Cisco раскрыла 0-day в инструменте управления серверами Prime Collaboration Deployment (PCD), которую можно использовать для атак с использованием межсайтовых сценариев.

Утилита предназначена для выполнения задач миграции или обновлений на серверах, находящихся в контуре организации.

CVE-2023-20060 была обнаружена в веб-интерфейсе управления Cisco PCD 14 (включая и более ранние версии) исследователем Пьером Вивеньсом из Центра кибербезопасности НАТО (NCSC).

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, запускать XSS-атаки удаленно, но требует взаимодействия с пользователем.

Рабочий эксплойт может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации в браузере.

Проблема вызвана неправильной проверкой веб-интерфейсом управления введенных пользователем данных.

Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть созданную ссылку.

На данный момент для XSS-уязвимости нет обходных путей, а обновления безопасности для ее устранения компания обещает выпустить в следующем месяце.

Но в случае с Cisco «обещать - не значит жениться», уже полгода поставщик с таким же успехом обещает исправить другую 0-day.

CVE-2022-20968 в IP-телефонах с прошивкой серий 7800 и 8800 версии 14.2 была раскрыта еще начале декабря 2022 года и успела обзавестись PoC, хотя должна была быть закрыта еще в январе.

Пока же клиентов Cisco (PSIRT) утешают лишь заявлениями об отсутствии доказательства злонамеренного использования новой 0-day в дикой природе.

Уже более пяти лет GReAT из Лаборатории Касперского публикует ежеквартальные сводки об активности APT с отражением наиболее ключевых событий и обобщением результатов более частных исследований.

В новом отчете исследователи рассказали о примечательных находках и тенденциях за 1 квартал 2023 г.

Одно из расследований Turla привело к обнаружению имплантата Tomiris, через который составлялся бэкдор TunnusSched (QUIETCANARY).

Исследователи пришли к выводу, что либо Tomiris проводит атаки под чужим флагом с участием Turla, либо (что более вероятно) Turla и Tomiris сотрудничают.

Tomiris также был замечен с использованием неизвестного имплантата на Rust под названием JLORAT.

Обнаружен новый имплантат в памяти TargetPlug, который применялся для нацеливания на разработчиков игр в Южной Корее с октября 2022 года и по имеет связь с Winnti (общая инфраструктура, подпись кода и виктимология).

Не остались без внимания продолжающиеся кампании целевого фишинга, нацеленные на страны Ближнего Востока, начиная с июля 2021 года, за которыми стоит MuddyWater. Актор смог заразить нескольких жертв на Ближнем Востоке и в Северной Африке.

В конце декабря прошлого года замечено вредоносное ПО, использующее Microsoft Exchange для C2 и кражи данных. Дальнейший анализ образцов показал, что это новый вариант вредоносного ПО Oilrig Lookout.

В отчете также представлены кампании недавно обнаруженных субъектов угроз, среди которых - Trila, нацеленная на правительственные учреждения Ливана, а также ливийская LoneZerda, модуль кейлоггера которых все еще активен на компьютерах высокопоставленных жертв на Ближнем Востоке.

Два новых загрузчика MinHus и Stage появилось на вооружении группы Origami Elephant. Также было замечено, что группа начала использовать более сложные алгоритмы для запутывания строк.

Новые штаммы вредоносных программ обнаружились и у нацеленной на КНДР ScarCruft. В качестве механизма C2 использовался легитимный облачный сервис обмена сообщениями, а новая полезная нагрузка SidLevel имела широкий спектр возможностей для кражи конфиденциальной информации.

Lazarus же использовала бэкдор-клиент UltraVNC для доставки обновленной полезной нагрузки BLINDINCAN.

Серьезно эволюционировал бэкдор DTrack, используемый Andariel (он же StonedFly и Silent Chollima), анализ привел к новой виктимологии.

Найден новый штамм вредоносного ПО DreamLand, нацеленный на Пакистан. Вредоносная ПО является модульной и использует язык сценариев Lua в сочетании с компилятором Just-in-Time (JIT) для выполнения вредоносного кода.

