Исследователи watchTowr Labs опубликовали PoC-эксплойт для уязвимостей в межсетевых экранах Juniper SRX, позволяющий реализовать RCE в JunOS.

В середине августа Juniper устранила CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 средней степени серьезности (CVSS 5.3), затрагивающие компонент J-Web ОС Juniper Networks Junos на сериях SRX и EX.

Помимо исправления в качестве обходного пути компания также предложила отключить J-Web или ограничить доступ только доверенным хостам.

Однако объединив уязвимости, неаутентифицированный сетевой злоумышленник может получить возможность удаленно выполнять код в JunOS на уязвимых устройствах.

Исследователи watchTowr Labs воспользовались уязвимостью загрузки перед аутентификацией (CVE-2023-36846) для доставки произвольного PHP-файла в ограниченный каталог со случайным именем файла.

Затем они воспользовались той же уязвимой функцией для загрузки файла конфигурации PHP, который использует указанный выше файл и загружает его с помощью директивы auto_prepend_file.

Поскольку все переменные среды можно установить с помощью HTTP-запросов, исследователи воспользовались CVE-2023-36845, чтобы перезаписать переменную среды, PHPRC загрузить файл конфигурации PHP и запустить выполнение первоначально загруженного файла PHP.

Кроме того, исследователи watchTowr также представили подробное последовательное описание процесса воспроизведения, объединения и эксплуатации этих уязвимостей.

Учитывая публичную доступность PoC, простоту эксплуатации и привилегированное положение, которое устройства JunOS занимают в сети, watchTowr предупреждают о неизбежной широкомасштабной эксплуатации вышеупомянутых проблем.

Обновленная версия вредоносного ботнета под названием KmsdBot теперь нацелена на IoT-устройства c расширенными возможностями и поверхностью атаки.

К таким выводам пришли исследователи Akamai, отметившие в результате проведенного анализа, что бинарный файл теперь включает поддержку сканирования Telnet и большего количества архитектур ЦП.

Последняя итерация, наблюдаемая с 16 июля 2023 года, произошла через несколько месяцев после того, как выяснилось, что ботнет реализуется в качестве DDoS-услуг в киберподполье.

При этом он активно поддерживается, в связи с чем обеспечивает высокую эффективность в реальных атаках.

KmsdBot был впервые изучен и задокументирован в ноябре 2022 года.

Вредоносное ПО на базе Golang нацелено на различные компании, начиная от игровых компаний, провайдеров облачного хостинга и заканчивая брендами роскошных автомобилей, но с тем пор и использовался в атаках на румынские правительственные и испанские образовательные сайты.

Вредоносное ПО имеет функционал сканирования широких диапазонов IP-адресов на предмет открытых портов SSH и брута по спискам паролей, загруженным с сервера, контролируемого злоумышленниками.

Новые обновления включают сканирование Telnet и проверки легитимных служб telnet, а также позволяют охватить больше архитектур ЦП, обычно встречающихся в устройствах IoT.

Обновленные возможности были замечены с середины июля 2023 года.

Как и сканер SSH, сканер Telnet вызывает функцию, которая генерирует случайный IP-адрес, а затем пытается подключиться к порту 23 по этому IP-адресу.

Однако сканер Telnet не останавливается на простом прослушивании порта, проверяя также содержит ли принимающий буфер данные.

Атака на Telnet осуществляется путем загрузки текстового файла (telnet.txt), содержащего список часто используемых ненадежных паролей и их комбинаций для широкого спектра приложений, в основном с полагаясь на то, что многие устройства IoT имеют дефолтные учетные данные.

Устойчивая кампания по распространению вредоносного ПО KmsdBot показывает, что устройства Интернета вещей широко распространены в Интернете и уязвимы, что делает их привлекательными целями для создания сети зараженных систем.

С технической точки зрения добавление возможностей сканирования telnet предполагает расширение поверхности атаки ботнета, позволяя ему атаковать более широкий круг устройств.

Более того, по мере того, как вредоносное ПО развивается и добавляет поддержку большего количества архитектур ЦП, оно представляет собой серьезную угрозу безопасности устройств, подключенных к Интернету, что усиливает необходимость принятия мер безопасности и регулярных обновлений.

А каким файлообменником ты пользуешься? Если Skype - у нас для тебя плохие новости.

Журналисты рассказали, как злоумышленники могут узнать твой IP-адрес в Skype.

О проблеме сообщил независимый исследователь Йосси, обнаруживший, что для реализации коварного замысла достаточно отправить жертве ссылку в мобильном приложении и дождаться пока цель просто откроет сообщение.

Хуки с деаноном юзеров Skype далеко не ноу-хау и, вероятно, еще кто-то помнит про различные skype resolver’ы, когда айпишник можно было установить и безо всяких ссылок.

Но, то были лохматые времена и касались пользователей десктоп приложений, а теперь проблема, как раз таки затрагивает юзеров мобильной версии приложения Skype.

Потенциально знание IP-адреса может позволить злоумышленникам найти физическое местоположение цели, что создает некоторый риск их приватности, безопасности и благополучия.

Специалист сообщил о проблеме в Microsoft в начале месяца, но, похоже, компания преуменьшила значение проблемы и даже не ответила о планах устранения недостатка.

