В одном из самых популярных дистрибутивов Linux, обнаружены две уязвимости, которые могут позволить непривилегированным локальным пользователям получить повышенные привилегии.

Как вы вероятно догадались, речь идет об Ubuntu, где угроза затрагивает примерно 40% пользователей, коих насчитывается около 40 миллионов.

CVE-2023-32629 и CVE-2023-2640 были обнаружены небезызвестными исследователями из Wiz, за плечами которых вагон и маленькая тележка раскрытых уязвимостей.

Первый баг высокой степени серьезности в ядре Ubuntu связан с недостаточной проверкой разрешений, что позволяет локальному злоумышленнику получить повышенные привилегии.

Второй - средней степени серьезности, связан с подсистемой управления памятью в ядре Linux, где состояние гонки при доступе к VMA может привести к использованию после освобождения, позволяя локальному злоумышленнику выполнить произвольное выполнение кода.

Уязвимости были обнаружены после выявления несоответствий в реализации модуля OverlayFS в ядре Linux.

OverlayFS — это реализация файловой системы с объединенным монтированием, на которую злоумышленники давно потирают руки из-за разрешения непривилегированного доступа через пространства имен пользователей и наличие легко эксплуатируемых ошибок.

Ubuntu выпустила информационный бюллетень безопасности по выявленным проблемам и еще шести дополнительных уязвимостей, устраненных в последней версии ядра, предоставив соответствующие обновления.

Тот не ловкий момент, когда после установки обновлений потребуется перезагрузка.

Давненько не было новостей из нашего лампового цифрового ГУЛАГа. Ну так нате!

Американское рейтинговое игровое агентство ESRB предложило ввести в онлайн-игры сканирование лиц игроков для оценки их возраста.

Цель сего мероприятия - недопущение неполовозрелых детей в игры с ограничительным рейтингом. Заявляется, что это будет "необязательным, дополнительным методом проверки", а также что "никакие данные нигде не сохраняются и никуда не передаются".

Что касается необязательности проверки, то все мы прекрасно знаем, как в один лучезарный момент такая проверка может стать вдруг обязательной. Или остаться "необязательной", но без ее прохождения игрок не сможет подтвердить свой аккаунт.

В отношении "данные не сохраняются и не передаются" - лол кек азаза. Примеров обратного масса, взять хотя бы трехгодичной давности историю про то, как устройства Apple записывали все подряд и передавали на обработку производителю.

Ждем анальный зонд для регулирования сложности контента в целях предотвращения возгорания геймерских афедронов.

Спустя две недели после первоначального раскрытия Zimbra выпустила обновления безопасности для устранения 0-day, используемой в XSS-атаках на почтовые серверы Collaboration Suite (ZCS).

В настоящее время отслеживается как CVE-2023-38750 и представляет собой XSS-ошибку, обнаруженную Клементом Лесинем из Google Threat Analysis Group.

Первоначально Zimbra не стала сообщать об эксплуатации баги в дикой природе, вместо нее это сделали представители Google TAG. Поставщик лишь призвал клиентов исправлять ее вручную.

Теперь же выпустила ZCS 10.0.2 с исправлением CVE-2023-38750, которая могла привести к раскрытию внутренних файлов JSP и XML.

Помимо CVE-2023-38750 обновление закрывает и другую CVE-2023-0464, связанную с проверкой цепочек сертификатов X.509, которые включают ограничения политики в OpenSSL.

Дополнительную информацию об обновлениях ПО можно найти на странице центра безопасности Zimbra.

Репортер BBC Джо Тайди провел интервью с представителем(ями) группировки хактивистов Anonymous Sudan, в ходе которого тщетно пытался развести собеседника на свидетельства о том, что хактивисты на самом деле являются российским проектом.

Само собой, у него ничего не получилось и осталось только обиженно хайлилайкать.

