͏Suzuki Motorcycle India была вынуждена более чем на неделю приостановить производственный процесс на своих заводах в результате серьезного ransomware-инцидента.
Инцидент произошел 10 мая и оказывал серьезное влияние на операционную и производственную деятельность Sukuki, поскольку на Индию приходится до 50% общемирового производства Suzuki Motor Corporation.
При этом в 2023 году объемы выросли более чем на 2,2 миллиона единиц в 2023 году, и почти 85% дополнительных объемов - это Индия. По оценкам Suzuki, с момента остановки производства компания только за несколько дней потеряла более 20 000 единиц продукции.
Руководству компании пришлось даже отложить свою ежегодную конференцию для поставщиков, которую планировалось провести на предстоящей неделе. Начато расследование, представители отказываются от предоставления дополнительной информации.
Другим резонансным событием стала атака на немецкий концерн Rheinmetall, которую предприняла вымогателей Black Basta, разместившая жертву на своем DLS.
Немецкая компания является одним из крупнейших в мире производителей оружия и совсем недавно, по совпадению, объявила о планах производства танков на украинском заводе Укроборонпром.
Black Basta поделились скриншотами некоторых документов в качестве пруфов, которые якобы были украдены из сети компании. Rheinmetall пока не подтверждает инцидент.
Но будем посмотреть.
Инцидент произошел 10 мая и оказывал серьезное влияние на операционную и производственную деятельность Sukuki, поскольку на Индию приходится до 50% общемирового производства Suzuki Motor Corporation.
При этом в 2023 году объемы выросли более чем на 2,2 миллиона единиц в 2023 году, и почти 85% дополнительных объемов - это Индия. По оценкам Suzuki, с момента остановки производства компания только за несколько дней потеряла более 20 000 единиц продукции.
Руководству компании пришлось даже отложить свою ежегодную конференцию для поставщиков, которую планировалось провести на предстоящей неделе. Начато расследование, представители отказываются от предоставления дополнительной информации.
Другим резонансным событием стала атака на немецкий концерн Rheinmetall, которую предприняла вымогателей Black Basta, разместившая жертву на своем DLS.
Немецкая компания является одним из крупнейших в мире производителей оружия и совсем недавно, по совпадению, объявила о планах производства танков на украинском заводе Укроборонпром.
Black Basta поделились скриншотами некоторых документов в качестве пруфов, которые якобы были украдены из сети компании. Rheinmetall пока не подтверждает инцидент.
Но будем посмотреть.
Войны отчетов Часть 3: Касперский наносит ответный удар.
Неделю назад мы оборзевали отчет Malwarebytes, в котором те ненароком рассказали, что APT Red Stinger, похоже, работает на украинские спецслужбы, а среди ее разработчиков популярна температурная шкала Фаренгейта.
Сам отчет американской инфосек-компании был логическим продолжением расследования Лаборатории Касперского про новую APT-группу, которая использовала импланты PowerMagic и CommonMagic в атаках на организации Крыма и ЛДНР в октябре 2022 года. В офисе на Водном такого стерпеть не смогли и срочно выдали на гора новую порцию разоблачений.
Касперские дали новой группе собственное название - CloudWizard. И провели ретроспективное расследование, в ходе которого нашли, с нашей точки зрения, достаточно убедительное подтверждение связи этой APT с двумя старыми киберкампаниями - Operation Groundbait и Operation BugDrop.
Первая была выявлена ESET в 2016 году и была направлена преимущественно на цели в ЛДНР. Исследователи выявили также несколько заражений на территории Украины, но, по всему, это традиция у украинских APT такая. Методичек в Словакии тогда еще не было, поэтому ESET прямо заявили, что скорее всего кибероперация связана с официальным Киевом. Первые же образцы импланта Prikormka, со слов словаков, были замечены еще в 2008 году.
Вторую нашли в 2017 году специалисты CyberX и опять основная масса целей была на территории ЛДНР, а также захватило еще Россию, Австрию и, почему-то, Саудовскую Аравию. В ходе кампании хакеры заражали жертвы инфостилерами BugDrop, собиравшими большой перечень информации с атакованной машины, включая прослушивание микрофона. В Гонконге методички уже были, поэтому атрибутировать APT было уже совершенно невозможно. Отчет, кстати, с сайта CyberX снесли, он доступен только в вебархиве.
Ждем следующую серию расследований?
Неделю назад мы оборзевали отчет Malwarebytes, в котором те ненароком рассказали, что APT Red Stinger, похоже, работает на украинские спецслужбы, а среди ее разработчиков популярна температурная шкала Фаренгейта.
Сам отчет американской инфосек-компании был логическим продолжением расследования Лаборатории Касперского про новую APT-группу, которая использовала импланты PowerMagic и CommonMagic в атаках на организации Крыма и ЛДНР в октябре 2022 года. В офисе на Водном такого стерпеть не смогли и срочно выдали на гора новую порцию разоблачений.
Касперские дали новой группе собственное название - CloudWizard. И провели ретроспективное расследование, в ходе которого нашли, с нашей точки зрения, достаточно убедительное подтверждение связи этой APT с двумя старыми киберкампаниями - Operation Groundbait и Operation BugDrop.
Первая была выявлена ESET в 2016 году и была направлена преимущественно на цели в ЛДНР. Исследователи выявили также несколько заражений на территории Украины, но, по всему, это традиция у украинских APT такая. Методичек в Словакии тогда еще не было, поэтому ESET прямо заявили, что скорее всего кибероперация связана с официальным Киевом. Первые же образцы импланта Prikormka, со слов словаков, были замечены еще в 2008 году.
Вторую нашли в 2017 году специалисты CyberX и опять основная масса целей была на территории ЛДНР, а также захватило еще Россию, Австрию и, почему-то, Саудовскую Аравию. В ходе кампании хакеры заражали жертвы инфостилерами BugDrop, собиравшими большой перечень информации с атакованной машины, включая прослушивание микрофона. В Гонконге методички уже были, поэтому атрибутировать APT было уже совершенно невозможно. Отчет, кстати, с сайта CyberX снесли, он доступен только в вебархиве.
Ждем следующую серию расследований?
securelist.ru
Анализ APT-фреймворка CloudWizard
«Лаборатория Касперского» проанализировала APT-фреймворк CloudWizard, используемый в зоне российско-украинского конфликта.
Последнее обновление безопасности ASUS привело к отключению маршрутизаторов от сети.
Как пояснил тайваньский производитель в заявлении и бюллетене по безопасности, проблема была вызвана ошибкой в конфигурации файла настроек сервера, из-за которой маршрутизаторы утратили подключение к сети.
