Японский производитель Canon выступил с предупреждением, что более 200 моделей его струйных принтеров могут раскрывать данные о конфигурации Wi-Fi.

Проблема затрагивает как домашние, так и офисные принтеры и потенциально может привести к раскрытию конфиденциальной информации в случае передачи оборудования третьими лицам (продаже, в ремонт или на утилизацию).

Недостаток обусловлен тем, что затронутые модели не стирают информацию о настройках подключения Wi-Fi должным образом в процессе инициализации, что позволяет извлечь ее и потенциально использовать для несанкционированного доступа к внутренним сетям.

Конкретная информация, хранящаяся в памяти принтеров Canon, различается в зависимости от модели и конфигурации, но обычно включает сетевой SSID, пароль, тип сети (WPA3, WEP и т. д.), назначенный IP-адрес, MAC-адрес и сетевой профиль.

Canon предоставила список из более чем 200 моделей принтеров, подверженных уязвимости.

Причем почти 60 моделей широкоформатных струйных принтеров обычно используются в корпоративном секторе.

Компания рекомендует выполнять полный сброс всех настроек, затем после включения беспроводной локальной сети и еще раз производить сброс всех настроек.

Для моделей, не имеющих функции сброса всех настроек, пользователям следует сбросить настройки локальной сети, включить беспроводную локальную сеть, а затем снова сбросить эти настройки.

Пока неясно, будут ли выпущены исправления, в любом случае, пожалуй, лучшее решение с точки зрения безопасности - изолировать принтеры в сети от ценных активов.

Исследователи BI.ZONE обнаружили кампанию по распространению White Snake для кражи корпоративных данных, нацеленную на российские организации.

Стилер White Snake распространяется через фишинговые письма под видом требований Роскомнадзора.

Причем, чтобы реализовать атаку с этим вредоносным ПО, киберпреступникам даже не нужно обладать опытом: достаточно лишь арендовать стилер для получения легитимных аутентификационных данных и первоначального доступа.

Его стоимость невысока, обращаться с программой несложно, поэтому спрос в даркнете на нее высокий.

Арендовать стилер можно всего за 140$ в месяц или купить неограниченный доступ за 1950$ в крипте.

Впервые в теневом сегменте интернета White Snake засветился в феврале 2023 года. Он активно рекламируется как средство для реализации целевых атак, в том числе через канал в Telegram.

После оплаты клиент получает билдер для создания экземпляров ВПО с различными опциями настройки и доступ к панели управления скомпрометированными устройствами.

Функционал стиллера позволяет извлекать пароли, копировать файлы, фиксировать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.

Как выяснили ресерчеры, успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.

В рамках наблюдаемой кампании жертвам направлялись фишинговые письма, к которому был прикреплен архив с тремя файлами.

Один из них представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.

Поскольку стилер может закрепляться в скомпрометированной системе, атакующие могут получить перманентный доступ к ней, выполнять команды и загружать дополнительное ВПО.

Более подробные сведения в отношении White Snake с индикаторами компрометации, MITRE ATT&CK и YARA доступны в отчете.

Исследователи CYFIRMA отследили новую шпионскую кампанию с использованием новейшего вредоносного ПО для Android, нацеленного на пользователей в Южной Азии, атрибутировав ее к APT Bahamut, которую, в свою очередь, приписали к Индии.

Хакеры используют поддельное приложение для Android под названием SafeChat для заражения устройств шпионским вредоносным ПО.

Предполагается, что шпионское ПО для Android представляет собой вариант Coverlm, который крадет данные из коммуникационных приложений, таких как Telegram, Signal, WhatsApp, Viber и Facebook Messenger.

Исследователи CYFIRMA отследили, что последние атаки которой проводились в основном с помощью целевых фишинговых сообщений в WhatsApp, отправляя вредоносную полезную нагрузку непосредственно жертве.

Кроме того, аналитики CYFIRMA подчеркнули некоторое сходство TTP с другой индийской APT DoNot APT (APT-C-35), которая ранее также отметилась распространением через Google Play поддельных чат-приложений со встроенным шпионским функционалом.

Safe Chat имеет обманчивый интерфейс, который делает его схожим с реальным ПО, заставляя пользователя давать разрешения на использование служб специальных возможностей, которые впоследствии используются для автоматического предоставления шпионскому ПО дополнительных разрешений.