Однако после того, как 404 Media связались с Microsoft для комментария, IT-гигант объявил, что планирует исправить проблему в предстоящем обновлении.

На самом деле вычислить по IP не самое простое дело, да еще и по мобильному, который спрятан за NAT-ом, но в 404 Media накинули, что «атака может представлять серьезную угрозу для активистов, политических диссидентов, журналистов и тех, кто является целью киберпреступников».

Как сообщалось, проблему можно легко эксплуатировать, манипулируя определенным параметром, связанным с ссылкой, но делиться деталями атаки не стали, поскольку недостаток еще не исправлен.

Американские силовики рапортуют о нейтрализации серверной инфраструктуры ботнета Qakbot, что позволило им произвести массовое удаление вредоносного ПО из зараженных систем.

Также известный как Qbot и Pinkslipbot ботнет активен с 2008 года, действуя изначально как банковский троян.

С середины 2010-х годов обрел функционал загрузчика, заражая системы в ходе спам-кампаний, реализуя затем доступ к зараженным системам другим киберпреступникам.

За последние три года Qakbot служил начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta.

Как сообщает ФБР, в операции, получившей условное наименование Duck Hunt, принимали участие спецслужбы Европы (Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии), которые помогли американским агентам получить доступ к компьютерам администратора Qakbot.

И впоследствии составить карту серверной инфраструктуры и захватить десятки серверов, находившихся в управлении операторов Qakbot, а затем уже перенаправить трафик в системы бюро.

По данным силовиков, Qakbot заразил более 700 000 систем по всему миру, из которых более 200 000 были расположены в США.

Все это позволило идентифицировать все зараженные системы Qakbot и доставить в зараженные системы разработанный ФБР Windows DLL (или модуль удаления Qakbot).

Как отметили SecureWorks, этот пользовательский DLL-файл выдал QPCMD_BOT_SHUTDOWN команду вредоносному ПО Qakbot, работающему на зараженных устройствах, что привело к прекращению работы вредоносного процесса.

Техническую поддержку на этом этапе ФБР оказывали Zscaler, CISA, Microsoft, Shadowserver Foundation и Have I Been Pwned.

ФБР отдельно пояснило, что инструмент удаления был одобрен судьей с очень ограниченными возможностями - только для удаления вредоносного ПО с зараженных устройств (ну, ну).

Помило перехвата инфраструктуры Минюст США также принял меры к конфискации у банды Qakbot 8,6 млн. дол., а полиция Нидерландов изъяла 7,6 млрд. учетных данных с захваченных серверов.

Пока что операция ограничилась конфискацией, информацией об арестах или официальных обвинениях ФБР не предоставила, но это не исключает того, что они могли иметь место. Видимо, с задержанными могут проводитсья негласные оперативные мероприятия.

Хотя в это слабо верится. Как помниться, аналогичным образом операции проводились в 2020 и 2021 годах в отношении Emotet и Trickbot, которые после этого смогли вернуться в рабочие рельсы и продолжают эволюционировать.

Но для медали от Конгресса США такой победы офицерам из ФБР будет вполне достаточно, а что там за модуль - это уже совсем другая история. Будем посмотреть.

Как сообщают Sky News, данные 47 000 сотрудников столичной полиции Великобритании были украдены из систем одного из ее поставщиков.

Столичная полиция находится в состоянии повышенной готовности после серьезного нарушения безопасности, в результате которого были взломаны данные офицеров и штабов.

Согласно заявлению Метрополитена, нарушение произошло после того, как киберпреступникам удалось проникнуть в ИТ-системы подрядчика, ответственного за печать ордеров и пропусков сотрудников.

Представитель столичной полиции подтвердил журналистам Sky News инцидент и отметил, что любая потенциальная утечка информации вызывает у сотрудников ведомства невероятное беспокойство и гнев.

По данным Метрополитена, у компании-подрядчика был доступ к именам, званиям, фотографиям, уровням проверки и размерам заработной платы офицеров и персонала. При этом она не хранила личную информацию, такую как адреса, номера телефонов или финансовые данные.

По тревоге подняли даже Национальное агентство по борьбе с преступностью, которое проводит оценку возможных рисков попадания списков в руки террористов или организованных преступных групп.

Офицерам же порекомендовали сохранять бдительность.

Новый инцидент стал своеобразным продолжением недавней истории, когда сами английские копы слили в сеть данные на своих сотрудников, а затем аналогичным образом и сведения о делах и расследованиях, так что досаду и горечь офицеров понять можно.

Вообще же англичанам в последние дни достается особенно сильно.

Пару дней назад, по непонятным техническим причинам Британская авиадиспетчерская служба ограничила все полеты, что вызвало массовые задержки и отмены рейсов для тысяч пассажиров в Великобритании, а также других аэропортах в ЕС и за рубежом.

Японский CERT сообщает о новой атаке MalDoc в PDF, которая обходит обнаружение, встраивая вредоносные Word-файлы в PDF-файлы.

Метод достаточно хитрый и был обнаружен в июле 2023 года.

Хитрость кроется в встроенном вредоносном файле, который имеет магические числа и файловую структуру PDF, однако его также можно открыть с помощью Microsoft Office.

Собственно, при открытии файла .doc в Microsoft Word он ведет себя вредоносно, причем большинство сканирующих движков и инструментов распознают его как PDF.

