Китайские исследователи выдали отчет о нападках на материковый Китай наших знакомых кибервьетконговцев из вьетнамской APT Ocean Lotus (мы про нее писали когда-то давно).
Но отчет размером в 100 страниц на китайском мы не осилили, а переводчик сломался на "троянском коне камуфляжа навыков" и "полуобщественных уязвимостях", поэтому поняли только, что там что-то про фишинг и необходимость обновлять офисные пакеты.
Но отчет размером в 100 страниц на китайском мы не осилили, а переводчик сломался на "троянском коне камуфляжа навыков" и "полуобщественных уязвимостях", поэтому поняли только, что там что-то про фишинг и необходимость обновлять офисные пакеты.
Weixin Official Accounts Platform
第62篇:越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结
本期ABC_123分享一篇关于海莲花APT组织的邮件钓鱼手法的文章,使大家对于海莲花APT组织有一个直观的认识,对大家的日常红队工作也有启发,也可以加强大家对于邮件钓鱼攻击的防范意识。
Исследователь Габриэль Ландау из Elastic раскрыл детали и опубликовал PoC для PPLFault и GoldFault, двух новых атак с использованием уязвимости в Windows Protected Process Light (PPL).
Механизм PPL защищает антивирусные ПО и критически важные службы Windows от несанкционированного доступа. Этот особый статус реализуется Windows Code Integrity (CI), которая гарантирует запуск кода процессами PPL только со специальными подписями от Microsoft или доверенных поставщиков.
Новые атаки считаются преемниками PPLDump, уязвимость в основе которой была публично раскрыта в 2018 году и исправлена Microsoft только в прошлом году.
Дело в том, что Microsoft считает PPL мерой глубокой защиты, а не формальной границей безопасности, поэтому эти ошибки не подлежат исправлению, что делает его обход особенно интересным для злоумышленников.
Недавно обнаруженные PPLFault и GoldFault могут использоваться для сброса данных процесса PPL и получения прав администратора в системе Windows соответственно.
Ландау сообщил об атаках в Microsoft еще прошлом году, однако разработчик отказалась исправлять их.
После чего исследователь решил поделиться результатами, которые поставщики решений безопасности могут использовать для смягчения последствий этого типа атак.
Кроме того, Ландау представил два инструмента.
Первый — это дампер процессов PPL в режиме пользователя, похожий на PPLdump. Второй инструмент демонстрирует, как эта уязвимость эффективно предоставляет полный доступ для чтения и записи к физической памяти.
Механизм PPL защищает антивирусные ПО и критически важные службы Windows от несанкционированного доступа. Этот особый статус реализуется Windows Code Integrity (CI), которая гарантирует запуск кода процессами PPL только со специальными подписями от Microsoft или доверенных поставщиков.
Новые атаки считаются преемниками PPLDump, уязвимость в основе которой была публично раскрыта в 2018 году и исправлена Microsoft только в прошлом году.
Дело в том, что Microsoft считает PPL мерой глубокой защиты, а не формальной границей безопасности, поэтому эти ошибки не подлежат исправлению, что делает его обход особенно интересным для злоумышленников.
Недавно обнаруженные PPLFault и GoldFault могут использоваться для сброса данных процесса PPL и получения прав администратора в системе Windows соответственно.
Ландау сообщил об атаках в Microsoft еще прошлом году, однако разработчик отказалась исправлять их.
После чего исследователь решил поделиться результатами, которые поставщики решений безопасности могут использовать для смягчения последствий этого типа атак.
Кроме того, Ландау представил два инструмента.
Первый — это дампер процессов PPL в режиме пользователя, похожий на PPLdump. Второй инструмент демонстрирует, как эта уязвимость эффективно предоставляет полный доступ для чтения и записи к физической памяти.
Blackhat
Black Hat Asia 2023
Уязвимости, связанные с промышленными устройствами, продолжают вызывать серьезную тревогу в сфере ИБ, а недавние открытия израильской OTORIO демонстрируют новые угрозы для промышленных систем в различных отраслях экономики.
В этот раз выводы специалистов связаны с облачными платформами трех поставщиков промышленных сотовых маршрутизаторов: Sierra Wireless, Teltonika Networks и InHand Networks.
Уязвимости были раскрыты на Black Hat Asia 2023, где OTORIO продемонстрировали, как злоумышленники могут использовать эти недостатки для RCE и получения полного контроля над сотнями тысяч устройств и сетей OT.
Выявленные баги, коих в общей сложности 11 штук, были обнаружены в облачных решениях, предлагаемых затронутыми поставщиками для удаленного управления и эксплуатации устройств.
В частности, слабые механизмы регистрации активов для Sierra Wireless могут позволить злоумышленникам сканировать незарегистрированные устройства, подключенные к облаку, получить их серийные номера, регистрировать их в учетной записи, находящейся под контролем и выполнять произвольные команды.
CVE-2023-22601, CVE-2023-22600 и CVE-2023-22598 в InHand Networks реализуют RCE с правами root, выполнение команд перезагрузки и обновления прошивки.
В Teltonika Networks злоумышленники могут злоупотреблять внешними API и интерфейсами чтобы раскрыть конфиденциальную информацию об устройстве и учетных данных подключенных устройств, а также обеспечить RCE.
Шесть недостатков, влияющих на Teltonika Networks, были обнаружены после совместного исследования с Claroty и представляют значительный риск в цепочке поставок.
Компромисс одного поставщика может быть бэкдором для доступа к нескольким сетям OT одновременно, что в последствии позволяет злоумышленникам получать доступ к нескольким средам одновременно.
В этот раз выводы специалистов связаны с облачными платформами трех поставщиков промышленных сотовых маршрутизаторов: Sierra Wireless, Teltonika Networks и InHand Networks.
Уязвимости были раскрыты на Black Hat Asia 2023, где OTORIO продемонстрировали, как злоумышленники могут использовать эти недостатки для RCE и получения полного контроля над сотнями тысяч устройств и сетей OT.
Выявленные баги, коих в общей сложности 11 штук, были обнаружены в облачных решениях, предлагаемых затронутыми поставщиками для удаленного управления и эксплуатации устройств.
В частности, слабые механизмы регистрации активов для Sierra Wireless могут позволить злоумышленникам сканировать незарегистрированные устройства, подключенные к облаку, получить их серийные номера, регистрировать их в учетной записи, находящейся под контролем и выполнять произвольные команды.
CVE-2023-22601, CVE-2023-22600 и CVE-2023-22598 в InHand Networks реализуют RCE с правами root, выполнение команд перезагрузки и обновления прошивки.
В Teltonika Networks злоумышленники могут злоупотреблять внешними API и интерфейсами чтобы раскрыть конфиденциальную информацию об устройстве и учетных данных подключенных устройств, а также обеспечить RCE.
Шесть недостатков, влияющих на Teltonika Networks, были обнаружены после совместного исследования с Claroty и представляют значительный риск в цепочке поставок.
Компромисс одного поставщика может быть бэкдором для доступа к нескольким сетям OT одновременно, что в последствии позволяет злоумышленникам получать доступ к нескольким средам одновременно.