Что позволяет ему получать доступ к списку контактов жертвы, SMS, журналам вызовов, внешнему хранилищу устройств и точным данным о местоположении зараженного устройства.

Приложение также запрашивает у пользователя подтверждение исключения из подсистемы оптимизации батареи Android, которая завершает фоновые процессы.

Специальный модуль эксфильтрации данных передает информацию с устройства на C2-сервер злоумышленника через порт 2053.

Украденные данные шифруются с помощью другого модуля, который поддерживает RSA, ECB и OAEPPadding. Кроме того, злоумышленники используют сертификат «letsencrypt», чтобы избежать любых попыток перехвата сетевых данных.

По итогу исследования CYFIRMA с достаточной степенью уверенности утверждает о наличии достаточных доказательств о работе Bahamut в интересах Индии.

Помимо этого, ресерчеры указывают на тесное сотрудничество группы с АРТ DoNot, о чем свидетельствует схожие методологии кражи данных, виктимология и таргетинг, а также использование одного и того же центра сертификации.

Безусловно, отсылки и логика атрибуции понятны, однако с категоричностью выводов вряд ли можно согласиться, учитывая неоднозначный бэкграунд группы.

Исследователи Proofpoint предупреждают о новой форме вредоносного ПО, внедряемого против итальянских организаций таинственной группой угроз TA544.

Малварь была впервые обнаружено в декабре прошлого года и получила название WikiLoader, поскольку использует популярную онлайн-энциклопедию Википедию для проверки подключения целевого устройства к Интернету.

Очень оригинальный маневр для уклонения, чтобы убедиться, что целевое устройство подключено к сети, а не находится в имитируемой среде, используемой для обнаружения и сдерживания атак от вредоносного ПО.

Как считают специалисты, целью WikiLoader является ослабление защиты целевой системы для запуска другого вредоносного ПО - трояна Ursnif, используемого для кражи конфиденциальных данных.

В этом году как минимум две кампании с Wikiloader использовались для установки Ursnif в качестве последующей полезной нагрузки, в первом из которых был отправлен заряженный документ от имени Итальянского налогового агентства с целью привлечь нужные организации.

До конца не известно с кем и с какой страной связана TA544, но предыдущие расследования Proofpoint установили, что группа угроз методично выбирает цели в Италии, Польше, Германии, Испании и Японии, по крайней мере с 2017 года.

Из последних выводов специалистов понятно, что малварь находится в активной разработке и его авторы, регулярно вносят изменения, дабы остаться незамеченным.

Новая атака по побочному каналу Collide+Power может позволить злоумышленнику получить конфиденциальную информацию.

CVE-2023-20583 работает практически на любом современном процессоре Intel, AMD или Arm и применима к любому приложению и любому типу данных.

группой исследователей из Технологического университета Граца в Австрии и Центра информационной безопасности CISPA в Германии.

Collide+Power также сравнивают с Meltdown и Microarchitectural Data Sampling (MDS).

Измерение энергопотребления ЦП на протяжении тысяч итераций совместно с изменением управляемых данных, позволяет злоумышленнику определить данные, связанные с пользовательскими приложениями.

Непривилегированный злоумышленник — например, используя вредоносное ПО, установленное на целевом устройстве, — может использовать атаку Collide+Power для получения ценных данных, таких как пароли или ключи шифрования.

При этом новая атака проще в исполнении по сравнению с аналогичными атаками по сторонним каналам, нацеленными на энергопотребление ЦП, такими как Hertzbleed и Platypus.

Они нацелены на криптографические алгоритмы и требовали точного знания алгоритма или программы-жертвы, в то время как Collide+Power нацелен на подсистему памяти ЦП.

Несмотря на то, что теоретически метод атаки может иметь серьезные последствия, на практике уровень утечки данных относительно низок, и маловероятно, что в ближайшее время этот метод вообще будет использоваться.

В идеальных условиях скорость утечки данных достигает 4,82 бита в час, злоумышленнику потребуется несколько часов, чтобы получить пароль, и несколько дней - на ключ шифрования. В реальности скорость еще ниже.

Не взирая на относительно невысокий риск атаки сегодня, исследование Collide+Power отображает потенциальные проблемы и открывает путь для будущих исследований.

Исследователи опубликовали документ с подробным описанием своей работы, а также создали специальный веб-сайт Collide+Power с обобщением результатов.

Поставщик решений для управления удаленным доступом BeyondTrust незаметно устранил критическую уязвимость в своих продуктах.

