Patchwork бросила свои усилия на университеты и исследовательские организации в Китае, о чем сообщили специалисты из команды KnownSec 404, которые также обнаружили использование нового бэкдора EyeShell.

Patchwork совсем не новый актор и отслеживается рядом компаний как Operation Hangover или Zinc Emerson, а на канале SecAtor группе в свое время был посвящен один из первых обзоров, ставший самым читаемым постом на канале.

Предположительно, хакеры орудуют в интересах Индии и активны как минимум с декабря 2015 года.

Целью злоумышленников обычно являются организации в Пакистане и Китае, атаки на которых осуществляются с использованием специфических фишинговых тактик и специализированных инструментов, таких как BADNEWS.

Интересный факт заключается в том, что субъект угрозы имеет тактические совпадения с другими группами кибершпионажа, так или иначе связанными с Индией, например SideWinder и DoNot Team.

В мае этого года Meta сообщала, что заблокировала 50 учетных записей в Facebook и Instagram, используемые Patchwork в мошеннических приложениях для обмена сообщениями, загруженных в Google Play, с целью сбора данных от жертв в Пакистане, Индии, Бангладеш, Шри-Ланке, Тибете, и Китае.

Причем созданные учетки были максимально продуманны, дабы с помощью социальной инженерии завлечь жертв для перехода по вредоносным ссылкам с последующей загрузкой вредоносных приложений.

Собственно, сама малварь EyeShell представляет собой модульный бэкдор, основанный на .NET, который обеспечивает связь с C2 и выполняет команды для перечисления файлов и директорий, загрузки и выгрузки файлов с хоста, выполнения и удаления файлов, а также создания скриншотов.

Клиентов Ivanti в последнее время спрашивают с какой новости начать: с плохой или очень плохой.

Вслед за последними сообщениями CISA и NCSC-NO о начале эксплуатации 0-day CVE-2023-35078 в купе с CVE-2023-35081 неустановленной АРТ еще в апреле, исследователи Rapid7 обнаружили новую критическую уязвимость в MobileIron Core, о чем сообщили в Ivanti 26 июля.

Уязвимость, отслеживаемая как CVE-2023-35082, представляет собой уязвимость удаленного доступа к API без проверки подлинности, затрагивающую MobileIron Core версии 11.2 и старше.

Успешная эксплуатация позволяет злоумышленникам получить доступ к личной информации (PII) пользователей мобильных устройств и скомпрометированных серверов путем развертывания веб-оболочек и объединении с другими уязвимостями.

Но что еще хуже, Ivanti заявила, что не будет выпускать исправления для этой уязвимости, поскольку она уже устранена в более новых версиях продукта Endpoint Manager Mobile (EPMM), а MobileIron Core 11.2 не поддерживается с 15 марта 2022 года.

Тем не менее, обнаружившие багу Rapid7 предоставили индикаторы компрометации (IOC), чтобы помочь вовремя отследить признаки атаки CVE-2023-35082, призывая немедленно обновить ПО MobileIron Core до последней версии.

Исследователи из Shadowserver Foundation сообщают о взломе более 640 серверов Citrix Netscaler ADC и Gateway в рамках начавшейся широкомасштабной кампании.

Атаки нацелены на критическую RCE-уязвимость, отслеживаемую как CVE-2023-3519, которая ранее уже использовалась как 0-day для сети одной из критически важных инфраструктурных организаций в США.

В новой кампании используется довольно стандартный China Chopper, но исследователи решили пока не раскрывать все обстоятельства фиксируемых инцидентов.

Как полагают в Shadowserver, о широкомасштабной эксплуатации им стало известно еще 20 июля. Причем в реальности число устройств с веб-шеллами намного больше, нежели выявленные по состоянию на 30 июля 640.

Ведь около двух недель назад количество устройств Citrix, уязвимых для атак CVE-2023-3519, составляло около 15 000, и с тех пор хоть и упало до менее 10 000, но по-прежнему открывает злоумышленникам простор для маневров.

На момент выпуска 18 июля обновления безопасности для устранения уязвимости Citrix уже столкнулась с эксплойтами на уязвимых устройствах.

Уязвимость, в первую очередь затрагивает неисправленные устройства Netscaler, сконфигурированные как шлюзы (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальные серверы проверки подлинности (сервер AAA).