О проблеме стало известно после ее широкого обсуждения в соцсетях и форумах. Начиная с 16 мая 2023 года пользователи ASUS сообщали о проблемах с подключением, а другие жаловались на отсутствие связи со стороны поставщика.
Несмотря на то, что в заявлении прямо не указывается, какая именно ошибка была допущена и, на Reddit все же нашлось объяснение проблем с подключением, которые были вызваны поврежденным файлом определения для ASD (ASUS AiProtection).
ASD — это встроенный демон безопасности, поставляемый Trend Micro, который используется в широком диапазоне моделей маршрутизаторов для защиты в режиме реального времени от возникающих угроз.
Причем этот компонент обновляется независимо от того, включено ли у пользователя на устройстве автоматическое обновление прошивки или нет.
Поврежденный файл был автоматически развернут на всех маршрутизаторах, что привело к нехватке памяти в файловой системе и, в конечном итоге, к сбою.
Техническая команда ASUS оперативно решила проблему с сервером, поэтому все затронутые маршрутизаторы теперь должны вернуться к нормальной работе.
Однако в некоторых случаях пользователям придется вручную перезагружать свои устройства, чтобы устранить проблемы с подключением.
Как пояснил тайваньский производитель в заявлении и бюллетене по безопасности, проблема была вызвана ошибкой в конфигурации файла настроек сервера, из-за которой маршрутизаторы утратили подключение к сети.
О проблеме стало известно после ее широкого обсуждения в соцсетях и форумах. Начиная с 16 мая 2023 года пользователи ASUS сообщали о проблемах с подключением, а другие жаловались на отсутствие связи со стороны поставщика.
Несмотря на то, что в заявлении прямо не указывается, какая именно ошибка была допущена и, на Reddit все же нашлось объяснение проблем с подключением, которые были вызваны поврежденным файлом определения для ASD (ASUS AiProtection).
ASD — это встроенный демон безопасности, поставляемый Trend Micro, который используется в широком диапазоне моделей маршрутизаторов для защиты в режиме реального времени от возникающих угроз.
Причем этот компонент обновляется независимо от того, включено ли у пользователя на устройстве автоматическое обновление прошивки или нет.
Поврежденный файл был автоматически развернут на всех маршрутизаторах, что привело к нехватке памяти в файловой системе и, в конечном итоге, к сбою.
Техническая команда ASUS оперативно решила проблему с сервером, поэтому все затронутые маршрутизаторы теперь должны вернуться к нормальной работе.
Однако в некоторых случаях пользователям придется вручную перезагружать свои устройства, чтобы устранить проблемы с подключением.
Reddit
From the sysadmin community on Reddit
Explore this post and more from the sysadmin community
С каждым днем мобильные устройства становятся все более продвинутыми и функциональными, где безопасность личной информации является одним из главных приоритетов, но, как показывает практика, даже самые современные и надежные технологии могут быть подвержены взлому.
Недавно исследователи из компании Tencent обнаружили, что Android-смартфоны оказались уязвимы для взлома методом перебора отпечатков пальцев.
Система распознавания отпечатков пальцев является одним из самых распространенных методов аутентификации на смартфонах, которая позволяет быстро и безопасно разблокировать устройство, а также подтверждать ряд других важных операции, например, проведение платежей.
К сожалению, нет ничего безупречного, и даже такая система может быть подвержена атакам.
Как оказалось, некоторые модели Android могут быть взломаны с помощью специального метода, основанного на переборе отпечатков пальцев.
Этот метод заключается в том, что злоумышленник генерирует большое число образцов отпечатков пальцев и подбирает их к сенсору устройства, пока не найдет подходящий.
Таким образом, злоумышленник может получить доступ к устройству и всей хранящейся информации на нем.
Основная причина уязвимости заключается в том, что многие производители смартфонов используют стандартные алгоритмы распознавания отпечатков пальцев, которые не обеспечивают достаточной защиты от подобных атак.
Кроме того, некоторые сенсоры не могут точно определить, является ли предоставленный отпечаток пальца настоящим или искусственным.
Проблемой распознавания отпечатков занимались исследователи Чжэцзянского университета и назвали атаку с использованием этой уязвимости BrutePrint.
Как отметили специалисты, недостаток ставит под угрозу безопасность миллионов пользователей Android по всему миру, но не всех, так как не все модели устройств подвержены этой проблеме.
Некоторые девайсы оснащены более продвинутыми системами распознавания отпечатков, включая ультразвуковые сенсоры.
Кроме того, китайским исследователям удалось преодолеть ряд существующих мер безопасности, например обход ограничений на попытки и обнаружение живучести, которые защищают от атак методом перебора, используя, две 0-day Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).
На первый взгляд, BrutePrint далеко не тривиальная задача и может показаться не слишком серьезной из-за необходимости длительного доступа к целевому устройству.
Однако это предполагаемое ограничение не должно подрывать его ценность для злоумышленников и правоохранительных структур.
Недавно исследователи из компании Tencent обнаружили, что Android-смартфоны оказались уязвимы для взлома методом перебора отпечатков пальцев.
Система распознавания отпечатков пальцев является одним из самых распространенных методов аутентификации на смартфонах, которая позволяет быстро и безопасно разблокировать устройство, а также подтверждать ряд других важных операции, например, проведение платежей.
К сожалению, нет ничего безупречного, и даже такая система может быть подвержена атакам.
Как оказалось, некоторые модели Android могут быть взломаны с помощью специального метода, основанного на переборе отпечатков пальцев.
Этот метод заключается в том, что злоумышленник генерирует большое число образцов отпечатков пальцев и подбирает их к сенсору устройства, пока не найдет подходящий.
Таким образом, злоумышленник может получить доступ к устройству и всей хранящейся информации на нем.
Основная причина уязвимости заключается в том, что многие производители смартфонов используют стандартные алгоритмы распознавания отпечатков пальцев, которые не обеспечивают достаточной защиты от подобных атак.
Кроме того, некоторые сенсоры не могут точно определить, является ли предоставленный отпечаток пальца настоящим или искусственным.
Проблемой распознавания отпечатков занимались исследователи Чжэцзянского университета и назвали атаку с использованием этой уязвимости BrutePrint.
Как отметили специалисты, недостаток ставит под угрозу безопасность миллионов пользователей Android по всему миру, но не всех, так как не все модели устройств подвержены этой проблеме.
Некоторые девайсы оснащены более продвинутыми системами распознавания отпечатков, включая ультразвуковые сенсоры.
Кроме того, китайским исследователям удалось преодолеть ряд существующих мер безопасности, например обход ограничений на попытки и обнаружение живучести, которые защищают от атак методом перебора, используя, две 0-day Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).
