Исследователи китайской Antiy Mobile Threat Intelligence опубликовали отчет о вредоносном ПО для Android и последних мобильных атаках Kongfuzi, нацеленных на Пакистан.
Kongfuzi, также известная как APT59, активна с 2013 года и осуществляет атаки на правительственные учреждения, военнослужащих и ядерные учреждения в Пакистане и других странах Южной Азии.
По данным Lookout, с 2021 года АРТ взяла на вооружение вредоносное ПО для Android под названием SunBird и Hornbill на основе коммерческих шпионских ПО BuzzOut и MobileSpy соответственно, которые используются для кражи данных устройств, включая мессенджеры.
Совсем недавно исследователям Antiy удалось раздобыть несколько вредоносных образцов, которые судя по структуре кода и функциям, относятся к полезным нагрузкам SunBird.
Новая кампания, начавшаяся предположительно с мая, имитирует систему обновлений Google, а вредоносная активность нацелена на кражу фотографий пользователей, текстовых сообщений, адресных книг, записей различного ПО для обмена сообщениями и чатов.
Antiy к настоящему времени насчитала более 50 жертв из числа правительственных чиновников и военных преимущесвуенно из Кашмира и Джамму, а также других частей Индии.
Kongfuzi, также известная как APT59, активна с 2013 года и осуществляет атаки на правительственные учреждения, военнослужащих и ядерные учреждения в Пакистане и других странах Южной Азии.
По данным Lookout, с 2021 года АРТ взяла на вооружение вредоносное ПО для Android под названием SunBird и Hornbill на основе коммерческих шпионских ПО BuzzOut и MobileSpy соответственно, которые используются для кражи данных устройств, включая мессенджеры.
Совсем недавно исследователям Antiy удалось раздобыть несколько вредоносных образцов, которые судя по структуре кода и функциям, относятся к полезным нагрузкам SunBird.
Новая кампания, начавшаяся предположительно с мая, имитирует систему обновлений Google, а вредоносная активность нацелена на кражу фотографий пользователей, текстовых сообщений, адресных книг, записей различного ПО для обмена сообщениями и чатов.
Antiy к настоящему времени насчитала более 50 жертв из числа правительственных чиновников и военных преимущесвуенно из Кашмира и Джамму, а также других частей Индии.
Weixin Official Accounts Platform
孔夫子组织移动端最新攻击活动分析
基于SunBird的仿冒谷歌更新框架样本分析
Некая азиатская страна уже полгода находится под гнетом хакерской группировки Redfly, которая сосредоточена на атаках против критической инфраструктуры.
Нового субъекта угрозы обнаружили специалисты из Symantec, которые выявили использование трояна ShadowPad для поддержания присутствия в национальной энергосети Азии.
В отчете специалистов говорится, что злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации и эта атака является последней в серии шпионских вторжений против критической национальной инфраструктуры страны.
ShadowPad, также известный как PoisonPlug, является продолжением трояна удаленного доступа PlugX и представляет собой модульный имплант, способный динамически загружать дополнительные плагины с удаленного сервера, необходимые для сбора конфиденциальных данных из взломанных сетей.
Малварь активно перекликается с целым кластром APT, связанных с Китаем (Winnti, Wicked Panda, Blackfly и Grayfly), по крайней мере с 2019 года в атаках, направленных на организации в различных отраслях промышленности.
В рамках последней кампании, как отмечает Symantec, Redfly использовала вариант ShadowPad, который стучался на домен websencl[.]com в качестве сервера управления и контроля (C2).
На зараженных машинах троян маскируется под файлы и каталоги VMware и устанавливает постоянство путем регистрации службы, которая запускается при старте Windows.
Помимо ShadowPad, Redfly была замечена за развертыванием PackerLoader, инструмента для загрузки и выполнения шелл-кода, и кейлоггера, который был установлен под разными именами на разных машинах.
Группировка действовала достаточно методично и последовательно изменяя разрешения для драйвера, который позже использовался для создания дампов файловой системы и выгружая учетные данные из реестра Windows.
Несколько дней спустя хакеры использовали инструмент для выгрузки учетных данных из LSASS, а запланированная задача использовалась для выполнения Oleview, для боковой загрузки и горизонтального перемещения.
Чтобы установить кейлоггер на скомпрометированную машину они попытались выгрузить учетные данные с помощью ProcDump.
По мнению Symantec, наиболее очевидным мотивом группы является шпионаж, поскольку группа не занимается деструктивной деятельностью, однако и такой сценарий развития событий не исключается полностью.
Нового субъекта угрозы обнаружили специалисты из Symantec, которые выявили использование трояна ShadowPad для поддержания присутствия в национальной энергосети Азии.
В отчете специалистов говорится, что злоумышленникам удалось украсть учетные данные и скомпрометировать несколько компьютеров в сети организации и эта атака является последней в серии шпионских вторжений против критической национальной инфраструктуры страны.
ShadowPad, также известный как PoisonPlug, является продолжением трояна удаленного доступа PlugX и представляет собой модульный имплант, способный динамически загружать дополнительные плагины с удаленного сервера, необходимые для сбора конфиденциальных данных из взломанных сетей.
Малварь активно перекликается с целым кластром APT, связанных с Китаем (Winnti, Wicked Panda, Blackfly и Grayfly), по крайней мере с 2019 года в атаках, направленных на организации в различных отраслях промышленности.
В рамках последней кампании, как отмечает Symantec, Redfly использовала вариант ShadowPad, который стучался на домен websencl[.]com в качестве сервера управления и контроля (C2).