Исследователи отмечают, что по-прежнему злоумышленники используют различные языки программирования, включая Go, Rust и Lua.

Кампании APT, как и ранее сильно рассредоточены географически. В этом квартале акторы таргетировали свои атаки на Европу, США, Ближний Восток и регионы Азии.

При этом цели APT-угроз оставались достаточно дифференцированы. К ним относятся правительственные и дипломатические органы, объекты авиации, энергетики, производства, сферы недвижимости, финансов, телекоммуникации, научных исследований, информационные технологии и игровой сектор.

Традиционно таргетинг определялся геополитикой, оставаясь ключевым фактором развития APT, а кибершпионаж соответственно - основной целью большинства кампаний APT.

Популярная платформа электронной коммерции с открытым исходным кодом Prestashop, недавно исправила критическую уязвимость, которая позволяла любому бэкэнд-пользователю удалить всю базу данных интернет-магазина.

Ошибка была обнаружена исследователями безопасности из Check Point Research, о чем Prestashop сообщили 28 апреля.

Уязвимость отслеживается как CVE-2023-30839 с оценкой 9.9 и позволяет любому пользователю, независимо от их привилегий, выполнять несанкционированные изменения в базе данных.

Это означает, что злоумышленники могли использовать эту уязвимость, чтобы полностью стереть данные интернет-магазина и нанести существенный финансовый ущерб владельцам пострадавшего бизнеса.

Недостаток, который невозможно устранить, влияет на все установки PrestaShop начиная с версии 8.0.3 и старше.

Необходимость иметь учетную запись пользователя на уязвимом сайте немного смягчает проблему, но учитывая, что интернет-магазины часто нанимают большие команды для обработки заказов, то проблема создает угрозу если вдруг их хосты скомпрометируют мошенники или банально нанести ущерб могут недовольные сотрудники.

Более того, для хакеров открывается широкое поле атаки, которые позволяет скомпрометировать любую учетную запись пользователя на сайтах электронной коммерции, внедрить вредоносный код или бэкдор.

Бэкдор-инъекции давно не ноу-хау и тактики скрытых атак, о которых сообщали специалисты Sucuri, набирают популярность в дикой природе, хоть пока и нацелены в основном на сайты WordPress.

Поставщик программного обеспечения устранил недостаток, а вместе с ним и две другие уязвимости CVE-2023-30535 (CVSS: 7.7) и CVE-2023-30838 (CVSS: 8.0), выпустив версии 8.0.4 и 1.7.8.9, до которых всем владельцам веб-сайтов PrestaShop рекомендуется перейти как можно скорее.

Как и предполагалось, за атаками с использованием критических уязвимостей (CVE-2023-27350 и CVE-2023-27351) на PaperCut MF/NG, похоже, стоят вымогатели Clop и LockBit.

Ситуация ухудшается тем, что вопреки заявлениям обнаруживших проблемы Trend Micro раскрыть подробности к 10 мая, Horizon3 на пару с Huntress выложили не только техническую информацию, но и PoC для них.

Ошибки позволяют удаленным злоумышленникам обходить аутентификацию и выполнять RCE на скомпрометированных серверах PaperCut в атаках низкой сложности, не требующих взаимодействия с пользователем.

Кроме того, согласно PaperCut, определить компрометацию со 100% уверенностью невозможно.

А если верить поставщику ПО для управления печатью PaperCut MF/NG, то решение используется более 100 миллионов пользователей из более чем 70 000 компаний по всему миру.

Гипотезу о причастности Clop и LockBit озвучили в Microsoft Threat Intelligence, которые обнаружили, что названные преступные группировки используют схожие инструменты для осуществления своей деятельности.

Например, обе банды используют аналогичные методы для уклонения от обнаружения и криминалистического анализа после успешной атаки.

Кроме того, банды имеют схожую виктимологию и нацелены, в первую очередь, на компании в США и Западной Европе.

Однако прямых доказательств, связывающих Clop или LockBit с недавними атаками на серверы Papercut, пока нет.

