«Клиентоориентированная» Cisco продолжает усердно пугать владельцев коммутаторов многочисленными критическими уязвимости, которые поставщик по большей части не будет исправлять, ссылаясь на EOL.

Последняя серия критических RCE-ошибок CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 и CVE-2023-20189 затрагивает широкую линейку интеллектуальных и управляемых коммутаторов серии Small Business серии 200, 250, 300, 350, 500 и 550.

Все четыре получили почти максимальные оценки серьезности с базовыми баллами CVSS 9,8/10.

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код с привилегиями root на скомпрометированных устройствах.

Злоумышленники могут использовать их с помощью злонамеренных запросов, отправляемых через пользовательские веб-интерфейсы целевых устройств в атаках низкой сложности, не требующих взаимодействия с пользователем.

Cisco (PSIRT) утверждает о доступности PoC, который может привести к активной эксплуатации. Но пока не нашла свидетельств попыток использования уязвимостей в атаках.

При этом если в случае указанных проблем уязвимые устройства доли до EOL и поддержка прекращено, то ряд последних уязвимостей, включая XSS-уязвимость в Prime Collaboration Deployment (PCD), продолжают оставаться потенциальной угрозой для клиентов, чья безопасность, по всей видимости, не особо волнует поставщика.

🍯 Горшок с мёдом. Ловушка для хакера.

Найди слабое место жертвы и дай ей немного того, чего ей так хочется.

🖖🏻 Приветствую тебя user_name.

• Honeypot — приманка для хакера, цель которого — привлекать злоумышленника и быть атакованным. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты, изучать стратегию атаки, определять средства атакующего и т.д.

• Honeypot не несут никаких ценных данных, так как это поддельный хост. Когда ханипот атакуют, он фиксирует это и сохраняет все действия атакующего. Honeypot может быть полноценной операционной системой, которая эмулирует рабочее место сотрудника, сервер, либо является отдельным сервисом.

Существует три распространенных типа ханипотов:

• Ханипоты с низким уровнем взаимодействия. Эти ловушки симулируют такие сервисы, как Telnet, #SSH и веб-серверы. Злоумышленник или атакующая система ошибочно принимает ханипот за реальную уязвимую систему и устанавливает полезную нагрузку.

• Ханипоты среднего уровня взаимодействия тоже симулируют уязвимые системы, однако они более функциональные, чем самые простые ловушки.

• Ханипоты высокого уровня взаимодействия. Это реальные системы, требующие дополнительных шагов со стороны администратора для ограничения вредоносной активности и во избежание компрометации остальных систем. Их преимущество в том, что они могут работать под управлением POSIX-совместимой системы. Это означает, что попытки идентифицировать хосты, которые используют техники, еще не эмулированные ханипотами низкого уровня взаимодействия, против такой ловушки не сработают, и атакующие будут убеждены, что попали на реальное устройство.

• По ссылке ниже будет представлен отличный список "горшочков с мёдом (ханипотов)" с подробным описанием и необходимыми ссылками:

• https://habr.com/ru/post/731172

S.E. ▪️ infosec.work

Google выпустила обновление полюбившегося хакерами браузера Chrome 113 с исправлением 12 уязвимостей, включая критическую уязвимость использования после освобождения. О шести недостатках сообщили внешние исследователи.

Проблема, отслеживаемая как CVE-2023-2721, была обнаружена исследователем Гуан Гонгом из Qihoo 360, описана как ошибка использования после освобождения в навигации.

Удаленный злоумышленник может создать HTML-страницу, чтобы вызвать повреждение кучи, когда пользователь обращается к странице. Злоумышленник должен будет убедить пользователя посетить страницу.

Уязвимости подобного типа приводит к повреждению памяти, что может привести к выполнению произвольного кода, отказу в обслуживании или повреждению данных, а также может быть использована для выхода из песочницы браузера.

В последнем обновлении Chrome были также устранены три других недостатка использования после освобождения. Все они имеют высокий уровень серьезности.

Ошибки затрагивают пользовательский интерфейс автозаполнения браузера, DevTools и компоненты гостевого просмотра.