Otorio
Vulnerabilities Jeopardize Users of Major Industrial Cellular Routers Cloud Management Platforms
OTORIO research unveils vulnerabilities exposing hundreds of thousands of devices and OT networks, raising questions about connecting OT to the cloud.
В своем новом отчете Symantec сообщает о новой APT, получившей название Lancefly, которая уже более 5 лет реализует узкотаргетированные атаки с использованием бэкдора Merdoor на организации в госсекторе, авиации и телекоме Южной и Юго-Восточной Азии.
Как полагают исследователи, Lancefly сосредоточена на кибершпионаже, оставаясь в сетях своих жертв в течение длительных периодов времени.
Задетектить пользовательское вредоносное ПО Lancefly ресерчерам удалось еще в некоторых мероприятиях в 2020 и 2021 годах, а также в последней наблюдаемой кампании, которая продолжалась до первого квартала 2023 года.
Symantec не обнаружила исходного вектора заражения Lancefly. Но найденные артефакты указывают на использование фишинговых писем, подбор учетных данных SSH и эксплуатацию уязвимостей общедоступных серверов для обеспечения доступа на протяжении многих лет.
Как только злоумышленники устанавливают присутствие в системе цели, они внедряют бэкдор Merdoor с помощью боковой загрузки DLL в «perfhost.exe» или «svchost.exe», что помогают вредоносному ПО избегать обнаружения, а злоумышленникам закрепиться в системе жертвы.
Затем Merdoor устанавливает связь с C2 через HTTP, HTTPS, DNS, UDP, TCP и ожидает инструкций.
Бэкдор также может фиксировать нажатия клавиш для перехвата потенциально ценной информации, включая имена пользователей, пароли или другие секреты.
Также было замечено, что Lancefly использует функцию «Atexec» Impacket для немедленного выполнения запланированной задачи на удаленной машине через SMB.
Злоумышленники осуществляют кражу учетных данных, выгружая память процесса LSASS или похищая кусты реестра SAM и SYSTEM. Украденные файлы Lancefly шифрует с помощью WinRAR, а затем извлекает данные, скорее всего, с помощью Merdoor.
В атаках Lancefly также наблюдалось использование более новой, легкой и многофункциональной версии руткита ZXShell.
Загрузчик руткита «FormDII.dll» экспортирует функции, которые можно использовать для сброса полезной нагрузки, соответствующей архитектуре системы хоста, чтения и выполнения шелл-кода из файла, завершения процессов и др.
Руткит также использует утилиту установки и обновления, которая имеет общий код с Merdoor, что указывает на то, что Lancefly использует общую кодовую базу для своих инструментов.
Функциональность установки ZXShell поддерживает создание, перехват и запуск службы, модификацию реестра и сжатие копии собственного исполняемого файла для уклонения и устойчивости.
ZXShell косвенно связывает Lancefly с китайскими APT-группами, которые когда-то использовали этот инструмент в атаках, включая APT17 и APT41.
Но следует учитывать, что исходный код руткита был общедоступен в течение нескольких лет.
Имя Lancefly «formdll.dll» для загрузчика руткитов ранее упоминалось в кампании APT27, также известной как Budworm.
Однако неясно, является ли это преднамеренным выбором, направленным на то, чтобы ввести аналитиков в заблуждение и усложнить атрибуцию.
Более всего на китайское происхождение Lancefly указывает применение группой PlugX и ShadowPad RAT, которые традиционно используются несколькими китайскими APT-группами.
Как полагают исследователи, Lancefly сосредоточена на кибершпионаже, оставаясь в сетях своих жертв в течение длительных периодов времени.
Задетектить пользовательское вредоносное ПО Lancefly ресерчерам удалось еще в некоторых мероприятиях в 2020 и 2021 годах, а также в последней наблюдаемой кампании, которая продолжалась до первого квартала 2023 года.
Symantec не обнаружила исходного вектора заражения Lancefly. Но найденные артефакты указывают на использование фишинговых писем, подбор учетных данных SSH и эксплуатацию уязвимостей общедоступных серверов для обеспечения доступа на протяжении многих лет.
Как только злоумышленники устанавливают присутствие в системе цели, они внедряют бэкдор Merdoor с помощью боковой загрузки DLL в «perfhost.exe» или «svchost.exe», что помогают вредоносному ПО избегать обнаружения, а злоумышленникам закрепиться в системе жертвы.
Затем Merdoor устанавливает связь с C2 через HTTP, HTTPS, DNS, UDP, TCP и ожидает инструкций.
Бэкдор также может фиксировать нажатия клавиш для перехвата потенциально ценной информации, включая имена пользователей, пароли или другие секреты.
Также было замечено, что Lancefly использует функцию «Atexec» Impacket для немедленного выполнения запланированной задачи на удаленной машине через SMB.
Злоумышленники осуществляют кражу учетных данных, выгружая память процесса LSASS или похищая кусты реестра SAM и SYSTEM. Украденные файлы Lancefly шифрует с помощью WinRAR, а затем извлекает данные, скорее всего, с помощью Merdoor.
В атаках Lancefly также наблюдалось использование более новой, легкой и многофункциональной версии руткита ZXShell.
Загрузчик руткита «FormDII.dll» экспортирует функции, которые можно использовать для сброса полезной нагрузки, соответствующей архитектуре системы хоста, чтения и выполнения шелл-кода из файла, завершения процессов и др.
Руткит также использует утилиту установки и обновления, которая имеет общий код с Merdoor, что указывает на то, что Lancefly использует общую кодовую базу для своих инструментов.
Функциональность установки ZXShell поддерживает создание, перехват и запуск службы, модификацию реестра и сжатие копии собственного исполняемого файла для уклонения и устойчивости.
ZXShell косвенно связывает Lancefly с китайскими APT-группами, которые когда-то использовали этот инструмент в атаках, включая APT17 и APT41.
Но следует учитывать, что исходный код руткита был общедоступен в течение нескольких лет.
Имя Lancefly «formdll.dll» для загрузчика руткитов ранее упоминалось в кампании APT27, также известной как Budworm.
Однако неясно, является ли это преднамеренным выбором, направленным на то, чтобы ввести аналитиков в заблуждение и усложнить атрибуцию.
Более всего на китайское происхождение Lancefly указывает применение группой PlugX и ShadowPad RAT, которые традиционно используются несколькими китайскими APT-группами.
Security
Lancefly: Group Uses Custom Backdoor to Target Orgs in Government, Aviation, Other Sectors
Merdoor backdoor is low prevalence and used in highly targeted attacks.
Исследователи Check Point сообщают о новой волне атак с использованием специального имплантата прошивки, разработанного для маршрутизаторов TP-Link.
Израильская компания отслеживает группу в качестве Camaro Dragon, также известную как BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich.
Эта деятельность в значительной степени пересекается в инфраструктуре с деятельностью, публично раскрытой Avast и ESET, связывая ее с Mustang Panda.
Обнаружить малварь удалось в ходе расследования начавшейся с января 2023 года кампании, нацеленной на европейские внешнеполитические ведомства.
Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор Horse Shell, который позволяет злоумышленникам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового проникновения в скомпрометированных сетях.
Благодаря своей конструкции, не зависящей от прошивки, компоненты имплантата могут быть интегрированы в различные прошивки от разных поставщиков.