Обычно злоумышленники используют такие техники, чтобы уклоняться от обнаружения или запутывания инструментов анализа, поскольку такие файлы могут казаться безвредными в одном формате, скрывая вредоносный код в другом.

В данном случае PDF-документ содержит Word-документ с макросом VBS для загрузки и установки вредоносного файла MSI, если он будет открыт как doc-файл в Microsoft Office.

Однако JPCERT не раскрыла подробностей о том, какой тип вредоносного ПО устанавливается.

Сам метод встраивания одного типа файла в другой не является новым, поскольку такие фичи хорошо документированы, но MalDoc отличается тем, что дает возможность уклоняться от обнаружения традиционными инструментами анализа PDF, такими как 'pdfid' или другие, которые будут исследовать только внешний слой файла, являющийся легитимной структурой в PDF.

В своем сообщении JPCERT предложил несколько способов обнаружения и предотвращения атаки MalDoc, одним из которых является использование инструментов анализа Word для обнаружения встроенных вредоносных файлов.

Ну и куда без классических рекомендаций с обновлением антивирусных средств и ПО для блокировки макросов в Word.

Исследователи F.A.C.C.T. раскрыли связь вымогателей Shadow c хактивистами из группы Twelve.

Среди многочисленных вымогателей, нацеленных на российский сегмент, наиболее изощренной является недавно обнаруженная, но довольно амбициозная группа — Shadow.

За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании.

Похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, Shadow выкатывают солидный по российским меркам выкуп в размере 140-190 млн руб.

Для шифрования Windows-систем используется запароленная версия программы-вымогателя LockBit, созданная с помощью одного из опубликованных в сентябре 2022 года билдера.

В текстовом файле с требованием выкупа атакующие помещают ссылку в Tor и идентификатор для доступа жертвы к чату с атакующими. 

Одной из "визитных карточек" группы стал перехват сессий Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в лс руководителям компании.

Анализ нескольких атак Shadow позвоили найти допущенную атакующими ошибку, когда она набрали первоначально в своей консоли команду PowerShell на украинской раскладке. Допускали хакеры ошибки и при шифровании ИТ-инфраструктуры.

А вообще TTPs, используемые в атаках Shadow, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними "мануалами".

Что касается Twelve: для атак использовалась также запароленная версия LockBit, но в создаваемом ею текстовом файле указывалось лишь название и отсутствовали какие-либо контактные данные.

Как известно, именно Twelve весной 2023 года взяла на себя ответственность за кибератаку на структуры ФТС РФ, а в мае — на российского производителя гидравлического оборудования.

После того, как во время недавнего реагирования F.A.C.C.T успешно отбили атаку Shadow в отношении одной крупной организации, вымогатели в отместку провели мощный DDoS на ее веб-сайт.

Дальнейший анализ позволил им выйти на связь вымогателей с хактивистами Twelve.

Оказалось, что в своих атаках на российские компании и организации обе группы используют схожие TTPs, а в некоторых кампаниях — и общую инфраструктуру.

Специалисты F.A.C.C.T. полагают, что F.A.C.C.T. что Shadow и Twelve являются частью одной группы, атакующей Россию. Целью является нанесение максимального ущерба российским частным компаниям и правительственным организациям.

Однако, если в случае с Shadow их движет финансовая мотивация, то у Twelve цель - это саботаж: они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Внимание! Внимание! Приближается ватный пост!

Кстати, хотим сказать всем задвигателям телег про "кремлевские методички" и "вату" - мы в курсе даже кто и когда придумал и крутил этот всратый мем про "рашку - квадратный ватник". Ну и кто тут теперь старпер?

Но вернемся к повесточке. Намедни два друга, хомут и подпруга, - Ирина Бороган и Андрей Солдатов, некогда авторы такого же всратого как и мем про ватник ресурса agentura. ru, - разместили на CEPA. org статью про нелегкий выбор российских технологических гигантов. Само собой, авторы в настоящее время находятся по ту сторону баррикад, в этих ваших европейских Палестинах.

Статья также получилась всратой.

В двух словах суть такова - крупные российские IT-игроки встали перед выбором: вилкой в глаз или в жопу раз остаться работать в России под угрозой потенциальных западных санкций либо свалить из проклятой Рашки, осудить действия тоталитарного режыма и схлопнуть российский сегмент бизнес.

В качестве примеров - Яндекс, в лице Воложа, с протестной стороны, и Лаборатория Касперского, в лице сами-знаете-кого, с прокровавых позиций.

Яндекс - все плохо, компанию дербанит гебуха, Волож сделался казах пьет и ждет новостей в части снятия европейских санкций.

Касперские - санкции США наложили еще в 2016 году, доля на российском рынке решений кибербезопасности выросла до 94% (хз, откуда они такую цифру взяли), Евгений Валентинович (tm) постит радостные фоточки из Кении.

Короче, несмотря, на угрозы в конце статьи "привлечь однажды неправильно маневрирующие компании к ответственности", с точки зрения мотивации для IT-бизнеса статья добивается целей, прямо противоположных тому, для чего она писалась.

А вообще, что-то все эти статейки про российскую "IT и инфосек оппозицию" густо пошли. Небось затеяли чего...

