE-2023-28311) Microsoft Office, Word и Publisher, которые можно использовать, просто заставляя жертв открывать вредоносные документы.
Учитывая высокий фишинговый потенциал уязвимостей, злоумышленники, скорее всего, попытаются оперативно разобраться, как их можно эффективно задействовать в своих кампаниях.
В этой связи, пользователям Microsoft Office настоятельно рекомендуется как можно скорее установить последние обновления безопасности.
Правда, не стоит полагаться на Microsoft, которым на практике приходилось неоднократно дорабатывать патчи и чинить попутно лагающий после обновлений софт.
Полное описание для каждой уязвимости и систем - здесь.
Решили отдельно остановиться на исправленной апрельским патчем Microsoft 0-day повышения привилегий в Windows (CLFS), которая затрагивает все поддерживаемые серверные и клиентские версии Windows и может быть использована локальными злоумышленниками в атаках низкой сложности.
На самом деле львиную долю работы в процессе раскрытия CVE-2023-28252 проделали эксперты из команды GReAT Лаборатории Касперского помимо упоминаемых Mandiant и DBAPPSecurity WeBin.
0-day впервые была обнаружена Лабораторией Касперского в феврале 2023 года в расследования атак, в рамках которых операторы на серверах Microsoft Windows пытались развернуть новую версию Nokoyawa ransomware на предприятиях малого и среднего бизнеса в ближневосточном и североамериканском регионах.
По данным Лаборатории Касперского, стоящая за ransomware группа с июня 2022 года использовала как минимум еще пять эксплойтов, нацеленных на драйвер CLFS, в ходе атак на отраслевые организации в сфере торговли, энергетики, производства, здравоохранения и разработки ПО.
С 2018 года Redmond исправила не менее 32 локальных уязвимости повышения привилегий в драйвере Windows CLFS, причем три из них (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376) также использовались в реальных условиях в качестве 0-day, при этом - преимущественно АРТ.
Не будем подробно останавливаться на представленной в отчете технической составляющей проблемы, тем более что всеми подробностями Лаборатория обещает поделиться только через девять дней после выпуска патча.
Отметим, что по мнению исследователей, основной целью использования эксплойтов повышения привилегий было создание дампа содержимого куста реестра HKEY_LOCAL_MACHINE\SAM.
А что касается вредоносного ПО, то в качестве основного инструмента злоумышленники используют Cobalt Strike BEACON. Он запускается с множеством пользовательских загрузчиков, предназначенных для предотвращения обнаружения AV.
В некоторых других атаках до использования уязвимости CLFS машины жертвы были заражены специальным модульным бэкдором Pipemagic, который запускался через скрипт MSBuild.
В качестве последней полезной нагрузки в атаках с использованием CVE-2023-28252 субъект пытался развернуть Nokoyawa (ребрендинг шифровальщика JSWorm), но в обновленной версии.
Как показывает исследование Лаборатории, киберпреступные группы становятся все более изощренными, используя эксплойты нулевого дня в своих атаках, при том, что это было доступно, в первую очередь, только APT.
Теперь же киберпреступники располагают всеми необходимыми ресурсами, чтобы активно задействовать 0-day в своих атаках.
На самом деле львиную долю работы в процессе раскрытия CVE-2023-28252 проделали эксперты из команды GReAT Лаборатории Касперского помимо упоминаемых Mandiant и DBAPPSecurity WeBin.
0-day впервые была обнаружена Лабораторией Касперского в феврале 2023 года в расследования атак, в рамках которых операторы на серверах Microsoft Windows пытались развернуть новую версию Nokoyawa ransomware на предприятиях малого и среднего бизнеса в ближневосточном и североамериканском регионах.
По данным Лаборатории Касперского, стоящая за ransomware группа с июня 2022 года использовала как минимум еще пять эксплойтов, нацеленных на драйвер CLFS, в ходе атак на отраслевые организации в сфере торговли, энергетики, производства, здравоохранения и разработки ПО.
С 2018 года Redmond исправила не менее 32 локальных уязвимости повышения привилегий в драйвере Windows CLFS, причем три из них (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376) также использовались в реальных условиях в качестве 0-day, при этом - преимущественно АРТ.
Не будем подробно останавливаться на представленной в отчете технической составляющей проблемы, тем более что всеми подробностями Лаборатория обещает поделиться только через девять дней после выпуска патча.
Отметим, что по мнению исследователей, основной целью использования эксплойтов повышения привилегий было создание дампа содержимого куста реестра HKEY_LOCAL_MACHINE\SAM.
А что касается вредоносного ПО, то в качестве основного инструмента злоумышленники используют Cobalt Strike BEACON. Он запускается с множеством пользовательских загрузчиков, предназначенных для предотвращения обнаружения AV.
В некоторых других атаках до использования уязвимости CLFS машины жертвы были заражены специальным модульным бэкдором Pipemagic, который запускался через скрипт MSBuild.
В качестве последней полезной нагрузки в атаках с использованием CVE-2023-28252 субъект пытался развернуть Nokoyawa (ребрендинг шифровальщика JSWorm), но в обновленной версии.
Как показывает исследование Лаборатории, киберпреступные группы становятся все более изощренными, используя эксплойты нулевого дня в своих атаках, при том, что это было доступно, в первую очередь, только APT.
Теперь же киберпреступники располагают всеми необходимыми ресурсами, чтобы активно задействовать 0-day в своих атаках.
Securelist
Nokoyawa ransomware attacks with Windows zero-day
In February 2023, we found a zero-day exploit, supporting different versions and builds of Windows, including Windows 11. This particular zero-day was used by a sophisticated cybercrime group that carries out ransomware attacks.
Выводы инфосек комьюнити, подкрепленные авторитетным мнением Лаборатории Касперского, о причастности северокорейской АРТ к недавно раскрытой атаке на цепочку поставок на VoIP 3CX официально подтвердила и сама компания.
3CX в этом вопросе полагается на результаты привлеченной к расследованию гугловской Mandiant, которая, в свою очередь, атрибутировала активность к кластеру UNC4736.
На деле, как верно подметили и ЛК и CrowdStrike - это Lazarus Group, на счету которых за последние годы есть не менее «изящные» кибератаки, в том числе взлом Sony Pictures или вспышка WannaCry.
Тем более, что цепочка атак 3CX включала использование методов боковой загрузки DLL для загрузки похитителя информации, известного как ICONIC Stealer, за которым последовал второй этап под названием Gopuram в ряде атак, направленных компании, связанные с криптой.