В дополнение к устранению CVE-2023-3519, Citrix в тот же день также исправила две другие уязвимости высокой степени опасности, CVE-2023-3466 и CVE-2023-3467, которые могли использоваться для XSS-атак и повышение привилегий до root.

Исследователи призывают клиентов без промедления установить исправления.

Поскольку в недалеком прошлом банды вымогателей, в том числе REvil и DoppelPaymer, уже обращались к аналогичным уязвимостям Citrix Netscaler ADC и Gateway для взлома корпоративных сетей.

Google сообщает об обновлении Chrome 115 и исправляет 17 уязвимостей, в том числе 11 недостатков, о которых сообщили внешние исследователи.

Обновление браузера устраняет три серьезные ошибки путаницы типов в движке V8 JavaScript и WebAssembly, которые принесли исследователям более 60 000 долларов в качестве вознаграждения.

43 000 долларов ушло исследователю по имени Джерри, который сообщил о двух из этих проблем V8, отслеживаемых как CVE-2023-4068 и CVE-2023-4070.

Награда за ошибку в размере 21 000 долларов США была присуждена Ман Юэ Мо из GitHub Security Lab за сообщение об ошибке в WebAssembly, отслеживаемой как CVE-2023-4069.

Последнее обновление Chrome устраняет шесть других серьезных уязвимостей. Судя по суммам вознаграждений, наиболее серьезной из них является CVE-2023-4071, ошибка переполнения буфера кучи в Visuals.

Следующей по очередности является проблема чтения и записи за пределами памяти в WebGL (CVE-2023-4072), за которой следует уязвимость доступа к памяти за пределами выделенного уровня абстракции графического движка ANGLE (CVE-2023-4073).

Остальные три дефекта безопасности высокой степени серьезности, о которых сообщалось извне, представляют собой уязвимости использования после освобождения в планировании задач Blink, Cast и WebRTC.

Последняя версия Chrome также закрывает две ошибки средней степени серьезности в расширениях и в настоящее время распространяется как 115.0.5790.170 для Mac и Linux и 115.0.5790.170/.171 для Windows.

Согласно данным, собранным SynSaber, в первой половине 2023 года около 34% уязвимостей, влияющих на ICS, не имеют исправлений, что на 13% больше чем в предыдущем году.

Из 670 проанализированных CVE 88 имеют критический рейтинг, 349 — высокий, 215 — средний и 18 — низкий уровень серьезности.

227 из них не исправлены по сравнению с 88 в первом полугодии 2022 года.

При этом наиболее уязвимыми секторами являются: производство (37,3% от общего числа зарегистрированных CVE) и энергетика (24,3%).

Далее по вертикали следуют: водоснабжение и водоотведение, коммерческие объекты, связь, транспорт, химпромышленность, здравоохранение, сельское хозяйство и госучреждения.

Из интересного:

- Mitsubishi Electric (20,5%), Siemens (18,2%) и Rockwell Automation (15,9%) оказались наиболее уязвимыми поставщиками в критически важном производственном секторе,

- Hitachi Energy (39,5%), Advantech (10,5%), Delta Electronics и Rockwell Automation (оба по 7,9%) - в энергетическом секторе.

- Siemens стала лидером по наибольшему числу CVE, на которую пришлось 41 рекомендация ICS.

- Использование после свободного чтения за пределами допустимого диапазона, неправильная проверка ввода, запись за пределами допустимого диапазона и состояние гонки были пятью основными недостатками ПО.

- Большинство отчетов CVE (84,6%) поступило от производителей оригинального оборудования (OEM) и поставщиков систем безопасности в США, за которыми следуют Китай, Израиль и Япония.

- На независимые и академические исследования приходилось 9,4% и 3,9% соответственно.

- Критические Forever-Day по-прежнему остаются важной проблемой, в связи с EOL ряда продуктов ICS.

SynSaber рекомендует организациям отслеживать недостатки для своих сред из нескольких источников, проявляя осторожность в плане оценки уязвимости в контексте среды OT, каждая из которых уникальна, и влияние будет сильно различаться для каждой организации.

Под страхом, что искусственный интеллект завоюет мир, в Китае решили запретить ChatGPT, а также намереваются распространить ограничения и на приложения, которые его используют.