На зараженных машинах троян маскируется под файлы и каталоги VMware и устанавливает постоянство путем регистрации службы, которая запускается при старте Windows.
Помимо ShadowPad, Redfly была замечена за развертыванием PackerLoader, инструмента для загрузки и выполнения шелл-кода, и кейлоггера, который был установлен под разными именами на разных машинах.
Группировка действовала достаточно методично и последовательно изменяя разрешения для драйвера, который позже использовался для создания дампов файловой системы и выгружая учетные данные из реестра Windows.
Несколько дней спустя хакеры использовали инструмент для выгрузки учетных данных из LSASS, а запланированная задача использовалась для выполнения Oleview, для боковой загрузки и горизонтального перемещения.
Чтобы установить кейлоггер на скомпрометированную машину они попытались выгрузить учетные данные с помощью ProcDump.
По мнению Symantec, наиболее очевидным мотивом группы является шпионаж, поскольку группа не занимается деструктивной деятельностью, однако и такой сценарий развития событий не исключается полностью.
Security
Redfly: Espionage Actors Continue to Target Critical Infrastructure
National grid in Asia compromised by attackers using ShadowPad Trojan.
͏Французская Airbus начала расследование утечки после того, как авторитетный хакер заявил, что взломал системы компании и опубликовал некоторые корпоративные документы.
Исследователи Hudson Rock сообщили, что на одной из даркнет-площадок хакер, известный как USDoD, заявил о взломе Airbus, а сообщением ранее о членстве в банде вымогателей, известной как Ransomed.
Ранее на этот же USDoD брал на себя ответственность за инцидент со взломом базы данных InfraGard, подконтрольной ФБР США и компрометации информации в отношении о 80 000 человек, включая руководителей крупного бизнеса, ИТ-специалистов, а также военных, силовиков и чиновников.
Касаемо инцидента с Airbus, злоумышленник, по всей видимости, выкрал личную информацию на 3200 человек, связанных с поставщиками производителя, включая Rockwell Collins и Thales.
Скомпрометированные данные могут включать имена, должности, почтовые адреса, электронную почту и номера телефонов.
Как отметил сам злоумышленник, он смог получил доступ к системам Airbus, используя скомпрометированную учетную запись сотрудника турецкой авиакомпании.
При этом Airbus подтвердил Hudson Rock этот вектор атаки, а достать учетные сведения удалось с использованием RedLine после загрузки пиратской версии .NET.
Злоумышленник тем временем также заявил, что намерен атаковать американских оборонных подрядчиков, таких как Lockheed Martin и Raytheon.
И при этом USDoD обновил исходный пост об утечке Airbus, извинившись перед гражданами США за анонс утечки именно 11 сентября.
Airbus продолжает расследование и предпринимает срочные меры апостола локализации последствий.
Исследователи Hudson Rock сообщили, что на одной из даркнет-площадок хакер, известный как USDoD, заявил о взломе Airbus, а сообщением ранее о членстве в банде вымогателей, известной как Ransomed.
Ранее на этот же USDoD брал на себя ответственность за инцидент со взломом базы данных InfraGard, подконтрольной ФБР США и компрометации информации в отношении о 80 000 человек, включая руководителей крупного бизнеса, ИТ-специалистов, а также военных, силовиков и чиновников.
Касаемо инцидента с Airbus, злоумышленник, по всей видимости, выкрал личную информацию на 3200 человек, связанных с поставщиками производителя, включая Rockwell Collins и Thales.
Скомпрометированные данные могут включать имена, должности, почтовые адреса, электронную почту и номера телефонов.
Как отметил сам злоумышленник, он смог получил доступ к системам Airbus, используя скомпрометированную учетную запись сотрудника турецкой авиакомпании.
При этом Airbus подтвердил Hudson Rock этот вектор атаки, а достать учетные сведения удалось с использованием RedLine после загрузки пиратской версии .NET.
Злоумышленник тем временем также заявил, что намерен атаковать американских оборонных подрядчиков, таких как Lockheed Martin и Raytheon.
И при этом USDoD обновил исходный пост об утечке Airbus, извинившись перед гражданами США за анонс утечки именно 11 сентября.
Airbus продолжает расследование и предпринимает срочные меры апостола локализации последствий.
В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.
Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.
Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.
CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.
Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.
С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.
Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.
В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.
Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.
Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.
CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.
Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.
С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.
Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.
В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.
Akamai
Can't Be Contained: Finding a Command Injection Vulnerability in Kubernetes | Akamai
Akamai researchers discover a critical vulnerability in Kubernetes that can lead to remote code execution.
Исследователи Symantec Threat Hunter расчехляют новый штамм ransomware под названием 3AM, который применялся ограниченным образом в атаках после того, как оператору не удалось развернуть LockBit в целевой сети.
При этом Symantec удалось наблюдать атаку с использованием 3AM только в одном инциденте.
Несмотря на это ransomware использовалась и в другой ситуации от февраля месяца, однако тогда получить образец для анализа не представилось возможным.
3AM реализует общую преступную концепцию кражи данных перед их шифрованием с требованиями о выкупе и угрозами продать украденную информацию, если злоумышленнику не заплатят.
Записка о выкупе с именем RECOVER-FILES.txt сбрасывается в каждую папку, которую сканирует вредоносное ПО.
Ransomware имеет достаточно простой сайт для переговоров в сети Tor, доступ к которому для переговоров предоставляется на основе ключа из записки о выкупе.
Как сообщают Symantec, 3AM написан на Rust и, судя по всему, не связан ни с одним известным семейством программ-вымогателей, что делает его совершенно уникальным вредоносным ПО.
Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб в зараженной системе, включая Veeam, Acronis, Ivanti, McAfee или Symantec.
После завершения процесса шифрования файлы получают расширение THREEAMTIME, а теневые копии тома удаляются.
При этом в ходе атаки вируса-вымогателя 3AM предшествует использование команды gpresult, которая сбрасывает настройки политики системы для конкретного пользователя.
Злоумышленник также запускал различные компоненты Cobalt Strike и пытался повысить привилегии на компьютере с помощью PsExec.
Исследователи также наблюдали использование команд, обычно используемых для разведки (whoami, netstat, quser и netshare), анализа серверов (quser, net view), задействования FTP-клиента wput для копирования файлов на сервер злоумышленника.
Несмотря на ограниченный характер использования 3AM, ее позиционирование в качестве альтернативы LockBit - безусловно, привлечет интерес других злоумышленников.
С другой стороны, в ходе атаки 3AM удалось пошифровать лишь три компьютера в целевой организации из пяти, а на двух его активность была заблокирована.
В отчете Symantec представила набор хэшей для образцов LockBit и 3AM, использованные в атаке компоненты Cobalt Strike, а также сетевые индикаторы.
При этом Symantec удалось наблюдать атаку с использованием 3AM только в одном инциденте.
Несмотря на это ransomware использовалась и в другой ситуации от февраля месяца, однако тогда получить образец для анализа не представилось возможным.
3AM реализует общую преступную концепцию кражи данных перед их шифрованием с требованиями о выкупе и угрозами продать украденную информацию, если злоумышленнику не заплатят.
Записка о выкупе с именем RECOVER-FILES.txt сбрасывается в каждую папку, которую сканирует вредоносное ПО.
Ransomware имеет достаточно простой сайт для переговоров в сети Tor, доступ к которому для переговоров предоставляется на основе ключа из записки о выкупе.
Как сообщают Symantec, 3AM написан на Rust и, судя по всему, не связан ни с одним известным семейством программ-вымогателей, что делает его совершенно уникальным вредоносным ПО.
Прежде чем приступить к шифрованию файлов, 3AM пытается остановить работу ряда служб в зараженной системе, включая Veeam, Acronis, Ivanti, McAfee или Symantec.
После завершения процесса шифрования файлы получают расширение THREEAMTIME, а теневые копии тома удаляются.
При этом в ходе атаки вируса-вымогателя 3AM предшествует использование команды gpresult, которая сбрасывает настройки политики системы для конкретного пользователя.
Злоумышленник также запускал различные компоненты Cobalt Strike и пытался повысить привилегии на компьютере с помощью PsExec.
Исследователи также наблюдали использование команд, обычно используемых для разведки (whoami, netstat, quser и netshare), анализа серверов (quser, net view), задействования FTP-клиента wput для копирования файлов на сервер злоумышленника.
Несмотря на ограниченный характер использования 3AM, ее позиционирование в качестве альтернативы LockBit - безусловно, привлечет интерес других злоумышленников.
С другой стороны, в ходе атаки 3AM удалось пошифровать лишь три компьютера в целевой организации из пяти, а на двух его активность была заблокирована.
В отчете Symantec представила набор хэшей для образцов LockBit и 3AM, использованные в атаке компоненты Cobalt Strike, а также сетевые индикаторы.
Security
3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack
Attackers resorted to new ransomware after deployment of LockBit was blocked on targeted network.
Китайцы из Qihoo 360 вносят яркий диссонанс в стройное хоровое пение западных инфосек компаний, у которых злые тоталитарные хакеры бывают только в России, КНР, Иране и Северной Корее. А у всех западных стран и их саттелитов демократия и лапки.
Вот честно, если бы Stuxnet случился сегодня, а не 13 лет назад, престарелые педерасты из всяких там Recorded Future и прочих ESETов на голубом глазу уверяли бы всех, что это Иран сам себя ломает. А Израиль с Equation и Regin совершенно не при чем. Да и не существует их, западных прогосударственных хакерских групп.
Благостную картину, конечно, немного подпортили в 2017 году Shadow Brokers со своим сливом Lost In Translation инструментария АНБ в Твиттере. Но, во-первых, с тех пор прошло много лет, а, во-вторых, в последнее время намного чаще вспоминют то, что эпидемию вымогателя WannaCry организовали злые северокорейцы (что, в принципе еще никто не доказал), а не то, что эксплойт EternalBlue, на основе которого WannaCry и работал, принадлежал АНБ и был также слит в составе Lost In Translation.
Вернемся однако к китайскому вопросу. Летом прошлого года хакерами был атакован Северо-Западный политехнический университет, находящийся в китайской провинции Шэньси. Спустя два месяца, в сентябре 2022 года китайская Global Times, официальный рупор Коммунистической партии Китая, заявила, что ответственность за атаку несет АНБ.
Сегодня же Qihoo 360 разместили материал, в котором сообщили, что в ходе расследования указанного киберинцидента смогли успешно извлечь несколько экземпляров SecondDate - слитой в 2017 году ShadowBrokers тулзы (насколько мы понимаем, таки модифицированной), которая с позиций сетевого оборудования реализует атаку типа MITM.
Китайцы дали некоторые технические спецификации SecondDate, а в завершении заметили, что в результате долгого расследования вместе с партнерами обнаружили, что контрольным модулем SecondDate заражены тысячи сетевых устройств по всему миру, а большинство С2 расположены в Германии, Японии, Южной Корее, Индии и Тайване.