На первый взгляд, BrutePrint далеко не тривиальная задача и может показаться не слишком серьезной из-за необходимости длительного доступа к целевому устройству.
Однако это предполагаемое ограничение не должно подрывать его ценность для злоумышленников и правоохранительных структур.
MobilMania.cz
Androidy podlehnou pokusům o zneužití čtečky otisků prstů. Útoku BrutePrint vzdorují pouze iPhony
Po skenech obličeje nejsou v bezpečí ani čtečky otisků prstů • U Androidů jsou náchylné k prolomení metodou brute-force • iPhony však této metodě bez problémů odolají
Исследователь Хосе Родригес поделился методом обхода блокировки экрана Android на устройствах Samsung и Xiaomi, который реализуется путем злоупотребления режимом вождения Google Maps.
Используемые при этом уязвимости ресерчер обнаружил более 9 месяцев назад, о чем неоднократно уведомлял Google. Однако до настоящего времени CVE не присвоены, а отчет все еще находится в стадии изучения.
И, как полагает исследователь, основная проблема возникновения ошибок до сих пор остается открытой. Поэтому Хосе решил, что настало время поделиться своими выводами.
Используемые при этом уязвимости ресерчер обнаружил более 9 месяцев назад, о чем неоднократно уведомлял Google. Однако до настоящего времени CVE не присвоены, а отчет все еще находится в стадии изучения.
И, как полагает исследователь, основная проблема возникновения ошибок до сих пор остается открытой. Поэтому Хосе решил, что настало время поделиться своими выводами.
YouTube
Uno de estos bugs corresponde con el CVE-2023-21095
Arreglados definitivamente con la actualización de seguridad de Android de junio de 2023
¿Viste tres bugs en el video?
¿Viste tres bugs en el video?
Шпионский скандал с израильским ПО Pegasus от NSO Group продолжает сотрясать Европу.
Французские СМИ сообщают, что в ходе судебного расследования инцидента годичной давности криминалисты обнаружили следы spyware на устройстве Флоренс Парли, занимавшей пост министра обороны Франции в период с 2017 по 2022 гг.
Информация подтверждается также Национальным агентством безопасности информационных систем (ANSSI) и DGSI, французской службой контрразведки.
Новая жертва попонила стала шестой в списке из министров, включая Жана-Мишеля Бланке, Жаклин Гуро, Жюльена Денорманди, Эммануэль Варгон и Себастьена Лекорню, за которыми велась слежка.
Вообще французские журналисты Mediapart сообщают о 23 пострадавших.
На оснований виктимологии шпионской кампании в числе организаторов указывается Марокко, однако, как известно, это лишь прокси.
В то время как, технологии и разработчики NSO Group в реальности к тому времени уже переехали из Израиля в штаты через организованные АНБ и ЦРУ фирмы-прокладки на фоне всех скандалов и разоблачений.
Поэтому пока французы подглядывали друг за другом, где-то стороны за всем наблюдал американский офицер из разведки, у которого на компе лежали копии всех эксфильтрованных Pegasus данных.
И, как показывает мексиканский опыт, на таком софте можно и бизнес неплохой состряпать.
Генеральный прокурор Мексики предъявил обвинения четырем бывшим силовикам в растрате, мошенничестве и преступном сговоре в рамках покупки Pegasus в 2014 году, за который тогда NSO получила 26 млн. долларов.
Вообще за период 2012-2018 гг. федеральное правительство Мексики потратило на Pegasus до 300 млн. долларов, часть из которых по откатной схеме осело в карманах чиновников, военных и правоохранителей.
И, как сообщают The Times со ссылкой на местных журналистов, власти Мексики также успешно продолжают использовать Pegasus в отношении политических оппонентов и журналистов.
Французские СМИ сообщают, что в ходе судебного расследования инцидента годичной давности криминалисты обнаружили следы spyware на устройстве Флоренс Парли, занимавшей пост министра обороны Франции в период с 2017 по 2022 гг.
Информация подтверждается также Национальным агентством безопасности информационных систем (ANSSI) и DGSI, французской службой контрразведки.
Новая жертва попонила стала шестой в списке из министров, включая Жана-Мишеля Бланке, Жаклин Гуро, Жюльена Денорманди, Эммануэль Варгон и Себастьена Лекорню, за которыми велась слежка.
Вообще французские журналисты Mediapart сообщают о 23 пострадавших.
На оснований виктимологии шпионской кампании в числе организаторов указывается Марокко, однако, как известно, это лишь прокси.
В то время как, технологии и разработчики NSO Group в реальности к тому времени уже переехали из Израиля в штаты через организованные АНБ и ЦРУ фирмы-прокладки на фоне всех скандалов и разоблачений.
Поэтому пока французы подглядывали друг за другом, где-то стороны за всем наблюдал американский офицер из разведки, у которого на компе лежали копии всех эксфильтрованных Pegasus данных.
И, как показывает мексиканский опыт, на таком софте можно и бизнес неплохой состряпать.
Генеральный прокурор Мексики предъявил обвинения четырем бывшим силовикам в растрате, мошенничестве и преступном сговоре в рамках покупки Pegasus в 2014 году, за который тогда NSO получила 26 млн. долларов.
Вообще за период 2012-2018 гг. федеральное правительство Мексики потратило на Pegasus до 300 млн. долларов, часть из которых по откатной схеме осело в карманах чиновников, военных и правоохранителей.
И, как сообщают The Times со ссылкой на местных журналистов, власти Мексики также успешно продолжают использовать Pegasus в отношении политических оппонентов и журналистов.
Mediapart
Pegasus : Florence Parly a été ciblée par le logiciel espion quand elle était ministre des armées
Selon les informations de Mediapart, le nom de l’ancienne ministre des armées vient allonger la liste des ministres français espionnés par le matériel vendu par la société israélienne NSO. Elle occup…
Чем опасен ChatGPT и боты на основе машинного обучения? Легко ли взломать автомобиль с компьютерной начинкой, и кто виноват, если на вас наехал беспилотник? Как устроен бизнес кражи персональных данных в Telegram? Есть ли мессенджер, который невозможно подслушать?
Ответы на эти и другие вопросы можно найти в подкасте Смени пароль!
В нём эксперты «Лаборатории Касперского» Сергей Голованов, Александр Гостев и Алексей Андреев рассказывают о расследованиях киберпреступлений и помогают разобраться в новых угрозах цифрового мира.
Слушайте подкаст Смени пароль! на популярных подкаст-платформах или в Youtube 🎧🎶🎵
Ответы на эти и другие вопросы можно найти в подкасте Смени пароль!
В нём эксперты «Лаборатории Касперского» Сергей Голованов, Александр Гостев и Алексей Андреев рассказывают о расследованиях киберпреступлений и помогают разобраться в новых угрозах цифрового мира.