Пока опасения связанны не с восстанием машин, а с тем, что машины использующие ИИ могут заместить многие человеческие функции, что на фоне эскалации торговой войны против США совсем не на руку Поднебесной.

Как сообщили в TechNode, Китай ужесточает правила, связанные с технологиями глубокого синтеза (DST) и сервисами генеративного ИИ, включая ChatGPT. В соответствии с распоряжением правительства ряд приложений будет недоступен в китайском App Store.

Кроме того, все формы DST должны будут иметь лицензию Министерства промышленности и информационных технологий.

Под санкции ведомства уже попал один из пользователей приложения, который не был напрямую связан с ChatGPT, но который, по мнению властей Китая, использовал генератор контента AI.

Месседж примерно следующего содержания: «На основании нашего обзора ваше приложение связано с ChatGPT, у которого нет необходимых разрешений для работы в Китае».

Собственно вышеизложенное означает, что любая программа, которая, по мнению правительства КНР, использует ChatGPT или любую другую неутвержденную модель ИИ, может фактически попасть под запрет.

На самом деле будем посмотреть, насколько эффективно "железный файервол" в массе своей справится со столь не тривиальной задачей.

Нам тут пишут, что Касперские добавили в свое приложение Who Calls возможность блокировать вызовы в мессенджерах. Пока только в бету и пока только вызовы WhatsApp, но, как говорится, crazy trouble begining (c)

Собственно сама бета доступна по ссылке здесь - https://play.google.com/store/apps/details?id=com.kaspersky.who_calls

Скачайте, если не сложно, помогите людям спамерскую базу подсобрать. Приложение условно-бесплатное, основные функции работают "за просто х**" (с), сами пользуемся. Благое же дело.

/убежали покупать новые розовые вейпы за кэш, полученный от Касперских

Руководство Tenable обвинило Microsoft в крайней безответственности и вопиющей некомпетентности в части устранения недостатков безопасности в облачной платформе Azure.

Резкая критика связана с уязвимостью в системе безопасности, обнаруженной исследователями Tenable в платформе Azure, которая позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к межтенантным приложениям и получить данные любого клиента.

После уведомления Microsoft о проблеме, спустя три месяца последовало частичное исправление, которое уже традиционно толком либо ничего не исправляет, точнее исправляет для «галочки».

Причем применили его только к новым приложениям, развернутым на платформе Azure, оставляя всех предыдущих клиентов по-прежнему уязвимыми для атак.

После чего Microsoft обычно бьет в себя в грудь и обещает с обещаниями все исправить, но только в сентябре, что конечно же значительно превышает общепринятый 90-дневный срок для раскрытия, даже несмотря на всю критичность проблемы.

Самое досадное в ситуации то, что Microsoft решила не уведомлять клиентов о проблеме и о рисках.

Возмущение Tenable понять можно, особенно, если такое повторяется в работе с Microsoft уже второй раз, после аналогичного сообщения в прошлом году в июне.

Возможно, микромягкие проигнорировали ли бы сообщение, но неделю назад американские сенаторы инициировали расследование по Microsoft на предмет ее серьезных и неоднократных нарушений безопасности.

За несколько часов до запланированной публикации бюллетеня Microsoft внезапно выпустила полное исправление для уязвимости и применила его для всех приложений и клиентов Azure.

Патч появился после того, как компанию подвергли публичной экзекуции и последовавшего ускорения (пинка), что Microsoft совершает уже в 100500+ раз.

В свою очередь, Tenable также выпустила подробный отчет об уязвимости вместе с PoC.

Исследователи Cisco Talos предупреждают о десятках критических и особо серьезных RCE-уязвимостей, затрагивающих промышленный маршрутизатор Milesight UR32L.

Все проблемы были выявлены в рамках более широкого исследования по изучению маршрутизаторов SOHO.

По результатам которого с 2018 года было в общей сложности раскрыто 289 уязвимостей в Asus, D-Link, InHand Network, Linksys, Netgear, Robustel, Sierra Wireless, Siretta, Synology, TCL, TP-Link и ZTE, а OpenWrt, FreshTomato, Asuswrt и NetUSB.

Маршрутизатор UR32L обеспечивает поддержку WCDMA и 4G LTE, порты Ethernet и удаленное управление устройствами, что делает его востребованным для широкого спектра приложений M2M/IoT.