В новом выпуске браузера также устранена ошибка путаницы с типами в движке JavaScript V8 и проблема несоответствующей реализации средней степени серьезности в установках WebApp.

Google выплатила 11 500 долларов в виде вознаграждения исследователям за раскрытие ошибкок. Однако компании еще предстоит оценить две уязвимости, в том числе и критического уровня, поэтому окончательная сумма может быть выше.

Последняя версия Chrome теперь распространяется как 113.0.5672.126 для macOS и Linux и как 113.0.5672.126/.127 для Windows.

Согласно новому отчету британской Searchlight Cyber, злоумышленники активно продают доступ к организациям энергетического сектора, включая системы управления производством (ICS) и другие системы операционных технологий (OT).

Прошерстив даркнет и изучив сообщения селлеров за в период с февраля 2022 года по февраль 2023 года, ресерчеры обнаружили множество предложений по реализации первоначального доступа к средам организаций в энергетическом секторе США, Канады, Великобритании, Италии, Франции и Индонезии.

Цены варьировались от 20 до 2500 долларов, в зависимости от характера цели, местоположения и условий для атак на цепочку поставок. При этом селлеры часто делились информацией о типе организации и ее доходах.

Как правило, сделка проходила в формате аукциона, а предложения были связаны с RDP-доступом, скомпрометированными учетными данными или входом через уязвимости устройств — например, в решениях Fortinet.

Хотя во многих случаях злоумышленники предлагали доступ к корпоративным системам энергетических компаний, некоторые предлагали доступ и другие ресурсы, предназначенные для систем АСУ ТП/ОТ. 

Некоторые хакеры предлагали ресурсы, которые можно использовать для проведения атак на АСУ, включая информацию по Shodan, об обнаружении уязвимостей и их эксплуатации.

Это позволяло даже злоумышленникам с низкой квалификацией взламывать промышленные системы, как показали некоторые недавние атаки хактивистов. 

Защита АСУ, несомненно, является первоочередной задачей специалистов по безопасности не только в энергетических организациях, поэтому открытое обсуждение в даркнете подобных вопросов всегда вызывает беспокойство, ведь, по данным Searchlight Cyber, они сталкивались с реальными серьезными «лотами». Правда в отчете об этом умолчали.

Тем не менее, результаты исследования будут очень полезны защитникам для понимания эволюции угроз.

В отчете содержатся некоторые индикаторы и практические рекомендации, которые можно использовать в качестве отправной точки для моделирования угроз.

Небезизвестный Флориан Рот поднял весьма важную тему - почему выкладывать малварь на хакерских форумах плохо и "пройдемте на кичман", а на GitHub - вообще нормас?

На что получил абсолютно логичное замечание, что вредоносы, которые попадают на GitHub, никогда не используются хакерами. Потому что на GitHub совершенно однозначно написано "только в образовательных целях".

Таки да!

Исследователи начинают раскрывать результаты своей работы, которые демонстрировались в рамках хакерского турнира Pwn2Own, проведенного ZDI в декабре прошлого года.

Не отстают и поставщики, правда не все.

Исследователь Нгуен Хоанг Тхоч из STAR Labs опубликовал подробности двух уязвимостей в VMWare (CVE-2023-20869/20870), которые связаны с проблемой неинициализированных переменных и переполнением буфера.

Злоумышленник мог использовать эти две ошибки в совокупности для выполнения произвольного кода в контексте гипервизора. Обе ошибки были исправлены в апреле 2023 года.

Чем не может похвастаться латвийский поставщик сетевого оборудования MikroTik, которому по прошествии всех сроков на исправление, так и не удалось этого сделать.

0-day уязвимость (CVE-2023-32154) затрагивает практически все маршрутизаторы компании.

Она позволяет злоумышленникам, находящимся рядом с сетью, выполнять произвольный код на уязвимых установках Mikrotik RouterOS. Для использования этой уязвимости не требуется аутентификация.