Мы же по-прежнему твердо стоим на позиции, что Anonymous Sudan - это верные сыны суданского народа, вставшие на путь праведной кибервойны с мировым колониализмом. No pasaran! ✊

نحن جند الله جند الوطن
إن دعا داعي الفداء لم نخــن
نتحدى الموت عند المحن
نشترى المجد بأغلى ثمن
هذه الأرض لنا فليعش سوداننا
علماً بين الأمم
يابني السودان هذا رمزكم
يحمل العبء ويحمى أرضكم

Исследователи GReAT из Лаборатории Касперского уже на протяжении шести лет продолжают выпускать ежеквартальные отчеты об активности APT, освещая наиболее важные события и выводы исследований.

Из основных трендов, замеченных ресерчерами за второй квартал 2023 года, выделим следующие:

- Одним из главных событий квартала стало обнаружение долгосрочной шпионской кампании Operation Triangulation с использованием ранее неизвестной вредоносной платформы iOS, распространяемой посредством эксплойтов iMessage без щелчка.

- Известные злоумышленники продолжали совершенствовать наборы инструментов.

В частности, разработка Lazarus своей среды MATA, новые методы доставки и языки программирования, используемые ScarCruft, и новые образцы вредоносных программ от GoldenJackal. Новый набор пользовательских загрузчиков ToddyCat и ее частный инструмент пост-эксплуатации Ninja, а также Cloudflare в качестве серверов C2.

- Выявлена нацеленная на Пакистан кампания со стороны недавно обнаруженного злоумышленника Mysterious Elephant.

- Злоумышленники по-прежнему используют различные языки программирования.

- Кампании APT традиционно географически рассредоточены. В этом квартале исследователи наблюдали, как акторы фокусировали свои атаки на Европе, Латинской Америке, Ближнем Востоке и различных частях Азии.

- Геополитика остается ключевой мотивирующим фактором развития APT, а кибершпионаж продолжает оставаться их основной целью кампаний.

Более фактурно, конечно же, последние тренды изложены в оригинале, в котором, к слову, собраны и структурированы ссылки на материалы всех предшествовавших исследований и отчетов.

Уязвимости, обнаруженные исследователем из TXOne Networks в решениях тайваньской Weintek, могут быть использованы для компрометации промышленных систем управления (ICS) и их повреждения.

Проблемы безопасности затрагивают Weincloud, облачный продукт, предназначенный для удаленного управления HMI и операционной деятельностью.

По данным CISA, уязвимый продукт используется организациями по всему миру, особенно в критически важных производственных секторах.

Недостатки были исправлены Weintek в рамках обновления API и не требуют от клиентов каких-либо действий.

Трем из четырех ошибок в Weintek Weincloud был присвоен рейтинг высокой степени серьезности.

Одна из них может быть использована для сброса пароля учетной записи с использованием соответствующего токена JWT.

Другая проблема могла быть использована для входа в систему с тестовыми учетными данными на официальном веб-сайте путем злоупотребления функцией регистрации. Третью уязвимость можно использовать для вызова состояния DoS.

Четвертая проблема отнесена к средней степени серьезности и может быть использована для брута.

Исследователи TXOne Networks полагают, что при определенных обстоятельства злоумышленник мог использовать уязвимости удаленно для получения полного контроля над Weincloud.

Все типы выявленных уязвимостей не являются специфическими для продуктов Weintek, TXOne выявили и другие облачные продукты ICS, уязвимые для аналогичных атак. 

В связи с чем, TXOne представит результаты своих исследований на DEF CON 31 в следующем месяце.

Как мы сообщали ранее, пока одни из ransomware колдуют и изобретают все более изощренные схемы вымогательства, другие - подсчитывают кеш, попутно размещая на DLS достаточно серьезные организации.

Сосредоточив внимание на цепочке поставок, Cl0p, по оценкам специалистов, уже смогли перешагнуть планку в 75 миллионов долларов в рамках кейса с MOVEit. Хотя в реальности цифра может может оказаться кратно крупнее.

И скорее всего это так, ведь на текущий момент более 540 организаций подтвердили инциденты с Cl0p MOVEit Transfer, а общее число пострадавших от утечек лиц составляет более 37 млн.