В ходе исследования маршрутизатора UR32L и связанного с ним решения для удаленного доступа MilesightVPN ресерчеры представили более 20 отчетов об уязвимостях, в результате которых было присвоено 69 CVE, из которых 63 влияют именно на промышленный маршрутизатор.

Наиболее серьезной из выявленных проблем является CVE-2023-23902 (оценка CVSS 9,8) и связана с переполнением буфера удаленного стека перед аутентификацией, которая может привести к RCE через сетевые запросы.

За исключением двух ошибок, остальные уязвимости, влияющие на маршрутизатор UR32L, представляют собой недостатки высокой степени серьезности, большинство из которых также могут привести к выполнению произвольного кода или команд.

Уязвимости, затрагивающие MilesightVPN, могут быть использованы для выполнения команд, чтения произвольных файлов, обхода аутентификации и внедрения произвольного кода Javascript.

Злоумышленник может использовать обход аутентификации в программном обеспечении VPN (отслеживается как CVE-2023-22319), а затем выполнять произвольный код на устройстве, используя CVE-2023-23902.

Поставщика уведомили о недостатках в феврале 2023 года, и по началу Milesight не спешили их исправлять. Потом исправились и уже отправили в Talos тестовую версию обновления.

Хакеры Mysterious Team Bangladesh под религиозным и политическим началом продолжает утюжить Индийскую и Израильскую логистическую инфраструктуру, а также государственные и финансовые учреждения.

Ресерчеры из Group-IB уже год отслеживают хактивистов и приписывают им более 750 распределенных DDoS-атак и 78 дефейсов веб-сайтов с июня 2022 года.

Причем злонамеренные воздействия на Индию символично начались 22 июня 2022 года, когда группа прошлась по государственным ресурсам и веб-сайтам банков и финансовых организаций.

Как ни банально бы не звучало, но Mysterious Team Bangladesh подозревают в бангладешском происхождении, о чем собственно злоумышленники заявляли о своей освободительской миссии в Facebook. В чем, почему-то почти никто не сомневается, в отличие от суданцев.

Группа максимально близка к народу и ведет активную деятельность в социальных сетях через Telegram и Twitter.

Имеется даже профиль на LinkedIn, где «Операция Израиль» указана как текущий проект группировки поддерживающий Палестину.

Как мы уже сказали, группа чаще всего атакует организации в сфере логистики, финансов, госуправления Индии и Израиля, однако имели место быть и другие цели, такие как Австралия, Сенегал, Нидерланды, Швеция, Эфиопия и ОАЭ.

Видимо, у группировки, как у самураев нету цели, есть только путь на фоне растущей тенденции активного вмешательства хактивистов в различные политические процессы по всему миру.

Команда исследователей из британских университетов на основе глубокого обучения разработали CoANet, которая реализует акустическую атаку по сторонним каналам, позволяя с точностью в 95% считывать нажатия клавиатуры.

Новая атака серьезно влияет на безопасность данных и может привести к утечке паролей, обсуждений, сообщений или другой конфиденциальной информации злоумышленникам.

Все осложняется тем, что в отличие от других атак по побочным каналам, которые требуют особых условий, акустические атаки намного проще из-за широкого распространения устройств с микрофонами и возможностью производить высококачественный захват звука.

Что в сочетании с быстрым прогрессом в машинном обучении, делает атаки по сторонним каналам на основе звука возможными и намного более опасными, чем предполагалось ранее.

Для проведения атаки на первом этапе с помощью вредоносного ПО, имеющим доступ к микрофону цели, фиксируется нажатия клавиш на клавиатуре цели для обучения алгоритма прогнозирования.

В качестве альтернативы запись может быть реализована в ходе вызова Zoom, в рамках которого фиксируется корреляция между сообщениями, набранными целью, и их звукозаписью.

При этом для опытов на практике данные собирались через нажатия 36 клавиш (по 25 раз каждую) на современном MacBook Pro и записью звук, издаваемого каждым нажатием, а также iPhone 13 mini, расположенный на расстоянии 17 см от цели, и Zoom.

На их основе проводился анализ спектрограмм записей, визуализирующих различия для каждой клавиши. Изображения использовались для обучения CoAtNet.