Уязвимость внедрения команд затрагивает Privileged Remote Access (PRA) и Remote Support (RS).

Она получила оценку 10/10 CVSS, ее можно использовать с помощью вредоносного HTTP-запроса.

Ошибка позволяет злоумышленнику, не прошедшему проверку подлинности, запускать вредоносный код в системе клиента.

Проблема была обнаружена внутри компании в рамках стандартных проверок кода и тестов на проникновение, однако сообщать о ней клиентам не поспешили.

Ошибку обещают исправить ​​в версии 23.2.3, которая скоро будет доступна. Исправление для 23.2.1 и 23.2.2 распространяется через обновления.

Клиентам облачных служб волноваться не стоит, до них исправления уже доставлены.

Mozilla выпустила Firefox 116, Firefox ESR 115.1 и Firefox ESR 102.14 с исправлениями для 14 CVE, включая 9 - высокой степени серьезности, некоторые из которых могут привести к RCE или выходу из песочницы.

Первая уязвимость высокой степени серьезности CVE-2023-4045 описывается как обход ограничений между источниками в Offscreen Canvas.

Второй серьезной проблемой является CVE-2023-4046, которая описывается как использование неверного значения во время компиляции WASM. Ошибка приводит к неправильной компиляции и потенциально опасному сбою в процессе работы с контентом.

Обновление браузера также устраняет CVE-2023-4047, обход запроса на разрешение с помощью кликджекинга.

Уязвимость позволяет заставить пользователя щелкнуть на элемент, но вместо этого зарегистрировать ввод как щелчок в диалоговом окне безопасности, которое не отображается для пользователя (включая доступ к местоположению, отправку уведомлений, активацию микрофона и тд).

Три другие уязвимости высокой степени серьезности включают:
- CVE-2023-4048 (чтение за пределами границ, вызывающее сбой DOMParser при деконструкции созданного HTML-файла),
- CVE-2023-4049 (приводит к use-after-free)
- CVE-2023-4050 (переполнение буфера стека в StorageManager, приводящее к выходу из песочницы).

Отслеживаемые как CVE-2023-4056, CVE-2023-4057 и CVE-2023-4058, ошибки безопасности памяти, устраненные в Firefox 116, могли привести к RCE.

По данным Mozilla, сведений об использовании этих уязвимостей в реальных атаках не получено.

Patchwork бросила свои усилия на университеты и исследовательские организации в Китае, о чем сообщили специалисты из команды KnownSec 404, которые также обнаружили использование нового бэкдора EyeShell.

Patchwork совсем не новый актор и отслеживается рядом компаний как Operation Hangover или Zinc Emerson, а на канале SecAtor группе в свое время был посвящен один из первых обзоров, ставший самым читаемым постом на канале.

Предположительно, хакеры орудуют в интересах Индии и активны как минимум с декабря 2015 года.

Целью злоумышленников обычно являются организации в Пакистане и Китае, атаки на которых осуществляются с использованием специфических фишинговых тактик и специализированных инструментов, таких как BADNEWS.

Интересный факт заключается в том, что субъект угрозы имеет тактические совпадения с другими группами кибершпионажа, так или иначе связанными с Индией, например SideWinder и DoNot Team.

В мае этого года Meta сообщала, что заблокировала 50 учетных записей в Facebook и Instagram, используемые Patchwork в мошеннических приложениях для обмена сообщениями, загруженных в Google Play, с целью сбора данных от жертв в Пакистане, Индии, Бангладеш, Шри-Ланке, Тибете, и Китае.

Причем созданные учетки были максимально продуманны, дабы с помощью социальной инженерии завлечь жертв для перехода по вредоносным ссылкам с последующей загрузкой вредоносных приложений.

Собственно, сама малварь EyeShell представляет собой модульный бэкдор, основанный на .NET, который обеспечивает связь с C2 и выполняет команды для перечисления файлов и директорий, загрузки и выгрузки файлов с хоста, выполнения и удаления файлов, а также создания скриншотов.

Клиентов Ivanti в последнее время спрашивают с какой новости начать: с плохой или очень плохой.

Вслед за последними сообщениями CISA и NCSC-NO о начале эксплуатации 0-day CVE-2023-35078 в купе с CVE-2023-35081 неустановленной АРТ еще в апреле, исследователи Rapid7 обнаружили новую критическую уязвимость в MobileIron Core, о чем сообщили в Ivanti 26 июля.