Как сообщили представители компании, злоумышленники заразили системы 3CX вредоносным ПО, известным как Taxhaul (или TxRLoader), которое развернуло загрузчик вредоносного ПО второго уровня под названием Coldcat (по Mandiant).
Вредоносная программа сохранялась на скомпрометированных системах за счет боковой загрузки DLL через законные двоичные файлы Microsoft Windows, что усложняло ее обнаружение.
Системы macOS, на которые направлена атака, также были заражены вредоносным ПО под названием Simplesea, которое Mandiant все еще анализирует, чтобы определить, пересекается ли оно с ранее известными штаммами вредоносных программ.
Компания все еще расследует масштабы нарушения и еще не определила, как именно была проведена атака на цепочку поставок, была ли взломана среда разработки или какой-либо другой метод.
Будем следить за результатами расследования.
3CX в этом вопросе полагается на результаты привлеченной к расследованию гугловской Mandiant, которая, в свою очередь, атрибутировала активность к кластеру UNC4736.
На деле, как верно подметили и ЛК и CrowdStrike - это Lazarus Group, на счету которых за последние годы есть не менее «изящные» кибератаки, в том числе взлом Sony Pictures или вспышка WannaCry.
Тем более, что цепочка атак 3CX включала использование методов боковой загрузки DLL для загрузки похитителя информации, известного как ICONIC Stealer, за которым последовал второй этап под названием Gopuram в ряде атак, направленных компании, связанные с криптой.
Как сообщили представители компании, злоумышленники заразили системы 3CX вредоносным ПО, известным как Taxhaul (или TxRLoader), которое развернуло загрузчик вредоносного ПО второго уровня под названием Coldcat (по Mandiant).
Вредоносная программа сохранялась на скомпрометированных системах за счет боковой загрузки DLL через законные двоичные файлы Microsoft Windows, что усложняло ее обнаружение.
Системы macOS, на которые направлена атака, также были заражены вредоносным ПО под названием Simplesea, которое Mandiant все еще анализирует, чтобы определить, пересекается ли оно с ранее известными штаммами вредоносных программ.
Компания все еще расследует масштабы нарушения и еще не определила, как именно была проведена атака на цепочку поставок, была ли взломана среда разработки или какой-либо другой метод.
Будем следить за результатами расследования.
Достаточно серьезное число критических уязвимостей устранено в рамках апрельских обновлений вендорами и поставщиками ICS, проблемные решения которых не раз подвергали их клиентов серьезным инцидентам. Вкратце отметим наиболее важные из них.
Критическая уязвимость в FortiPresence (версии 1.0, 1.1 и 1.2) от Fortinet приводит к удаленному неавторизованному доступу к экземплярам Redis и MongoDB. CVE-2022-41331 с оценкой CVSS 9,3 может быть использована с помощью специально созданных запросов проверки подлинности.
Согласно бюллетеню, Fortinet также объявила об исправлениях для серьезных уязвимостей различных категорий, включая и RCE, в FortiOS, FortiProxy, FortiSandbox, FortiDeceptor, FortiWeb, FortiClient для Windows и macOS, FortiSOAR, FortiADC, FortiDDoS, FortiDDoS-F, FortiAnalyzer. и FortiManager.
Из наиболее серьезных серьезных проблем, которые исправила SAP: CVE-2023-27267, CVE-2023-28765 и CVE-2023-29186. Остальные 11 недостатков, раскрытые в последнем бюллетене относятся к уязвимостям с низким и средним уровнем серьезности.
CVE-2023-27267 имеет оценку CVSS 9,0, связана с недостаточной проверкой ввода и отсутствием аутентификации и затрагивает на OSCommand Bridge агента диагностики SAP версии 720. Она позволяет злоумышленнику полностью скомпрометировать систему.
Другая CVE-2023-28765 (CVSS: 9,8)- это уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence (версии 420 и 430), которая позволяет злоумышленнику с базовыми привилегиями получить доступ к учетным записям.
Последняя с CVSS 8,7 - уязвимость обхода каталога (CVE-2023-29186) влияет на SAP NetWeaver (версий 707, 737, 747 и 757) и позволяет злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP.
Siemens и Schneider Electric на пару представили бюллетени для 38 уязвимостей.
26 из них приходится на Siemens, которая выпустила исправления для некоторых из проблем, для других - только обходные пути и меры по их устранению, а по ряду - вовсе не планирует никаких действий.
Наиболее серьезной является CVE-2023-28489, затрагивающая удаленные терминалы (RTU) Sicam серии A8000 для телеуправления и автоматизации в секторе энергоснабжения. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные команды на целевом устройстве
Siemens проинформировала клиентов об уязвимостях DoS высокой степени серьезности в веб-сервере Simatic и устройствах Siprotec 5, а также критических недостатках в ОС Wind River VxWorks, ядре Linux, OPC Foundation Local Discovery Server (LDS), Luxion KeyShot и различных библиотеках.
Несколько критических ошибок, раскрытых Siemens, связаны с анализом специально созданных файлов, что часто может привести к RCE. Затронутые продукты включают JT Open Toolkit, JT Utilities, Teamcenter Visualization, JT2Go и TIA Portal.
Schneider Electric представила исправления для большинства недостатков и поделилась мерами по устранению проблем, которые ей еще предстоит исправить с помощью обновлений.
Наиболее важные рекомендации охватывают две критические и одну высокой степени серьезности уязвимости, влияющие на ПО для онлайн-мониторинга APC и Easy UPS. Эксплуатация может привести к RCE или DoS.
Клиенты также были проинформированы о серьезной RCE-проблеме в InsightHome и InsightFacility. В ПО EcoStruxure Control Expert для ПЛК и ПАК Modicon были обнаружены недостатки RCE и DoS. Кроме того, ошибки DoS были обнаружены в некоторых ПЛК и PAC Modicon.
Критическая уязвимость в FortiPresence (версии 1.0, 1.1 и 1.2) от Fortinet приводит к удаленному неавторизованному доступу к экземплярам Redis и MongoDB. CVE-2022-41331 с оценкой CVSS 9,3 может быть использована с помощью специально созданных запросов проверки подлинности.