По итогу CoANet показал 95% точности по записям со смартфона и 93% по данным, снятым через Zoom.

Skype дал более низкую, но пригодную для атаки точность 91,7%.

В качестве мер по смягчению исследователи посоветовали изменять стиль ввода или использовать случайные пароли.

В числе других потенциальных мер защиты выделили использование ПО для воспроизведения звуков нажатия клавиш, белого шума или программных аудиофильтров нажатий клавиш.

Причем добавление шумопоглотителей на механические клавиатуры или переход на мембранные клавиатуры не позволят защититься от новой атаки.

Исследователи из GuidePoint Security сообщают, что злоумышленники активно злоупотребляют инструментом Cloudflare Tunnel с открытым исходным кодом для поддержания скрытого постоянного доступа к скомпрометированным системам.

Cloudflared — это клиент командной строки для Cloudflare Tunnel, демона туннелирования для проксирования трафика между сетью Cloudflare и источником пользователя.

Инструмент создает исходящее соединение через HTTPS, при этом настройками соединения можно управлять с помощью панели инструментовм. При этом SSH, RDP, SMB и другие, напрямую доступны извне без необходимости изменять правила брандмауэра.

Для злоумышленников это открывает прекрасную возможность сохранять доступ к среде жертвы, не раскрывая себя. Однако злоумышленнику необходим доступ к целевой системе, чтобы запустить Cloudflared и установить соединение.

Поскольку для Cloudflared требуется только токен, злоумышленник может инициировать эти команды, не раскрывая никаких своих конфигураций на машине-жертве до успешного подключения к туннелю.

После того, как туннель установлен, Cloudflared сохраняет конфигурацию в рабочем процессе, что позволяет злоумышленнику вносить изменения сходу после установления соединения, включив RDP и SMB на машине-жертве.

Учитывая, что Cloudflared является легальным инструментом, поддерживаемым в основных ОС, большинство сетевых средств защиты пропускают трафик, что позволяет злоумышленникам сохранять доступ, не раскрывая их инфраструктуру, за исключением токена, назначенного их туннелю.

Злоумышленники могут использовать функцию конфигурации туннеля «частные сети», чтобы получить доступ к локальной сети, как если бы они физически находились рядом с машиной-жертвой, на которой размещен туннель, и взаимодействовать с любым устройством в сети.

По словам GuidePoint, основная проблема с Cloudflared заключается в том, что этот инструмент не хранит журналы, а активность можно просматривать только в режиме реального времени.

Организации, использующие Cloudflare, потенциально могут ограничиться определенными ЦОД и генерировать обнаружения левых туннелей.

Ресерчеры из Лаборатории Касперского продолжают следить за тем, что происходит в crimeware, анализируя найденные образцы вредоносного ПО, наблюдая за ботнетами и активностью на теневых форумах.

В своем отчете исследователи рассказывают о новых образцах Emotet и загрузчика DarkGate, а также последней кампании с использованием стилера LokiBot.

В июне 2023 года известный в даркнете разработчик вредоносного ПО презентовал свою новую разработку - DarkGate, на которую потратил более 20 000 часов, начиная с 2017 года.

Новый вредоносный загрузчик обладает расширенными функциями, включая такие основные, как: скрытое VNC-подключение, обход Защитника Windows, кража истории браузера и токенов Discord, обратный прокси, файловый менеджер.

Полная цепочка заражения состоит из 4 этапов: VBS-загрузчик, скрипт AutoIT V3, шелл-код и исполнитель DarkGate.

Загрузчик DarkGate содержит 17 глобальных переменных (Delphi TStringList), описывающих основные функции зловреда, в число которых не входит загрузка вредоносного ПО, для этого используется отдельный модуль.

Интерес представляет также способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Новая обнаруженная кампания с LokiBot (обнаруденный впервые в 2016 году стиллер) связана с фишингом, нацеленным на на компании, специализирующиеся на морских грузоперевозках.

Жертвы получали электронное письмо якобы от контрагента с требованием уплатить портовые сборы. В письмо был вложен документ Excel, при открытии которого вместо ожидаемой активации макроса - происходит эксплуатация CVE-2017-0199.