Эксперты в стотысячный раз предупреждают клиентов Papercut о срочной необходимости применения последних обновлений, прежде чем их серверы будут скомпрометированы, учитывая, что в свободном доступе гуляет PoC, с которым уже упражняются хакеры.

А администраторам, подозревающим, что их серверы скомпрометированы, рекомендуется делать резервные копии, стирать сервер и восстанавливать все из безопасной точки резервного копирования.

Пытавшаяся оседлать Group-IB в июне 2022 года и активная с 2009 года китайская АРТ Tonto Team нацелилась на южнокорейские учреждения в сфере иностранных дел, образования, строительства и политики.

Согласно AhnLab Security (ASEC), главной отличительной особенностью новой кампании стало использование файла, связанного с продуктами для защиты от вредоносных ПО, чтобы в конечном итоге выполнять атаки.

Причастность Tonto Team к распространению вредоносного ПО CHM в Корее подтверждается с 2021 года, и они различными способами меняли свои ТТР, чтобы обойти обнаружение.

Последовательность атаки, обнаруженная ASEC, начинается с файла Microsoft Compiled HTML Help (.CHM), который выполняет двоичный файл для боковой загрузки вредоносного DLL-файла (slc.dll) и запускает ReVBShell.

Он представляет собой бэкдор VBScript с открытым исходным кодом, который использовался также другой китайской группой Tick, также известный как Bronze Butler, REDBALDKNIGHT, Stalker Panda и Stalker Taurus.

Впоследствии ReVBShell реализует загрузку второго исполняемого файла, законного файла конфигурации ПО Avast (wsc_proxy.exe), для боковой загрузки второй мошеннической DLL (wsc.dll), что в конечном итоге приводит к развертыванию трояна удаленного доступа Bisonal.

Количество случаев заражения с использованием CHM увеличилось по сравнению с прошлым. При этом задействование CHM в качестве вектора распространения вредоносных ПО используется не только китайскими злоумышленниками.

Подобные цепочки атак предпринимались и северокорейской ScarCruft в атаках, направленных на целевые хосты в Южной Корее.

Как отмечают исследователи ASEC, АРТ Tonto постоянно развивается, в том числе с помощью различных средств, включая обычного программного обеспечения для совершения более сложных атак.

Инфосек-компания Deepwatch Adversary Tactics and Intelligence (ATI) сообщает о продолжающихся атаках с использованием RCE-уязвимости без проверки подлинности в Avaya Aura, корпоративном решении для управления IP-телефонией, с которыми они столкнулись в ходе расследования инцидента в клиентской среде

На самом деле атаки были обнаружены еще в феврале после того, как охранная компания AssetNote опубликовала описание двух уязвимостей в AADS до версии 8.1.4.1.40.

Первая обнаруженная уязвимость позволяет выполнять межсайтовые сценарии (XSS) без необходимости аутентификации, а вторая уязвимость - реализовать RCE. Обеим не присвоен CVE-идентификатор.

Эксплуатация проста: киберпреступник может загрузить файл .php и запустить его: ничто не препятствует его выполнению.

В рамках инцидента Deepwatch наблюдали использование ошибки для установки веб-оболочек и утилиты очистки журнала Linux на серверах Avaya Aura.

Кроме того, киберпреступники добавляли свои SSH-ключи к SSH на хост-компьютере для получения постоянного удаленного доступа, а также фиксировались попытки сбросить майнер XMRig.

Подозревая с определенной степенью уверенности, что за инцидентом может стоять ботнет Mirai, ресечреры полагают, что вероятность компрометации организаций, использующих Avaya Aura Device Services до версии 8.1.4.1.40, значительно выше, особенно учитывая специфику таргетинга.

По оценкам ATI, в сети доступно до 1 млн. устройств Avaya Aura, а значит число инцидентов будет только нарастать.

Вместе с тем, уязвимости были устранены в Avaya Aura Device Services версии 8.1.4.1.40, а клиентам следует принять меры по смягчению последствий и обновиться.