Слушайте подкаст Смени пароль! на популярных подкаст-платформах или в Youtube 🎧🎶🎵
Исследовательская группа ClearSky Cyber Security раскрыла кампанию Fata Morgana, связанную с атакой на водопой на восемь израильских веб-сайтов в сфере логистики и перевозок.
В основу легли выводы исследования Trend Micro.
Все восемь веб-сайтов, обнаруженных аналитиками ClearSky, были заражены одним и тем же методом с использованием аналогичного JavaScript, один из них уже был на карандаше еще с мая 2022 года. Зараженные сайты собирают предварительную информацию о пользователе с помощью скрипта.
Как полагают исследователи, атака, скорее всего, была организована иранской АРТ, которую со слабой степенью уверенности связывают с Tortoiseshell (TA456 или Imperial Kitten), который активен с 2018 года и был замечен в атаках на в атаках на цепочку поставок в отношении ИТ-провайдеров в Саудовской Аравии.
В целом же, по данным исследователей, внимание к судоходным и логистическим компаниям в последние три года соответствует виктимологии иранских хакерских групп.
Тем не менее, в основу атрибуции легли совпадения инфраструктуры С2 и TTP.
В частности, Wateringhole использовались для начального этапа доступа иранскими субъектами угроз с 2017 года, а в 2022 году иранский злоумышленник UNC3890 (по Mandiant) таким образом уже нацеливался на нацелился на судоходные компании в Израиле.
В рамках Fata Morgana исследователи обнаружили четыре домена, выдающих себя за jQuery, легальный фреймворк JavaScript. Аналогичный прием ресерчеры наблюдали в предыдущей иранской кампании 2017 года.
Кроме того, злоумышленник полагался на инструменты с открытым исходным кодом. В 2017 году исследователи сообщали, что иранский злоумышленник использовал BeFF. Тогда, как и в данном случае, злоумышленник использовал код, частично взятый из Metasploit, с добавлением нескольких уникальных строк.
Подробный технический анализ и индикаторы - в отчете.
В основу легли выводы исследования Trend Micro.
Все восемь веб-сайтов, обнаруженных аналитиками ClearSky, были заражены одним и тем же методом с использованием аналогичного JavaScript, один из них уже был на карандаше еще с мая 2022 года. Зараженные сайты собирают предварительную информацию о пользователе с помощью скрипта.
Как полагают исследователи, атака, скорее всего, была организована иранской АРТ, которую со слабой степенью уверенности связывают с Tortoiseshell (TA456 или Imperial Kitten), который активен с 2018 года и был замечен в атаках на в атаках на цепочку поставок в отношении ИТ-провайдеров в Саудовской Аравии.
В целом же, по данным исследователей, внимание к судоходным и логистическим компаниям в последние три года соответствует виктимологии иранских хакерских групп.
Тем не менее, в основу атрибуции легли совпадения инфраструктуры С2 и TTP.
В частности, Wateringhole использовались для начального этапа доступа иранскими субъектами угроз с 2017 года, а в 2022 году иранский злоумышленник UNC3890 (по Mandiant) таким образом уже нацеливался на нацелился на судоходные компании в Израиле.
В рамках Fata Morgana исследователи обнаружили четыре домена, выдающих себя за jQuery, легальный фреймворк JavaScript. Аналогичный прием ресерчеры наблюдали в предыдущей иранской кампании 2017 года.
Кроме того, злоумышленник полагался на инструменты с открытым исходным кодом. В 2017 году исследователи сообщали, что иранский злоумышленник использовал BeFF. Тогда, как и в данном случае, злоумышленник использовал код, частично взятый из Metasploit, с добавлением нескольких уникальных строк.
Подробный технический анализ и индикаторы - в отчете.
Trend Micro
New APT34 Malware Targets The Middle East
We analyze an infection campaign targeting organizations in the Middle East for cyberespionage in December 2022 using a new backdoor malware. The campaign abuses legitimate but compromised email accounts to send stolen data to external mail accounts controlled…
ИТ-сектор РФ и РБ под прицелом нового актора Sneaking Leprechaun, который с середины 2022 года атаковал уже более 30 организаций.
В числе потерпевших львиная доля организаций, занимающихся разработкой и интеграцией ПО.
Однако, среди жертв группировки также оказались компании из разных не менее критических сфер, включая промышленность, финансы, логистику, медицину и государственные структуры.
Причина всех бед, как всегда банальна - не обновили и получили.
Как отмечают в BI.ZONE, которые собственно и пролили свет на проблему, Sneaking Leprechaun использовала уязвимости в устаревших версиях различного ПО, преимущественно Bitrix, Confluence и Webmin, на серверах, работающих под управлением Linux.
С помощью известных недостатков хакеры проникали во внутренние системы организаций и вместо того, чтобы сразу шифровать данные и требовать выкуп, проявили изощрённость и, оставаясь незамеченными, вручную анализировали и копировали наиболее ценные данные.
После чего связывались с компанией, предоставляя пруфы своих злодеяний, и требовали выкуп, угрожая в противном случае разместить награбленное на всеобщее обозрение.
Как оказалось, Sneaking Leprechaun далеко не мамкины хацкеры и если уязвимости были общеизвестные, то после успешной эксплуатации злоумышленники чаще всего устанавливали бэĸдор на скомпрометированной системе с целью закрепиться.
Названный ими Kitsune, вовсе не паблик, а полностью самописный и способен перехватывать учетные данные отправляя их на управляющий сервер.
Следующим шагом злоумышленники пытались эĸсфильтровать реквизиты для подключения ĸ другим хостам сети, расширяя поверхности атаки.
Атакующих преимущественно интересовали реквизиты доступа по SSH и MySQL, причем подключение злоумышленников по SSH ĸ удаленным машинам происходило в неинтераĸтивном режиме, без следов присутствия в системных журналах.
На зараженных машинах злоумышленники оставляли исполняемый файл, который по сути представляет из себя классический реверс-шелл, для управления которым использовалась утилита Reverse SSH, она же для предназначалась для перенаправления портов и скачивания файлов.
После получения доступа хакеры проводили анализ содержимого и в случае находок в виде потенциально чувствительной информации копировали ее на свой С2.
Собственно суть басни такова: тактика поиска сервисов с известными уязвимостями, для эĸсплуатации которых есть уже доступные эĸсплоиты, приносит плоды и является серизной угрозой в руках более ли менее грамотных и мотивированных злоумышленников.
В числе потерпевших львиная доля организаций, занимающихся разработкой и интеграцией ПО.
Однако, среди жертв группировки также оказались компании из разных не менее критических сфер, включая промышленность, финансы, логистику, медицину и государственные структуры.