Более того, китайцы утверждают, что установили личность сотрудника АНБ, который координировал атаку на Университет.
Звучит все это как своеобразный анонс масштабного пендослива, будем с нетерпением ждать.
Вот честно, если бы Stuxnet случился сегодня, а не 13 лет назад, престарелые педерасты из всяких там Recorded Future и прочих ESETов на голубом глазу уверяли бы всех, что это Иран сам себя ломает. А Израиль с Equation и Regin совершенно не при чем. Да и не существует их, западных прогосударственных хакерских групп.
Благостную картину, конечно, немного подпортили в 2017 году Shadow Brokers со своим сливом Lost In Translation инструментария АНБ в Твиттере. Но, во-первых, с тех пор прошло много лет, а, во-вторых, в последнее время намного чаще вспоминют то, что эпидемию вымогателя WannaCry организовали злые северокорейцы (что, в принципе еще никто не доказал), а не то, что эксплойт EternalBlue, на основе которого WannaCry и работал, принадлежал АНБ и был также слит в составе Lost In Translation.
Вернемся однако к китайскому вопросу. Летом прошлого года хакерами был атакован Северо-Западный политехнический университет, находящийся в китайской провинции Шэньси. Спустя два месяца, в сентябре 2022 года китайская Global Times, официальный рупор Коммунистической партии Китая, заявила, что ответственность за атаку несет АНБ.
Сегодня же Qihoo 360 разместили материал, в котором сообщили, что в ходе расследования указанного киберинцидента смогли успешно извлечь несколько экземпляров SecondDate - слитой в 2017 году ShadowBrokers тулзы (насколько мы понимаем, таки модифицированной), которая с позиций сетевого оборудования реализует атаку типа MITM.
Китайцы дали некоторые технические спецификации SecondDate, а в завершении заметили, что в результате долгого расследования вместе с партнерами обнаружили, что контрольным модулем SecondDate заражены тысячи сетевых устройств по всему миру, а большинство С2 расположены в Германии, Японии, Южной Корее, Индии и Тайване.
Более того, китайцы утверждают, что установили личность сотрудника АНБ, который координировал атаку на Университет.
Звучит все это как своеобразный анонс масштабного пендослива, будем с нетерпением ждать.
В деле Pegasus впервые за все долгое время расследований и разоблачений spyware-кампаний прозвучали обвинения в адрес России.
Поводом стал инцидент с заражением шпионским ПО издателя иноагентской «Медузы» Галины Тимченко.
Еще в конце июня ее срочно вызвали в рижский офис издания, где раскрыли страшную тайну об атаках злых и беспощадных «проправительственных хакеров» на ее устройства Apple. В реальности телефон был заражен шпионской ПО Pegasus производства легендарной израильской NSO Group.
Специалисты из Access Now и Citizen Lab поспешили сразу же предположить, что за атакой стоит Россия, ведь заражение произошло через две недели после признания издания нежелательной организацией.
Правда, факты говорят об обратном, и впоследствии многие из здравомыслящих исследователей все же признали, что компрометация произошла 10 февраля 2023 года, когда Тимченко, проживающая ныне в Латвии, посещала в Германии закрытую встречу с представителями российских «независимых» СМИ.
В связи с чем, подозрения обоснованно пали на спецслужбы Эстонии, Германии или Латвии.
Как мы неоднократно уже писали, политика NSO Group прямо указывает на недопустимость сотрудничества с недружественными НАТО государствами и режимами, а также передачи ПО в руки частных клиентов.
Несмотря на это, журналисты «Медузы» все же намекают на вероятность того, что по просьбе России телефон могли взломать ее союзники по СНГ.
Но тогда в этом случае - однозначно The Washington Post не стал бы писать о том, что исследователи не могут определить инициатора заражения.
При том, что NSO Group давно лежит под АНБ и ЦРУ, которые используют кейс с Pegasus в качестве рычага политического и экономического влияния.
Поводом стал инцидент с заражением шпионским ПО издателя иноагентской «Медузы» Галины Тимченко.
Еще в конце июня ее срочно вызвали в рижский офис издания, где раскрыли страшную тайну об атаках злых и беспощадных «проправительственных хакеров» на ее устройства Apple. В реальности телефон был заражен шпионской ПО Pegasus производства легендарной израильской NSO Group.
Специалисты из Access Now и Citizen Lab поспешили сразу же предположить, что за атакой стоит Россия, ведь заражение произошло через две недели после признания издания нежелательной организацией.
Правда, факты говорят об обратном, и впоследствии многие из здравомыслящих исследователей все же признали, что компрометация произошла 10 февраля 2023 года, когда Тимченко, проживающая ныне в Латвии, посещала в Германии закрытую встречу с представителями российских «независимых» СМИ.
В связи с чем, подозрения обоснованно пали на спецслужбы Эстонии, Германии или Латвии.
Как мы неоднократно уже писали, политика NSO Group прямо указывает на недопустимость сотрудничества с недружественными НАТО государствами и режимами, а также передачи ПО в руки частных клиентов.
Несмотря на это, журналисты «Медузы» все же намекают на вероятность того, что по просьбе России телефон могли взломать ее союзники по СНГ.
Но тогда в этом случае - однозначно The Washington Post не стал бы писать о том, что исследователи не могут определить инициатора заражения.
При том, что NSO Group давно лежит под АНБ и ЦРУ, которые используют кейс с Pegasus в качестве рычага политического и экономического влияния.
Access Now
Hacking Meduza: Pegasus spyware used to target Putin’s critic
The publisher of Russian independent media org Meduza was hacked with NSO’s Pegasus spyware. As both Russia and Latvia are potential culprits, Access Now demands accountability and sanctions.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.