Также рекомендуется анализировать потенциальную вредоносную активность, которая может указывать на компрометацию в соответствии с рекомендациями Avaya (здесь).

Исследователи из команды Unit 42 Paloaltonetworks обнаружили новый вариант вредоносного ПО PingPull, используемого APT Alloy Taurus, предназначенного для атак на системы Linux.

Отслеживая инфраструктуру, используемую злоумышленником для этого варианта PingPull, исследователи также вышли и на другой бэкдор, который отслеживается как Sword2033.

Первые образцы вредоносного ПО PingPull были найдены еще в сентябре 2021 года, а затем встречались в рамках нескольких последующих кампаний, позволивших приписать использование этого инструмента Alloy Taurus.

Действующая по крайней мере с 2012 годакитайская АРТ обнаружили новый (также известная как GALLIUM, Softcell) которая регулярно проводит кампании кибершпионажа и исторически нацеливается на телекоммуникационные компании в Азии, Европе и Африке.

В последние годы расширила свою целевую аудиторию, включив в нее финансовые учреждения и государственные структуры.

Первый образец PingPull для Linux был загружен на VirusTotal 7 марта 2023 года (детектировался 3 из 62 поставщиков), сходство с Windows-вариантом основано на соответствии структуры связи HTTP, параметров POST, ключа AES и команд C2.

Sword2033 - это простой бэкдор с поддержкой небольшого числа основных функций. Один из наблюдаемых образцов был замечен в июле 2022 года.

Результаты анализа домена C2 (yrhsywu2009.zapto[.]org), обнаруженного в PingPull Linux и Sword2033, позволили выявить IoC, указывающими на деятельность Alloy Taurus.

Таким образом, Alloy Taurus продолжает оставаться активной угрозой для телеком, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке.

Идентификация вредоносного ПО PingPull для Linux, а также недавнее использование Sword2033 позволяют предположить, что АРТ развивает потенциал свои операции в поддержку своей шпионской деятельности.

͏Новые подробности инцидента с Western Digital стали известны после очередного слива ALPHV.

Также известная как BlackCat банда вымогателей опубликовала скрины из внутреннего контура компании, которые указывают на то, что хакеры сохранили доступ к системам WD даже после локализации взлома и следили за всем процессом реагирования на инцидент, который произошел 26 марта.

Тогда вымогателям удалось пробить периметр WD и выкрасть внушительные 10 ТБ различной конфиденциальной информации.

При этом системы остались в работоспособном состоянии - шифрования не было реализовано.

В ответ компания на две недели отключила все свои облачные сервисы, в том числе My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные мобильные, настольные и веб-приложения.

Последняя утечка предшествовало предупреждение в адрес Western Digital. 17 апреля ALPHV угрожали новыми разоблачениями и более серьезными последствиями, если выкуп не будет выплачен.

Вероятно, не договорившись по деньгам, ALPHV обнародовали двадцать девять скриншотов электронных писем, документов и видеоконференций, связанных с расследованием атаки.

Кроме того, хакеры утверждают, что располагают также личной информацией клиентов и сумели сдампить SAP Backoffice от WD.

В свою очередь, Western Digital отказалась от каких-либо комментариев и заявлений.

При таком подходе WD может успеть и пошифроваться напоследок.

В выходные DumpForums заявили, что взломали BI.ZONE и выложили SQL-дампы нескольких бизоновских сайтов.

Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.

Что можем сказать по этому поводу. Во-первых, Бизонам лучей добра и поддержки. Shit, как говорится, happens.

А во-вторых у нас жесточайшее дежавю. Опять взлом ресурсов на внешнем хостинге, да и способ первичной компрометации, бьемся об заклад, так и останется неизвестным...

В ответ на предыдущий пост про Бизонов к нам на почту аноним прислал забавный стишок (в письме так и было написано - у мене внутре неонка к Вашему предыдущему посту). Что он хотел им сказать - мы не знаем. Решили с подписчиками поделиться, может быть кто-нибудь поймет.

Вот город, совсем как у Гоголя, N.