Согласно бюллетеню, Fortinet также объявила об исправлениях для серьезных уязвимостей различных категорий, включая и RCE, в FortiOS, FortiProxy, FortiSandbox, FortiDeceptor, FortiWeb, FortiClient для Windows и macOS, FortiSOAR, FortiADC, FortiDDoS, FortiDDoS-F, FortiAnalyzer. и FortiManager.
Из наиболее серьезных серьезных проблем, которые исправила SAP: CVE-2023-27267, CVE-2023-28765 и CVE-2023-29186. Остальные 11 недостатков, раскрытые в последнем бюллетене относятся к уязвимостям с низким и средним уровнем серьезности.
CVE-2023-27267 имеет оценку CVSS 9,0, связана с недостаточной проверкой ввода и отсутствием аутентификации и затрагивает на OSCommand Bridge агента диагностики SAP версии 720. Она позволяет злоумышленнику полностью скомпрометировать систему.
Другая CVE-2023-28765 (CVSS: 9,8)- это уязвимость раскрытия информации в SAP BusinessObjects Business Intelligence (версии 420 и 430), которая позволяет злоумышленнику с базовыми привилегиями получить доступ к учетным записям.
Последняя с CVSS 8,7 - уязвимость обхода каталога (CVE-2023-29186) влияет на SAP NetWeaver (версий 707, 737, 747 и 757) и позволяет злоумышленнику загружать и перезаписывать файлы на уязвимом сервере SAP.
Siemens и Schneider Electric на пару представили бюллетени для 38 уязвимостей.
26 из них приходится на Siemens, которая выпустила исправления для некоторых из проблем, для других - только обходные пути и меры по их устранению, а по ряду - вовсе не планирует никаких действий.
Наиболее серьезной является CVE-2023-28489, затрагивающая удаленные терминалы (RTU) Sicam серии A8000 для телеуправления и автоматизации в секторе энергоснабжения. Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные команды на целевом устройстве
Siemens проинформировала клиентов об уязвимостях DoS высокой степени серьезности в веб-сервере Simatic и устройствах Siprotec 5, а также критических недостатках в ОС Wind River VxWorks, ядре Linux, OPC Foundation Local Discovery Server (LDS), Luxion KeyShot и различных библиотеках.
Несколько критических ошибок, раскрытых Siemens, связаны с анализом специально созданных файлов, что часто может привести к RCE. Затронутые продукты включают JT Open Toolkit, JT Utilities, Teamcenter Visualization, JT2Go и TIA Portal.
Schneider Electric представила исправления для большинства недостатков и поделилась мерами по устранению проблем, которые ей еще предстоит исправить с помощью обновлений.
Наиболее важные рекомендации охватывают две критические и одну высокой степени серьезности уязвимости, влияющие на ПО для онлайн-мониторинга APC и Easy UPS. Эксплуатация может привести к RCE или DoS.
Клиенты также были проинформированы о серьезной RCE-проблеме в InsightHome и InsightFacility. В ПО EcoStruxure Control Expert для ПЛК и ПАК Modicon были обнаружены недостатки RCE и DoS. Кроме того, ошибки DoS были обнаружены в некоторых ПЛК и PAC Modicon.
FortiGuard
April 2023 Vulnerability Advisories
Сразу после очередных разоблачений spyware от Google TAG и Amnesty International новую порцию «шокирующих» откровений выкатила Microsoft Threat Intelligence на пару с Citizen Lab, как обычно, под предлогом борьбы за демократию.
На этот раз под раздачу попал очередной израильский spyware-разработчик QuaDream.
Согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и неправительственных организации в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Имена жертв не разглашаются.
Спецсофт нацелен на владельцев iPhone и согласно данным, эта угроза распространяется через приглашения в календаре с использованием 0-click эксплойта ENDOFDAYS.
0-day, используемая операторами шпионской ПО, затрагивает версии iOS до 14.4.2. Как объясняют в Citizen Lab, злоумышленники применяли «невидимые приглашения в календаре iCloud».
Собственно, что происходит при такой атаке? Владелец iPhone получает приглашение в свой календарь от незнакомого отправителя. В случае перехода внутри приглашения на сгенерированную ссылку, происходит загрузка вредоносного содержимого.
Добавляются файлы .ics, содержащие приглашения на два перекрывающихся события, датированные задним числом, чтобы не предупреждать пользователей.
Microsoft Threat Intelligence отслеживает QuaDream как DEV-0196, описывая его как атакующую частную частную организацию (PSOA).
Правда, сама компания-разработчик напрямую не участвует в нацеливании, а лишь реализует свои эксплуатационные услуги и вредоносное ПО госзаказчикам.
Вредоносная программа под названием KingsPawn содержит модуль мониторинга и основной модуль, оба из которых представляют собой файлы Mach-O, написанные на Objective-C и Go соответственно.
В совокупности ПО реализует: чистку следов вредоносного ПО, сбор информации об устройстве, данных сотовой связи и Wi-Fi, файлов, обеспечивает доступ к камере, местоположению, журналам вызовов и iOS Keychain, а также позволяет создать одноразовый пароль iCloud, вести запись телефонных звонков и включать микрофон.
Другие образцы поддерживают запись звука с телефонных звонков и микрофона, выполнение запросов в базах данных SQL.
При этом Apple на данный момент не предоставила официальную информацию о том, каким образом можно защититься от этой атаки.
А это и не нужно, цель другая, которую уже обозначила Microsoft, заявив, что борьба с такими злоумышленниками требует коллективных усилий и сотрудничества всех заинтересованных сторон.
На этот раз под раздачу попал очередной израильский spyware-разработчик QuaDream.
Согласно выводам Citizen Lab, шпионская кампания в 2021 году была направлена против журналистов, политической оппозиции и неправительственных организации в Северной Америке, Центральной Азии, Юго-Восточной Азии, Европе и на Ближнем Востоке. Имена жертв не разглашаются.
Спецсофт нацелен на владельцев iPhone и согласно данным, эта угроза распространяется через приглашения в календаре с использованием 0-click эксплойта ENDOFDAYS.
0-day, используемая операторами шпионской ПО, затрагивает версии iOS до 14.4.2. Как объясняют в Citizen Lab, злоумышленники применяли «невидимые приглашения в календаре iCloud».
Собственно, что происходит при такой атаке? Владелец iPhone получает приглашение в свой календарь от незнакомого отправителя. В случае перехода внутри приглашения на сгенерированную ссылку, происходит загрузка вредоносного содержимого.