Организатор конкурса Pwn2Own ZDI своевременно сообщил о проблеме MikroTik фактически в день соревнований, но не получал никакой информации об обновлениях за последние шесть месяцев.

Ресерчеры Trend Micro раскрыли глобальную вредоносную кампанию Lemon Group с использованием вредоносного ПО Guerilla, благодаря которому злоумышленникам удалось заразить почти 9 миллионов различных девайсов по всему миру.

Подробности масштабной преступной деятельности ресерчеры представили на недавней  конференции BlackHat Asia. Что примечательно - часть инфраструктуры злоумышленников пересекается с троянской кампанией Triada 2016 года.

Trend Micro впервые разоблачили группу еще в феврале 2022 года, и вскоре после этого она переименовалась в Durian Cloud SMS. Однако инфраструктура и тактика остались прежними.

Злоумышленники используют Guerilla для загрузки дополнительных полезных данных, перехвата паролей из SMS, настройки обратных прокси-серверов на зараженных устройствах, перехватах сеансов WhatsApp и т.д.

Ресерчеры не уточняют, как Lemon Group заражает устройства вредоносной прошивкой с Guerilla, но уточнила, что исследованные ее аналитиками устройства были по умолчанию перепрошиты новыми ПЗУ, коих выявили более 50 под различных производителей устройств Android.

Вредонос превращает зараженные устройства в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, акаунтов соцсетей и мессенджеров, а также реализует монетизацию за счет мошенничества с рекламой и кликами.

Отслеживая операцию, аналитики обнаружили более 490 000 мобильных номеров, используемых для приема одноразовых паролей для SMS PVA под JingDong, WhatsApp, Facebook, QQ, Line, Tinder и другие платформы.

Среди возможных вариантов компрометации исследователи выделяют: атаки на цепочку поставок, скомпрометированное стороннее ПО, скомпрометированный процесс обновления прошивки или привлечение инсайдеров к производству или цепочке распространения продукта.

Trend Micro отмечает, что Lemon Group ранее указывали на своем сайте, что контролирует почти девять миллионов устройств в 180 странах, прежде всего в США, Мексике, Индонезии, Таиланде и России.

Trend Micro предполагают, что фактическое количество зараженных Guerrilla Android-устройств может быть значительно выше. Просто пока эти устройства еще не выходили на связь с С2, поскольку все еще находятся в стадии продажи.

Масштаб безусловно впечатляет, что заставляет серьезно задуматься относительно безопасности цепочки поставок аутсорсингового производства, в который, как показывает практика, достаточно легко могут вмешаться злоумышленники.

Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об активизации в России LokiLocker и BlackBit.

Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России.

В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.

Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на DLS для дальнейшего шантажа.

В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram.

По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.

В российском сегменте наряду с LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом BlackBit, который по своему функционалу практически идентичен первому.

В среднем продолжительность атак LokiLocker и BlackBit составляет от суток до нескольких дней.

В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер — RDP.

Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.

Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для  этого они используют Mimikatz.

«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.

Примечательно, что ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.

Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.

Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.

В свою очередь, исследователи F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.

Apple выпустила исправления для трех 0-day, которые использовались в атаках для взлома iPhone, Mac и iPad.

Согласно бюллетеню по безопасности, все ошибки безопасности были обнаружены в многоплатформенном движке браузера WebKit и отслеживаются как CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373.

Первая уязвимость позволяет удаленным злоумышленникам выйти из «песочниц» при просмотре веб-контента.

Другая связана со чтением за пределами границ, которое может помочь злоумышленникам получить доступ к конфиденциальной информации.

Третья представляет собой проблему использования после освобождения, позволяющей добиться RCE на скомпрометированных устройствах.

Обе уязвимости можно проэксплуатировать после того, как жертва обманным путем загрузила вредоносный веб-контент.

Список затронутых устройств достаточно обширен, так как ошибка затрагивает все старые и новые модели iPhone, iPad, iPad, Mac, Apple Watch и Apple TV.

Как сообщают в компании, исправленные 0-day находятся в эксплуатации, но Apple не предоставила никакой информации об этих атаках.