При успешной эксплуатации загружается документ RTF, который эксплуатирует другую CVE-2017-11882, запускающую LokiBot, который собирает учетные данные из различных источников и отправляет их на командный сервер в POST-запросах, сжатых с помощью библиотеки APLib.

В последней волне возобновившихся после 2021 года атак операторы Emotet использовали популярный вектор заражения через рассылки писем вредоносными файлами OneNote, при открытии которых появляется изображение с кнопкой просмотра.

Дальнейший клик приводить к выполнению вредоносного обфусцированного встроенного VBS-скрипта, который доставляет с нескольких сайтов полезную нагрузку (DLL-файл).

Расшифрованная полезная нагрузка представляет собой шелл-код, который выполняет стандартный импорт по хешу. Две из импортируемых функций — LdrLoadDll и LdrGetProcedureAddress.

На следующем этапе реализуется итоговая полезная нагрузка - Emotet, которая не отличается от использованной в предыдущих волнах атак.

Более детально все цепочки заражений и обновленный функционал зловредов с индикаторами компрометации представлены в отчете.

Под занавес прошедшей рабочей недели у представителей японского инфосека случился аллес капут, поскольку произошла утечка данных из самого что ни на есть Центра кибербезопасности Кабинета министров (NISC).

Собственно 4 августа 2023 года, видимо на пятничной планерке, представители NISC решили признаться об утечке, в результате которой могло быть слито около 5000 электронных писем.

Согласно заявлениям Центра, ими было обнаружено несанкционированное обращение к системе электронной почты из-за чего некоторые данные, включая личную информацию, могли быть украдены.

Расследование показало, что утечка произошла по причине эксплуатации уязвимости в оборудовании, связанном с системой электронной почты.

Хотя NISC официально не раскрывает этих сведений, но сведущие специалисты предполагают, что производителем является американская компания Barracuda Networks с ее известной багой в Email Security Gateway (ESG).

Ну, а если так, то NISC, похоже, стал очередной жертвой в серии взломов почтового сервера Barracuda, к которым причастны злоумышленники, отслеживаемые как UNC4841, за которыми по предположениям Mandiant из Google, якобы стоят китайцы, что в целом выглядит достаточно логично с точки зрения реализованного вектора атаки.

Последние пару лет Азиатско-Тихоокеанский регион был очагом кибератак со стороны различных злоумышленников.

Среди многих участников APT, действующих в этом регионе, некоторые из них сосредоточены на пакистанских жертвах.

Недавно ресерчеры Лаборатории Касперского обнаружили кластер активности в этом регионе, сосредоточенный на похожем профиле жертвы, которому посвятили два частных отчета с анализом TTP за последние несколько лет, назвав злоумышленника Mysterious Elephant.

Причем, некоторые из инструментов Mysterious Elephant имеют сходство со старыми инструментами, которые ранее использовались другими злоумышленниками в регионе.

Например, более ранние версии бэкдора Rover был замечен у SideWinder и Confucius.

Один из отчетов также был посвящен анализу кампании, нацеленной на ряд жертв в Пакистане.

Основное вредоносное ПО в этой кампании представляет собой новое семейство бэкдоров, которые забрасываются на компьютеры жертв через RTF-документ и CVE-2017-11882, загружаемый через другой фишинговый документ.

Модуль бэкдора устанавливает связь со своим C2-сервером с помощью удаленного вызова процедур (RPC) и имеет возможность выполнять файлы или команды на машине жертвы, а также получать файлы или команды от C2-сервера для выполнения на зараженном компьютере.

В свою очередь, китайская инфосек-компания KNOW Chuangyu пришла к выводу, что Mysterious Elephant, описанная в отчете Лаборатории Касперского, - это ни кто иная как Bitter APT.

На ее след китайские ресерчеры вышли ранее в этом году через анализ нового бэкдора под названием ORPCBackdoor.

После подтверждения своих предположений Chuangyu считают, что обнаруженный Лабораторией бэкдор, является той же вредоносной программой, что и ORPCBackdoor.

АРТ Mysterious Elephant китайцы отслеживают как APT-K-47.

В своем отчете китайские исследователи расширили анализ общей цепочки атак, а также на основе телеметрии выделили новых жертв за пределами Пакистана, представив в своей статье подробности атак и связанные с АРТ IOC.