Причина всех бед, как всегда банальна - не обновили и получили.
Как отмечают в BI.ZONE, которые собственно и пролили свет на проблему, Sneaking Leprechaun использовала уязвимости в устаревших версиях различного ПО, преимущественно Bitrix, Confluence и Webmin, на серверах, работающих под управлением Linux.
С помощью известных недостатков хакеры проникали во внутренние системы организаций и вместо того, чтобы сразу шифровать данные и требовать выкуп, проявили изощрённость и, оставаясь незамеченными, вручную анализировали и копировали наиболее ценные данные.
После чего связывались с компанией, предоставляя пруфы своих злодеяний, и требовали выкуп, угрожая в противном случае разместить награбленное на всеобщее обозрение.
Как оказалось, Sneaking Leprechaun далеко не мамкины хацкеры и если уязвимости были общеизвестные, то после успешной эксплуатации злоумышленники чаще всего устанавливали бэĸдор на скомпрометированной системе с целью закрепиться.
Названный ими Kitsune, вовсе не паблик, а полностью самописный и способен перехватывать учетные данные отправляя их на управляющий сервер.
Следующим шагом злоумышленники пытались эĸсфильтровать реквизиты для подключения ĸ другим хостам сети, расширяя поверхности атаки.
Атакующих преимущественно интересовали реквизиты доступа по SSH и MySQL, причем подключение злоумышленников по SSH ĸ удаленным машинам происходило в неинтераĸтивном режиме, без следов присутствия в системных журналах.
На зараженных машинах злоумышленники оставляли исполняемый файл, который по сути представляет из себя классический реверс-шелл, для управления которым использовалась утилита Reverse SSH, она же для предназначалась для перенаправления портов и скачивания файлов.
После получения доступа хакеры проводили анализ содержимого и в случае находок в виде потенциально чувствительной информации копировали ее на свой С2.
Собственно суть басни такова: тактика поиска сервисов с известными уязвимостями, для эĸсплуатации которых есть уже доступные эĸсплоиты, приносит плоды и является серизной угрозой в руках более ли менее грамотных и мотивированных злоумышленников.
BI.ZONE
Ключ от всех дверей: как руткит Kitsune охотится за вашими данными
Атака группировки Sneaking Leprechaun отличается от ĸлассичесĸой схемы вымогательства с шифрованием. Злоумышленники похищают данные с помощью руткита, который не проявляет никакой подозрительной активности. Рассказываем, как Kitsune собирает реквизиты доступа…
Forwarded from Social Engineering
📚 Linux. От новичка к профессионалу.
• Сегодня поделюсь с тобой свежей литературой, которая позволит разобраться в данной операционке и приобрести практический опыт в использовании.
• В книге даны ответы на все вопросы, возникающие при работе с Linux: от установки и настройки этой ОС до настройки сервера на базе Linux. Материал книги максимально охватывает все сферы применения Linux от запуска Windows-игр под управлением Linux, до настройки собственного веб-сервера.
☁️ Скачать книгу можно в нашем облаке.
• В дополнение: Краткий справочник по «всем-всем» командам Linux.
S.E. ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Быть профессионалом в области информационной безопасности и не ориентироваться в #Linux сегодня попросту невозможно.• Сегодня поделюсь с тобой свежей литературой, которая позволит разобраться в данной операционке и приобрести практический опыт в использовании.
• В книге даны ответы на все вопросы, возникающие при работе с Linux: от установки и настройки этой ОС до настройки сервера на базе Linux. Материал книги максимально охватывает все сферы применения Linux от запуска Windows-игр под управлением Linux, до настройки собственного веб-сервера.
☁️ Скачать книгу можно в нашем облаке.
• В дополнение: Краткий справочник по «всем-всем» командам Linux.
S.E. ▪️ infosec.work
Сообщают, что Mikrotik наконец-то исправили уязвимость в RouterOS, о которой стало известно в рамках хакерского конкурса Pwn2Own в Торонто и которую поставщик до последнего игнорировал несмотря на все уведомления, направленные организатором турнира ZDI.
На то, чтобы исправить серьезную уязвимость латышам понадобилось более пяти месяцев и хорошенький пинок от исследователей, которые опубличили технические подробности после молчания с их стороны.
В своем бюллетене Mikrotik подтвердил, что CVE-2023-32154 затрагивает устройства, работающие под управлением RouterOS версий v6.xx и v7.xx с включенной функцией приема рекламы IPv6.
Уязвимость позволяет злоумышленникам, находящимся в соседней сети, выполнять произвольный код на уязвимых установках Mikrotik RouterOS. Для использования аутентификация не требуется.
ZDI сообщила о проблеме MikroTik фактически в день мероприятия в декабре прошлого года и вновь запросила статус обновления в мае этого года, предоставив компании дополнительную неделю для внесения исправлений. И уже после этого, раскрыла уязвимость.
В свою очередь, MikroTik заявила, что не смогла найти декабрьское сообщение от ZDI и вообще не в курсе того, что происходило в Торонто.
И уязвимость стало быть, сама обнаружила и сама же исправила. Ну ну.
На то, чтобы исправить серьезную уязвимость латышам понадобилось более пяти месяцев и хорошенький пинок от исследователей, которые опубличили технические подробности после молчания с их стороны.
В своем бюллетене Mikrotik подтвердил, что CVE-2023-32154 затрагивает устройства, работающие под управлением RouterOS версий v6.xx и v7.xx с включенной функцией приема рекламы IPv6.
Уязвимость позволяет злоумышленникам, находящимся в соседней сети, выполнять произвольный код на уязвимых установках Mikrotik RouterOS. Для использования аутентификация не требуется.
ZDI сообщила о проблеме MikroTik фактически в день мероприятия в декабре прошлого года и вновь запросила статус обновления в мае этого года, предоставив компании дополнительную неделю для внесения исправлений. И уже после этого, раскрыла уязвимость.
В свою очередь, MikroTik заявила, что не смогла найти декабрьское сообщение от ZDI и вообще не в курсе того, что происходило в Торонто.
И уязвимость стало быть, сама обнаружила и сама же исправила. Ну ну.
Zerodayinitiative
ZDI-23-710
(0Day) (Pwn2Own) Mikrotik RouterOS RADVD Out-Of-Bounds Write Remote Code Execution Vulnerability
Ресерчеры Сyble обращают внимание на усилившуюся волну атак с использованием ransomware.
Только за последнюю неделю обнаружено более трех новых штаммов, жертвами которых стали более чем 200 компаний по всему миру.
А за последний месяц появилось более 10 новых групп вымогателей, практикующих двойное вымогательство, среди которых: CrossLock, Akira, BlackSuit, Rancoz, CryptNet и RA Group.