На днях вымогатели слили на DLS очередную партию данных, затрагивающую с 56 организаций, что стало своего рода рекордом в даркнете.

Под раздачу попали Discovery, Honeywell, Choice Hotels Radisson Americas, TomTom, Pioneer Electronics, Autozone и Johns Hopkins University and Health System и др.

Злоумышленники представили скриншоты различных украденных данных, начиная от ведомостей о зарплате и заканчивая корпоративными документами и конфиденциальными данными пользователей.

Безусловно, ошеломительный успех банды Cl0p в перспективе может привести к попыткам провернуть аналогичную делюгу со стороны их коллег по цеху.

Будем посмотреть.

Пожалуй лучший (без всяких шуток) инфосек журналист Каталин Чимпану все больше скатывается в повесточку. Ранее подобная судьба постигла хороший инфосек ресурс TheRecord. media компании Recorded Future, где, кстати, какое-то время работал и Чимпану.

Румын в текущий момент запиливает годные обзоры Substack. Но, к огромному сожалению, в последнее время там все меньше инфосека и все больше гомосека околополитических залипух, которым часто посвящяется чуть ли не половина объема всей статьи.

Вот и сегодня Чимпану выкатил пару страниц "обжыгающей правды" про санкции наложенные ЕС на российские компании, которые являются "операторами дезинформационной сети, распространяющей фейковые новости".

В качестве примеров "фейков" приводятся следующие нарративы:
- украинская армия связана с неонацистскими группировками;
- оружие, поставляемое на Украину, продается на черном рынке;
- санкции против России наносят ущерб экономике европейских стран;
- физиологических полов существует всего два;
- Земля вращается вокруг Солнца.

При этом никого не смущает когда про эти же самые вещи пишет The New York Times или CNBC.

При чем тут инфосек? - спросят наши дотошные подписчики. Так вот мы и сами удивляемся.

Компания Ivanti исправила еще одну уязвимость в ПО Endpoint Manager Mobile (ранее - MobileIron Core), которая использовалась в качестве нулевого дня для взлома в недавнем громком инциденте Норвегии.

Новый патч безопасности исправляет CVE-2023-35081 и в компании предупреждают о немедленном обновлении критического бага для защиты уязвимых устройств от атак.

Новая 0-day была обнаружена в рамках начавшегося расследования, к которому были подключены исследователи из Mnemonic.

Как предупреждают эксперты, CVE-2023-35081 позволяет аутентифицированному администратору произвольно записывать файлы на сервер EPMM.

Причем этот баг может использоваться вместе с CVE-2023-35078, который, как раз таки позволяет обойти аутентификацию администратора и ограничения ACLS.

Успешное использование уязвимости может в конечном итоге позволить злоумышленнику выполнять команды ОС на устройстве от имени tomcat.

На данный момент, согласно официальным данным, известно лишь о том же ограниченном числе клиентов, затронутых CVE-2023-35078, что и CVE-2023-35081.

До сих пор неясно, кто стоит за атаками, использующими эти нулевые дни, но, скорее всего, это АРТ.

Хотя в настоящее время уязвимости используются в ограниченных атаках, их дальнейшая эксплуатация будет только усиливаться, учитывая тысячи потенциально уязвимых систем, и доступность PoC для CVE-2023-35078.

Представители разведки США обрушились на Пекин с обвинениями в подготовке к разрушительным кибератакам, нацеленным на гражданскую и военную инфраструктуру.

Для этого, по утверждениям американских чиновников, китайcкие АРТ ведут разработку вредоносного ПО и реализуют кампании по его глубокому внедрению на объекты в сфере энергетики, водоснабжения и связи в окружении военных баз США по всему миру.

По данным американских военных и спецслужб, предпринятые КНР шаги позволят замедлить развертывание войск и проведение военных операций, прежде всего, в случае начала Китаем боевых действий в отношении Тайваня.