Исследователи Horizon3 обнаружили новую RCE-уязвимость высокой степени серьезности в ПО для управления печатью PaperCut MF/NG.

CVE-2023-39143 может быть использована злоумышленниками, не прошедшими проверку подлинности, для чтения или записи произвольных файлов, что может сделать возможным RCE в определенных конфигурациях

В частности, уязвимость затрагивает серверы PaperCut, работающие под управлением Windows и имеющие включенную настройку интеграции с внешними устройствами.

Причем этот параметр активирован по умолчанию в установках коммерческих версий PaperCut NG или PaperCut MF.

По данным Horizon3, подавляющее большинство установок уязвимы.

Технические детали новой ошибки пока не разглашаются, для предотвращения потенциальных злоупотреблений.

PaperCut выпустила патч в рамках версии 22.1.3, а также доступны и смягчения. Поставщик описал CVE-2023-39143 как две ошибки обхода пути и отметил, что для эксплуатации требуется прямой доступ к IP-адресу сервера.

В настоящее время нет никаких доказательств того, что CVE-2023-39143 использовалась в дикой природе.

Однако уповать на это не стоит, ведь другая недавняя уязвимость PaperCut, отслеживаемая как CVE-2023-27350, широко использовалась в атаках ransomware и АРТ.

В мае этого года российская компания, специализирующаяся на производстве и продаже оборудования, стала жертвой атаки вымогателей.

Зашифрованные файлы имели расширение BLackShadow.

При расследовании инцидента специалисты компании F.A.C.C.T. испытали устойчивое чувство дежавю: подобные TTP в последнее время встречаются все чаще и чаще.

В таких атаках не используются изощренные методы и инновации, а злоумышленники не тратят силы и время на кражу информации и ее последующую публикацию с целью дополнительного шантажа жертвы.

Их вполне устраивает небольшой, но стабильный гонорар — 5-30 тыс.дол. в биткоинах, да и жертвам вполне по силам выплачивать такие суммы.

Но интересно другое: в той майской атаке применялась незнакомая ransomware, а у нее сразу нашлось два "близких родственника" — программы, шифрующие файлы с расширениями BLackSh и BlackStore соответственно.

А в середине июля 2023 была найдена программа-вымогатель, использующая расширение Black для зашифрованных файлов.

Так появилось семейство, которое исследователи назвали BlackShadow.

Основной таргетинг: компании малого и среднего бизнеса по всему миру, преимущественно из России. Первая активность датируется январем 2023 года.

В качестве начального вектора атаки используются скомпрометированные службы удаленного доступа.

Учетные данные злоумышленники получают в результате перебора или приобретаются у брокеров первоначального доступа или операторов стилеров.

Ransomware не имеет широких функциональных возможностей, но эффективно шифрует данные без возможности их расшифровки при отсутствии закрытого ключа.

Атакующие не похищают данные жертвы, соответственно не имеют DLS. Для взаимодействия с жертвой злоумышленники преимущественно используют электронную почту.


В своем отчете ресерчеры приводят подробный анализ Kill Chain и индикаторы компрометации, а также делятся рекомендациями.

С 4 июня 2023 года специалисты из Cisco Talos наблюдают за пока неустановленным субъектом угрозы, который начал использовать новый вариант вредоносного ПО Yashma для атак с вымогательством на различные объекты в Болгарии, Китае и Вьетнаме.

Согласно отчету, хакерская группа имеет вьетнамские корни и применяет необычную технику для доставки заметок о выкупе.

Вместо классического встраивания соответствующих строк о выкупе в бинарный файл, они загружают их из контролируемого злоумышленником репозитория GitHub.

Вредонос Yashma был впервые описан в мае 2022 года и является переименованной версией вируса-вымогателя Chaos.

Стоит отметить, что требование о выкупе имеет сходство с хорошо известным WannaCry, что, возможно, было сделано для запутывания в атрибуции.

Кроме того, за месяц до появления Yashma, создатель малвари Chaos слил исходники на теневых площадках, что вызвало ускоренный рост появления новых вариантов вымогательского ПО и как следствие большего количества атак.

В компании уже отметили значительное увеличение атак с ransomware по сравнению с подсчетами Malwarebytes, в которых за прошлый год только в США, Германии, Франции и Великобритании было зафиксировано более 1900 инцидентов.