Учитывая, что о CVE-2023-32409 сообщили Клеман Лесин из Google TAG и Доннча О Сирбхейл из Amnesty International, характер эксплуатации может быть связан со spyware.

Несмотря на отсутствие до настоящего времени какой-либо внятной документации к майскому Rapid Security Response (RSR) для устройств iOS 16.4.1 и macOS 13.3.1, теперь стало понятно, что исправления предназначались для CVE-2023-28204 и CVE-2023-32373.

В любом случае владельцам яблочных устройств рекомендуется обновиться до macOS Ventura 13.4, iOS и iPadOS 16.5, tvOS 16.5, watchOS 9.5 и Safari 16.5 с улучшенными проверками границ, проверкой ввода и управлением памятью.

͏Хайповые тренды только на канале SecAtor

͏Suzuki Motorcycle India была вынуждена более чем на неделю приостановить производственный процесс на своих заводах в результате серьезного ransomware-инцидента.

Инцидент произошел 10 мая и оказывал серьезное влияние на операционную и производственную деятельность Sukuki, поскольку на Индию приходится до 50% общемирового производства Suzuki Motor Corporation.

При этом в 2023 году объемы выросли более чем на 2,2 миллиона единиц в 2023 году, и почти 85% дополнительных объемов - это Индия. По оценкам Suzuki, с момента остановки производства компания только за несколько дней потеряла более 20 000 единиц продукции.

Руководству компании пришлось даже отложить свою ежегодную конференцию для поставщиков, которую планировалось провести на предстоящей неделе. Начато расследование, представители отказываются от предоставления дополнительной информации.

Другим резонансным событием стала атака на немецкий концерн Rheinmetall, которую предприняла вымогателей Black Basta, разместившая жертву на своем DLS.

Немецкая компания является одним из крупнейших в мире производителей оружия и совсем недавно, по совпадению, объявила о планах производства танков на украинском заводе Укроборонпром.

Black Basta поделились скриншотами некоторых документов в качестве пруфов, которые якобы были украдены из сети компании. Rheinmetall пока не подтверждает инцидент.

Но будем посмотреть.

Войны отчетов Часть 3: Касперский наносит ответный удар.

Неделю назад мы оборзевали отчет Malwarebytes, в котором те ненароком рассказали, что APT Red Stinger, похоже, работает на украинские спецслужбы, а среди ее разработчиков популярна температурная шкала Фаренгейта.

Сам отчет американской инфосек-компании был логическим продолжением расследования Лаборатории Касперского про новую APT-группу, которая использовала импланты PowerMagic и CommonMagic в атаках на организации Крыма и ЛДНР в октябре 2022 года. В офисе на Водном такого стерпеть не смогли и срочно выдали на гора новую порцию разоблачений.

Касперские дали новой группе собственное название - CloudWizard. И провели ретроспективное расследование, в ходе которого нашли, с нашей точки зрения, достаточно убедительное подтверждение связи этой APT с двумя старыми киберкампаниями - Operation Groundbait и Operation BugDrop.

Первая была выявлена ESET в 2016 году и была направлена преимущественно на цели в ЛДНР. Исследователи выявили также несколько заражений на территории Украины, но, по всему, это традиция у украинских APT такая. Методичек в Словакии тогда еще не было, поэтому ESET прямо заявили, что скорее всего кибероперация связана с официальным Киевом. Первые же образцы импланта Prikormka, со слов словаков, были замечены еще в 2008 году.

Вторую нашли в 2017 году специалисты CyberX и опять основная масса целей была на территории ЛДНР, а также захватило еще Россию, Австрию и, почему-то, Саудовскую Аравию. В ходе кампании хакеры заражали жертвы инфостилерами BugDrop, собиравшими большой перечень информации с атакованной машины, включая прослушивание микрофона. В Гонконге методички уже были, поэтому атрибутировать APT было уже совершенно невозможно. Отчет, кстати, с сайта CyberX снесли, он доступен только в вебархиве.

Ждем следующую серию расследований?

Последнее обновление безопасности ASUS привело к отключению маршрутизаторов от сети.