Заложенная таким образом Пекином по сути, «бомба замедленного действия» может иметь более широкие последствия, ведь та же самая инфраструктура часто обеспечивает и гражданские объекты.

Первые публичные намеки на кампанию вредоносного ПО начали появляться в конце мая, когда Microsoft обнаружила загадочный компьютерный код в телекоммуникационных системах на Гуаме, где располагалась американская авиабаза.

Но, как оказалось, киберкампания стартовала минимум за год до майского отчета, а спецслужбы были в курсе происходящего и все это время вели тайное расследование, пытаясь оценить масштабы и степень возможного влияния киберинцидента.

Опасаясь повторения SolarWinds или Colonial Pipeline, в последние месяцы руководство США в составе совета нацбезопасности проводило серию совещаний в оперативной комнате в Белом доме, где обсуждалась стратегия защиты и возможные варианты ответных действий.

По наводке Microsoft недавнюю атаку с использованием вредоносных ПО приписали китайской АРТ Volt Typhoon без какой-либо публичной аргументации.

В свою очередь, Китай после публикации статьи NYT выступил с заявлением, отрицая свою причастность к инциденту и называя штаты гораздо более крупным киберпреступником.

Если ранее почти все эти кампании были связаны со сбором разведданных, то обнаружение вредоносного кода в американской инфраструктуре может указывать на то, что цели поменялись и несут имеют разрушительный потенциал.

Резюмируя, следует констатировать, что бумеранг вернулся и теперь бьет по голове. В ходе совместной с Израилем кампании с использованием Stuxnet, приведшей к разрушению инфраструктуры Ирана, вопросы этики почему-то их не заботили.

По нашему мнению, сейчас мы наблюдаем, что КНР всерьез готовиться к кибероперациям, что стало прямым следствием обострения отношений с Тайванем. Китай говорится не только защищаться, но и нападать.

Но будем посмотреть.

Японский производитель Canon выступил с предупреждением, что более 200 моделей его струйных принтеров могут раскрывать данные о конфигурации Wi-Fi.

Проблема затрагивает как домашние, так и офисные принтеры и потенциально может привести к раскрытию конфиденциальной информации в случае передачи оборудования третьими лицам (продаже, в ремонт или на утилизацию).

Недостаток обусловлен тем, что затронутые модели не стирают информацию о настройках подключения Wi-Fi должным образом в процессе инициализации, что позволяет извлечь ее и потенциально использовать для несанкционированного доступа к внутренним сетям.

Конкретная информация, хранящаяся в памяти принтеров Canon, различается в зависимости от модели и конфигурации, но обычно включает сетевой SSID, пароль, тип сети (WPA3, WEP и т. д.), назначенный IP-адрес, MAC-адрес и сетевой профиль.

Canon предоставила список из более чем 200 моделей принтеров, подверженных уязвимости.

Причем почти 60 моделей широкоформатных струйных принтеров обычно используются в корпоративном секторе.

Компания рекомендует выполнять полный сброс всех настроек, затем после включения беспроводной локальной сети и еще раз производить сброс всех настроек.

Для моделей, не имеющих функции сброса всех настроек, пользователям следует сбросить настройки локальной сети, включить беспроводную локальную сеть, а затем снова сбросить эти настройки.

Пока неясно, будут ли выпущены исправления, в любом случае, пожалуй, лучшее решение с точки зрения безопасности - изолировать принтеры в сети от ценных активов.

Исследователи BI.ZONE обнаружили кампанию по распространению White Snake для кражи корпоративных данных, нацеленную на российские организации.

Стилер White Snake распространяется через фишинговые письма под видом требований Роскомнадзора.

Причем, чтобы реализовать атаку с этим вредоносным ПО, киберпреступникам даже не нужно обладать опытом: достаточно лишь арендовать стилер для получения легитимных аутентификационных данных и первоначального доступа.

Его стоимость невысока, обращаться с программой несложно, поэтому спрос в даркнете на нее высокий.

Арендовать стилер можно всего за 140$ в месяц или купить неограниченный доступ за 1950$ в крипте.