Добавляются файлы .ics, содержащие приглашения на два перекрывающихся события, датированные задним числом, чтобы не предупреждать пользователей.
Microsoft Threat Intelligence отслеживает QuaDream как DEV-0196, описывая его как атакующую частную частную организацию (PSOA).
Правда, сама компания-разработчик напрямую не участвует в нацеливании, а лишь реализует свои эксплуатационные услуги и вредоносное ПО госзаказчикам.
Вредоносная программа под названием KingsPawn содержит модуль мониторинга и основной модуль, оба из которых представляют собой файлы Mach-O, написанные на Objective-C и Go соответственно.
В совокупности ПО реализует: чистку следов вредоносного ПО, сбор информации об устройстве, данных сотовой связи и Wi-Fi, файлов, обеспечивает доступ к камере, местоположению, журналам вызовов и iOS Keychain, а также позволяет создать одноразовый пароль iCloud, вести запись телефонных звонков и включать микрофон.
Другие образцы поддерживают запись звука с телефонных звонков и микрофона, выполнение запросов в базах данных SQL.
При этом Apple на данный момент не предоставила официальную информацию о том, каким образом можно защититься от этой атаки.
А это и не нужно, цель другая, которую уже обозначила Microsoft, заявив, что борьба с такими злоумышленниками требует коллективных усилий и сотрудничества всех заинтересованных сторон.
The Citizen Lab
Sweet QuaDreams
At least five civil society victims of QuaDream’s spyware and exploits were identified in North America, Central Asia, Southeast Asia, Europe, and the Middle East. Victims include journalists, political opposition figures, and an NGO worker. Traces of a suspected…
Более 360 000 доступных в сети серверов с запущенной службой Windows Message Queuing (MSMQ) потенциально уязвимы для атак, нацеленных на критическую CVE-2023-21554, которую Microsoft исправила последним PAtchTuesday наряду с сотней других.
Об ошибке сообщили исследователи Уэйн Лоу из FortiGuard Lab и Хайфей Ли из Check Point Research.
Она позволяет неавторизованным злоумышленникам добиться RCE на серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности без взаимодействия с пользователем.
Затрагивает все поддерживаемые выпуски серверных и клиентских версий Windows.
Учитывая это, количество уязвимых систем, вероятно, намного больше, особенно если принимать во внимание, что служба MSMQ работает и на недоступных через Интернет машинах.
Кроме того, хотя и MSMQ является необязательным компонентом Windows, она обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления ПО со всеми вытекающими последствиями.
К примеру, в случае установки Exchange Server.
На фоне предыдущего опыта атак с использованием этого типа уязвимостей, разработчик пометил CVE-2023-21554 тегом вероятной эксплуатации. Тем временем, GreyNoise уже фиксирует попытки сканирования серверов с Windows MSMQ.
Microsoft предупреждает и советует администраторам, которые не могут развернуть исправление, отключить службу Windows MSMQ (если возможно) для исключения вектора атаки.
Кроме того, целесообразно заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.
Об ошибке сообщили исследователи Уэйн Лоу из FortiGuard Lab и Хайфей Ли из Check Point Research.
Она позволяет неавторизованным злоумышленникам добиться RCE на серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности без взаимодействия с пользователем.
Затрагивает все поддерживаемые выпуски серверных и клиентских версий Windows.
Учитывая это, количество уязвимых систем, вероятно, намного больше, особенно если принимать во внимание, что служба MSMQ работает и на недоступных через Интернет машинах.
Кроме того, хотя и MSMQ является необязательным компонентом Windows, она обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления ПО со всеми вытекающими последствиями.
К примеру, в случае установки Exchange Server.
На фоне предыдущего опыта атак с использованием этого типа уязвимостей, разработчик пометил CVE-2023-21554 тегом вероятной эксплуатации. Тем временем, GreyNoise уже фиксирует попытки сканирования серверов с Windows MSMQ.
Microsoft предупреждает и советует администраторам, которые не могут развернуть исправление, отключить службу Windows MSMQ (если возможно) для исключения вектора атаки.
Кроме того, целесообразно заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.
Twitter
We are aware of CVE-2023-21554 and are actively investigating. More to come.
Forwarded from Russian OSINT
Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) создан сервис под названием
"На основе всех обращений пользователей формируется тепловая карта. Если сбой массовый, специалисты Центра подключатся к решению проблемы совместно с операторами связи и владельцами сервисов", - сообщает Роскомнадзор.
https://portal.noc.gov.ru/ru/monitoring
👆Также есть cервис Looking Glass, он позволяет в режиме реального времени получить информацию об IP-адресах, автономных системах и оптимальных маршрутах трафика.
Please open Telegram to view this post
VIEW IN TELEGRAM
Очередные атаки на Израиль, а именно на житницу долину реки Иордан - один из самых важных сельскохозяйственных регионов Ближнего Востока, а также системы управления Galil Sewage Corporation.
Регион стал целью хакеров, которым удалось получить доступ к ICS оросительных систем. Хакеры атаковали ПЛК производства израильской Unitronics.
Согласно израильской The Jerusalem Post, атака была впервые замечена, когда фермеры в регионе начали замечать, что уровень воды не контролируется должным образом, в результате чего происходило падение урожайности сельскохозкультур.
Начавшееся расследования показало, что хакерам удалось получить доступ и манипулировать ICS системами контроля подачи воды, вызывав повреждение инфраструктуры.
Предполагается, что использовась техника «гидравлического удара». Суть ее заключается в отправке импульсов воды под высоким давлением через трубы и клапаны, нарушая таким образом их работоспособность.
Этот метод часто используется злоумышленниками для нанесения физического ущерба или проведения атак типа DoS, но считается, что это первый случай первый случай его успешного применения в отношении ирригационных систем.
В результате этого инцидента многие фермеры лишились надлежащего орошения и, как следствие, урожая, а некоторые и вовсе остались без своих ферм.
По мнению Radiflow, пострадавшие фермы, вероятно, оставили свои ICS открытыми для Интернета и использовали пароли по умолчанию.
На текущий момент, как полагают в Otorio, за атаками на системы водоснабжения в Израиле могут стоять антиизраильские хактивисты OPIsrael, которые на протяжении последних десяти лет проводят аналогичные кибернападения в период посевных работ.
Регион стал целью хакеров, которым удалось получить доступ к ICS оросительных систем. Хакеры атаковали ПЛК производства израильской Unitronics.