Как пояснил тайваньский производитель в заявлении и бюллетене по безопасности, проблема была вызвана ошибкой в конфигурации файла настроек сервера, из-за которой маршрутизаторы утратили подключение к сети.

О проблеме стало известно после ее широкого обсуждения в соцсетях и форумах. Начиная с 16 мая 2023 года пользователи ASUS сообщали о проблемах с подключением, а другие жаловались на отсутствие связи со стороны поставщика.

Несмотря на то, что в заявлении прямо не указывается, какая именно ошибка была допущена и, на Reddit все же нашлось объяснение проблем с подключением, которые были вызваны поврежденным файлом определения для ASD (ASUS AiProtection).

ASD — это встроенный демон безопасности, поставляемый Trend Micro, который используется в широком диапазоне моделей маршрутизаторов для защиты в режиме реального времени от возникающих угроз.

Причем этот компонент обновляется независимо от того, включено ли у пользователя на устройстве автоматическое обновление прошивки или нет.

Поврежденный файл был автоматически развернут на всех маршрутизаторах, что привело к нехватке памяти в файловой системе и, в конечном итоге, к сбою.

Техническая команда ASUS оперативно решила проблему с сервером, поэтому все затронутые маршрутизаторы теперь должны вернуться к нормальной работе.

Однако в некоторых случаях пользователям придется вручную перезагружать свои устройства, чтобы устранить проблемы с подключением.

С каждым днем мобильные устройства становятся все более продвинутыми и функциональными, где безопасность личной информации является одним из главных приоритетов, но, как показывает практика, даже самые современные и надежные технологии могут быть подвержены взлому.

Недавно исследователи из компании Tencent обнаружили, что Android-смартфоны оказались уязвимы для взлома методом перебора отпечатков пальцев.

Система распознавания отпечатков пальцев является одним из самых распространенных методов аутентификации на смартфонах, которая позволяет быстро и безопасно разблокировать устройство, а также подтверждать ряд других важных операции, например, проведение платежей.

К сожалению, нет ничего безупречного, и даже такая система может быть подвержена атакам.

Как оказалось, некоторые модели Android могут быть взломаны с помощью специального метода, основанного на переборе отпечатков пальцев.

Этот метод заключается в том, что злоумышленник генерирует большое число образцов отпечатков пальцев и подбирает их к сенсору устройства, пока не найдет подходящий.

Таким образом, злоумышленник может получить доступ к устройству и всей хранящейся информации на нем.

Основная причина уязвимости заключается в том, что многие производители смартфонов используют стандартные алгоритмы распознавания отпечатков пальцев, которые не обеспечивают достаточной защиты от подобных атак.

Кроме того, некоторые сенсоры не могут точно определить, является ли предоставленный отпечаток пальца настоящим или искусственным.

Проблемой распознавания отпечатков занимались исследователи Чжэцзянского университета и назвали атаку с использованием этой уязвимости BrutePrint.

Как отметили специалисты, недостаток ставит под угрозу безопасность миллионов пользователей Android по всему миру, но не всех, так как не все модели устройств подвержены этой проблеме.

Некоторые девайсы оснащены более продвинутыми системами распознавания отпечатков, включая ультразвуковые сенсоры.

Кроме того, китайским исследователям удалось преодолеть ряд существующих мер безопасности, например обход ограничений на попытки и обнаружение живучести, которые защищают от атак методом перебора, используя, две 0-day Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).

На первый взгляд, BrutePrint далеко не тривиальная задача и может показаться не слишком серьезной из-за необходимости длительного доступа к целевому устройству.

Однако это предполагаемое ограничение не должно подрывать его ценность для злоумышленников и правоохранительных структур.

͏Лучшие инфосек-практики на канале SecAtor

Исследователь Хосе Родригес поделился методом обхода блокировки экрана Android на устройствах Samsung и Xiaomi, который реализуется путем злоупотребления режимом вождения Google Maps.

Используемые при этом уязвимости ресерчер обнаружил более 9 месяцев назад, о чем неоднократно уведомлял Google. Однако до настоящего времени CVE не присвоены, а отчет все еще находится в стадии изучения.