А это компания,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А это ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанное той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А вот и владельцы слитых баз данных,
Которые с криком "Что за ерунда, нах!"
Не могут в утечках своих разобраться.
Они же не в курсе, если признаться,
Что это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

Apple решила озаботиться промежуточными улучшениями безопасности и анонсировала Rapid Security Response, но что-то пошло не так.

Исправления RSR представляют собой небольшие обновления для платформ iPhone, iPad и Mac, устраняющие проблемы безопасности между основными обновлениями ПО.

При этом некоторые из этих внеплановых обновлений безопасности также могут использоваться для оперативного устранения уязвимостей, активно используемых или имеющих реальный потенциал эксплуатации в реальных атаках.

И в качестве первого RSR для устройств Apple выпустила iOS 16.4.1 (a) и macOS 13.3.1 (a).

Но уже на старте, согласно многочисленным сообщениям [1, 2, 3, 4] возникли сложности с обновлением RSR для iPhone.

Патч на некоторых устройствах попросту не встает, уведомляя владельца об ошибке «невозможно проверить ответ безопасности».

Как полагают исследователи, вероятно, проблемы возникают из-за ошибки на стороне сервера.

Похоже, что с RSR разработчики решили не утруждаться не только по части софта, но и по части документации.

На традиционной странице обновлений Apple нет сведений о новых исправлениях RSR.

Apple в принципе не уведомила, где они будут делиться этой информацией.

Кстати, очень практично - и объясняться по поводу выпуска дефектного RSR не придется.

Ресерчеры из французской технологической компании Thales впервые в истории продемонстрировали успешный взлом испытательного орбитального наноспутника Европейского космического агентства (ЕКА).

Специально приглашенной группе из четырех специалистов Thales удалось обнаружить уязвимости, которые потенциально могут позволить злоумышленникам вмешаться в работу спутника, используя при этом стандартные права доступа.

Демонстрация атаки проводилась на тестовом стенде, созданном ЕКА в рамках конференции CYSAT, одного из крупнейших в мире мероприятий по кибербезопасности в космической отрасли, которое состоялось в Париже на прошлой неделе.

Главная цель теста - моделирование и оценка киберугроз, разработка мер обнаружения и противодействия атакам.

Команда Thales смогла получить полный контроль над спутником, обеспечив доступ к бортовой системе, которая используется для управления системой глобального позиционирования, ориентации и бортовой камерой.

В совокупности это привело к возможности компрометации данных, отправляемых на наземную инфраструктуру, в частности, путем модификации изображений или маскировки определенных географических областей на спутниковых снимках, избегая при этом обнаружения ЕКА.

По данным CYSAT, ситуация еще более осложняется огромным действующим флотом устаревающих спутников, которые уязвимы для хакеров и обладают огромными возможностями кибератак.

Ведь спутники исторически разрабатывались как надежные, а не безопасные.

Теперь получается, что широко разрекламированная в кинематографе опция дайте мне картинку со спутника доступна не только спецслужбам.

Исследователи FortiGard Labs из компании Fortinet предупреждают о всплеске атак на незащищенные устройства TBK DVR с использованием критической уязвимости обхода аутентификации пятилетней давности и общедоступного PoC-эксплойта.

Как правило, видеорегистраторы TBK Vision являются неотъемлемой частью систем наблюдения, решения компании активно используются в банках, госорганах, на объектах розничной торговли и т.д.

При этом зачастую располагаются во внутренних сетях, что делает их идеальной точкой для первоначального доступа к корпоративным сетям и кражи данных.

Имеющая оценку CVSS v3: 9,8 CVE-2018-9995 позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети.

Она затрагивает TBK DVR4104 и TBK DVR4216, в том числе продаваемых под брендами Novo, CeNova, QSee, Pulnix, XVR 5 в 1, Securus, Night OWL, DVR Login, HVR Login и MDVR.

Эксплойт реализован в виде вредоносного файла cookie HTTP, на который уязвимые устройства TBK DVR отвечают учетными данными администратора в виде данных JSON.