Horse Shell на основе C++ предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами.
Измененная прошивка также скрывает от пользователя возможность прошить другой образ через веб-интерфейс роутера.
Бэкдор, как полагают, нацелен на произвольные устройства в жилых и домашних сетях, предполагая, что скомпрометированные маршрутизаторы будут объединяться в ячеистую сеть с целью создания цепочки узлов.
При ретрансляции связи между зараженными маршрутизаторами с помощью туннелей SOCKS идея состоит в том, чтобы ввести дополнительный уровень анонимности и скрыть конечный сервер. Иными словами, эти методы скрывают источник и место назначения трафика аналогично TOR.
Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2, направляя трафик через другой узел в цепочке.
При этом точный метод, используемый для развертывания поддельных образов прошивки на зараженных маршрутизаторах, в настоящее время неизвестен.
Учитывая это, можно полагать, что первоначальный доступ мог быть получен с большой долей вероятности благодаря 0-day в TP-Link.
Израильская компания отслеживает группу в качестве Camaro Dragon, также известную как BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich.
Эта деятельность в значительной степени пересекается в инфраструктуре с деятельностью, публично раскрытой Avast и ESET, связывая ее с Mustang Panda.
Обнаружить малварь удалось в ходе расследования начавшейся с января 2023 года кампании, нацеленной на европейские внешнеполитические ведомства.
Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор Horse Shell, который позволяет злоумышленникам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового проникновения в скомпрометированных сетях.
Благодаря своей конструкции, не зависящей от прошивки, компоненты имплантата могут быть интегрированы в различные прошивки от разных поставщиков.
Horse Shell на основе C++ предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами.
Измененная прошивка также скрывает от пользователя возможность прошить другой образ через веб-интерфейс роутера.
Бэкдор, как полагают, нацелен на произвольные устройства в жилых и домашних сетях, предполагая, что скомпрометированные маршрутизаторы будут объединяться в ячеистую сеть с целью создания цепочки узлов.
При ретрансляции связи между зараженными маршрутизаторами с помощью туннелей SOCKS идея состоит в том, чтобы ввести дополнительный уровень анонимности и скрыть конечный сервер. Иными словами, эти методы скрывают источник и место назначения трафика аналогично TOR.
Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2, направляя трафик через другой узел в цепочке.
При этом точный метод, используемый для развертывания поддельных образов прошивки на зараженных маршрутизаторах, в настоящее время неизвестен.
Учитывая это, можно полагать, что первоначальный доступ мог быть получен с большой долей вероятности благодаря 0-day в TP-Link.
Check Point Research
The Dragon Who Sold His Camaro: Analyzing Custom Router Implant - Check Point Research
Check Point Research (CPR) exposes a malicious firmware implant for TP-Link routers allowed attackers to gain full control of infected devices and access compromised networks while evading detection. CPR attributes the attacks to a Chinese state-sponsored…
Злоумышленник, известный как SideWinder (ака APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger и T-APT4), нацелен на государственные предприятия Пакистана в рамках кампании, которая стартовала в конце ноября 2022 года.
SideWinder находится в поле зрения исследователей как минимум с 2012 года, и, по мнению исследователей, сосредоточена на организациях в Пакистане, Афганистане, Бутане, Китае, Мьянме, Непале и Шри-Ланке.
Но, как заметили канадские специалисты по кибербезопасности, в начале марта 2023 года Турция также попала под прицел APT.
Обычно последовательность атак, реализуемая APT, предполагает тщательно разработанные приманки по электронной почте и процедуры загрузки фасетов DLL, чтобы незаметно использовать вредоносное ПО для получения удаленного доступа к целевым системам.
Методы достаточно изощрённые, как и цепочки атак, о которой сообщили исследователи Group-IB, обнаружившие ранее недокументированную инфраструктуру, используемую для атак на организации в Пакистане и Китае.
Кампания также отличается тем, что злоумышленники стали использовать технику серверного полиморфизма в качестве способа обхода от обнаружения средствами защиты.
Как сообщается в совместном отчете Group-IB и Bridewell, она включает в себя сеть из 55 доменов и IP-адресов, используемых субъектом угрозы.
Идентифицированные фишинговые домены имитируют различные организации в новостном, правительственном, телекоммуникационном и финансовом секторах Пакистана, Китая и Индии.
Причем отличаются использованием одинаковых значений в записях WHOIS и схожей регистрационной информацией.
На некоторых из этих доменов размещены документы-приманки на правительственную тематику, предназначенные для загрузки неизвестной ранее полезной нагрузки в виде файлов Microsoft Word, файлов LNK для запуска HTML-приложения (HTA) и вредоносных APK для Android, имитирующих приложения Ludo Game и Secure VPN.
Как и многие другие APT, SideWinder полагается на целевой фишинг в качестве начального вектора, поэтому для организаций крайне важно развертывать решения для защиты деловой электронной почты, а для упреждающей защиты весьма кстати представленные в отчете сетевые индикаторы.
SideWinder находится в поле зрения исследователей как минимум с 2012 года, и, по мнению исследователей, сосредоточена на организациях в Пакистане, Афганистане, Бутане, Китае, Мьянме, Непале и Шри-Ланке.
Но, как заметили канадские специалисты по кибербезопасности, в начале марта 2023 года Турция также попала под прицел APT.
Обычно последовательность атак, реализуемая APT, предполагает тщательно разработанные приманки по электронной почте и процедуры загрузки фасетов DLL, чтобы незаметно использовать вредоносное ПО для получения удаленного доступа к целевым системам.
Методы достаточно изощрённые, как и цепочки атак, о которой сообщили исследователи Group-IB, обнаружившие ранее недокументированную инфраструктуру, используемую для атак на организации в Пакистане и Китае.
Кампания также отличается тем, что злоумышленники стали использовать технику серверного полиморфизма в качестве способа обхода от обнаружения средствами защиты.
Как сообщается в совместном отчете Group-IB и Bridewell, она включает в себя сеть из 55 доменов и IP-адресов, используемых субъектом угрозы.
Идентифицированные фишинговые домены имитируют различные организации в новостном, правительственном, телекоммуникационном и финансовом секторах Пакистана, Китая и Индии.
Причем отличаются использованием одинаковых значений в записях WHOIS и схожей регистрационной информацией.
На некоторых из этих доменов размещены документы-приманки на правительственную тематику, предназначенные для загрузки неизвестной ранее полезной нагрузки в виде файлов Microsoft Word, файлов LNK для запуска HTML-приложения (HTA) и вредоносных APK для Android, имитирующих приложения Ludo Game и Secure VPN.
Как и многие другие APT, SideWinder полагается на целевой фишинг в качестве начального вектора, поэтому для организаций крайне важно развертывать решения для защиты деловой электронной почты, а для упреждающей защиты весьма кстати представленные в отчете сетевые индикаторы.
Group-IB
The distinctive rattle of APT SideWinder
Bridewell and Group-IB Threat Intelligence team expose SideWinder's (the APT group) unknown infrastructure
Наши друзья, сообщество ИБ специалистов проводят розыгрыш билетов на Positive Hack Days 12, переходите на пост - https://xn--r1a.website/RuSecJobs/2099, принимайте участие и выигрывайте билеты!