Исследователи Zscaler ThreatLabz проанализировали и расчехлили KillChain злоумышленника DuckTail.

DuckTail — это кампания, в которой участвуют несколько акторов, базирующихся во Вьетнаме и использующих одни и те же TTPs.

Злоумышленники, в первую очередь, нацелены на пользователей, работающих в сфере цифрового маркетинга и рекламы, проявляя интерес к бизнес-аккаунтам Facebook и TikTok, а также рекламным аккаунтам Google.

Злоумышленники атакуют рекламные аккаунты, чтобы получить доступ к рекламным бюджетам. Украденные аккаунты впоследствии реализуются в специализированных Telegram-группах. Цены варьируются от 15 долларов за низкосортный аккаунт до 340 - за ценный.

Основным вектором распространения DuckTail по-прежнему остается социальная инженерия посредством обмена сообщениями в LinkedIn.

Злоумышленники создают поддельные профили рекрутеров в LinkedIn и объявления о вакансиях, выдавая себя за популярные компании, чтобы заманить ничего не подозревающих жертв. При этом используют Google Translate для общения с потенциальными жертвами.

Вредоносное ПО DuckTail крадет сохраненные сеансовые файлы cookie из браузеров с помощью кода, специально предназначенного для захвата бизнес-аккаунтов Facebook.

Чаще всего вредоносная нагрузка DuckTail представляет собой исполняемый файл .NET. Однако некоторые полезные нагрузки Ducktail представлены в виде надстройки Excel или расширения браузера.

Исполняемый файл обычно поставляется в архиве вместе с файлами изображений и видео. Вредоносные архивы часто размещаются на общедоступных облачных хостингах, таких как iCloud, Google Drive, Dropbox, Transfer.sh и OneDrive.

В некоторых случаях злоумышленники используют Trello, платформу управления проектами, в качестве облачного хостинга, загружая архивы в виде вложений к картам Trello и предоставляя жертвам прямую ссылку для скачивания на карту.

Еще одной широко злоупотребляемой платформой является Rebrandly - сервис сокращения URL-адресов, который ими используется для распространения ссылок для скачивания.

Другой метод заражения - создание веб-страниц, которые якобы предлагают маркетинговые руководства и маркетинговое ПО, но на самом деле доставляют вредоносное ПО DuckTail.

Примечательно, что злоумышленники DuckTail успешно освоили в качестве инструмента ChatGPT и Google Bard AI, чтобы заманивать жертв для установки вредоносного ПО.

Для передачи и обмена украденной информацией злоумышленники используют Telegram, Facebook и Zalo. На вооружении у злоумышленников также и боты в телеге для автоматической обработки данных, поступающих от новых жертв.

Злоумышленники DuckTail используют частные прокси для авторизации в скомпрометированных аккаунтах, а также злоупотребляют функцией в Facebook «зашифрованные уведомления» для того, чтобы помешать жертве восстановить свою учетную запись.

И, как выяснили ресерчеры, OPSEC от слова совсем не практикуется: злоумышленников никак не волнует попадание их исходного IP в пользовательский интерфейс сервиса S5 Proxy, не говоря уже и про другие огрехи.

Подкатил новый обзор об эскалации угроз во втором квартале 2023 года от мастодонта отечественного инфосека Лаборатории Касперского.

Много для кого камнем преткновения стали атаки на цепочки поставок VoIP-решения 3CXDesktopApp, в ходе которых и было обнаружено распространение бэкдора Gopuram, где атакующие умудрились внедрить вредоносный код в библиотеку для обработки мультимедиа libffmpeg, скачивающий полезную нагрузку с серверов злоумышленников.

Примечательно, что бэкдор Gopuram на компьютерах одной криптовалютной компании в Юго-Восточной Азии был зафиксирован вместе с бэкдором AppleJeus, приписываемым группе Lazarus.

Рост заражений Gopuram пришелся на март 2023 года и был связан с атакой на цепочку поставок 3CX, причем атаки были направлены исключительно на криптовалютные компании. В том числе и поэтому была проведена параллель между кампанией 3CX и APT-группой Lazarus.

Более того, Gopuram был развернут на менее чем 10 зараженных машинах, что указывает на хирургическую точность злоумышленников при выборе цели.

В заключении специалистов говорится, что группа Lazarus, и без того известная своими продвинутыми техническими навыками, сменила направленность атак и усовершенствовала свои TTPs в рамках кампании DeathNote.

Что касается киберпреступных групп Tomiris и Turla, то у исследователей возникли некоторые сложности в их атрибуции.

Tomiris, впервые упомянутая в сентябре 2021 года, активно атаковала дипломатические организации в странах СНГ и Афганистане и использует разнообразные вредоносные инструменты и методы атаки, включая фишинг, перехват DNS и эксплуатацию уязвимостей.

В январе группе приписывали атаки на украинские организации, однако ряд специалистов считают, что за ними стояла группировка Turla. Бытует мнение, что это вовсе одна группировка, в то время как авторы статьи утверждают, что, несмотря на возможные связи, Turla и Tomiris — это две разные группы с различными целями и методами.

Не утихает угроза с CommonMagic и использование модульного фреймворка CloudWizard, которая затронула правительственные, сельскохозяйственные и транспортные организации в Донецке, Луганске и Крыму. Кто конкретно стоит за атаками доподлинно не известно, но данный регион был объектом повышенного интереса со стороны таких APT-групп, как Gamaredon, CloudAtlas и BlackEnerg.