Впервые в теневом сегменте интернета White Snake засветился в феврале 2023 года. Он активно рекламируется как средство для реализации целевых атак, в том числе через канал в Telegram.

После оплаты клиент получает билдер для создания экземпляров ВПО с различными опциями настройки и доступ к панели управления скомпрометированными устройствами.

Функционал стиллера позволяет извлекать пароли, копировать файлы, фиксировать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.

Как выяснили ресерчеры, успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.

В рамках наблюдаемой кампании жертвам направлялись фишинговые письма, к которому был прикреплен архив с тремя файлами.

Один из них представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.

Поскольку стилер может закрепляться в скомпрометированной системе, атакующие могут получить перманентный доступ к ней, выполнять команды и загружать дополнительное ВПО.

Более подробные сведения в отношении White Snake с индикаторами компрометации, MITRE ATT&CK и YARA доступны в отчете.

Исследователи CYFIRMA отследили новую шпионскую кампанию с использованием новейшего вредоносного ПО для Android, нацеленного на пользователей в Южной Азии, атрибутировав ее к APT Bahamut, которую, в свою очередь, приписали к Индии.

Хакеры используют поддельное приложение для Android под названием SafeChat для заражения устройств шпионским вредоносным ПО.

Предполагается, что шпионское ПО для Android представляет собой вариант Coverlm, который крадет данные из коммуникационных приложений, таких как Telegram, Signal, WhatsApp, Viber и Facebook Messenger.

Исследователи CYFIRMA отследили, что последние атаки которой проводились в основном с помощью целевых фишинговых сообщений в WhatsApp, отправляя вредоносную полезную нагрузку непосредственно жертве.

Кроме того, аналитики CYFIRMA подчеркнули некоторое сходство TTP с другой индийской APT DoNot APT (APT-C-35), которая ранее также отметилась распространением через Google Play поддельных чат-приложений со встроенным шпионским функционалом.

Safe Chat имеет обманчивый интерфейс, который делает его схожим с реальным ПО, заставляя пользователя давать разрешения на использование служб специальных возможностей, которые впоследствии используются для автоматического предоставления шпионскому ПО дополнительных разрешений.

Что позволяет ему получать доступ к списку контактов жертвы, SMS, журналам вызовов, внешнему хранилищу устройств и точным данным о местоположении зараженного устройства.

Приложение также запрашивает у пользователя подтверждение исключения из подсистемы оптимизации батареи Android, которая завершает фоновые процессы.

Специальный модуль эксфильтрации данных передает информацию с устройства на C2-сервер злоумышленника через порт 2053.

Украденные данные шифруются с помощью другого модуля, который поддерживает RSA, ECB и OAEPPadding. Кроме того, злоумышленники используют сертификат «letsencrypt», чтобы избежать любых попыток перехвата сетевых данных.

По итогу исследования CYFIRMA с достаточной степенью уверенности утверждает о наличии достаточных доказательств о работе Bahamut в интересах Индии.

Помимо этого, ресерчеры указывают на тесное сотрудничество группы с АРТ DoNot, о чем свидетельствует схожие методологии кражи данных, виктимология и таргетинг, а также использование одного и того же центра сертификации.

Безусловно, отсылки и логика атрибуции понятны, однако с категоричностью выводов вряд ли можно согласиться, учитывая неоднозначный бэкграунд группы.

Исследователи Proofpoint предупреждают о новой форме вредоносного ПО, внедряемого против итальянских организаций таинственной группой угроз TA544.

Малварь была впервые обнаружено в декабре прошлого года и получила название WikiLoader, поскольку использует популярную онлайн-энциклопедию Википедию для проверки подключения целевого устройства к Интернету.

Очень оригинальный маневр для уклонения, чтобы убедиться, что целевое устройство подключено к сети, а не находится в имитируемой среде, используемой для обнаружения и сдерживания атак от вредоносного ПО.

Как считают специалисты, целью WikiLoader является ослабление защиты целевой системы для запуска другого вредоносного ПО - трояна Ursnif, используемого для кражи конфиденциальных данных.