На их ресурсах вы найдете вакансии, которых нет в паблике, сможете оставить свое резюме, а также узнать инсайдерские отзывы и новости о компаниях.
На их ресурсах вы найдете вакансии, которых нет в паблике, сможете оставить свое резюме, а также узнать инсайдерские отзывы и новости о компаниях.
Telegram
RuSecJobs Channel
Привет, друзья! У нас для вас отличные новости - мы рады объявить о розыгрыше 3 билетов на мероприятие Positive Hack Days 12!
Условия участия просты:
1. Оставьте один комментарий под этим постом.
2. Будьте подписаны на канал https://xn--r1a.website/RuSecJobs и сообщество…
Условия участия просты:
1. Оставьте один комментарий под этим постом.
2. Будьте подписаны на канал https://xn--r1a.website/RuSecJobs и сообщество…
Помните винрарный анекдот про Кая, который никак не мог составить слово "ВЕЧНОСТЬ" из букв Ж, О, П и А. Оказывается, аналогичная шутка есть и про Интернет вещей - the "S" in "IoT" stands for Security.
А теперь к новостям.
В популярных смарт-розетках Wemo Mini Smart Plug второго поколения от Belkin обнаружена уязвимость переполнения буфера, которая может быть использована злоумышленником для удаленного ввода произвольных команд.
Wemo Mini Smart Plug V2 (F7C063) обеспечивает удобное дистанционное управление, позволяющее пользователям включать и выключать электронные устройства с помощью сопутствующего приложения, установленного на смартфоне или планшете.
Проблема, получившая идентификатор CVE-2023-27217, была найдена и раскрыта 9 января 2023 года израильской Sternum, специализирующейся на безопасности IoT, исследователи которой в результате реинжиниринга устройства смогли получить доступ к прошивке.
Суть проблемы заключается в функции, позволяющей изменять назначенное имя по умолчанию — «Wemo mini 6E9». Длина имени ограничена 30 символами или меньше, но это правило применяется только самим приложением.
В результате обход ограничения символов с помощью модуля Python с именем pyWeMo может привести к состоянию переполнения буфера, которое затем может быть использовано для сбоя устройства или выполнения вредоносных команд.
Belkin в ответ на отчет ресерчеров заявила, что не планирует устранять недостаток из-за того, что устройство подходит к концу срока службы (EoL) и заменено более новыми моделями.
Учитывая, что эта уязвимость может быть запущена через облачный интерфейс (то есть без прямого подключения к устройству), пользователям Wemo Mini Smart Plug V2 рекомендуется избегать прямого доступа к Интернету и обеспечивать выполнение мер сегментации в конфиденциальных сетях.
А теперь к новостям.
В популярных смарт-розетках Wemo Mini Smart Plug второго поколения от Belkin обнаружена уязвимость переполнения буфера, которая может быть использована злоумышленником для удаленного ввода произвольных команд.
Wemo Mini Smart Plug V2 (F7C063) обеспечивает удобное дистанционное управление, позволяющее пользователям включать и выключать электронные устройства с помощью сопутствующего приложения, установленного на смартфоне или планшете.
Проблема, получившая идентификатор CVE-2023-27217, была найдена и раскрыта 9 января 2023 года израильской Sternum, специализирующейся на безопасности IoT, исследователи которой в результате реинжиниринга устройства смогли получить доступ к прошивке.
Суть проблемы заключается в функции, позволяющей изменять назначенное имя по умолчанию — «Wemo mini 6E9». Длина имени ограничена 30 символами или меньше, но это правило применяется только самим приложением.
В результате обход ограничения символов с помощью модуля Python с именем pyWeMo может привести к состоянию переполнения буфера, которое затем может быть использовано для сбоя устройства или выполнения вредоносных команд.
Belkin в ответ на отчет ресерчеров заявила, что не планирует устранять недостаток из-за того, что устройство подходит к концу срока службы (EoL) и заменено более новыми моделями.
Учитывая, что эта уязвимость может быть запущена через облачный интерфейс (то есть без прямого подключения к устройству), пользователям Wemo Mini Smart Plug V2 рекомендуется избегать прямого доступа к Интернету и обеспечивать выполнение мер сегментации в конфиденциальных сетях.
Sternum IoT
‘FriendlyName’ Buffer Overflow Vulnerability in Wemo Smart Plug V2 | Sternum IoT
Manufacturer chooses not to patch the Sternum-identified buffer overflow vulnerability (CVE-2023-27217) in the Wemo Mini Smart Plug V2.
Лаборатория Касперского выпустила отчет по киберинцидентам за 2022 год. Что можем по этому поводу сказать?
Во-первых, HR ЛК необходимо срочно ввести в программу повышения квалификации сотрудников такой предмет как арифметика. Потому что при сложении 5 четных чисел у них получается число нечетное, ага.
Во-вторых. Почти в 43% инцидентов, отработанных Касперскими, первичным вектором атаки была эксплуатация уязвимостей в публично доступных приложениях. А из них - в 67% случаев использовались 10 наиболее популярных уязвимостей, из которых только 1 (sic!) обнаружена в 2022 году. Ну вы понели (с).
Таким образом, применив хитрую науку арифметику, можно сделать вывод, что как минимум в 30% киберинцидентов (а скорее всего больше) причиной проникновения стали не низкая зарплата CISO и не недостаточный штат SOC, а отсутствие внятной политики обновления используемого ПО либо ее невыполнение.
А в-третьих, компот. Потому что нам пишут, что мы делаем слишком длинные посты.
Во-первых, HR ЛК необходимо срочно ввести в программу повышения квалификации сотрудников такой предмет как арифметика. Потому что при сложении 5 четных чисел у них получается число нечетное, ага.
Во-вторых. Почти в 43% инцидентов, отработанных Касперскими, первичным вектором атаки была эксплуатация уязвимостей в публично доступных приложениях. А из них - в 67% случаев использовались 10 наиболее популярных уязвимостей, из которых только 1 (sic!) обнаружена в 2022 году. Ну вы понели (с).
Таким образом, применив хитрую науку арифметику, можно сделать вывод, что как минимум в 30% киберинцидентов (а скорее всего больше) причиной проникновения стали не низкая зарплата CISO и не недостаточный штат SOC, а отсутствие внятной политики обновления используемого ПО либо ее невыполнение.
А в-третьих, компот. Потому что нам пишут, что мы делаем слишком длинные посты.
securelist.ru
Отчет по реагированию на инциденты за 2022 год
Отчет сервиса «Лаборатории Касперского» по реагированию на инциденты информационной безопасности за 2022 год: статистика по реальным инцидентам, основные тренды и выводы, рекомендации экспертов.
Ресерчеры BIZONE расчехлили группу украинских хактивистов Leak Wolf, которая провела уже более 40 резонансных атак на российские компании, в том числе в сферах розничной торговли, образования и IT, действуя «тише воды, ниже травы».
Как отмечают исследователи, за прошедший год ландшафт угроз, связанных с утечками данных, претерпел значительные в силу известных обстоятельств: на первый план вышли хактивисты.
У них нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае с АРТ.
Leak Wolf — один из характерных примеров этого типа злоумышленников.
Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе ТГ-канале были размещены данные нескольких жертв.
Характерная черта Leak Wolf заключается в том, что преступники в своих кампаниях полагались, прежде всего, на человеческие ошибки, практически не применяя в атаках вредоносное ПО.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки.
По данным управления киберразведки BIZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков.
Подобная тактика позволяла злоумышленникам оставаться незамеченными вплоть до слива украденных данных на ТГ-канале.
Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN.
Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в ТГ-канале.
Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз.
Познакомиться с TTPs Leak Wolf можно в исследовании.
Кстати, прочитав в отчете про компрометацию IT-провайдеров, как один первоначальный векторов атаки, вспомнили мы почему-то стихотворение, присланное нам анонимом. И дело тут совершенно не в Бизонах...
Как отмечают исследователи, за прошедший год ландшафт угроз, связанных с утечками данных, претерпел значительные в силу известных обстоятельств: на первый план вышли хактивисты.
У них нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае с АРТ.
Leak Wolf — один из характерных примеров этого типа злоумышленников.
Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе ТГ-канале были размещены данные нескольких жертв.
Характерная черта Leak Wolf заключается в том, что преступники в своих кампаниях полагались, прежде всего, на человеческие ошибки, практически не применяя в атаках вредоносное ПО.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки.
По данным управления киберразведки BIZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков.
Подобная тактика позволяла злоумышленникам оставаться незамеченными вплоть до слива украденных данных на ТГ-канале.
Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN.
Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в ТГ-канале.
Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз.
Познакомиться с TTPs Leak Wolf можно в исследовании.
Кстати, прочитав в отчете про компрометацию IT-провайдеров, как один первоначальный векторов атаки, вспомнили мы почему-то стихотворение, присланное нам анонимом. И дело тут совершенно не в Бизонах...
BI.ZONE
BI.ZONE выяснила подробности хищения данных у 40 российских компаний
Группировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм-канале. При этом хактивисты не применяют вредоносное ПО. Они маскируются под реальных сотрудников организаций и ускользают от служб кибербезопасности
«Клиентоориентированная» Cisco продолжает усердно пугать владельцев коммутаторов многочисленными критическими уязвимости, которые поставщик по большей части не будет исправлять, ссылаясь на EOL.
Последняя серия критических RCE-ошибок CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 и CVE-2023-20189 затрагивает широкую линейку интеллектуальных и управляемых коммутаторов серии Small Business серии 200, 250, 300, 350, 500 и 550.
Все четыре получили почти максимальные оценки серьезности с базовыми баллами CVSS 9,8/10.
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код с привилегиями root на скомпрометированных устройствах.
Злоумышленники могут использовать их с помощью злонамеренных запросов, отправляемых через пользовательские веб-интерфейсы целевых устройств в атаках низкой сложности, не требующих взаимодействия с пользователем.
Cisco (PSIRT) утверждает о доступности PoC, который может привести к активной эксплуатации. Но пока не нашла свидетельств попыток использования уязвимостей в атаках.
При этом если в случае указанных проблем уязвимые устройства доли до EOL и поддержка прекращено, то ряд последних уязвимостей, включая XSS-уязвимость в Prime Collaboration Deployment (PCD), продолжают оставаться потенциальной угрозой для клиентов, чья безопасность, по всей видимости, не особо волнует поставщика.
Последняя серия критических RCE-ошибок CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 и CVE-2023-20189 затрагивает широкую линейку интеллектуальных и управляемых коммутаторов серии Small Business серии 200, 250, 300, 350, 500 и 550.
Все четыре получили почти максимальные оценки серьезности с базовыми баллами CVSS 9,8/10.
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код с привилегиями root на скомпрометированных устройствах.
Злоумышленники могут использовать их с помощью злонамеренных запросов, отправляемых через пользовательские веб-интерфейсы целевых устройств в атаках низкой сложности, не требующих взаимодействия с пользователем.
Cisco (PSIRT) утверждает о доступности PoC, который может привести к активной эксплуатации. Но пока не нашла свидетельств попыток использования уязвимостей в атаках.
При этом если в случае указанных проблем уязвимые устройства доли до EOL и поддержка прекращено, то ряд последних уязвимостей, включая XSS-уязвимость в Prime Collaboration Deployment (PCD), продолжают оставаться потенциальной угрозой для клиентов, чья безопасность, по всей видимости, не особо волнует поставщика.
Cisco
Cisco Security Advisory: Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
Multiple vulnerabilities in the web-based user interface of certain Cisco Small Business Series Switches could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with root privileges on an affected…
Forwarded from Social Engineering
🍯 Горшок с мёдом. Ловушка для хакера.
Найди слабое место жертвы и дай ей немного того, чего ей так хочется.
• Honeypot не несут никаких ценных данных, так как это поддельный хост. Когда ханипот атакуют, он фиксирует это и сохраняет все действия атакующего. Honeypot может быть полноценной операционной системой, которая эмулирует рабочее место сотрудника, сервер, либо является отдельным сервисом.
Существует три распространенных типа ханипотов:
• По ссылке ниже будет представлен отличный список "горшочков с мёдом (ханипотов)" с подробным описанием и необходимыми ссылками:
• https://habr.com/ru/post/731172
S.E. ▪️ infosec.work
Найди слабое место жертвы и дай ей немного того, чего ей так хочется.
🖖🏻 Приветствую тебя user_name.
• Honeypot — приманка для хакера, цель которого — привлекать злоумышленника и быть атакованным. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты, изучать стратегию атаки, определять средства атакующего и т.д.• Honeypot не несут никаких ценных данных, так как это поддельный хост. Когда ханипот атакуют, он фиксирует это и сохраняет все действия атакующего. Honeypot может быть полноценной операционной системой, которая эмулирует рабочее место сотрудника, сервер, либо является отдельным сервисом.
Существует три распространенных типа ханипотов:
• Ханипоты с низким уровнем взаимодействия. Эти ловушки симулируют такие сервисы, как Telnet, #SSH и веб-серверы. Злоумышленник или атакующая система ошибочно принимает ханипот за реальную уязвимую систему и устанавливает полезную нагрузку.• Ханипоты среднего уровня взаимодействия тоже симулируют уязвимые системы, однако они более функциональные, чем самые простые ловушки.• Ханипоты высокого уровня взаимодействия. Это реальные системы, требующие дополнительных шагов со стороны администратора для ограничения вредоносной активности и во избежание компрометации остальных систем. Их преимущество в том, что они могут работать под управлением POSIX-совместимой системы. Это означает, что попытки идентифицировать хосты, которые используют техники, еще не эмулированные ханипотами низкого уровня взаимодействия, против такой ловушки не сработают, и атакующие будут убеждены, что попали на реальное устройство.• По ссылке ниже будет представлен отличный список "горшочков с мёдом (ханипотов)" с подробным описанием и необходимыми ссылками:
• https://habr.com/ru/post/731172
S.E. ▪️ infosec.work
Google выпустила обновление полюбившегося хакерами браузера Chrome 113 с исправлением 12 уязвимостей, включая критическую уязвимость использования после освобождения. О шести недостатках сообщили внешние исследователи.