• Я уже давно заметил, что тема сетей и различные подборки информации по разным инструментам вызывают колоссальный интерес, который можно сопоставить с тематикой #OSINT и #СИ в нашем канале. ПО о котором сегодня пойдет речь не будет исключением. Обязательно сохраняй в закладки и используй в работе, ведь это настоящий анализатор трафика в твоем кармане.• Речь идет о PCAPdroid, который имеет открытый исходный код и может в следующие сценарии использования:
➖ Анализ соединений, созданных приложениями установленными на устройстве (как пользовательскими, так и системными);
➖ Создание дампа сетевого трафика Android-устройства и его отправка на другое устройство для последующего анализа в стороннем приложении (например #Wireshark на ПК);
➖ Расшифровка HTTPS/TLS трафика конкретного приложения.
• Подробно описывать данный инструмент не буду, так как за меня это сделали разработчики: https://emanuele-f.github.io/PCAPdroid/ru/quick_start.html
• Ну, и напоследок — добрый люди с 4pda постоянно делятся полезными комментами и выкладывают новые версии с премиум функционалом. Скачать актуальную версию можно по ссылке: https://4pda.to
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Тупорылый наброс сделали вчера исследователи из Cyble.
Они проанализировали загруженный на VirusTotal архив RAR, который содержал в себе видеофайл и вредоносный exe-шник, написанный на Python. Тот, в свою очередь содержит скрипт PowerShell, а тот подтягивает еще скрипты PowerShell и т.д. Короче, в итоге вредонос закрепляется в системе и каждые 12 секунд делает скриншоты, которые потом жмет и отправляет куда-то по FTP. Причем хранит он их в открытую в подпапке С:\User\. Предполагается, что распространялся вредоносный архив в рамках некой фишинговой кампании.
А дальше начинаетсямагия залипуха. И видеофайл и вредонос называются одинаково - "С Днем Республики Татарстан!", а exe-шник помимо своей вредоносной функции выводит на экран открытку "30 августа. С Днем Республики!". Причем все надписи на русском языке.
Из этого всего тупоголовые индусские американцы из Cyble делают далекоидущий вывод, что атака направлена на "татароязычных пользователей, проживающих на территории Республики Татарстан" (!) А чо не на проживающих на территории Татарстана мордвинов?
А потом они, с ссылкой на Proofpoint, говорят, что к этой атаке скорее всего причастна коммерческая хакерская группировка TA866, которая ранее атаковала немецкие и американские организации. А в коде TA866 есть комментарии на русском языке!
Шах и мат, вата! Русские хакеры (по заказу Кремля, ессессно) атакуют татар в святой для них день Татарстана! Незабудим непрастим!
Как мы видим, фимоз головного мозга все глубже проникает в отрасль инфосека. Даже индусов не пощадил. "Эти знатные баре в большинстве случае педерасты" (с) Швейк
Новости про атаку на татароязычных пользователей уже поползли по инфосек ресурсам, кстати.
Ана сөте белән кермәгән тана сөте белән керми!
Они проанализировали загруженный на VirusTotal архив RAR, который содержал в себе видеофайл и вредоносный exe-шник, написанный на Python. Тот, в свою очередь содержит скрипт PowerShell, а тот подтягивает еще скрипты PowerShell и т.д. Короче, в итоге вредонос закрепляется в системе и каждые 12 секунд делает скриншоты, которые потом жмет и отправляет куда-то по FTP. Причем хранит он их в открытую в подпапке С:\User\. Предполагается, что распространялся вредоносный архив в рамках некой фишинговой кампании.
А дальше начинается
Из этого всего тупоголовые индусские американцы из Cyble делают далекоидущий вывод, что атака направлена на "татароязычных пользователей, проживающих на территории Республики Татарстан" (!) А чо не на проживающих на территории Татарстана мордвинов?
А потом они, с ссылкой на Proofpoint, говорят, что к этой атаке скорее всего причастна коммерческая хакерская группировка TA866, которая ранее атаковала немецкие и американские организации. А в коде TA866 есть комментарии на русском языке!
Шах и мат, вата! Русские хакеры (по заказу Кремля, ессессно) атакуют татар в святой для них день Татарстана! Незабудим непрастим!
Как мы видим, фимоз головного мозга все глубже проникает в отрасль инфосека. Даже индусов не пощадил. "Эти знатные баре в большинстве случае педерасты" (с) Швейк
Новости про атаку на татароязычных пользователей уже поползли по инфосек ресурсам, кстати.
Ана сөте белән кермәгән тана сөте белән керми!
Владельцы крупнейшей сети казино в США Caesars Entertainment решили не мучить ни себя, ни своих клиентов последствиями ransomware и утечками чувствительной информации.
Требования вымогателей Scattered Spider на 15 млн. долл. были в полном объеме удовлетворены.
Взлом произошел в начале сентября после того, как вымогателям удалось грамотно провернуть социнженерию в отношении сотрудников одного из ИТ-поставщиков, что и позволило им пролезть внутрь сети Caesers.
Согласно подтвержденным Caesars в документах SEC данным, утечка включала номера водительских прав, социального страхования, а также другие сведения из базы лояльности казино.
По результатам расследования Caesars не подтвердила утечку банковской или платежной информации, а основная операционная деятельность по работе с клиентами оставалась активной, и все операции продолжались без сбоев.
Тем не менее, Caesars выплатила выкуп, как они заметили, для минимизации последствий после того, как хакеры пригрозили слить конфиденциальные данные клиентов.