В этом году как минимум две кампании с Wikiloader использовались для установки Ursnif в качестве последующей полезной нагрузки, в первом из которых был отправлен заряженный документ от имени Итальянского налогового агентства с целью привлечь нужные организации.

До конца не известно с кем и с какой страной связана TA544, но предыдущие расследования Proofpoint установили, что группа угроз методично выбирает цели в Италии, Польше, Германии, Испании и Японии, по крайней мере с 2017 года.

Из последних выводов специалистов понятно, что малварь находится в активной разработке и его авторы, регулярно вносят изменения, дабы остаться незамеченным.

Новая атака по побочному каналу Collide+Power может позволить злоумышленнику получить конфиденциальную информацию.

CVE-2023-20583 работает практически на любом современном процессоре Intel, AMD или Arm и применима к любому приложению и любому типу данных.

группой исследователей из Технологического университета Граца в Австрии и Центра информационной безопасности CISPA в Германии.

Collide+Power также сравнивают с Meltdown и Microarchitectural Data Sampling (MDS).

Измерение энергопотребления ЦП на протяжении тысяч итераций совместно с изменением управляемых данных, позволяет злоумышленнику определить данные, связанные с пользовательскими приложениями.

Непривилегированный злоумышленник — например, используя вредоносное ПО, установленное на целевом устройстве, — может использовать атаку Collide+Power для получения ценных данных, таких как пароли или ключи шифрования.

При этом новая атака проще в исполнении по сравнению с аналогичными атаками по сторонним каналам, нацеленными на энергопотребление ЦП, такими как Hertzbleed и Platypus.

Они нацелены на криптографические алгоритмы и требовали точного знания алгоритма или программы-жертвы, в то время как Collide+Power нацелен на подсистему памяти ЦП.

Несмотря на то, что теоретически метод атаки может иметь серьезные последствия, на практике уровень утечки данных относительно низок, и маловероятно, что в ближайшее время этот метод вообще будет использоваться.

В идеальных условиях скорость утечки данных достигает 4,82 бита в час, злоумышленнику потребуется несколько часов, чтобы получить пароль, и несколько дней - на ключ шифрования. В реальности скорость еще ниже.

Не взирая на относительно невысокий риск атаки сегодня, исследование Collide+Power отображает потенциальные проблемы и открывает путь для будущих исследований.

Исследователи опубликовали документ с подробным описанием своей работы, а также создали специальный веб-сайт Collide+Power с обобщением результатов.

Поставщик решений для управления удаленным доступом BeyondTrust незаметно устранил критическую уязвимость в своих продуктах.

Уязвимость внедрения команд затрагивает Privileged Remote Access (PRA) и Remote Support (RS).

Она получила оценку 10/10 CVSS, ее можно использовать с помощью вредоносного HTTP-запроса.

Ошибка позволяет злоумышленнику, не прошедшему проверку подлинности, запускать вредоносный код в системе клиента.

Проблема была обнаружена внутри компании в рамках стандартных проверок кода и тестов на проникновение, однако сообщать о ней клиентам не поспешили.

Ошибку обещают исправить ​​в версии 23.2.3, которая скоро будет доступна. Исправление для 23.2.1 и 23.2.2 распространяется через обновления.

Клиентам облачных служб волноваться не стоит, до них исправления уже доставлены.

Mozilla выпустила Firefox 116, Firefox ESR 115.1 и Firefox ESR 102.14 с исправлениями для 14 CVE, включая 9 - высокой степени серьезности, некоторые из которых могут привести к RCE или выходу из песочницы.

Первая уязвимость высокой степени серьезности CVE-2023-4045 описывается как обход ограничений между источниками в Offscreen Canvas.

Второй серьезной проблемой является CVE-2023-4046, которая описывается как использование неверного значения во время компиляции WASM. Ошибка приводит к неправильной компиляции и потенциально опасному сбою в процессе работы с контентом.