Проблема, отслеживаемая как CVE-2023-2721, была обнаружена исследователем Гуан Гонгом из Qihoo 360, описана как ошибка использования после освобождения в навигации.
Удаленный злоумышленник может создать HTML-страницу, чтобы вызвать повреждение кучи, когда пользователь обращается к странице. Злоумышленник должен будет убедить пользователя посетить страницу.
Уязвимости подобного типа приводит к повреждению памяти, что может привести к выполнению произвольного кода, отказу в обслуживании или повреждению данных, а также может быть использована для выхода из песочницы браузера.
В последнем обновлении Chrome были также устранены три других недостатка использования после освобождения. Все они имеют высокий уровень серьезности.
Ошибки затрагивают пользовательский интерфейс автозаполнения браузера, DevTools и компоненты гостевого просмотра.
В новом выпуске браузера также устранена ошибка путаницы с типами в движке JavaScript V8 и проблема несоответствующей реализации средней степени серьезности в установках WebApp.
Google выплатила 11 500 долларов в виде вознаграждения исследователям за раскрытие ошибкок. Однако компании еще предстоит оценить две уязвимости, в том числе и критического уровня, поэтому окончательная сумма может быть выше.
Последняя версия Chrome теперь распространяется как 113.0.5672.126 для macOS и Linux и как 113.0.5672.126/.127 для Windows.
Проблема, отслеживаемая как CVE-2023-2721, была обнаружена исследователем Гуан Гонгом из Qihoo 360, описана как ошибка использования после освобождения в навигации.
Удаленный злоумышленник может создать HTML-страницу, чтобы вызвать повреждение кучи, когда пользователь обращается к странице. Злоумышленник должен будет убедить пользователя посетить страницу.
Уязвимости подобного типа приводит к повреждению памяти, что может привести к выполнению произвольного кода, отказу в обслуживании или повреждению данных, а также может быть использована для выхода из песочницы браузера.
В последнем обновлении Chrome были также устранены три других недостатка использования после освобождения. Все они имеют высокий уровень серьезности.
Ошибки затрагивают пользовательский интерфейс автозаполнения браузера, DevTools и компоненты гостевого просмотра.
В новом выпуске браузера также устранена ошибка путаницы с типами в движке JavaScript V8 и проблема несоответствующей реализации средней степени серьезности в установках WebApp.
Google выплатила 11 500 долларов в виде вознаграждения исследователям за раскрытие ошибкок. Однако компании еще предстоит оценить две уязвимости, в том числе и критического уровня, поэтому окончательная сумма может быть выше.
Последняя версия Chrome теперь распространяется как 113.0.5672.126 для macOS и Linux и как 113.0.5672.126/.127 для Windows.
Chrome Releases
Release updates from the Chrome team
Согласно новому отчету британской Searchlight Cyber, злоумышленники активно продают доступ к организациям энергетического сектора, включая системы управления производством (ICS) и другие системы операционных технологий (OT).
Прошерстив даркнет и изучив сообщения селлеров за в период с февраля 2022 года по февраль 2023 года, ресерчеры обнаружили множество предложений по реализации первоначального доступа к средам организаций в энергетическом секторе США, Канады, Великобритании, Италии, Франции и Индонезии.
Цены варьировались от 20 до 2500 долларов, в зависимости от характера цели, местоположения и условий для атак на цепочку поставок. При этом селлеры часто делились информацией о типе организации и ее доходах.
Как правило, сделка проходила в формате аукциона, а предложения были связаны с RDP-доступом, скомпрометированными учетными данными или входом через уязвимости устройств — например, в решениях Fortinet.
Хотя во многих случаях злоумышленники предлагали доступ к корпоративным системам энергетических компаний, некоторые предлагали доступ и другие ресурсы, предназначенные для систем АСУ ТП/ОТ.
Некоторые хакеры предлагали ресурсы, которые можно использовать для проведения атак на АСУ, включая информацию по Shodan, об обнаружении уязвимостей и их эксплуатации.
Это позволяло даже злоумышленникам с низкой квалификацией взламывать промышленные системы, как показали некоторые недавние атаки хактивистов.
Защита АСУ, несомненно, является первоочередной задачей специалистов по безопасности не только в энергетических организациях, поэтому открытое обсуждение в даркнете подобных вопросов всегда вызывает беспокойство, ведь, по данным Searchlight Cyber, они сталкивались с реальными серьезными «лотами». Правда в отчете об этом умолчали.
Тем не менее, результаты исследования будут очень полезны защитникам для понимания эволюции угроз.
В отчете содержатся некоторые индикаторы и практические рекомендации, которые можно использовать в качестве отправной точки для моделирования угроз.
Прошерстив даркнет и изучив сообщения селлеров за в период с февраля 2022 года по февраль 2023 года, ресерчеры обнаружили множество предложений по реализации первоначального доступа к средам организаций в энергетическом секторе США, Канады, Великобритании, Италии, Франции и Индонезии.
Цены варьировались от 20 до 2500 долларов, в зависимости от характера цели, местоположения и условий для атак на цепочку поставок. При этом селлеры часто делились информацией о типе организации и ее доходах.
Как правило, сделка проходила в формате аукциона, а предложения были связаны с RDP-доступом, скомпрометированными учетными данными или входом через уязвимости устройств — например, в решениях Fortinet.
Хотя во многих случаях злоумышленники предлагали доступ к корпоративным системам энергетических компаний, некоторые предлагали доступ и другие ресурсы, предназначенные для систем АСУ ТП/ОТ.
Некоторые хакеры предлагали ресурсы, которые можно использовать для проведения атак на АСУ, включая информацию по Shodan, об обнаружении уязвимостей и их эксплуатации.
Это позволяло даже злоумышленникам с низкой квалификацией взламывать промышленные системы, как показали некоторые недавние атаки хактивистов.
Защита АСУ, несомненно, является первоочередной задачей специалистов по безопасности не только в энергетических организациях, поэтому открытое обсуждение в даркнете подобных вопросов всегда вызывает беспокойство, ведь, по данным Searchlight Cyber, они сталкивались с реальными серьезными «лотами». Правда в отчете об этом умолчали.
Тем не менее, результаты исследования будут очень полезны защитникам для понимания эволюции угроз.
В отчете содержатся некоторые индикаторы и практические рекомендации, которые можно использовать в качестве отправной точки для моделирования угроз.
Небезизвестный Флориан Рот поднял весьма важную тему - почему выкладывать малварь на хакерских форумах плохо и "пройдемте на кичман", а на GitHub - вообще нормас?
На что получил абсолютно логичное замечание, что вредоносы, которые попадают на GitHub, никогда не используются хакерами. Потому что на GitHub совершенно однозначно написано "только в образовательных целях".
Таки да!
На что получил абсолютно логичное замечание, что вредоносы, которые попадают на GitHub, никогда не используются хакерами. Потому что на GitHub совершенно однозначно написано "только в образовательных целях".
Таки да!
X (formerly Twitter)
Florian Roth ⚡️ (@cyb3rops) on X
How did we get from "malware author arrested by law enforcement" to "check out my new malware development course on Github"?
Исследователи начинают раскрывать результаты своей работы, которые демонстрировались в рамках хакерского турнира Pwn2Own, проведенного ZDI в декабре прошлого года.