Уязвимость, отслеживаемая как CVE-2023-35082, представляет собой уязвимость удаленного доступа к API без проверки подлинности, затрагивающую MobileIron Core версии 11.2 и старше.

Успешная эксплуатация позволяет злоумышленникам получить доступ к личной информации (PII) пользователей мобильных устройств и скомпрометированных серверов путем развертывания веб-оболочек и объединении с другими уязвимостями.

Но что еще хуже, Ivanti заявила, что не будет выпускать исправления для этой уязвимости, поскольку она уже устранена в более новых версиях продукта Endpoint Manager Mobile (EPMM), а MobileIron Core 11.2 не поддерживается с 15 марта 2022 года.

Тем не менее, обнаружившие багу Rapid7 предоставили индикаторы компрометации (IOC), чтобы помочь вовремя отследить признаки атаки CVE-2023-35082, призывая немедленно обновить ПО MobileIron Core до последней версии.

Исследователи из Shadowserver Foundation сообщают о взломе более 640 серверов Citrix Netscaler ADC и Gateway в рамках начавшейся широкомасштабной кампании.

Атаки нацелены на критическую RCE-уязвимость, отслеживаемую как CVE-2023-3519, которая ранее уже использовалась как 0-day для сети одной из критически важных инфраструктурных организаций в США.

В новой кампании используется довольно стандартный China Chopper, но исследователи решили пока не раскрывать все обстоятельства фиксируемых инцидентов.

Как полагают в Shadowserver, о широкомасштабной эксплуатации им стало известно еще 20 июля. Причем в реальности число устройств с веб-шеллами намного больше, нежели выявленные по состоянию на 30 июля 640.

Ведь около двух недель назад количество устройств Citrix, уязвимых для атак CVE-2023-3519, составляло около 15 000, и с тех пор хоть и упало до менее 10 000, но по-прежнему открывает злоумышленникам простор для маневров.

На момент выпуска 18 июля обновления безопасности для устранения уязвимости Citrix уже столкнулась с эксплойтами на уязвимых устройствах.

Уязвимость, в первую очередь затрагивает неисправленные устройства Netscaler, сконфигурированные как шлюзы (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальные серверы проверки подлинности (сервер AAA).

В дополнение к устранению CVE-2023-3519, Citrix в тот же день также исправила две другие уязвимости высокой степени опасности, CVE-2023-3466 и CVE-2023-3467, которые могли использоваться для XSS-атак и повышение привилегий до root.

Исследователи призывают клиентов без промедления установить исправления.

Поскольку в недалеком прошлом банды вымогателей, в том числе REvil и DoppelPaymer, уже обращались к аналогичным уязвимостям Citrix Netscaler ADC и Gateway для взлома корпоративных сетей.

Google сообщает об обновлении Chrome 115 и исправляет 17 уязвимостей, в том числе 11 недостатков, о которых сообщили внешние исследователи.

Обновление браузера устраняет три серьезные ошибки путаницы типов в движке V8 JavaScript и WebAssembly, которые принесли исследователям более 60 000 долларов в качестве вознаграждения.

43 000 долларов ушло исследователю по имени Джерри, который сообщил о двух из этих проблем V8, отслеживаемых как CVE-2023-4068 и CVE-2023-4070.

Награда за ошибку в размере 21 000 долларов США была присуждена Ман Юэ Мо из GitHub Security Lab за сообщение об ошибке в WebAssembly, отслеживаемой как CVE-2023-4069.

Последнее обновление Chrome устраняет шесть других серьезных уязвимостей. Судя по суммам вознаграждений, наиболее серьезной из них является CVE-2023-4071, ошибка переполнения буфера кучи в Visuals.

Следующей по очередности является проблема чтения и записи за пределами памяти в WebGL (CVE-2023-4072), за которой следует уязвимость доступа к памяти за пределами выделенного уровня абстракции графического движка ANGLE (CVE-2023-4073).

Остальные три дефекта безопасности высокой степени серьезности, о которых сообщалось извне, представляют собой уязвимости использования после освобождения в планировании задач Blink, Cast и WebRTC.

Последняя версия Chrome также закрывает две ошибки средней степени серьезности в расширениях и в настоящее время распространяется как 115.0.5790.170 для Mac и Linux и 115.0.5790.170/.171 для Windows.