Согласно Fortinet, по состоянию на апрель 2023 года совершено более 50 000 попыток взлома устройств TBK DVR с использованием уязвимости.

Помимо нее Fortinet фиксирует попытки эксплуатации другой RCE-уязвимости, которая отслеживается как CVE-2016-20016 (CVSS v3: 9.8) и затрагивает MVPower TV-7104HE и TV-7108HE.

Ошибка также позволяет злоумышленникам выполнять команды без проверки подлинности, используя вредоносные HTTP-запросы.

Она активно эксплуатируется с 2017 года, но в последнее время ресерчеры наблюдают признаки роста вредоносной активности.

Учитывая отсутствие у поставщиков исправлений для упомянутых проблем, пользователям уязвимых систем наблюдения следует модернизировать их новыми устройствами или изолировать их от глобальной сети.

В ближайшее время от судебных исков по кейсу нарушения политики конфиденциальности придется отбиваться Qualcomm.

Многонациональную корпорацию, чьи чипы, используются примерно в трети всех устройств Android, включая Samsung и Apple, уличили в тайном соборе личных пользовательских данных.

Обвинения вытекают из исследования Nitrokey, в котором утверждается, что оборудование Qualcomm загружало личные данные пользователей, включая IP-адреса, в облако компании без согласия владельцев.

Поскольку обмен данными с Qualcomm не упоминается в условиях предоставления услуг Sony (поставщика тестового устройства), Android или /e/OS также, то это вполне может нарушать GDPR.

Автор отчета утверждает, что передаваемые пакеты данных не шифруются с использованием HTTPS, SSL или TLS, что делает их уязвимыми для атак.

По убеждению специалиста, собирая эти данные и создавая историю записей, используя уникальный идентификатор телефона и серийный номер, что позволяет легко шпионить за пользователями.

Пока в компании ответили, что сбор данных соответствует политике конфиденциальности Qualcomm XTRA и услуга связана с вспомогательными функциями GPS (A-GPS), помогая предоставлять мобильному устройству более точные спутниковые координаты.

Если вкратце, то в политике конфиденциальности XTRA Service говорится, что с помощью программных приложений компания может собирать данные о:
- местоположении,
- уникальных идентификаторах (такие как серийный номер набора микросхем или международный идентификатор абонента),
- об установленных или запущенных на устройстве приложениях,
- конфигурации, модели и операторе беспроводной связи,
- операционной системе и ее версии,
- производительности устройства.

А про персональные данные в компании заявили, что они могут получать их из сторонних источников, например брокеров данных, социальных сетей и других партнеров или общедоступных источников.

При этом в отчете специалистов отдельно отмечено, что в политике изначально не указывалось, что собираются IP-адреса, но после выхода исследования компания внезапно дополнила ее, включив и IP-адреса.

Вот так одним росчерком пера можно сгладить углы и собирать, что потребуется. Но такая позиция вряд ли устроит представителей закона, особенно некоторых звездно-полосатых штатов. Как минимум, если собираешь - делись.

Но будем посмотреть.

История с SolarWinds заиграла новыми красками, после появления закулисных подробностей.

На самом деле Министерство юстиции США столкнулось с атакой на цепочку поставок SolarWinds еще в мае 2020 года после запуска пробной версии программного пакета Orion, за шесть месяцев до того, как об инциденте стало известно широкой общественности в декабре того же года.

Привлеченные Минюстом к расследованию вторжения Mandiant и Microsoft не смогли тогда дать объективную оценку и адекватно среагировать на инцидент, по сути проморгав атаку на цепочку поставок, охватывающую около 18 000 клиентов компании.

Даже сама SolarWinds после обращения к ней за помощью в расследовании, не смогла найти уязвимости в своем коде, после его спустя месяц Минюст приобрел систему Orion, убедившись в ее безопасности.

Затем с аналогичным инцидентом в этот период также столкнулась Volexity, которая расследовала утечку данных в американском аналитическом центре. Позже в сентябре Palo Alto Networks также обнаружила аналогичную аномальную активность, связанную с Orion.