Не отстают и поставщики, правда не все.
Исследователь Нгуен Хоанг Тхоч из STAR Labs опубликовал подробности двух уязвимостей в VMWare (CVE-2023-20869/20870), которые связаны с проблемой неинициализированных переменных и переполнением буфера.
Злоумышленник мог использовать эти две ошибки в совокупности для выполнения произвольного кода в контексте гипервизора. Обе ошибки были исправлены в апреле 2023 года.
Чем не может похвастаться латвийский поставщик сетевого оборудования MikroTik, которому по прошествии всех сроков на исправление, так и не удалось этого сделать.
0-day уязвимость (CVE-2023-32154) затрагивает практически все маршрутизаторы компании.
Она позволяет злоумышленникам, находящимся рядом с сетью, выполнять произвольный код на уязвимых установках Mikrotik RouterOS. Для использования этой уязвимости не требуется аутентификация.
Организатор конкурса Pwn2Own ZDI своевременно сообщил о проблеме MikroTik фактически в день соревнований, но не получал никакой информации об обновлениях за последние шесть месяцев.
Не отстают и поставщики, правда не все.
Исследователь Нгуен Хоанг Тхоч из STAR Labs опубликовал подробности двух уязвимостей в VMWare (CVE-2023-20869/20870), которые связаны с проблемой неинициализированных переменных и переполнением буфера.
Злоумышленник мог использовать эти две ошибки в совокупности для выполнения произвольного кода в контексте гипервизора. Обе ошибки были исправлены в апреле 2023 года.
Чем не может похвастаться латвийский поставщик сетевого оборудования MikroTik, которому по прошествии всех сроков на исправление, так и не удалось этого сделать.
0-day уязвимость (CVE-2023-32154) затрагивает практически все маршрутизаторы компании.
Она позволяет злоумышленникам, находящимся рядом с сетью, выполнять произвольный код на уязвимых установках Mikrotik RouterOS. Для использования этой уязвимости не требуется аутентификация.
Организатор конкурса Pwn2Own ZDI своевременно сообщил о проблеме MikroTik фактически в день соревнований, но не получал никакой информации об обновлениях за последние шесть месяцев.
Zero Day Initiative
Zero Day Initiative — CVE-2023-20869/20870: Exploiting VMware Workstation at Pwn2Own Vancouver
This post covers an exploit chain demonstrated by Nguyễn Hoàng Thạch ( @hi_im_d4rkn3ss ) of STAR Labs SG Pte. Ltd. during the Pwn2Own Vancouver event in 2023. During the contest , he used an uninitialized variable bug and a stack-based buffer overflow…
Ресерчеры Trend Micro раскрыли глобальную вредоносную кампанию Lemon Group с использованием вредоносного ПО Guerilla, благодаря которому злоумышленникам удалось заразить почти 9 миллионов различных девайсов по всему миру.
Подробности масштабной преступной деятельности ресерчеры представили на недавней конференции BlackHat Asia. Что примечательно - часть инфраструктуры злоумышленников пересекается с троянской кампанией Triada 2016 года.
Trend Micro впервые разоблачили группу еще в феврале 2022 года, и вскоре после этого она переименовалась в Durian Cloud SMS. Однако инфраструктура и тактика остались прежними.
Злоумышленники используют Guerilla для загрузки дополнительных полезных данных, перехвата паролей из SMS, настройки обратных прокси-серверов на зараженных устройствах, перехватах сеансов WhatsApp и т.д.
Ресерчеры не уточняют, как Lemon Group заражает устройства вредоносной прошивкой с Guerilla, но уточнила, что исследованные ее аналитиками устройства были по умолчанию перепрошиты новыми ПЗУ, коих выявили более 50 под различных производителей устройств Android.
Вредонос превращает зараженные устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, акаунтов соцсетей и мессенджеров, а также реализует монетизацию за счет мошенничества с рекламой и кликами.
Отслеживая операцию, аналитики обнаружили более 490 000 мобильных номеров, используемых для приема одноразовых паролей для SMS PVA под JingDong, WhatsApp, Facebook, QQ, Line, Tinder и другие платформы.
Среди возможных вариантов компрометации исследователи выделяют: атаки на цепочку поставок, скомпрометированное стороннее ПО, скомпрометированный процесс обновления прошивки или привлечение инсайдеров к производству или цепочке распространения продукта.
Trend Micro отмечает, что Lemon Group ранее указывали на своем сайте, что контролирует почти девять миллионов устройств в 180 странах, прежде всего в США, Мексике, Индонезии, Таиланде и России.
Trend Micro предполагают, что фактическое количество зараженных Guerrilla Android-устройств может быть значительно выше. Просто пока эти устройства еще не выходили на связь с С2, поскольку все еще находятся в стадии продажи.
Масштаб безусловно впечатляет, что заставляет серьезно задуматься относительно безопасности цепочки поставок аутсорсингового производства, в который, как показывает практика, достаточно легко могут вмешаться злоумышленники.
Подробности масштабной преступной деятельности ресерчеры представили на недавней конференции BlackHat Asia. Что примечательно - часть инфраструктуры злоумышленников пересекается с троянской кампанией Triada 2016 года.
Trend Micro впервые разоблачили группу еще в феврале 2022 года, и вскоре после этого она переименовалась в Durian Cloud SMS. Однако инфраструктура и тактика остались прежними.
Злоумышленники используют Guerilla для загрузки дополнительных полезных данных, перехвата паролей из SMS, настройки обратных прокси-серверов на зараженных устройствах, перехватах сеансов WhatsApp и т.д.
Ресерчеры не уточняют, как Lemon Group заражает устройства вредоносной прошивкой с Guerilla, но уточнила, что исследованные ее аналитиками устройства были по умолчанию перепрошиты новыми ПЗУ, коих выявили более 50 под различных производителей устройств Android.
Вредонос превращает зараженные устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, акаунтов соцсетей и мессенджеров, а также реализует монетизацию за счет мошенничества с рекламой и кликами.
Отслеживая операцию, аналитики обнаружили более 490 000 мобильных номеров, используемых для приема одноразовых паролей для SMS PVA под JingDong, WhatsApp, Facebook, QQ, Line, Tinder и другие платформы.
Среди возможных вариантов компрометации исследователи выделяют: атаки на цепочку поставок, скомпрометированное стороннее ПО, скомпрометированный процесс обновления прошивки или привлечение инсайдеров к производству или цепочке распространения продукта.
Trend Micro отмечает, что Lemon Group ранее указывали на своем сайте, что контролирует почти девять миллионов устройств в 180 странах, прежде всего в США, Мексике, Индонезии, Таиланде и России.
Trend Micro предполагают, что фактическое количество зараженных Guerrilla Android-устройств может быть значительно выше. Просто пока эти устройства еще не выходили на связь с С2, поскольку все еще находятся в стадии продажи.
Масштаб безусловно впечатляет, что заставляет серьезно задуматься относительно безопасности цепочки поставок аутсорсингового производства, в который, как показывает практика, достаточно легко могут вмешаться злоумышленники.