Обновление браузера также устраняет CVE-2023-4047, обход запроса на разрешение с помощью кликджекинга.

Уязвимость позволяет заставить пользователя щелкнуть на элемент, но вместо этого зарегистрировать ввод как щелчок в диалоговом окне безопасности, которое не отображается для пользователя (включая доступ к местоположению, отправку уведомлений, активацию микрофона и тд).

Три другие уязвимости высокой степени серьезности включают:
- CVE-2023-4048 (чтение за пределами границ, вызывающее сбой DOMParser при деконструкции созданного HTML-файла),
- CVE-2023-4049 (приводит к use-after-free)
- CVE-2023-4050 (переполнение буфера стека в StorageManager, приводящее к выходу из песочницы).

Отслеживаемые как CVE-2023-4056, CVE-2023-4057 и CVE-2023-4058, ошибки безопасности памяти, устраненные в Firefox 116, могли привести к RCE.

По данным Mozilla, сведений об использовании этих уязвимостей в реальных атаках не получено.

Patchwork бросила свои усилия на университеты и исследовательские организации в Китае, о чем сообщили специалисты из команды KnownSec 404, которые также обнаружили использование нового бэкдора EyeShell.

Patchwork совсем не новый актор и отслеживается рядом компаний как Operation Hangover или Zinc Emerson, а на канале SecAtor группе в свое время был посвящен один из первых обзоров, ставший самым читаемым постом на канале.

Предположительно, хакеры орудуют в интересах Индии и активны как минимум с декабря 2015 года.

Целью злоумышленников обычно являются организации в Пакистане и Китае, атаки на которых осуществляются с использованием специфических фишинговых тактик и специализированных инструментов, таких как BADNEWS.

Интересный факт заключается в том, что субъект угрозы имеет тактические совпадения с другими группами кибершпионажа, так или иначе связанными с Индией, например SideWinder и DoNot Team.

В мае этого года Meta сообщала, что заблокировала 50 учетных записей в Facebook и Instagram, используемые Patchwork в мошеннических приложениях для обмена сообщениями, загруженных в Google Play, с целью сбора данных от жертв в Пакистане, Индии, Бангладеш, Шри-Ланке, Тибете, и Китае.

Причем созданные учетки были максимально продуманны, дабы с помощью социальной инженерии завлечь жертв для перехода по вредоносным ссылкам с последующей загрузкой вредоносных приложений.

Собственно, сама малварь EyeShell представляет собой модульный бэкдор, основанный на .NET, который обеспечивает связь с C2 и выполняет команды для перечисления файлов и директорий, загрузки и выгрузки файлов с хоста, выполнения и удаления файлов, а также создания скриншотов.

Клиентов Ivanti в последнее время спрашивают с какой новости начать: с плохой или очень плохой.

Вслед за последними сообщениями CISA и NCSC-NO о начале эксплуатации 0-day CVE-2023-35078 в купе с CVE-2023-35081 неустановленной АРТ еще в апреле, исследователи Rapid7 обнаружили новую критическую уязвимость в MobileIron Core, о чем сообщили в Ivanti 26 июля.

Уязвимость, отслеживаемая как CVE-2023-35082, представляет собой уязвимость удаленного доступа к API без проверки подлинности, затрагивающую MobileIron Core версии 11.2 и старше.

Успешная эксплуатация позволяет злоумышленникам получить доступ к личной информации (PII) пользователей мобильных устройств и скомпрометированных серверов путем развертывания веб-оболочек и объединении с другими уязвимостями.

Но что еще хуже, Ivanti заявила, что не будет выпускать исправления для этой уязвимости, поскольку она уже устранена в более новых версиях продукта Endpoint Manager Mobile (EPMM), а MobileIron Core 11.2 не поддерживается с 15 марта 2022 года.

Тем не менее, обнаружившие багу Rapid7 предоставили индикаторы компрометации (IOC), чтобы помочь вовремя отследить признаки атаки CVE-2023-35082, призывая немедленно обновить ПО MobileIron Core до последней версии.