Тенденция быстрого появления новых штаммов и вовлечения все новых участников подчеркивают высокую рентабельность этого преступного бизнеса.
Прогрессирующий рост, вероятно, обусловлен попаданию в паблик исходников и сборщиков от других ransomware.
По мере того как ниша быстро заполняется, вновь образованным бандам приходится совершенствовать или изыскивать способы максимализации своей финансовой выгоды. Как раз о них и рассказали исследователи, изучив засветившиеся на прошлой неделе ransomware.
Rhysida была обнаружена командой MalwareHunter.
Вымогатель представляет собой 64-битный двоичный файл, нацелен на операционную систему Windows и может работать без каких-либо аргументов командной строки.
Ransomware использует несколько потоков для обработки файлов и каталогов. Он рекурсивно открывает каталоги и выполняет операции с файлами. Шифрование основано на комбинации алгоритмов RSA и AES.
В отличие от типичного поведения программ-вымогателей Rhysida реализует особый подход, сбрасывая записку о выкупе в виде файла PDF с именем «CriticalBreachDetected.pdf» в каждый пошифрованный каталог, а также устанавливая ее в качестве фона рабочего стола.
Обнаруженная Zscaler 8Base следует традиционной стратегии двойного вымогательства.
За неделю банда выложила на свой DLS украденные данные 66 компаний, при том, что группа была активна в течение как минимум года и не публиковала сведений и своих жертвах.
Однако Telegram-канал группы был создан лишь в мае 2023 года.
Недавно обнаруженная программа-вымогатель MalasLocker была нацелена на серверы Zimbra и публично раскрыла 169 жертв на своем DLS.
Как и многие другие группы вымогателей, MalasLocker использует метод двойного вымогательства для своих жертв.
Однако вместо того, чтобы требовать выкуп, они просят своих жертв сделать пожертвование.
Про рекомендации, индикаторы и методы тоже забыли - все в отчете.
Только за последнюю неделю обнаружено более трех новых штаммов, жертвами которых стали более чем 200 компаний по всему миру.
А за последний месяц появилось более 10 новых групп вымогателей, практикующих двойное вымогательство, среди которых: CrossLock, Akira, BlackSuit, Rancoz, CryptNet и RA Group.
Тенденция быстрого появления новых штаммов и вовлечения все новых участников подчеркивают высокую рентабельность этого преступного бизнеса.
Прогрессирующий рост, вероятно, обусловлен попаданию в паблик исходников и сборщиков от других ransomware.
По мере того как ниша быстро заполняется, вновь образованным бандам приходится совершенствовать или изыскивать способы максимализации своей финансовой выгоды. Как раз о них и рассказали исследователи, изучив засветившиеся на прошлой неделе ransomware.
Rhysida была обнаружена командой MalwareHunter.
Вымогатель представляет собой 64-битный двоичный файл, нацелен на операционную систему Windows и может работать без каких-либо аргументов командной строки.
Ransomware использует несколько потоков для обработки файлов и каталогов. Он рекурсивно открывает каталоги и выполняет операции с файлами. Шифрование основано на комбинации алгоритмов RSA и AES.
В отличие от типичного поведения программ-вымогателей Rhysida реализует особый подход, сбрасывая записку о выкупе в виде файла PDF с именем «CriticalBreachDetected.pdf» в каждый пошифрованный каталог, а также устанавливая ее в качестве фона рабочего стола.
Обнаруженная Zscaler 8Base следует традиционной стратегии двойного вымогательства.
За неделю банда выложила на свой DLS украденные данные 66 компаний, при том, что группа была активна в течение как минимум года и не публиковала сведений и своих жертвах.
Однако Telegram-канал группы был создан лишь в мае 2023 года.
Недавно обнаруженная программа-вымогатель MalasLocker была нацелена на серверы Zimbra и публично раскрыла 169 жертв на своем DLS.
Как и многие другие группы вымогателей, MalasLocker использует метод двойного вымогательства для своих жертв.
Однако вместо того, чтобы требовать выкуп, они просят своих жертв сделать пожертвование.
Про рекомендации, индикаторы и методы тоже забыли - все в отчете.
Cyble
New Ransomware Wave Engulfs over 200 Corporate Victims
CRIL analyzes multiple new Ransomware families that have affected over 200 firms, spearheaded by Rhysida, 8Base, and MalasLocker ransomware.
Один из крупных российских поставщиков смарт-терминалов для малого и среднего бизнеса, столкнулся с серьезной утечкой данных, которая может повлиять на его клиентов.
Со слов исследователей из CyberNews, под раздачу попал Evotor с оборотом в 6,825 млрд рублей в год, базу данных которого обнаружили специалисты.
Согласно отчету, утечка данных включает более 2,6 миллиона записей с паролями администраторов и личной информацией пользователей (электронные адреса, имена, пароли, номера телефонов, ИНН и ОГРН юридических лиц), а также сведения о транзакциях и чеках.
В общем все что нужно, чтобы злоумышленники могли использовать украденные данные для атак на пользователей и их компании, а также для мошенничества и кибершпионажа.
Как заявляют эксперты, после обнаружения утечки они связались с Evotor и Роскомнадзором.
Производитель «умных» онлайн-касс подтвердил утечку данных, а также заявил, что уже начал расследование и предпринимает необходимые меры для устранения уязвимости.
Несмотря на оперативность и быстрое реагирование поставщика, утечка данных оставляет множество клиентов компании в опасности.
В связи с чем, пользователям рекомендуется сменить пароли и следить за своими счетами на предмет мошеннической активности.
UPD. По существу информации, содержащейся в посте, есть дополнение.
Со слов исследователей из CyberNews, под раздачу попал Evotor с оборотом в 6,825 млрд рублей в год, базу данных которого обнаружили специалисты.
Согласно отчету, утечка данных включает более 2,6 миллиона записей с паролями администраторов и личной информацией пользователей (электронные адреса, имена, пароли, номера телефонов, ИНН и ОГРН юридических лиц), а также сведения о транзакциях и чеках.
В общем все что нужно, чтобы злоумышленники могли использовать украденные данные для атак на пользователей и их компании, а также для мошенничества и кибершпионажа.
Как заявляют эксперты, после обнаружения утечки они связались с Evotor и Роскомнадзором.
Производитель «умных» онлайн-касс подтвердил утечку данных, а также заявил, что уже начал расследование и предпринимает необходимые меры для устранения уязвимости.
Несмотря на оперативность и быстрое реагирование поставщика, утечка данных оставляет множество клиентов компании в опасности.
В связи с чем, пользователям рекомендуется сменить пароли и следить за своими счетами на предмет мошеннической активности.