При этом хакеры сдержали свое слово, доказательств того, что данные в дальнейшем распространялись, публиковались или иным образом использовались не по назначению, компанией получено не было.
Совсем иначе произошло с их коллегами по игорному бизнесу - MGM Resorts, которых ранее атаковали те же Scattered Spider и у которых в результате атаки легли все системы, включая казино, СКУДы, бронирование и финансы.
Разница оказалась лишь в том, что MGM отказалась от выкупа и теперь продолжает разгребать последствия инцидента.
Требования вымогателей Scattered Spider на 15 млн. долл. были в полном объеме удовлетворены.
Взлом произошел в начале сентября после того, как вымогателям удалось грамотно провернуть социнженерию в отношении сотрудников одного из ИТ-поставщиков, что и позволило им пролезть внутрь сети Caesers.
Согласно подтвержденным Caesars в документах SEC данным, утечка включала номера водительских прав, социального страхования, а также другие сведения из базы лояльности казино.
По результатам расследования Caesars не подтвердила утечку банковской или платежной информации, а основная операционная деятельность по работе с клиентами оставалась активной, и все операции продолжались без сбоев.
Тем не менее, Caesars выплатила выкуп, как они заметили, для минимизации последствий после того, как хакеры пригрозили слить конфиденциальные данные клиентов.
При этом хакеры сдержали свое слово, доказательств того, что данные в дальнейшем распространялись, публиковались или иным образом использовались не по назначению, компанией получено не было.
Совсем иначе произошло с их коллегами по игорному бизнесу - MGM Resorts, которых ранее атаковали те же Scattered Spider и у которых в результате атаки легли все системы, включая казино, СКУДы, бронирование и финансы.
Разница оказалась лишь в том, что MGM отказалась от выкупа и теперь продолжает разгребать последствия инцидента.
Vital Vegas
Caesars Entertainment Paid Millions to Hackers, Now Look Like Geniuses | Vital Vegas
As MGM Resorts continues to grapple with its cyberattack nightmare, it's being reported Caesars Entertainment paid hackers millions of dollars to avoid a
Исследователи Dr.Web сообщают об обнаружении новых версий троянца Android.Spy.Lydia, который реализует различные шпионские действия на зараженных устройствах и обеспечивает удаленное управление для кражи личной информации или денежных средств.
Более того, вредоносная ПО имеет защитный механизм, проверяющий, запускаются ли они в эмуляторе или на тестовом устройстве.
Трояны распространяются через вредоносные сайты, выдающие себя за финансовые организации, например онлайн-биржи, основной аудиторией которых, по мнению мошенников, являются жители Ирана.
После регистрации на сайте для доступа к торговой сессии пользователю предлагается скачать и установить специальное программное обеспечение, а реальности Android.Spy.Lydia.
При запуске троян запрашивает ссылку на фишинговую страницу с hxxp[:]//teuoi[.]com , которая затем отображается на экране через WebView без открытия браузера. Изученный образец вредоносной ПО открывал следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.
На этой странице якобы находится форма для ввода идентификационного номера, на который в дальнейшем будет произведена «выплата дивидендов».
На самом деле на этом этапе троян отправляет своему командному серверу свой уникальный идентификатор и информацию об успешном заражении устройства.
После заражения устройства троян подключается к удаленному хосту по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает отправки команд зараженным устройствам.
Функционал трояна реализует следующий спектр действий: сбор информации о приложениях, перехват sms, управлением звуком и телефонной книгой и др., позволяющих совершать мошеннические действия для кражи денег как с банковских учреждений, так и у частных лиц, действуя от имени жертвы.
Более того, вредоносная ПО имеет защитный механизм, проверяющий, запускаются ли они в эмуляторе или на тестовом устройстве.
Трояны распространяются через вредоносные сайты, выдающие себя за финансовые организации, например онлайн-биржи, основной аудиторией которых, по мнению мошенников, являются жители Ирана.
После регистрации на сайте для доступа к торговой сессии пользователю предлагается скачать и установить специальное программное обеспечение, а реальности Android.Spy.Lydia.
При запуске троян запрашивает ссылку на фишинговую страницу с hxxp[:]//teuoi[.]com , которая затем отображается на экране через WebView без открытия браузера. Изученный образец вредоносной ПО открывал следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.
На этой странице якобы находится форма для ввода идентификационного номера, на который в дальнейшем будет произведена «выплата дивидендов».
На самом деле на этом этапе троян отправляет своему командному серверу свой уникальный идентификатор и информацию об успешном заражении устройства.
После заражения устройства троян подключается к удаленному хосту по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает отправки команд зараженным устройствам.
Функционал трояна реализует следующий спектр действий: сбор информации о приложениях, перехват sms, управлением звуком и телефонной книгой и др., позволяющих совершать мошеннические действия для кражи денег как с банковских учреждений, так и у частных лиц, действуя от имени жертвы.
Dr.Web
Android.Spy.Lydia trojans masquerade as an Iranian online trading platform
Doctor Web has detected new versions of the Android.Spy.Lydia trojans, which engage in a variety of spyware activities on infected Android devices and provide attackers with remote control capabilities to steal personal information and funds. Moreover, the…
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Deep Instinct обнаружили злоумышленника, нацеленного на азербайджанские цели, использующего приманки, связанные с военным конфликтом в Нагорном Карабахе, с целью заражения их систем новым вредоносным ПО на основе Rust.
Кампания получила наименование Rusty Flag и имела как минимум два разных вектора начального доступа, а в качестве одной из приманок был модифицированный документ, который использовала группа Storm-0978.