И, как полагает исследователь, основная проблема возникновения ошибок до сих пор остается открытой. Поэтому Хосе решил, что настало время поделиться своими выводами.

Шпионский скандал с израильским ПО Pegasus от NSO Group продолжает сотрясать Европу.

Французские СМИ сообщают, что в ходе судебного расследования инцидента годичной давности криминалисты обнаружили следы spyware на устройстве Флоренс Парли, занимавшей пост министра обороны Франции в период с 2017 по 2022 гг. 

Информация подтверждается также Национальным агентством безопасности информационных систем (ANSSI) и DGSI, французской службой контрразведки.

Новая жертва попонила стала шестой в списке из министров, включая Жана-Мишеля Бланке, Жаклин Гуро, Жюльена Денорманди, Эммануэль Варгон и Себастьена Лекорню, за которыми велась слежка.

Вообще французские журналисты Mediapart сообщают о 23 пострадавших.

На оснований виктимологии шпионской кампании в числе организаторов указывается Марокко, однако, как известно, это лишь прокси.

В то время как, технологии и разработчики NSO Group в реальности к тому времени уже переехали из Израиля в штаты через организованные АНБ и ЦРУ фирмы-прокладки на фоне всех скандалов и разоблачений.

Поэтому пока французы подглядывали друг за другом, где-то стороны за всем наблюдал американский офицер из разведки, у которого на компе лежали копии всех эксфильтрованных Pegasus данных.

И, как показывает мексиканский опыт, на таком софте можно и бизнес неплохой состряпать.

Генеральный прокурор Мексики предъявил обвинения четырем бывшим силовикам в растрате, мошенничестве и преступном сговоре в рамках покупки Pegasus в 2014 году, за который тогда NSO получила 26 млн. долларов.

Вообще за период 2012-2018 гг. федеральное правительство Мексики потратило на Pegasus до 300 млн. долларов, часть из которых по откатной схеме осело в карманах чиновников, военных и правоохранителей.

И, как сообщают The Times со ссылкой на местных журналистов, власти Мексики также успешно продолжают использовать Pegasus в отношении политических оппонентов и журналистов.

Чем опасен ChatGPT и боты на основе машинного обучения? Легко ли взломать автомобиль с компьютерной начинкой, и кто виноват, если на вас наехал беспилотник? Как устроен бизнес кражи персональных данных в Telegram? Есть ли мессенджер, который невозможно подслушать?

Ответы на эти и другие вопросы можно найти в подкасте Смени пароль!

В нём эксперты «Лаборатории Касперского» Сергей Голованов, Александр Гостев и Алексей Андреев рассказывают о расследованиях киберпреступлений и помогают разобраться в новых угрозах цифрового мира.

Слушайте подкаст Смени пароль! на популярных подкаст-платформах или в Youtube 🎧🎶🎵

Исследовательская группа ClearSky Cyber Security раскрыла кампанию Fata Morgana, связанную с атакой на водопой на восемь израильских веб-сайтов в сфере логистики и перевозок.

В основу легли выводы исследования Trend Micro.

Все восемь веб-сайтов, обнаруженных аналитиками ClearSky, были заражены одним и тем же методом с использованием аналогичного JavaScript, один из них уже был на карандаше еще с мая 2022 года. Зараженные сайты собирают предварительную информацию о пользователе с помощью скрипта.

Как полагают исследователи, атака, скорее всего, была организована иранской АРТ, которую со слабой степенью уверенности связывают с Tortoiseshell (TA456 или Imperial Kitten), который активен с 2018 года и был замечен в атаках на в атаках на цепочку поставок в отношении ИТ-провайдеров в Саудовской Аравии.

В целом же, по данным исследователей, внимание к судоходным и логистическим компаниям в последние три года соответствует виктимологии иранских хакерских групп.

Тем не менее, в основу атрибуции легли совпадения инфраструктуры С2 и TTP.