UPD. По существу информации, содержащейся в посте, есть дополнение.
Cybernews
Russian IT firm previously praised by Sberbank leaks its admin password stash
Evotor leaked sensitive credentials that exposed the company to sophisticated cyberattacks, including ransomware.
По поводу вчерашнего поста про утечку Evotor.
Ситуация неоднозначная. CyberNews по каким-то причинам изменили первоначальную статью, что видно невооруженным глазом. В Webarchive и кеше Google она не сохранилась, поэтому сделать полную верификацию мы в данный момент не можем.
С другой стороны, мы всегда старались сохранять объективность (кроме случаев, когда были необъективны, конечно), поэтому официально сообщаем, что информация из нашего поста о размере утечки, а также о факте ее признания компанией Evotor является недостоверной. В случае, если Evotor напишет нам официальный комментарий по данному инциденту на наш контактный адрес электронной почты, то мы готовы дать его отдельным постом.
Редактор, который допустил ошибку, приговорен к пожизненному эциху с гвоздями.
Dixi.
Ситуация неоднозначная. CyberNews по каким-то причинам изменили первоначальную статью, что видно невооруженным глазом. В Webarchive и кеше Google она не сохранилась, поэтому сделать полную верификацию мы в данный момент не можем.
С другой стороны, мы всегда старались сохранять объективность (кроме случаев, когда были необъективны, конечно), поэтому официально сообщаем, что информация из нашего поста о размере утечки, а также о факте ее признания компанией Evotor является недостоверной. В случае, если Evotor напишет нам официальный комментарий по данному инциденту на наш контактный адрес электронной почты, то мы готовы дать его отдельным постом.
Редактор, который допустил ошибку, приговорен к пожизненному эциху с гвоздями.
Dixi.
Telegram
SecAtor
Один из крупных российских поставщиков смарт-терминалов для малого и среднего бизнеса, столкнулся с серьезной утечкой данных, которая может повлиять на его клиентов.
Со слов исследователей из CyberNews, под раздачу попал Evotor с оборотом в 6,825 млрд рублей…
Со слов исследователей из CyberNews, под раздачу попал Evotor с оборотом в 6,825 млрд рублей…
Ресерчеры Defiant предупреждают о вредоносной кампании, охватившей к настоящему времени более 1,5 млн сайтов WordPress с уязвимым плагином.
Продолжающиеся атаки нацелены на уязвимость Unauthenticated Stored Cross-Site Scripting (XSS) в плагине под названием Beautiful Cookie Consent Banner (до 2.10.1 включительно), который имеет более чем 40 000 активных установок.
Злоумышленники пытаются внедрять вредоносные сценарии JavaScript на уязвимые веб-сайты для их дальнейшего выполнения в браузерах посетителей.
Потенциальное воздействие может привести к несанкционированному доступу к конфиденциальной информации, перехвату сеанса, заражению вредоносным ПО через перенаправление на другие вредоносные ресурсы и полную компрометацию системы цели.
В свою очередь, WordPress полагает, что уязвимость также позволяет злоумышленникам, не прошедшим проверку подлинности, создавать мошеннические учетные записи администраторов на веб-сайтах WordPress.
Она была исправлена в январе с выпуском версии 2.10.2.
По данным компании, уязвимость начала активно эксплуатироваться еще с 5 февраля 2023 года, а в последние дни достигла своего пика: почти 3 миллиона воздействий на более чем 1,5 миллиона сайтов с 14 000 IP-адресов, начиная с 23 мая.
Но несмотря на широкий масштаб кампании, акторы, как выяснилось, используют неправильно сконфигурированный эксплойт, который, скорее всего, не даст развернуть полезную нагрузку.
Тем не менее, администраторам, использующим плагин Beautiful Cookie Consent Banner, рекомендуется обновить его до последней версии, потому что даже неудачная попытка может привести к повреждению конфигурации плагина в nsc_bar_bannersettings_json.
К тому же нельзя исключать, что хакеры не допилят свой эксплойт до рабочего состояния.
Продолжающиеся атаки нацелены на уязвимость Unauthenticated Stored Cross-Site Scripting (XSS) в плагине под названием Beautiful Cookie Consent Banner (до 2.10.1 включительно), который имеет более чем 40 000 активных установок.
Злоумышленники пытаются внедрять вредоносные сценарии JavaScript на уязвимые веб-сайты для их дальнейшего выполнения в браузерах посетителей.
Потенциальное воздействие может привести к несанкционированному доступу к конфиденциальной информации, перехвату сеанса, заражению вредоносным ПО через перенаправление на другие вредоносные ресурсы и полную компрометацию системы цели.
В свою очередь, WordPress полагает, что уязвимость также позволяет злоумышленникам, не прошедшим проверку подлинности, создавать мошеннические учетные записи администраторов на веб-сайтах WordPress.
Она была исправлена в январе с выпуском версии 2.10.2.
По данным компании, уязвимость начала активно эксплуатироваться еще с 5 февраля 2023 года, а в последние дни достигла своего пика: почти 3 миллиона воздействий на более чем 1,5 миллиона сайтов с 14 000 IP-адресов, начиная с 23 мая.
Но несмотря на широкий масштаб кампании, акторы, как выяснилось, используют неправильно сконфигурированный эксплойт, который, скорее всего, не даст развернуть полезную нагрузку.
Тем не менее, администраторам, использующим плагин Beautiful Cookie Consent Banner, рекомендуется обновить его до последней версии, потому что даже неудачная попытка может привести к повреждению конфигурации плагина в nsc_bar_bannersettings_json.
К тому же нельзя исключать, что хакеры не допилят свой эксплойт до рабочего состояния.
Wordfence
Wordfence Firewall Blocks Bizarre Large-Scale XSS Campaign
The Wordfence Threat Intelligence team has been monitoring an increase in attacks targeting a Cross-Site Scripting vulnerability in Beautiful Cookie Consent Banner, a WordPress plugin installed on over 40,000 sites. The vulnerability, which was fully patched…
GitLab выпустила экстренное обновление для устранения уязвимости обхода пути максимальной степени серьезности (оценка CVSS v3.1: 10,0), отслеживаемой как CVE-2023-2825.
Уязвимость была обнаружена исследователем pwnie, который сообщил о проблеме в рамках HackOne Bug Bounty.
Она затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0, но не влияет на все версии старше нее. В силу критичности проблемы и сроков обнаружения вендор не раскрыл подробностей.
Недостаток позволяет злоумышленнику, не прошедшему проверку подлинности, читать произвольные файлы на сервере при наличии вложения в общедоступном проекте (как минимум в пяти группах).
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и другую личную информацию.