Но, как полагают исследователи, это больше указывает на атаку под чужим флагом.
Изначально Deep Instinct обнаружила вредоносный файл LNK с низким уровнем обнаружения под названием 1.KARABAKH.jpg.lnk и демонстрирующий изображение, связанное с военным инцидентом в Нагорном Карабахе.
LNK загружает и запускает установщик MSI, размещенный в DropBox, в котором уложен имплант на Rust, XML-файл запланированной задачи и файл изображения-приманки.
Затем нашелся еще один MSI-файл, который уже содержал другой вариант того же имплантата Rust, однако определить первоначальный вектор доступа для этой кампании было сложнее.
URL-адрес DropBox был замаскирован с помощью средства сокращения URL-адресов (hxxps://t[.]]ly/8CYQW).
Удалось выйти на файл Overview_of_UWCs_UkraineInNATO_campaign.docx, который отправлял запрос на этот URL.
Причем это имя файла и его содержимое, были с связаны с кампанией Storm-0978, использующей CVE-2023-36884, о чем даже имелся соответствующий комментарий на VirusTotal.
В ходе дальнейшего расследования все же выяснилось, что это другой файл. При это встроенный afchunk.rtf заменен, а упомянутая CVE не использовалась.
Вместо этого для загрузки и установки файла MSI эксплуатировалась CVE-2017-11882. Все это выглядит, по мнению исследователей, как преднамеренная попытка связать атаку с Storm-0978.
Несмотря на то, что первоначальная приманка представляла собой офисный файл, доставленный MSI также открывал файл-приманку в формате PDF. Каждая атака имела свои уникальные имена файлов и метаданные.
Хотя исходные векторы различались, выполнение в обоих вариантах осуществлялось одинаково. После выполнения файла он переходил в режим сна на 12 минут. Это известный метод, позволяющий избежать исследования безопасности и простого анализа в песочнице.
Затем начинал сбор информации о зараженной машине. Информация затем шифруется и отправляется на сервер злоумышленника, используя необычный, жестко запрограммированный порт 35667.
Исследователи Deep Instinct так и не смогли приписать эти атаки какому-либо известному злоумышленнику, а оба имплантата Rust имели 0 обнаружений при первой загрузке в VirusTotal.
Так что, чья-то реализуемая попытка имитации кибератак на Азербайджан со стороны приписываемых к России групп может и имела бы в моменте шансы на успех, если бы не Deep Instinct со своим отчетом.
Но, как показывает практика, иногда они имеют свойство превращаться в 404, ну а пока - IOC и MITRE на месте в отчете.
Кампания получила наименование Rusty Flag и имела как минимум два разных вектора начального доступа, а в качестве одной из приманок был модифицированный документ, который использовала группа Storm-0978.
Но, как полагают исследователи, это больше указывает на атаку под чужим флагом.
Изначально Deep Instinct обнаружила вредоносный файл LNK с низким уровнем обнаружения под названием 1.KARABAKH.jpg.lnk и демонстрирующий изображение, связанное с военным инцидентом в Нагорном Карабахе.
LNK загружает и запускает установщик MSI, размещенный в DropBox, в котором уложен имплант на Rust, XML-файл запланированной задачи и файл изображения-приманки.
Затем нашелся еще один MSI-файл, который уже содержал другой вариант того же имплантата Rust, однако определить первоначальный вектор доступа для этой кампании было сложнее.
URL-адрес DropBox был замаскирован с помощью средства сокращения URL-адресов (hxxps://t[.]]ly/8CYQW).
Удалось выйти на файл Overview_of_UWCs_UkraineInNATO_campaign.docx, который отправлял запрос на этот URL.
Причем это имя файла и его содержимое, были с связаны с кампанией Storm-0978, использующей CVE-2023-36884, о чем даже имелся соответствующий комментарий на VirusTotal.
В ходе дальнейшего расследования все же выяснилось, что это другой файл. При это встроенный afchunk.rtf заменен, а упомянутая CVE не использовалась.
Вместо этого для загрузки и установки файла MSI эксплуатировалась CVE-2017-11882. Все это выглядит, по мнению исследователей, как преднамеренная попытка связать атаку с Storm-0978.
Несмотря на то, что первоначальная приманка представляла собой офисный файл, доставленный MSI также открывал файл-приманку в формате PDF. Каждая атака имела свои уникальные имена файлов и метаданные.
Хотя исходные векторы различались, выполнение в обоих вариантах осуществлялось одинаково. После выполнения файла он переходил в режим сна на 12 минут. Это известный метод, позволяющий избежать исследования безопасности и простого анализа в песочнице.
Затем начинал сбор информации о зараженной машине. Информация затем шифруется и отправляется на сервер злоумышленника, используя необычный, жестко запрограммированный порт 35667.
Исследователи Deep Instinct так и не смогли приписать эти атаки какому-либо известному злоумышленнику, а оба имплантата Rust имели 0 обнаружений при первой загрузке в VirusTotal.
Так что, чья-то реализуемая попытка имитации кибератак на Азербайджан со стороны приписываемых к России групп может и имела бы в моменте шансы на успех, если бы не Deep Instinct со своим отчетом.
Но, как показывает практика, иногда они имеют свойство превращаться в 404, ну а пока - IOC и MITRE на месте в отчете.
Deep Instinct
Operation Rusty Flag – A Malicious Campaign Against Azerbaijanian Targets | Deep Instinct
The Deep Instinct Threat Lab has discovered a new operation against Azerbaijanian targets. The operation is not associated with a known threat actor, and the operation was instead named because of their novel malware written in the Rust programming language.