Согласно израильской The Jerusalem Post, атака была впервые замечена, когда фермеры в регионе начали замечать, что уровень воды не контролируется должным образом, в результате чего происходило падение урожайности сельскохозкультур.
Начавшееся расследования показало, что хакерам удалось получить доступ и манипулировать ICS системами контроля подачи воды, вызывав повреждение инфраструктуры.
Предполагается, что использовась техника «гидравлического удара». Суть ее заключается в отправке импульсов воды под высоким давлением через трубы и клапаны, нарушая таким образом их работоспособность.
Этот метод часто используется злоумышленниками для нанесения физического ущерба или проведения атак типа DoS, но считается, что это первый случай первый случай его успешного применения в отношении ирригационных систем.
В результате этого инцидента многие фермеры лишились надлежащего орошения и, как следствие, урожая, а некоторые и вовсе остались без своих ферм.
По мнению Radiflow, пострадавшие фермы, вероятно, оставили свои ICS открытыми для Интернета и использовали пароли по умолчанию.
На текущий момент, как полагают в Otorio, за атаками на системы водоснабжения в Израиле могут стоять антиизраильские хактивисты OPIsrael, которые на протяжении последних десяти лет проводят аналогичные кибернападения в период посевных работ.
The Jerusalem Post
Cyber attack leaves irrigation systems in Upper Galilee dysfunctional
Water controllers for irrigating fields in the Jordan Valley were damaged, as were control systems for the Galil Sewage Corporation.
͏ФБР США вдруг предупреждает владельцев мобильных девайсов воздержаться от использования зарядных станций в аэропортах, отелях или торговых центрах.
Все объясняется тем, что злоумышленники нашли способы использовать общедоступные USB-порты для внедрения вредоносных ПО.
Представители ФБР советуют полагаться только на портативные зарядки и электрическую розетку.
В то же время АНБ 👇
Все объясняется тем, что злоумышленники нашли способы использовать общедоступные USB-порты для внедрения вредоносных ПО.
Представители ФБР советуют полагаться только на портативные зарядки и электрическую розетку.
В то же время АНБ 👇
Популярная платформа потокового мультимедиа Kodi взломана и протекла, теперь уже официально.
Компания признала утечку данных, которая затронула более 400 000 пользовательских записей и личных сообщений.
Нарушение было обнаружено специалистами WizCase, которые сообщили, что хакеры украли имена пользователей, адреса электронной почты и хешированные пароли со старого форума.
Kodi - бесплатное программное обеспечение, которое используется миллионами людей по всему миру для доступа к фильмам и телешоу на своих устройствах.
Хакеры получили доступ к базе данных форума через уязвимость в ПО, используемом для управления учетными записями пользователей на сайте, через учетную запись доверенного, но неактивного члена команды из числа админов форума.
Злоумышленники злоупотребили ею для создания резервных копий базы данных.
Это позволило им выгрузить более 400 тысяч пользовательских аккаунтиов, а также получить доступ к их приватной переписке.
Помимо прочего доступ был получен и к другой конфиденциальной информации, такой как IP-адреса и личные данные, полные имена или номера телефонов, если они были указаны в профиле пользователей. Более того, хакеры пытались продать дамп данных, на ныне несуществующей торговой площадке BreachForums.
В настоящее время Kodi работает с правоохранительными органами в рамках расследования инцидента и принятия.
В качестве мер реагирования разработчики внедрили двухфакторную аутентификацию для всех новых учетных записей, а также призвали пользователей как можно скорее сменить свои пароли.
Компания признала утечку данных, которая затронула более 400 000 пользовательских записей и личных сообщений.
Нарушение было обнаружено специалистами WizCase, которые сообщили, что хакеры украли имена пользователей, адреса электронной почты и хешированные пароли со старого форума.
Kodi - бесплатное программное обеспечение, которое используется миллионами людей по всему миру для доступа к фильмам и телешоу на своих устройствах.
Хакеры получили доступ к базе данных форума через уязвимость в ПО, используемом для управления учетными записями пользователей на сайте, через учетную запись доверенного, но неактивного члена команды из числа админов форума.
Злоумышленники злоупотребили ею для создания резервных копий базы данных.
Это позволило им выгрузить более 400 тысяч пользовательских аккаунтиов, а также получить доступ к их приватной переписке.
Помимо прочего доступ был получен и к другой конфиденциальной информации, такой как IP-адреса и личные данные, полные имена или номера телефонов, если они были указаны в профиле пользователей. Более того, хакеры пытались продать дамп данных, на ныне несуществующей торговой площадке BreachForums.
В настоящее время Kodi работает с правоохранительными органами в рамках расследования инцидента и принятия.
В качестве мер реагирования разработчики внедрили двухфакторную аутентификацию для всех новых учетных записей, а также призвали пользователей как можно скорее сменить свои пароли.
GEARRICE
The data of more than 401,000 Kodi forum users has been exposed through a security breach - GEARRICE
The Kodi community has been hit hard recently. And it is that as confirmed by those responsible recently, the Kodi forum has suffered a security breachwhich
Критическая CVE-2023-28808 обхода аутентификации в решениях для хранения данных Hikvision раскрывает видеоданные, хранящиеся в продуктах Hybrid SAN и кластерных хранилищах.
На этой неделе Hikvision проинформировала об устранении критической уязвимости, которая была описана поставщиком как проблема контроля доступа, которую можно использовать для получения разрешений администратора путем отправки специально созданных сообщений на целевое устройство.
Уязвимость была обнаружена еще в конце декабря 2022 года, о чем в январе поставщику сообщили через CERT India.
Хранилище Hybrid SAN, в первую очередь предназначено для хранения видеозаписей видеонаблюдения. Но его также можно настроить для хранения бизнес-данных, в связи с чем потенциальное воздействие достаточно широкое — злоумышленник может удалить как данные, так и резервные копии.
Hikvision заявляет, что злоумышленнику необходимо иметь сетевой доступ к целевому устройству, чтобы использовать CVE-2023-28808 и не обнаружила сведений об эксплуатации ошибки в дикой природе.
Однако представители индийской инфосек-компании Redinent, которой приписывают обнаружение уязвимости, уже подтвердили, что многие затронутые системы могут быть подвергнуты воздействию удаленно из Интернета.