Trend Micro
Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices
An overview of the Lemon Group’s use of preinfected mobile devices, and how this scheme is potentially being developed and expanded to other internet of things (IoT) devices. This research was presented in full at the Black Hat Asia 2023 Conference in Singapore…
Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об активизации в России LokiLocker и BlackBit.
Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России.
В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на DLS для дальнейшего шантажа.
В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram.
По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.
В российском сегменте наряду с LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом BlackBit, который по своему функционалу практически идентичен первому.
В среднем продолжительность атак LokiLocker и BlackBit составляет от суток до нескольких дней.
В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер — RDP.
Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют Mimikatz.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.
Примечательно, что ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.
В свою очередь, исследователи F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России.
В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на DLS для дальнейшего шантажа.
В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram.
По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.
В российском сегменте наряду с LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом BlackBit, который по своему функционалу практически идентичен первому.
В среднем продолжительность атак LokiLocker и BlackBit составляет от суток до нескольких дней.
В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер — RDP.
Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют Mimikatz.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.
Примечательно, что ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.
В свою очередь, исследователи F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
F6
Несвятое семейство: как вымогатели LokiLocker и BlackBit атакуют российский бизнес - F6
Эксперты Лаборатории цифровой криминалистики компании F6 проанализировали KillChain шифровальщиков LokiLocker и BlackBit.
Apple выпустила исправления для трех 0-day, которые использовались в атаках для взлома iPhone, Mac и iPad.
Согласно бюллетеню по безопасности, все ошибки безопасности были обнаружены в многоплатформенном движке браузера WebKit и отслеживаются как CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373.
Первая уязвимость позволяет удаленным злоумышленникам выйти из «песочниц» при просмотре веб-контента.
Другая связана со чтением за пределами границ, которое может помочь злоумышленникам получить доступ к конфиденциальной информации.
Третья представляет собой проблему использования после освобождения, позволяющей добиться RCE на скомпрометированных устройствах.
Обе уязвимости можно проэксплуатировать после того, как жертва обманным путем загрузила вредоносный веб-контент.
Список затронутых устройств достаточно обширен, так как ошибка затрагивает все старые и новые модели iPhone, iPad, iPad, Mac, Apple Watch и Apple TV.
Как сообщают в компании, исправленные 0-day находятся в эксплуатации, но Apple не предоставила никакой информации об этих атаках.
Учитывая, что о CVE-2023-32409 сообщили Клеман Лесин из Google TAG и Доннча О Сирбхейл из Amnesty International, характер эксплуатации может быть связан со spyware.
Несмотря на отсутствие до настоящего времени какой-либо внятной документации к майскому Rapid Security Response (RSR) для устройств iOS 16.4.1 и macOS 13.3.1, теперь стало понятно, что исправления предназначались для CVE-2023-28204 и CVE-2023-32373.
В любом случае владельцам яблочных устройств рекомендуется обновиться до macOS Ventura 13.4, iOS и iPadOS 16.5, tvOS 16.5, watchOS 9.5 и Safari 16.5 с улучшенными проверками границ, проверкой ввода и управлением памятью.
Согласно бюллетеню по безопасности, все ошибки безопасности были обнаружены в многоплатформенном движке браузера WebKit и отслеживаются как CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373.
Первая уязвимость позволяет удаленным злоумышленникам выйти из «песочниц» при просмотре веб-контента.
Другая связана со чтением за пределами границ, которое может помочь злоумышленникам получить доступ к конфиденциальной информации.
Третья представляет собой проблему использования после освобождения, позволяющей добиться RCE на скомпрометированных устройствах.
Обе уязвимости можно проэксплуатировать после того, как жертва обманным путем загрузила вредоносный веб-контент.
Список затронутых устройств достаточно обширен, так как ошибка затрагивает все старые и новые модели iPhone, iPad, iPad, Mac, Apple Watch и Apple TV.
Как сообщают в компании, исправленные 0-day находятся в эксплуатации, но Apple не предоставила никакой информации об этих атаках.
Учитывая, что о CVE-2023-32409 сообщили Клеман Лесин из Google TAG и Доннча О Сирбхейл из Amnesty International, характер эксплуатации может быть связан со spyware.
Несмотря на отсутствие до настоящего времени какой-либо внятной документации к майскому Rapid Security Response (RSR) для устройств iOS 16.4.1 и macOS 13.3.1, теперь стало понятно, что исправления предназначались для CVE-2023-28204 и CVE-2023-32373.
В любом случае владельцам яблочных устройств рекомендуется обновиться до macOS Ventura 13.4, iOS и iPadOS 16.5, tvOS 16.5, watchOS 9.5 и Safari 16.5 с улучшенными проверками границ, проверкой ввода и управлением памятью.
Apple Support
About the security content of iOS 16.5 and iPadOS 16.5
This document describes the security content of iOS 16.5 and iPadOS 16.5.
͏Suzuki Motorcycle India была вынуждена более чем на неделю приостановить производственный процесс на своих заводах в результате серьезного ransomware-инцидента.
Инцидент произошел 10 мая и оказывал серьезное влияние на операционную и производственную деятельность Sukuki, поскольку на Индию приходится до 50% общемирового производства Suzuki Motor Corporation.
При этом в 2023 году объемы выросли более чем на 2,2 миллиона единиц в 2023 году, и почти 85% дополнительных объемов - это Индия. По оценкам Suzuki, с момента остановки производства компания только за несколько дней потеряла более 20 000 единиц продукции.
Руководству компании пришлось даже отложить свою ежегодную конференцию для поставщиков, которую планировалось провести на предстоящей неделе. Начато расследование, представители отказываются от предоставления дополнительной информации.
Другим резонансным событием стала атака на немецкий концерн Rheinmetall, которую предприняла вымогателей Black Basta, разместившая жертву на своем DLS.
Немецкая компания является одним из крупнейших в мире производителей оружия и совсем недавно, по совпадению, объявила о планах производства танков на украинском заводе Укроборонпром.
Black Basta поделились скриншотами некоторых документов в качестве пруфов, которые якобы были украдены из сети компании. Rheinmetall пока не подтверждает инцидент.
Но будем посмотреть.
Инцидент произошел 10 мая и оказывал серьезное влияние на операционную и производственную деятельность Sukuki, поскольку на Индию приходится до 50% общемирового производства Suzuki Motor Corporation.
При этом в 2023 году объемы выросли более чем на 2,2 миллиона единиц в 2023 году, и почти 85% дополнительных объемов - это Индия. По оценкам Suzuki, с момента остановки производства компания только за несколько дней потеряла более 20 000 единиц продукции.
Руководству компании пришлось даже отложить свою ежегодную конференцию для поставщиков, которую планировалось провести на предстоящей неделе. Начато расследование, представители отказываются от предоставления дополнительной информации.
Другим резонансным событием стала атака на немецкий концерн Rheinmetall, которую предприняла вымогателей Black Basta, разместившая жертву на своем DLS.
Немецкая компания является одним из крупнейших в мире производителей оружия и совсем недавно, по совпадению, объявила о планах производства танков на украинском заводе Укроборонпром.
Black Basta поделились скриншотами некоторых документов в качестве пруфов, которые якобы были украдены из сети компании. Rheinmetall пока не подтверждает инцидент.
Но будем посмотреть.