Следующей APT заслуживающей отдельного внимания является GoldenJackal, которая активно атакует правительственные и дипломатические организации на Ближнем Востоке и в Южной Азии.

Главная особенность GoldenJackal — это специфичный набор зловредных имплантов на .NET: JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, распространяемых посредством съемных носителей и используемых для контроля целевых систем. Пока нет достаточной информации о векторах заражения, которые использует эта группа, однако расследование показало, что группа применяла установщики Skype и вредоносные документы Word.

В своем обзоре не прошли мимо новости, которая взбудоражила общественность, связанной с обнаруженной в июне кампании под названием Операция Триангуляция (Operation Triangulation), где используется ранее неизвестное вредоносное ПО для iOS (шпионское зловред TriangleDB), распространяемое через сообщения iMessage без взаимодействия с пользователем. В ходе расследования выяснилось, что были заражены iPhone десятков сотрудников самой Лаборатории и полагаем, что в ближайшем будущем всплывет еще очень много интересных подробностей.

В совокупности вышел вполне себе всеобъемлющий отчет, включающий помимо прочего и группу Andariel (подразделение Lazarus) с новым семейством зловредов, использующих шифровальщик Maui вместе с эксплойтом Log4j, а также всплеск заражений банковским троянцем QBot и целый кластер малварей предназначенных для майнинга и кражи криптовалюты, таких как Minas, Satacom и DoubleFinger.

Исследовательская группа Cybernews сообщает о беспрецедентной утечке, допущенной со стороны Совета национальной безопасности США (NSC).

NSC является некоммерческой организацией и проводит обучение по вопросам безопасности. На своей цифровой платформе NSC предоставляет онлайн-ресурсы почти 55 000 своим членам.

Благодаря умелым действиям подрядчиков NSC в течение пяти месяцев оставались раскрыты тысячи учетных данных, принадлежащих 2000 компаниям, включая правительственные организации и крупные корпорации.

Ресерчеры Cybernews, традиционно рыская по сети, обнаружили публичный доступ к веб-каталогам, которые включали тысячи учетных данных таких компаний, как Shell, BP, Exxon, Chevron, Siemens, Intel, HP, Dell, Intel, IBM, AMD, Boeing, Pfizer, Eli Lilly, Ford, Toyota, Volkswagen, General Motors, Rolls Royce, Tesla, Verizon, Cingular, Vodafone, ATT, Sprint, Comcast, Amazon, Home Depot, Honeywell, Coca Cola, UPS.

Своебразной изюминкой сего пиршества стали: Минюстиции, ВМС США, ФБР, Пентагон, NASA, Управление по охране труда (OSHA), Федеральное управление гражданской авиации (FAA).

Все они, вероятно, имели учетные записи на платформе для доступа к учебным материалам или участия в мероприятиях, организованных NSC.

Уязвимость представляла риск не только для систем NSC, но и для компаний, использующих ее услуги, поскольку утечка могла быть использована для получения первоначального доступа к корпоративным сетям с последующей кражей, саботажем или ransowmare.

7 марта исследователи Cybernews обнаружили субдомен NSC, который, вероятно, использовался в ходе разработки. На нем был опубликован список всех веб-каталогов, что позволило получить доступ к большинству файлов сервера, включая резервную копию базы данных.

В общей сложности в резервной копии было сохранено около 9500 уникальных учетных данных, а также около 2000 различных корпоративных доменов электронной почты, принадлежащих компаниям.

Открытые пароли хешировались с использованием алгоритма SHA-512, применялись и соли. Однако они хранились вместе с хэшами паролей и кодировались только с использованием Base64, что значительно облегчает получение текстовой версии соли и впоследствии весь процесс взлома пароля (может занять до 6 часов).

Так что вполне вероятно, что значительная часть из них может быть взломана. Исследователи прогнозируют успешный взлом примерно 80% хэшей.

При всем при этом, как выяснилось далее, все данные были общедоступны в течение 5 месяцев, поскольку утечка была впервые проиндексирована поисковыми системами аж 31 января 2023 года.

Большие вопросы к разработчикам, конечно, но даже ответы на них уже вряд ли уберегут в какой-то перспективе пользователей платформы, которые потенциально могут столкнуться с всплеском спама, фишинговых атак и прочих вредоносных воздействий.

Splunk исправила множество серьезных уязвимостей, затрагивающих Splunk Enterprise и IT Service Intelligence, включая недостатки в сторонних пакетах.

Самая серьезная из ошибок, CVE-2023-40595 (оценка CVSS 8,8), описывается как проблема удаленного выполнения кода, которую можно использовать с помощью специально созданных запросов.

Эксплойт требует использования команды Collect SPL, которая записывает файл в установке Splunk Enterprise. Затем злоумышленник может использовать этот файл для отправки сериализованной полезной нагрузки, что может привести к RCE внутри полезной нагрузки.

Следующая CVE-2023-40598, уязвимость внедрения команд, влияет на устаревшую внутреннюю функцию, которую можно использовать для RCE.