Исправления включены в версии 2.3.8-8 для гибридных SAN и версии 1.1.4 для кластерных устройств хранения. Производитель предоставил подробные инструкции по установке обновлений.
На этой неделе Hikvision проинформировала об устранении критической уязвимости, которая была описана поставщиком как проблема контроля доступа, которую можно использовать для получения разрешений администратора путем отправки специально созданных сообщений на целевое устройство.
Уязвимость была обнаружена еще в конце декабря 2022 года, о чем в январе поставщику сообщили через CERT India.
Хранилище Hybrid SAN, в первую очередь предназначено для хранения видеозаписей видеонаблюдения. Но его также можно настроить для хранения бизнес-данных, в связи с чем потенциальное воздействие достаточно широкое — злоумышленник может удалить как данные, так и резервные копии.
Hikvision заявляет, что злоумышленнику необходимо иметь сетевой доступ к целевому устройству, чтобы использовать CVE-2023-28808 и не обнаружила сведений об эксплуатации ошибки в дикой природе.
Однако представители индийской инфосек-компании Redinent, которой приписывают обнаружение уязвимости, уже подтвердили, что многие затронутые системы могут быть подвергнуты воздействию удаленно из Интернета.
Исправления включены в версии 2.3.8-8 для гибридных SAN и версии 1.1.4 для кластерных устройств хранения. Производитель предоставил подробные инструкции по установке обновлений.
Все ждали, чем же закончится перепалка между вымогателями LockBit и сингапурской инфосек-компанией DarkTracer.
В итоге - под замес попала британская инфосек-компания Darktrace, которая, ошеломленная столь высоким вниманием, сутки отмалчивалась, а затем заявила, что вообще не в курсе того, что происходит.
А дело было так.
В среду DarkTracer у себя в Twitter выдала пост с критикой в адрес вымогателей, в частности, отметив многочисленные непонятные записи на DLS в отношении несуществующих жертв и в целом упрекнув RaaS в надежности и адекватности.
Как позже выяснилось, опубликованные записи на сайте LockBit, по-видимому, были тестовыми данными, сгенерированными в ходе технического обслуживания.
Однако LockBit, полные решимости отстоять свою честь и софт, выкатили сообщение на DLS о взломе Darktrace, но не сингапурской, а британской. В сообщении утверждалось, что данные были украдены и назначен выкуп в размере 1 миллиона долларов.
Раздосадованные англосаксы принялись копать журналы, логи и искать прочие следы пребывания гостей, но увы не нашли, во всяком случае - официально опровергли инцидент.
К слову, ни одна из публикаций LockBit реально не содержит ссылок на какие-либо скомпрометированные данные Darktrace.
Как полагают исследователи, похоже, что Darktrace не был взломан, вымогатели перепутали обидчика с британским аналогом, которая — и даже не была целью LockBit.
Учитывая, что LockBit в прошлом году успешно препарировала Entrust, то ошибку можно считать выданной черной меткой и ожидать корректировки записи на DLS со всеми возможными пруфами.
С другой стороны, сообщество уже ловило вымогателей на лукавстве, когда оказалось, что заявленный взлом Mandiant оказался уткой в отместку за отчет, связывающий группу с Evil Corp.
В общем, будем посмотреть.
В итоге - под замес попала британская инфосек-компания Darktrace, которая, ошеломленная столь высоким вниманием, сутки отмалчивалась, а затем заявила, что вообще не в курсе того, что происходит.
А дело было так.
В среду DarkTracer у себя в Twitter выдала пост с критикой в адрес вымогателей, в частности, отметив многочисленные непонятные записи на DLS в отношении несуществующих жертв и в целом упрекнув RaaS в надежности и адекватности.
Как позже выяснилось, опубликованные записи на сайте LockBit, по-видимому, были тестовыми данными, сгенерированными в ходе технического обслуживания.
Однако LockBit, полные решимости отстоять свою честь и софт, выкатили сообщение на DLS о взломе Darktrace, но не сингапурской, а британской. В сообщении утверждалось, что данные были украдены и назначен выкуп в размере 1 миллиона долларов.
Раздосадованные англосаксы принялись копать журналы, логи и искать прочие следы пребывания гостей, но увы не нашли, во всяком случае - официально опровергли инцидент.
К слову, ни одна из публикаций LockBit реально не содержит ссылок на какие-либо скомпрометированные данные Darktrace.
Как полагают исследователи, похоже, что Darktrace не был взломан, вымогатели перепутали обидчика с британским аналогом, которая — и даже не была целью LockBit.
Учитывая, что LockBit в прошлом году успешно препарировала Entrust, то ошибку можно считать выданной черной меткой и ожидать корректировки записи на DLS со всеми возможными пруфами.
С другой стороны, сообщество уже ловило вымогателей на лукавстве, когда оказалось, что заявленный взлом Mandiant оказался уткой в отместку за отчет, связывающий группу с Evil Corp.
В общем, будем посмотреть.
X (formerly Twitter)
Fusion Intelligence Center @ StealthMole (@stealthmole_int) on X
The reliability of the RaaS service operated by LockBit ransomware gang seems to have declined. They appear to have become negligent in managing the service, as fake victims and meaningless data have begun to fill the list, which is being left unattended.
Google выпустила экстренное обновление безопасности для устранения первой за этот год 0-day в Chrome, эксплойт для которой был замечен в дикой природе.
Согласно бюллетеню уязвимость высокой степенью серьезности (CVE-2023-2033) связана с путаницей типов в механизме JavaScript Chrome V8.
Недостатки путаницы типов обычно позволяют злоумышленникам вызывать сбои браузера после успешного использования путем чтения или записи памяти за пределы буфера.
Однако злоумышленники также могут использовать их для выполнения RCE на скомпрометированных устройствах.
Об ошибке сообщил Клеман Лесин из Google (TAG), участия в раскрытии которого указывает на задействование 0-day в атаках, прежде всего, со стороны АРТ.
Не исключаются и новые разоблачения в отношении поставщиков spyware.
В любом случае Google, несмотря на свою осведомленность, не разглашает дополнительную информацию об инцидентах.
Новая версия Chrome для Windows, Mac и Linux в ближайшие дни станет доступной для всех пользователей, которым следует как можно скорее обновиться до 112.0.5615.121.
Вообще же, в этом году уже зарегистрировано 20 реальных компрометаций с использованием 0-day. Причем 12 из них затрагивали решения от ведущих разработчиков: Microsoft, Apple и Google.