Согласно данным, собранным SynSaber, в первой половине 2023 года около 34% уязвимостей, влияющих на ICS, не имеют исправлений, что на 13% больше чем в предыдущем году.

Из 670 проанализированных CVE 88 имеют критический рейтинг, 349 — высокий, 215 — средний и 18 — низкий уровень серьезности.

227 из них не исправлены по сравнению с 88 в первом полугодии 2022 года.

При этом наиболее уязвимыми секторами являются: производство (37,3% от общего числа зарегистрированных CVE) и энергетика (24,3%).

Далее по вертикали следуют: водоснабжение и водоотведение, коммерческие объекты, связь, транспорт, химпромышленность, здравоохранение, сельское хозяйство и госучреждения.

Из интересного:

- Mitsubishi Electric (20,5%), Siemens (18,2%) и Rockwell Automation (15,9%) оказались наиболее уязвимыми поставщиками в критически важном производственном секторе,

- Hitachi Energy (39,5%), Advantech (10,5%), Delta Electronics и Rockwell Automation (оба по 7,9%) - в энергетическом секторе.

- Siemens стала лидером по наибольшему числу CVE, на которую пришлось 41 рекомендация ICS.

- Использование после свободного чтения за пределами допустимого диапазона, неправильная проверка ввода, запись за пределами допустимого диапазона и состояние гонки были пятью основными недостатками ПО.

- Большинство отчетов CVE (84,6%) поступило от производителей оригинального оборудования (OEM) и поставщиков систем безопасности в США, за которыми следуют Китай, Израиль и Япония.

- На независимые и академические исследования приходилось 9,4% и 3,9% соответственно.

- Критические Forever-Day по-прежнему остаются важной проблемой, в связи с EOL ряда продуктов ICS.

SynSaber рекомендует организациям отслеживать недостатки для своих сред из нескольких источников, проявляя осторожность в плане оценки уязвимости в контексте среды OT, каждая из которых уникальна, и влияние будет сильно различаться для каждой организации.

Под страхом, что искусственный интеллект завоюет мир, в Китае решили запретить ChatGPT, а также намереваются распространить ограничения и на приложения, которые его используют.

Пока опасения связанны не с восстанием машин, а с тем, что машины использующие ИИ могут заместить многие человеческие функции, что на фоне эскалации торговой войны против США совсем не на руку Поднебесной.

Как сообщили в TechNode, Китай ужесточает правила, связанные с технологиями глубокого синтеза (DST) и сервисами генеративного ИИ, включая ChatGPT. В соответствии с распоряжением правительства ряд приложений будет недоступен в китайском App Store.

Кроме того, все формы DST должны будут иметь лицензию Министерства промышленности и информационных технологий.

Под санкции ведомства уже попал один из пользователей приложения, который не был напрямую связан с ChatGPT, но который, по мнению властей Китая, использовал генератор контента AI.

Месседж примерно следующего содержания: «На основании нашего обзора ваше приложение связано с ChatGPT, у которого нет необходимых разрешений для работы в Китае».

Собственно вышеизложенное означает, что любая программа, которая, по мнению правительства КНР, использует ChatGPT или любую другую неутвержденную модель ИИ, может фактически попасть под запрет.

На самом деле будем посмотреть, насколько эффективно "железный файервол" в массе своей справится со столь не тривиальной задачей.

Нам тут пишут, что Касперские добавили в свое приложение Who Calls возможность блокировать вызовы в мессенджерах. Пока только в бету и пока только вызовы WhatsApp, но, как говорится, crazy trouble begining (c)

Собственно сама бета доступна по ссылке здесь - https://play.google.com/store/apps/details?id=com.kaspersky.who_calls

Скачайте, если не сложно, помогите людям спамерскую базу подсобрать. Приложение условно-бесплатное, основные функции работают "за просто х**" (с), сами пользуемся. Благое же дело.

/убежали покупать новые розовые вейпы за кэш, полученный от Касперских

Руководство Tenable обвинило Microsoft в крайней безответственности и вопиющей некомпетентности в части устранения недостатков безопасности в облачной платформе Azure.

Резкая критика связана с уязвимостью в системе безопасности, обнаруженной исследователями Tenable в платформе Azure, которая позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к межтенантным приложениям и получить данные любого клиента.

После уведомления Microsoft о проблеме, спустя три месяца последовало частичное исправление, которое уже традиционно толком либо ничего не исправляет, точнее исправляет для «галочки».