Уязвимость связана с runshellscript, которую используют скриптовые действия по оповещению. Эта команда, наряду с поиском внешних команд, позволяет злоумышленнику использовать эту уязвимость для внедрения и выполнения команд в привилегированном контексте из экземпляра платформы Splunk.

В последних выпусках Splunk Enterprise также устранена XSS-ошибка (CVE-2023-40592), проблема прохождения абсолютного пути, приводящая к RCE (CVE-2023-40597), а также ошибка повышения привилегий, возникающая из-за небезопасной ссылки на путь в DLL (CVE-2023-40596).

Все уязвимости были устранены с выпуском версий Splunk Enterprise 8.2.12, 9.0.6 и 9.1.1, в которых дополнительно исправлены две уязвимости средней серьезности, связанные с DoS.

Splunk также анонсировала исправления для ошибки внедрения журналов без аутентификации (CVE-2023-4571, оценка CVSS 8,6) в IT Service Intelligence.

Эта проблема позволяет злоумышленнику внедрить escape-коды ANSI в файлы журналов, что приводит к RCE при чтении файла журнала в уязвимом терминальном приложении.

Несмотря на то, что уязвимость не влияет напрямую на IT Service Intelligence, косвенное влияние обусловлено разрешениями, которые имеет терминальное приложение, а также тем, откуда и как пользователь читает вредоносные файлы журналов.

Splunk исправила уязвимость в версиях IT Service Intelligence 4.13.3 и 4.15.3.

Разработчик ПО не упоминает ни о какой из этих уязвимостей, которые бы использовались в реальных атаках.

Хактивисты продолжают кошмарить Японию, массово взламывая маршрутизаторы по всей Японии и оставляя гневные сообщения на экранах входа в систему.

Послание направлено против решения правительства сбросить очищенную воду с АЭС Фукусима в Тихий океан на прошлой неделе. 

По сообщениям местных, взломам подверглось около 1500 маршрутизаторов, и все - модели Seiko SkyBridge и SkySpider.

Несколько групп хактивистов, включая The Five Families, объединившие ThreatSec, GhostSec, Stormous, Blackforums и SiegedSec, объявили о своих намерениях атаковать японские организации в прошлом месяце после того, как правительство объявило, что получило разрешение ООН на сброс воды из Фукусимы в океан.

Ранее, как мы уже писали, хакерская группа Anonymous, неоднократно заявляла в SNS, что они осуществили DDoS-атаки в связи с выпуском очищенной воды, что привело к выводу из строя ресурсов японских организаций в сфере энергетики. В NTT Security Japan назвали кампанию довольно масштабной атакой на Японию.

Но пока неясно, кто провел новую вредоносную операцию. Причем, как заявили власти, поставщик выпустил исправления для эксплуатируемых уязвимостей еще в феврале этого года.

Исследователи Group-IB в новом отчете разбирают scam-as-a-service Classiscam, доходы киберпреступников благодаря которой с момента ее появления в 2019 году достигли 64,5 мил. дол. И спустя четыре года продолжает работать.

Кампании Classiscam изначально начинались на тематических сайтах, на которых мошенники размещали фейковую рекламу и использовали методы социнженерии, чтобы убедить пользователей платить за товары переводами на банковские карты.

С тех пор кампании Classiscam стали более автоматизированными и их можно запускать на множестве других сервисов, включая маркеплейсы или каршеринговые платформы.

Большинство жертв пришлось на Европу (62,2%), за ними следуют Ближний Восток и Африка (18,2%), а также Азиатско-Тихоокеанский регион (13%). Наибольшее количество мошеннических транзакций, зарегистрированных в Classiscam, приходится на Германию, Польшу, Испанию, Италию и Румынию.

Пользователи из Великобритании потеряли в среднем наибольшую сумму денег из-за Classiscammers, поскольку средняя стоимость транзакции составила 865 долларов США. Следующими в этом списке были пользователи из Люксембурга (848 долларов за транзакцию), Италии (774 доллара) и Дании (730 долларов).

Classiscam, впервые обнаруженный в 2019 году, представляет собой обобщающий термин для операции, охватывающей 1366 различных групп в Telegram. Сначала эта деятельность была нацелена на Россию, а затем распространилась по всему миру, проникнув в 79 стран и выдав себя за 251 бренд. Массовые атаки начались во время пандемии COVID-19 в 2020 году, вызванной ростом онлайн-покупок.

Group-IB сообщила, что Classiscam — это то же самое, что и Telekopye, о котором на прошлой неделе поведала словацкая ESET, назвав ее фишинговым набором для создания поддельных страниц на основе готовых шаблонов.

Обман пользователей достигается путем перехода в чаты мессенджеров, где ссылки не блокируются. Фишинговые страницы создаются на лету с помощью ботов в Telegram.

Кампании, ориентированные на определенную группу стран, также включают поддельные страницы входа в систему для местных банков. Учетные данные собираются мошенниками для дальнейшей авторизации и перевода деньги на подконтрольные счета.

Всего Classiscammers создали ресурсы, имитирующие страницы входа 35 банков в 15 странах. Среди целевых банков были банки из Бельгии, Канады, Чехии, Франции, Германии, Польши, Сингапура и Испании.

Операторы Classiscam могут выступать как в роли покупателей, так и в роли продавцов. В первом случае злоумышленники заявляют, что оплата за товар была произведена, и обманом заставляют жертву (т.е. продавца) оплатить доставку или ввести данные своей карты для завершения проверки через фишинговую страницу.