Согласно бюллетеню уязвимость высокой степенью серьезности (CVE-2023-2033) связана с путаницей типов в механизме JavaScript Chrome V8.
Недостатки путаницы типов обычно позволяют злоумышленникам вызывать сбои браузера после успешного использования путем чтения или записи памяти за пределы буфера.
Однако злоумышленники также могут использовать их для выполнения RCE на скомпрометированных устройствах.
Об ошибке сообщил Клеман Лесин из Google (TAG), участия в раскрытии которого указывает на задействование 0-day в атаках, прежде всего, со стороны АРТ.
Не исключаются и новые разоблачения в отношении поставщиков spyware.
В любом случае Google, несмотря на свою осведомленность, не разглашает дополнительную информацию об инцидентах.
Новая версия Chrome для Windows, Mac и Linux в ближайшие дни станет доступной для всех пользователей, которым следует как можно скорее обновиться до 112.0.5615.121.
Вообще же, в этом году уже зарегистрировано 20 реальных компрометаций с использованием 0-day. Причем 12 из них затрагивали решения от ведущих разработчиков: Microsoft, Apple и Google.
Chrome Releases
Stable Channel Update for Desktop
The Stable and extended stable channel has been updated to 112.0.5615.121 for Windows Mac and Linux which will roll out over the coming...
͏Студенты на Мальте, начинающие исследователи, в качестве гонорара по BugBounty получили уголовное дело и могут присесть на 4 года после раскрытия уязвимости в ПО FreeHour, которое используется местными образовательными учреждениями.
Как сообщает Times of Malta, студенты сообщили об уязвимости разработчику приложения в октябре прошлого года, предоставив ему трехмесячный срок для исправление и намекнули на вознаграждение.
Джорджио Григоло, Майкл Дебоно, Люк Бьорн Шерри и Люк Коллинз сканировали ПО, когда обнаружили уязвимость, которую, по их словам, могли использовать злоумышленники.
Обнаруженная ими уязвимость могла привести к потенциальной утечке личных данных пользователей ПО, включая адреса электронной почты, данные о местоположении и календаря Google.
Ошибка также позволяла вносить изменения в интерфейс приложения, чем они однажды воспользовались, чтобы убедиться в ее практической применимости.
Все получилось, поскольку основанная на Parse инфраструктура FreeHour, как оказалось, не была должным образом адаптирована.
После апробации студенты решили направить результаты своих изысканий по электронке разработчику. Намекнув на гонорар, тем не менее не называли конкретную сумму.
К удивлению юных ресерчеров через месяц после этого к ним нагрянули силовики с арестом и обысками. Им предъявили обвинения в несанкционированном доступе и изъяли компьютерную технику.
В свою очередь, FreeHour в своем блоге заявили, что неправильно истолковали первоначальный отчет и приняли его за попытку вымогательства, уведомив об этом власти соответствующим образом.
По итогу рецепт BugBounty по-мальтийски: FreeHour отрапортовала об и исправлении уязвимости и сохранности всех пользовательских данных, киберполицейские срубили галку, а юные дарования - уголовку.
Как сообщает Times of Malta, студенты сообщили об уязвимости разработчику приложения в октябре прошлого года, предоставив ему трехмесячный срок для исправление и намекнули на вознаграждение.
Джорджио Григоло, Майкл Дебоно, Люк Бьорн Шерри и Люк Коллинз сканировали ПО, когда обнаружили уязвимость, которую, по их словам, могли использовать злоумышленники.
Обнаруженная ими уязвимость могла привести к потенциальной утечке личных данных пользователей ПО, включая адреса электронной почты, данные о местоположении и календаря Google.
Ошибка также позволяла вносить изменения в интерфейс приложения, чем они однажды воспользовались, чтобы убедиться в ее практической применимости.
Все получилось, поскольку основанная на Parse инфраструктура FreeHour, как оказалось, не была должным образом адаптирована.
После апробации студенты решили направить результаты своих изысканий по электронке разработчику. Намекнув на гонорар, тем не менее не называли конкретную сумму.
К удивлению юных ресерчеров через месяц после этого к ним нагрянули силовики с арестом и обысками. Им предъявили обвинения в несанкционированном доступе и изъяли компьютерную технику.
В свою очередь, FreeHour в своем блоге заявили, что неправильно истолковали первоначальный отчет и приняли его за попытку вымогательства, уведомив об этом власти соответствующим образом.
По итогу рецепт BugBounty по-мальтийски: FreeHour отрапортовала об и исправлении уязвимости и сохранности всех пользовательских данных, киберполицейские срубили галку, а юные дарования - уголовку.
Угроза программ-вымогателей становится все более серьезной проблемой для пользователей компьютеров по всему миру, и теперь оказывается, что мишенями становятся и устройства Mac.
Недавно исследователи по информационной безопасности обнаружили новую разновидность программы-вымогателя LockBit, специально предназначенную для компьютеров из Купертино.
Ранее считалось, что этот вредоносный софт работает только на Windows, но прогресс и желание наживы взял верх и теперь злоумышленники стали активно атаковать устройства Mac.
О проблеме сообщил специалист из MalwareHunterTeam, который на досуге чилил под кофе и ковырял VirusTotal, вдруг обнаружив ZIP-архив, содержащий, большой пул доступных шифровальщиков LockBit.
Среди них также был с именем locker_Apple_M1_64, очевидно предназначенный для новых компьютеров Mac, работающих на Apple Silicon.
Помимо прочего в архиве содержались сборки и для процессоров PowerPC, которые используются на старых компьютерах маках.
Учитывая, что locker_Apple_M1_64 был загружен на Virus Total ещё в декабре 2022, то очевидно, что эти образцы уже используются некоторое время.
Хотя не может не радовать позитивный энтузиазм исследователя из Cisco Talos Азима Ходжибаева, который считает, что шифраторы, скорее всего, не готовы к развертыванию в реальных атаках на устройства macOS и предназначались для тестирования, а не для использования в реальных кибератаках.
Другой эксперт по кибербезопасности macOS Патрик Уордл также подтвердил теорию, что эти сборки находятся в стадии разработки и тестирования, так как на данный момент ему не хватает требуемой функциональности для правильного шифрования Mac.
Тем не менее звоночек тревожный и не за горами тот день, когда и маководы вздрогнут под гнетем вездесущего и в страхе держащего все киберпространство банды вымогателей LockBit.