Причем применили его только к новым приложениям, развернутым на платформе Azure, оставляя всех предыдущих клиентов по-прежнему уязвимыми для атак.

После чего Microsoft обычно бьет в себя в грудь и обещает с обещаниями все исправить, но только в сентябре, что конечно же значительно превышает общепринятый 90-дневный срок для раскрытия, даже несмотря на всю критичность проблемы.

Самое досадное в ситуации то, что Microsoft решила не уведомлять клиентов о проблеме и о рисках.

Возмущение Tenable понять можно, особенно, если такое повторяется в работе с Microsoft уже второй раз, после аналогичного сообщения в прошлом году в июне.

Возможно, микромягкие проигнорировали ли бы сообщение, но неделю назад американские сенаторы инициировали расследование по Microsoft на предмет ее серьезных и неоднократных нарушений безопасности.

За несколько часов до запланированной публикации бюллетеня Microsoft внезапно выпустила полное исправление для уязвимости и применила его для всех приложений и клиентов Azure.

Патч появился после того, как компанию подвергли публичной экзекуции и последовавшего ускорения (пинка), что Microsoft совершает уже в 100500+ раз.

В свою очередь, Tenable также выпустила подробный отчет об уязвимости вместе с PoC.

Исследователи Cisco Talos предупреждают о десятках критических и особо серьезных RCE-уязвимостей, затрагивающих промышленный маршрутизатор Milesight UR32L.

Все проблемы были выявлены в рамках более широкого исследования по изучению маршрутизаторов SOHO.

По результатам которого с 2018 года было в общей сложности раскрыто 289 уязвимостей в Asus, D-Link, InHand Network, Linksys, Netgear, Robustel, Sierra Wireless, Siretta, Synology, TCL, TP-Link и ZTE, а OpenWrt, FreshTomato, Asuswrt и NetUSB.

Маршрутизатор UR32L обеспечивает поддержку WCDMA и 4G LTE, порты Ethernet и удаленное управление устройствами, что делает его востребованным для широкого спектра приложений M2M/IoT.

В ходе исследования маршрутизатора UR32L и связанного с ним решения для удаленного доступа MilesightVPN ресерчеры представили более 20 отчетов об уязвимостях, в результате которых было присвоено 69 CVE, из которых 63 влияют именно на промышленный маршрутизатор.

Наиболее серьезной из выявленных проблем является CVE-2023-23902 (оценка CVSS 9,8) и связана с переполнением буфера удаленного стека перед аутентификацией, которая может привести к RCE через сетевые запросы.

За исключением двух ошибок, остальные уязвимости, влияющие на маршрутизатор UR32L, представляют собой недостатки высокой степени серьезности, большинство из которых также могут привести к выполнению произвольного кода или команд.

Уязвимости, затрагивающие MilesightVPN, могут быть использованы для выполнения команд, чтения произвольных файлов, обхода аутентификации и внедрения произвольного кода Javascript.

Злоумышленник может использовать обход аутентификации в программном обеспечении VPN (отслеживается как CVE-2023-22319), а затем выполнять произвольный код на устройстве, используя CVE-2023-23902.

Поставщика уведомили о недостатках в феврале 2023 года, и по началу Milesight не спешили их исправлять. Потом исправились и уже отправили в Talos тестовую версию обновления.

Хакеры Mysterious Team Bangladesh под религиозным и политическим началом продолжает утюжить Индийскую и Израильскую логистическую инфраструктуру, а также государственные и финансовые учреждения.

Ресерчеры из Group-IB уже год отслеживают хактивистов и приписывают им более 750 распределенных DDoS-атак и 78 дефейсов веб-сайтов с июня 2022 года.

Причем злонамеренные воздействия на Индию символично начались 22 июня 2022 года, когда группа прошлась по государственным ресурсам и веб-сайтам банков и финансовых организаций.

Как ни банально бы не звучало, но Mysterious Team Bangladesh подозревают в бангладешском происхождении, о чем собственно злоумышленники заявляли о своей освободительской миссии в Facebook. В чем, почему-то почти никто не сомневается, в отличие от суданцев.

Группа максимально близка к народу и ведет активную деятельность в социальных сетях через Telegram и Twitter.

Имеется даже профиль на LinkedIn, где «Операция Израиль» указана как текущий проект группировки поддерживающий Палестину.