Группы Classiscam раньше имели пирамидальную иерархию, состоящую из трех отдельных уровней: администраторы, которые отвечали за набор новых участников и создание мошеннических страниц; работники, общавшиеся с пострадавшими; и звонившие, выдававшие себя за специалистов техподдержки.

По состоянию на весну 2023 года эта пирамида расширилась, и группы Classiscam теперь содержат большее количество людей, выполняющих все более специализированные задачи.

Значительное изменение в методах работы некоторых группировок связано с использованием инфостиллеров для сбора паролей от учетных записей браузеров и передачи данных. Group-IB сообщила, что выявила 32 такие группы, которые перешли от проведения традиционных атак Classiscam к запуску воровских кампаний.

По мере того, как семьи воров становятся более надежными, многогранными и доступными, они не только снижают барьер для входа в финансово мотивированную киберпреступность, но также выступают в качестве прекурсора для ransomware, шпионажа и других задач после компрометации.

EclecticIQ выпустила бесплатный инструмент расшифровки для жертв ramsomware Key Group, который позволит восстановить данные без уплаты выкупа.

Key Group, также известная как keygroup777, известна продажей личной информации (PII) и доступом к взломанным устройствам, а также вымогательством у жертв денежных средств.

Ресерчеры смогли отследить, что группа использует приватные каналы в Telegram для общения с участниками и обмена подробностями о ПО. Кроме того, EclecticIQ полагают, что группа начала использовать NjRAT для удаленного доступа к устройствам жертвы.

Key Group впервые представила свой штамм 6 января и с тех пор продолжает использовать его в атаках.

На компьютере жертвы Key Group удаляет теневые копии тома (с помощью готовых инструментов) и резервные копии, созданные с помощью инструмента Windows Server Backup, а также пытается отключить функции безопасности, включая экран и среду восстановления Windows.

Программа-вымогатель также может отключать механизмы обновления средств защиты от вредоносных ПО различных поставщиков, включая Avast, ESET и Kaspersky.

Анализируя угрозу, исследователи EclecticIQ обнаружили несколько криптографических ошибок, которые позволили им разработать дешифратор для программы-вымогателя.

Они заметили, что программа-вымогатель использует шифрование AES и статический ключ в кодировке Base64 для шифрования файлов жертв, не применяя достаточного количества соли к зашифрованным данным.

Как пояснили в EclecticIQ, соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования.

Однако в записках о выкупе, оставленных на скомпрометированных компьютерах, злоумышленники пугали жертв тем, что файлы были зашифрованы с помощью алгоритма шифрования военного уровня, поэтому данные можно будет восстановить, исключительно заплатив выкуп.

EclecticIQ заявляет, что ее бесплатный инструмент расшифровки можно использовать для расшифровки файлов с расширением keygroup777tg, но предупреждает, что этот инструмент является экспериментальным и может не работать со всеми образцами Key Group.

Инструмент представляет собой скрипт Python и доступен в конце отчета EclecticIQ. При этом работает только с образцами, собранными после 3 августа.

Исследователь из Cisco Talos Эдмунд Брумагин обнаружил, что малварь SapphireStealer используется несколькими субъектами угрозы, причем злоумышленники самостоятельно расширяют его функционал и создают собственные уникальные экземпляры вредоносного ПО.

Как считает исследователь, стиллер в том числе использовался для получения конфиденциальной информации, например корпоративные учетные данные, которые часто перепродавались другим субъектам, использующим доступ для дополнительных атак, включая операции, связанные с шпионажем или вымогательством.

В целом SapphireStealer мало чем отличается по функционалу от других подобных вредоносов, предлагаемых в даркнете, с функциями сбора информации о хосте, данных браузера, файлах, скриншотах и отправки данных в виде ZIP-файла через простой почтовый протокол передачи SMTP.

Однако его исходный код был опубликован в паблик в конце декабря 2022 года, что позволило злоумышленникам экспериментировать с вредоносным ПО, создавая версии, которые затрудняют его обнаружение.

Например, добавление таких гибких методов вывода данных с использованием веб-хука Discord или API Telegram.

Автор вредоносного ПО настолько расщедрился, что также слил в паблик загрузчик вредоносного ПО на .NET под названием FUD-Loader, который позволяет извлекать дополнительные пейлоады с серверов распространения, контролируемых злоумышленником.

После обнародования исходников специалисты Talos обнаружили, что загрузчик вредоносного ПО использовался в атаках для доставки инструментов удаленного администрирования, таких как DCRat, njRAT, DarkComet и Agent Tesla.

͏И снова здравствуйте!

Исследователи из Pulse Security сообщают о весьма простом способе взлома зашифрованного компьютера Linux.

Чтобы обойти полное шифрование TPM в Ubuntu достаточно лишь очень быстро нажать клавишу ENTER во время загрузки.

Используя уязвимость, злоумышленник, имеющий физический доступ к зашифрованной системе Ubuntu 20.04 Linux (если он использует RedHat Clevis и dracut), может получить локальный root-доступ к компьютеру во время раннего процесса загрузки, вручную разблокировать шифрование диска на основе TPM и прочитать конфиденциальную информацию, хранящуюся на диске компьютера.