Недавно исследователи по информационной безопасности обнаружили новую разновидность программы-вымогателя LockBit, специально предназначенную для компьютеров из Купертино.
Ранее считалось, что этот вредоносный софт работает только на Windows, но прогресс и желание наживы взял верх и теперь злоумышленники стали активно атаковать устройства Mac.
О проблеме сообщил специалист из MalwareHunterTeam, который на досуге чилил под кофе и ковырял VirusTotal, вдруг обнаружив ZIP-архив, содержащий, большой пул доступных шифровальщиков LockBit.
Среди них также был с именем locker_Apple_M1_64, очевидно предназначенный для новых компьютеров Mac, работающих на Apple Silicon.
Помимо прочего в архиве содержались сборки и для процессоров PowerPC, которые используются на старых компьютерах маках.
Учитывая, что locker_Apple_M1_64 был загружен на Virus Total ещё в декабре 2022, то очевидно, что эти образцы уже используются некоторое время.
Хотя не может не радовать позитивный энтузиазм исследователя из Cisco Talos Азима Ходжибаева, который считает, что шифраторы, скорее всего, не готовы к развертыванию в реальных атаках на устройства macOS и предназначались для тестирования, а не для использования в реальных кибератаках.
Другой эксперт по кибербезопасности macOS Патрик Уордл также подтвердил теорию, что эти сборки находятся в стадии разработки и тестирования, так как на данный момент ему не хватает требуемой функциональности для правильного шифрования Mac.
Тем не менее звоночек тревожный и не за горами тот день, когда и маководы вздрогнут под гнетем вездесущего и в страхе держащего все киберпространство банды вымогателей LockBit.
MyBroadband
Major ransomware campaign targets Mac devices
Cybersecurity researchers found an archive on TotalVirus containing LockBit encryptors designed to attack new and old Macs.
Kaspersky на страже цифровых рубежей!
Что такое Kaspersky Scan Engine? Это не только сканирование файлов, которые пользователи выкладывают на веб-портал клиента, но и проведение проверки на любом этапе процесса передачи файлов от отправителя к получателю, а также проверка вложений и ссылок в IM-сообщениях.
На вебинаре 20 апреля в 11:00 по МСК расскажем подробнее о:
✔️сценариях интеграции и pain points, закрываемых решением
✔️технологических преимуществах и условиях лицензирования
✔️компаниях, которым может пригодиться решение в работе
✔️историях успеха
А также у каждого участника будет возможность задать вопрос, на который ответят наши эксперты.
До встречи на вебинар !
Что такое Kaspersky Scan Engine? Это не только сканирование файлов, которые пользователи выкладывают на веб-портал клиента, но и проведение проверки на любом этапе процесса передачи файлов от отправителя к получателю, а также проверка вложений и ссылок в IM-сообщениях.
На вебинаре 20 апреля в 11:00 по МСК расскажем подробнее о:
✔️сценариях интеграции и pain points, закрываемых решением
✔️технологических преимуществах и условиях лицензирования
✔️компаниях, которым может пригодиться решение в работе
✔️историях успеха
А также у каждого участника будет возможность задать вопрос, на который ответят наши эксперты.
До встречи на вебинар !
Десятки уязвимостей закрыла Juniper Networks, в том числе критические ошибки в ОС Junos и STRM.
В одном из бюллетеней перечислены многочисленные критические баги в Expat (libexpat), сторонней библиотеке синтаксического анализатора XML, ориентированной на потоки.
7 из 15 исправленных в последних выпусках ОС Junos уязвимостей Expat имеют оценку CVSS 9,8. Все они были раскрыты за последние два года и неизвестно используются ли они для злонамеренных атак.
Обновления доступны для версий ОС Junos с 19.4 по 22.2. Juniper рекомендует использовать списки доступа или фильтры брандмауэра, чтобы снизить риски, связанные с этими ошибками.
Juniper также сообщила о выпуске исправлений для CVE-2022-42889 в Security Threat Response Manager, критической уязвимости в Apache Commons Text, приводящей к RCE.
Компания также устранила нескольких серьезных уязвимостей, затрагивающих ОС Junos и ОС Junos Evolved, наиболее серьезные из которых могут привести к внедрению команд и RCE.
Две серьезные уязвимости в ОС Junos Evolved могут позволить локальному злоумышленнику с низким уровнем привилегий изменять файлы или выполнять команды с привилегиями root или выполнять административные команды соответственно.
Ряд других серьезных уязвимостей в Junos OS и Junos OS Evolved могут позволить злоумышленнику вызвать DoS. Одна из ошибок в Paragon Active Assurance (ранее Netrounds) позволяла осуществить обход существующих правил и ограничений брандмауэра.
Juniper не упоминает об использовании уязвимостей в атаках. Дополнительная информация об уязвимостях доступна на странице рекомендаций по безопасности Juniper Networks.
В одном из бюллетеней перечислены многочисленные критические баги в Expat (libexpat), сторонней библиотеке синтаксического анализатора XML, ориентированной на потоки.
7 из 15 исправленных в последних выпусках ОС Junos уязвимостей Expat имеют оценку CVSS 9,8. Все они были раскрыты за последние два года и неизвестно используются ли они для злонамеренных атак.
Обновления доступны для версий ОС Junos с 19.4 по 22.2. Juniper рекомендует использовать списки доступа или фильтры брандмауэра, чтобы снизить риски, связанные с этими ошибками.
Juniper также сообщила о выпуске исправлений для CVE-2022-42889 в Security Threat Response Manager, критической уязвимости в Apache Commons Text, приводящей к RCE.
Компания также устранила нескольких серьезных уязвимостей, затрагивающих ОС Junos и ОС Junos Evolved, наиболее серьезные из которых могут привести к внедрению команд и RCE.
Две серьезные уязвимости в ОС Junos Evolved могут позволить локальному злоумышленнику с низким уровнем привилегий изменять файлы или выполнять команды с привилегиями root или выполнять административные команды соответственно.
Ряд других серьезных уязвимостей в Junos OS и Junos OS Evolved могут позволить злоумышленнику вызвать DoS. Одна из ошибок в Paragon Active Assurance (ранее Netrounds) позволяла осуществить обход существующих правил и ограничений брандмауэра.
Juniper не упоминает об использовании уязвимостей в атаках. Дополнительная информация об уязвимостях доступна на странице рекомендаций по безопасности Juniper Networks.