GitLab предупреждает о важности безотлагательного применения последнего обновления безопасности. Инструкции представлены на странице обновления проекта, а для GitLab Runner - здесь.
Смягчающим фактором является то, что уязвимость может быть активирована только при определенных условиях с вложениями, что не всегда применяется во многих проектах GitHub.
Тем не менее всем пользователям GitLab 16.0.0 рекомендуется как можно скорее обновиться до версии 16.0.1, чтобы снизить риск. В настоящее время нет доступных обходных путей.
Уязвимость была обнаружена исследователем pwnie, который сообщил о проблеме в рамках HackOne Bug Bounty.
Она затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0, но не влияет на все версии старше нее. В силу критичности проблемы и сроков обнаружения вендор не раскрыл подробностей.
Недостаток позволяет злоумышленнику, не прошедшему проверку подлинности, читать произвольные файлы на сервере при наличии вложения в общедоступном проекте (как минимум в пяти группах).
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и другую личную информацию.
GitLab предупреждает о важности безотлагательного применения последнего обновления безопасности. Инструкции представлены на странице обновления проекта, а для GitLab Runner - здесь.
Смягчающим фактором является то, что уязвимость может быть активирована только при определенных условиях с вложениями, что не всегда применяется во многих проектах GitHub.
Тем не менее всем пользователям GitLab 16.0.0 рекомендуется как можно скорее обновиться до версии 16.0.1, чтобы снизить риск. В настоящее время нет доступных обходных путей.
cve.mitre.org
CVE -
CVE-2023-2825
CVE-2023-2825
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Известная своими решениями для обеспечения безопасности электронной почты и сетей Barracuda предупреждает о взломе почтовых шлюзов с помощью 0-day в модуле сканирования вложений электронной почты.
Решения компании в настоящее время используются более чем в 200 000 организаций по всему миру, включая Samsung, Mitsubishi, Kraft Heinz, Delta Airlines и др.
На прошлой неделе им удалось задетектить, что некоторые из их устройств Email Security Gateway (ESG) были скомпрометированы. Другие продукты компании, в том числе службы безопасности электронной почты SaaS, не пострадали от этой уязвимости.
После обнаружения 19 мая проблемы, недостаток был устранен двумя исправлениями безопасности от 20 и 21 мая.
Помимо прочего Barracuda устранила проблему входа в систему, влияющую на устройства защиты шлюза электронной почты EGD, и ошибочное правило оценки спама, которое приводило к блокировке электронных писем клиентов.
Пользователи устройств, ставшие жертвами атаки, были уведомлены через пользовательский интерфейс ESG. Кроме того, Barracuda напрямую связалась с клиентами.
При этом компания отметила, что расследование было сосредоточено лишь на ESG. Поэтому пострадавшим организациям следует самостоятельно проверять свою среду, чтобы убедиться в ее безопасности.
Представители Barracuda не стали распространяться на предмет уточнения того, какое количество клиентов пострадало или о иных возможных последствиях после взлома устройств ESG.
Но мы будем посмотреть.
Решения компании в настоящее время используются более чем в 200 000 организаций по всему миру, включая Samsung, Mitsubishi, Kraft Heinz, Delta Airlines и др.
На прошлой неделе им удалось задетектить, что некоторые из их устройств Email Security Gateway (ESG) были скомпрометированы. Другие продукты компании, в том числе службы безопасности электронной почты SaaS, не пострадали от этой уязвимости.
После обнаружения 19 мая проблемы, недостаток был устранен двумя исправлениями безопасности от 20 и 21 мая.
Помимо прочего Barracuda устранила проблему входа в систему, влияющую на устройства защиты шлюза электронной почты EGD, и ошибочное правило оценки спама, которое приводило к блокировке электронных писем клиентов.
Пользователи устройств, ставшие жертвами атаки, были уведомлены через пользовательский интерфейс ESG. Кроме того, Barracuda напрямую связалась с клиентами.
При этом компания отметила, что расследование было сосредоточено лишь на ESG. Поэтому пострадавшим организациям следует самостоятельно проверять свою среду, чтобы убедиться в ее безопасности.
Представители Barracuda не стали распространяться на предмет уточнения того, какое количество клиентов пострадало или о иных возможных последствиях после взлома устройств ESG.
Но мы будем посмотреть.
Barracuda
Barracuda identified a vulnerability (CVE-2023-2868) in our Email Security Gateway appliance (ESG) on May 19, 2023.
Barracuda Networks's Status Page - Barracuda identified a vulnerability (CVE-2023-2868) in our Email Security Gateway appliance (ESG) on May 19, 2023..
Группа ученых обнаружила множественные атаки по побочным каналам на SoC и графические процессоры Arm, лежащие в основе Apple MacBook, iPhone и многих современных смартфонов.
В атаке исследователи использовали ПО на устройстве для настройки мощности, температуры и частоты чипсета, а затем внутренние датчики для измерения выполненных инструкций для вывода обработанных данных.
Экпериментальная схема исследователей включала код JavaScript для кражи сведений об истории просмотров и пикселей из Chrome и Safari, даже когда на устройствах были активированы все известные меры противодействия сторонним каналам.
Новое исследование стало продолжением длинной череды атак по побочным каналам, нацеленных на динамическое масштабирование напряжения и частоты DVFS, функцию энергосбережения в современных чипсетах. Ранее мы уже рассказывали об аналогичных уязвимостях в чиспетах Intel и AMD.
В глубокие технические подробности вдаваться не будем, а подытожим результаты исследования комментарием Кевина Чоппеда, на который также обратил внимание Каталин Чимпану: «Если вы украдете мои данные, используя колебания температуры моего процессора, я скажу, что вы заслужили это дерьмо.»
В атаке исследователи использовали ПО на устройстве для настройки мощности, температуры и частоты чипсета, а затем внутренние датчики для измерения выполненных инструкций для вывода обработанных данных.
Экпериментальная схема исследователей включала код JavaScript для кражи сведений об истории просмотров и пикселей из Chrome и Safari, даже когда на устройствах были активированы все известные меры противодействия сторонним каналам.
Новое исследование стало продолжением длинной череды атак по побочным каналам, нацеленных на динамическое масштабирование напряжения и частоты DVFS, функцию энергосбережения в современных чипсетах. Ранее мы уже рассказывали об аналогичных уязвимостях в чиспетах Intel и AMD.
В глубокие технические подробности вдаваться не будем, а подытожим результаты исследования комментарием Кевина Чоппеда, на который также обратил внимание Каталин Чимпану: «Если вы украдете мои данные, используя колебания температуры моего процессора, я скажу, что вы заслужили это дерьмо.»
Twitter
If you steal my data using the temperature fluctuations of my processor, I say you earned that shit