Когда вы включаете зашифрованный компьютер Linux, вам, вероятно, придется ввести два пароля, прежде чем вы сможете его использовать: сначала вам нужно ввести пароль шифрования диска, чтобы разблокировать LUKS (настройка единого ключа Linux), а затем вам нужно ввести пароль пользователя для входа в систему

Как правило, компьютер с Linux, использующий автоматическое шифрование диска с защитой TPM, по-прежнему позволяет пользователю просматривать выходные данные процесса загрузки и, при необходимости, вручную вводить пароль для расшифровки с клавиатуры. Пока происходит автоматическая разблокировка TPM, пользователю предлагается запрос пароля и возможность ввести данные.

Еще в 2016 году в сценарии запуска Debian cryptsetup также была уязвимость, позволявшая злоумышленнику просто удерживать клавишу Enter, получить root-доступ к среде ранней загрузки. На этот раз спецы Pulse Security решили опробовать что-то подобное.

Существует ограниченный промежуток времени, прежде чем TPM разблокирует диск и процесс загрузки автоматически перейдет к приглашению для входа в систему. Используя микроконтроллер Atmel ATMEGA32U4, можно эмулировать клавиатуру, которая отправляет виртуальные нажатия клавиш с максимальной скоростью, которую принимает компьютер.

Через секунду после подключения эта программа начинает имитировать нажатие Enter на виртуальной клавиатуре каждые 10 миллисекунд. Это примерно в 10 раз быстрее, чем обычная частота повторения, которую можно получить, просто удерживая клавишу, и Linux, похоже, распознает около 70 символов в секунду, используя этот метод (или одно нажатие клавиши примерно каждые 15 миллисекунд).

Отправка таких быстрых нажатий клавиш позволяет быстро достигать максимального количества попыток ввода пароля, в то же время удерживая систему от автоматической разблокировки диска из-за ограничения скорости подбора пароля, что приводит к доступу к корневой оболочки в среде ранней загрузки.

Отсюда легко вручную использовать TPM, чтобы разблокировать диск с помощью инструмента Clevis и смонтировать корневой том для взлома.

В России продолжаются веерные блокировки VPN, и в случае с AtlasVPN Linux - это даже очень неплохо.

Анонимный исследователь опубликовал подробности [в архиве] об обнаруженной 0-day в клиенте AtlasVPN, которую он считает не ошибкой, а лазейкой, что также подтвердили независимые эксперты.

Linux-клиент AtlasVPN состоит из двух частей. Демон (atlasvpnd), который управляет подключениями, и клиент (atlasvpn), которым пользователь управляет для подключения, отключения и получения списка служб. 

Демон AtlasVPN в Linux запускает HTTP-сервер по адресу 127.0.0.1:8076, который принимает команды CLI без какой-либо аутентификации.

Уязвимость позволяет злоумышленникам заманивать пользователей AtlasVPN на вредоносные сайты, где они могут отправлять запросы на локальный сервер для выполнения вредоносных операций, включая POST на адрес 127.0.0.1:8076/connection/stop для мгновенного отключения вашего VPN.

Если затем он выполнит еще один запрос, это приведет к утечке реального IP-адреса пользователя на любой веб-сайт с использованием кода эксплойта.

Самое занимательное в этой истории то, что публикация подробностей и PoC на Reddit последовали после упорного молчания и игнорирования баги со стороны самой компании. Но для кого бага, а для кого - фича.

Вслед за Южной Кореей на стороне США с обвинениями в тайных кибероперациях и кибершпионаже в адрес КНР подключилась теперь и Германия.

Правительство ФРГ заявило, что китайские APT захватывают маршрутизаторы SOHO, устройства NAS и системы умного дома для проведения операций кибершпионажа, используя взломанные в качестве сети прокси-серверов для сокрытия источника атак.

Согласно рекомендациям, опубликованным Федеральным ведомством по защите конституции Германии (BFV) на прошлой неделе, отмечено, что китайские АРТ, в частности, APT15 (Vixen Panda, Ke3chang Vixen Panda, Ke3chang) и APT31 (Zirconium, Judgment Panda), активно используют эту тактику.

Как заявляют в BFV, не называя конкретных жертв, объектами атак стали правительственные и политические органы.

Однако, как сообщают DerStandardDerStandard, DerSpeigelDerSpeigel и ZDF, одной из жертв APT15 в ходе атак с использованием взломанных маршрутизаторов могло стать скомпрометированное в декабре 2021 года Федеральное агентство картографии и геодезии (BKG), которое готовит высокодетализированные карты для спецслужб.

Стоит отметить, что взломанные маршрутизаторы и IoT-устройств в качестве прокси для сокрытия атакующей инфраструктуры за последнее десятилетие получило широкое распространение.

Впервые, его использовали именно спецслужбы США, а затем уже технологию освоили и другие. Причем, некоторые APT, такие как APT28 и OceanLotus, создают и управляют собственными прокси-сетями, такими как VPNFilter и Torii Torii, а некоторые арендуют прокси у операторов IoT-ботнетов. Mirai и еже с ними хорошо подсобили в этом вопросе.

В свою очередь, китайские APT можно сказать опоздали с внедрением прокси-сетей для сокрытия своих операций, как видно из недавних отчетов.