В обоих случаях привлекалась SolarWinds, которая снова не нашла ничего подозрительного.

В результате изощренной атаки хакеры проникли и находились в сетях как минимум 9 правительственных органов и более 100 ведущих технологических компаний от четырех до девяти месяцев со всеми вытекающими уже известными последствиями.

На фоне такой цепочки расследований, сопутствовавшей успешной атаке на цепочку поставок, по нашему мнению - все обвинения в причастности к инциденту российских хакеров выглядят еще более нелепо и представляют не более, чем политические манипуляции.

Во всяком случае до сих пор вразумительных доказательств так никто и не привел.

Важнейший компонент инфраструктуры маршрутизации в Интернете протокол BGP, отвечающий за обмен информацией между автономными системами (AS) и обеспечение доставки пакетов подвержен ряду уязвимостей, которые могут привести к массовым сбоям и кибератакам.

Исследователи Forescout обнаружили слабые места в программной реализации протокола, которые могут быть использованы для вызова состояния DoS на уязвимых узлах BGP.

Три уязвимости затрагивают версию 8.4 FRRouting для платформ Linux и Unix и используются крупными поставщиками, такими как NVIDIA Cumulus, DENT и SONiC, что создает риски в том числе и для цепочки поставок.

Речь идет об ошибках CVE-2022-40302, CVE-2022-40318 и CVE-2022-43681 (все с оценкой CVSS: 6,5), связанных с возможностью чтения за пределами границ при обработке специально сформированного сообщения BGP OPEN.

Раскрытие недостатков произошло в результате анализа семи различных реализаций BGP, выполненных Forescout Vedere: FRRouting, BIRD, OpenBGPD, Mikrotik RouterOS, Juniper JunOS, Cisco IOS и Arista EOS.

Как отмечают специалисты в своем отчете, выявленные недостатки можно использовать для вызова сбоя в работе BGP-пиров и сброса всех сессий.

Forescout также представила инструмент BGP Fuzzer с открытым исходным кодом на базе Python, который позволяет организациям тестировать безопасность пакетов, используемых внутри компании, а также находить новые недостатки в реализациях BGP.

Royal зарансомили девятый по величине город США с населением около 2,6 млн человек.

В результате атаки с использованием ransomware в минувший понедельник легла связь и отключились ИТ-системы в Далласе (штат Техас).

В первую очередь, инцидент затронул муниципальные объекты и службы, сотрудникам пришлось отказаться от компьютеров и перейти на ручки и журналы.

Утром в среду городские власти Далласа подтвердили, что причиной сбоя стала ransomware-атака.

Ряд серверов был скомпрометирован, что затронуло несколько функциональных областей, включая и системы Департамента полиции и единой диспетчерской службы DFR.

Городские суды также отменили все судедные заседания, начиная со 2 мая, поскольку их ИТ-системы тоже не работают.

IT-службы города вместе с поставщиками активно работают над локализацией последствий инцилента и восстановлением сервисов городских услуг жителям.

По словам аналитика Бретта Кэллоу из Emsisoft, в последнее время атаки вымогателей на местные органы власти стали широко распространены и происходят чаще, чем раз в неделю.

И если большинство инцидентов связано с небольшими муниципалитетами, то Даллас - является крупнейшим к настоящему моменту пострадавшим городом.

О причастности Royal к инциденту стало известно после того, как вчера утром принтеры в сети города Даллас массово начали печатать записки с требованием выкупа.

Если в начале своего становления в 2022 году последователи синдиката Conti использовали чужие шифраторы в ходе атак (такие как ALPHV/BlackCat), то концу 2022 года банда обзавелась собственным шифровальщиком Zeon.

В купе с умелым поиском уязвимостей во внешнем контуре, передовым фишингом с обратным вызовом и грамотной социнженерией Royal быстро стала одной из самых активных групп.

Как и другие банды вымогателей, Royal крадет данные из сетей перед шифрованием. В настоящее время пока не известно, были ли украдены данные из систем Далласа во время атаки. Но по всей видимости, были.

Будем посмотреть.