Как мы уже сказали, группа чаще всего атакует организации в сфере логистики, финансов, госуправления Индии и Израиля, однако имели место быть и другие цели, такие как Австралия, Сенегал, Нидерланды, Швеция, Эфиопия и ОАЭ.

Видимо, у группировки, как у самураев нету цели, есть только путь на фоне растущей тенденции активного вмешательства хактивистов в различные политические процессы по всему миру.

Команда исследователей из британских университетов на основе глубокого обучения разработали CoANet, которая реализует акустическую атаку по сторонним каналам, позволяя с точностью в 95% считывать нажатия клавиатуры.

Новая атака серьезно влияет на безопасность данных и может привести к утечке паролей, обсуждений, сообщений или другой конфиденциальной информации злоумышленникам.

Все осложняется тем, что в отличие от других атак по побочным каналам, которые требуют особых условий, акустические атаки намного проще из-за широкого распространения устройств с микрофонами и возможностью производить высококачественный захват звука.

Что в сочетании с быстрым прогрессом в машинном обучении, делает атаки по сторонним каналам на основе звука возможными и намного более опасными, чем предполагалось ранее.

Для проведения атаки на первом этапе с помощью вредоносного ПО, имеющим доступ к микрофону цели, фиксируется нажатия клавиш на клавиатуре цели для обучения алгоритма прогнозирования.

В качестве альтернативы запись может быть реализована в ходе вызова Zoom, в рамках которого фиксируется корреляция между сообщениями, набранными целью, и их звукозаписью.

При этом для опытов на практике данные собирались через нажатия 36 клавиш (по 25 раз каждую) на современном MacBook Pro и записью звук, издаваемого каждым нажатием, а также iPhone 13 mini, расположенный на расстоянии 17 см от цели, и Zoom.

На их основе проводился анализ спектрограмм записей, визуализирующих различия для каждой клавиши. Изображения использовались для обучения CoAtNet.

По итогу CoANet показал 95% точности по записям со смартфона и 93% по данным, снятым через Zoom.

Skype дал более низкую, но пригодную для атаки точность 91,7%.

В качестве мер по смягчению исследователи посоветовали изменять стиль ввода или использовать случайные пароли.

В числе других потенциальных мер защиты выделили использование ПО для воспроизведения звуков нажатия клавиш, белого шума или программных аудиофильтров нажатий клавиш.

Причем добавление шумопоглотителей на механические клавиатуры или переход на мембранные клавиатуры не позволят защититься от новой атаки.

Исследователи из GuidePoint Security сообщают, что злоумышленники активно злоупотребляют инструментом Cloudflare Tunnel с открытым исходным кодом для поддержания скрытого постоянного доступа к скомпрометированным системам.

Cloudflared — это клиент командной строки для Cloudflare Tunnel, демона туннелирования для проксирования трафика между сетью Cloudflare и источником пользователя.

Инструмент создает исходящее соединение через HTTPS, при этом настройками соединения можно управлять с помощью панели инструментовм. При этом SSH, RDP, SMB и другие, напрямую доступны извне без необходимости изменять правила брандмауэра.

Для злоумышленников это открывает прекрасную возможность сохранять доступ к среде жертвы, не раскрывая себя. Однако злоумышленнику необходим доступ к целевой системе, чтобы запустить Cloudflared и установить соединение.

Поскольку для Cloudflared требуется только токен, злоумышленник может инициировать эти команды, не раскрывая никаких своих конфигураций на машине-жертве до успешного подключения к туннелю.

После того, как туннель установлен, Cloudflared сохраняет конфигурацию в рабочем процессе, что позволяет злоумышленнику вносить изменения сходу после установления соединения, включив RDP и SMB на машине-жертве.

Учитывая, что Cloudflared является легальным инструментом, поддерживаемым в основных ОС, большинство сетевых средств защиты пропускают трафик, что позволяет злоумышленникам сохранять доступ, не раскрывая их инфраструктуру, за исключением токена, назначенного их туннелю.

Злоумышленники могут использовать функцию конфигурации туннеля «частные сети», чтобы получить доступ к локальной сети, как если бы они физически находились рядом с машиной-жертвой, на которой размещен туннель, и взаимодействовать с любым устройством в сети.

По словам GuidePoint, основная проблема с Cloudflared заключается в том, что этот инструмент не хранит журналы, а активность можно просматривать только в режиме реального времени.

Организации, использующие Cloudflare, потенциально могут ограничиться определенными ЦОД и генерировать обнаружения левых туннелей.