В частности, Wateringhole использовались для начального этапа доступа иранскими субъектами угроз с 2017 года, а в 2022 году иранский злоумышленник UNC3890 (по Mandiant) таким образом уже нацеливался на нацелился на судоходные компании в Израиле.

В рамках Fata Morgana исследователи обнаружили четыре домена, выдающих себя за jQuery, легальный фреймворк JavaScript. Аналогичный прием ресерчеры наблюдали в предыдущей иранской кампании 2017 года.

Кроме того, злоумышленник полагался на инструменты с открытым исходным кодом. В 2017 году исследователи сообщали, что иранский злоумышленник использовал BeFF. Тогда, как и в данном случае, злоумышленник использовал код, частично взятый из Metasploit, с добавлением нескольких уникальных строк.

Подробный технический анализ и индикаторы - в отчете.

ИТ-сектор РФ и РБ под прицелом нового актора Sneaking Leprechaun, который с середины 2022 года атаковал уже более 30 организаций.

В числе потерпевших львиная доля организаций, занимающихся разработкой и интеграцией ПО.

Однако, среди жертв группировки также оказались компании из разных не менее критических сфер, включая промышленность, финансы, логистику, медицину и государственные структуры.

Причина всех бед, как всегда банальна - не обновили и получили.

Как отмечают в BI.ZONE, которые собственно и пролили свет на проблему, Sneaking Leprechaun использовала уязвимости в устаревших версиях различного ПО, преимущественно Bitrix, Confluence и Webmin, на серверах, работающих под управлением Linux.

С помощью известных недостатков хакеры проникали во внутренние системы организаций и вместо того, чтобы сразу шифровать данные и требовать выкуп, проявили изощрённость и, оставаясь незамеченными, вручную анализировали и копировали наиболее ценные данные.

После чего связывались с компанией, предоставляя пруфы своих злодеяний, и требовали выкуп, угрожая в противном случае разместить награбленное на всеобщее обозрение.

Как оказалось, Sneaking Leprechaun далеко не мамкины хацкеры и если уязвимости были общеизвестные, то после успешной эксплуатации злоумышленники чаще всего устанавливали бэĸдор на скомпрометированной системе с целью закрепиться.

Названный ими Kitsune, вовсе не паблик, а полностью самописный и способен перехватывать учетные данные отправляя их на управляющий сервер.

Следующим шагом злоумышленники пытались эĸсфильтровать реквизиты для подключения ĸ другим хостам сети, расширяя поверхности атаки.

Атакующих преимущественно интересовали реквизиты доступа по SSH и MySQL, причем подключение злоумышленников по SSH ĸ удаленным машинам происходило в неинтераĸтивном режиме, без следов присутствия в системных журналах.

На зараженных машинах злоумышленники оставляли исполняемый файл, который по сути представляет из себя классический реверс-шелл, для управления которым использовалась утилита Reverse SSH, она же для предназначалась для перенаправления портов и скачивания файлов.

После получения доступа хакеры проводили анализ содержимого и в случае находок в виде потенциально чувствительной информации копировали ее на свой С2.

Собственно суть басни такова: тактика поиска сервисов с известными уязвимостями, для эĸсплуатации которых есть уже доступные эĸсплоиты, приносит плоды и является серизной угрозой в руках более ли менее грамотных и мотивированных злоумышленников.

📚 Linux. От новичка к профессионалу.

🖖🏻 Приветствую тебя user_name.

• Быть профессионалом в области информационной безопасности и не ориентироваться в #Linux сегодня попросту невозможно.

• Сегодня поделюсь с тобой свежей литературой, которая позволит разобраться в данной операционке и приобрести практический опыт в использовании.

• В книге даны ответы на все вопросы, возникающие при работе с Linux: от установки и настройки этой ОС до настройки сервера на базе Linux. Материал книги максимально охватывает все сферы применения Linux от запуска Windows-игр под управлением Linux, до настройки собственного веб-сервера.

☁️ Скачать книгу можно в нашем облаке.

• В дополнение: Краткий справочник по «всем-всем» командам Linux.

S.E. ▪️ infosec.work