͏Хакерская группа GhostSec заявляет о получении неправомерного доступа к FTP-серверу, предположительно, принадлежащего Московской бирже, Moex.
Полученные благодаря этому 2,8 ГБ конфиденциальной информации теперь доступы для широкой публики.
Злоумышленники отметили, что им удалось получить доступ благодаря халатности сотрудника, который, с их слов, «оставил свои креды практически открытыми».
К настоящему времени инцидент официально не подтвержден, как и легитимность представленных данных. Но будем посмотреть.
Полученные благодаря этому 2,8 ГБ конфиденциальной информации теперь доступы для широкой публики.
Злоумышленники отметили, что им удалось получить доступ благодаря халатности сотрудника, который, с их слов, «оставил свои креды практически открытыми».
К настоящему времени инцидент официально не подтвержден, как и легитимность представленных данных. Но будем посмотреть.
Хост vx-underground пока в отключке и пытается оправиться от DDoS-атаки банды Lockbit.
Наблюдаем за противостоянием. Собственно, сами с усами, поскольку попросили протестировать ботнет Lockbit на себе и попытаться вывести свою инфру из сети.
Просили - получите 2,73 миллиона веб-запросов и примерно 300 ГБ веб-трафика, а пока спите и ждите пока хостер раздуплится.
Наблюдаем за противостоянием. Собственно, сами с усами, поскольку попросили протестировать ботнет Lockbit на себе и попытаться вывести свою инфру из сети.
Просили - получите 2,73 миллиона веб-запросов и примерно 300 ГБ веб-трафика, а пока спите и ждите пока хостер раздуплится.
X (formerly Twitter)
vx-underground (@vxunderground) on X
Thank you for the lovely image, Lockbit ransomware group.
Дмитрий Волков, который с недавних пор релоцировался в Сингапур в роли генерального директора сингапурской уже Group-IB, появился со своего рода программным выступлением 10 причин купить услуги Group-IB Реагирование на киберинциденты через призму возможностей.
Понятно, что материал в виде ответов на задаваемые вопросы ориентирован, в первую очередь, на первых лиц бизнеса, принимающих стратегические решения. Да и в целом это действительно реклама компании.
Но нам вот это понравилось: Обнаружение инцидентов и реагирование на них требуют совместных усилий команд безопасности и руководства организации. Это не исключительная ответственность одного человека или подразделения. Общая ответственность топ-менеджмента заключается в управлении рисками и создании эффективной антикризисной стратегии.
Это ровно то, о чем мы твердим уже давно, в частности в посте про атаку на цепочку мудаков.
Приятно послушать умного человека.
Понятно, что материал в виде ответов на задаваемые вопросы ориентирован, в первую очередь, на первых лиц бизнеса, принимающих стратегические решения. Да и в целом это действительно реклама компании.
Но нам вот это понравилось: Обнаружение инцидентов и реагирование на них требуют совместных усилий команд безопасности и руководства организации. Это не исключительная ответственность одного человека или подразделения. Общая ответственность топ-менеджмента заключается в управлении рисками и создании эффективной антикризисной стратегии.
Это ровно то, о чем мы твердим уже давно, в частности в посте про атаку на цепочку мудаков.
Приятно послушать умного человека.
Group-IB
Incident Response through an opportunity lens: In conversation with Dmitry Volkov (CEO, Group-IB)
Gather valuable insights on how incident response can be a make-or-break factor in securing your business from the conversation with Dmitry Volkov (CEO, Group-IB)
͏Google согласилась выплатить 93 миллиона долларов для урегулирования иска штата Калифорния по поводу обвинений в том, что компания вводила пользователей в заблуждение в отношении конфиденциальности их местоположения и нарушила таким образом законы о защите прав потребителей.
FTC стала инициатором крупнейшей, пожалуй, игровой утечки, которая включает конфиденциальные документы от Microsoft и Bethesda, представленные на одном из судебных заседаний, связанного с приобретением Activision.
Пролистывая раскрытые материалы, теперь каждый геймер сможет примерить на себя роль Купера, буквально за несколько минут узнав, что оказывается:
⁃ The Elder Scrolls 6 не выйдет на PS5 и не выйдет как минимум до 2026 года.
⁃ Планируется Red Dead Redemption 2 следующего поколения.
⁃ Xbox Series X будет иметь бездисковый дизайн в рамках обновления, а новый контроллер получит тактильную связь (кодовое название SEBILE выйдет в мае 2024 г.).
⁃ Слиты полные сроки реализации плана Xbox на период до 2030 года.
⁃ Xbox пытается купить Nintendo (возможно, Warner Bros., Valve и др).
⁃ Известны даты релиза Xbox среднего и следующего поколения (2025 и 2028 гг.) с изображениями.
⁃ Ремейки Fallout 3 и Oblivion в разработке.
⁃ К 2024 году будет анонсирована новый Doom Zero Year, продолжение Ghostwire Tokyo, расширение Starfield (Shattered Space).
⁃ Ведется работа над неизвестными проектами Project Platinum и Project Kestrel.
⁃ И многое другое.
В общем, как отмечают в X, кто-то из FTC, кто прицепил к одному файлу массу конфиденциальных и неотредактированных документов Microsoft в рамках судебного дела и не защитил документы должным образом во время загрузки, и таким образом выложил их в открытый доступ, должен быть уволен.
Пролистывая раскрытые материалы, теперь каждый геймер сможет примерить на себя роль Купера, буквально за несколько минут узнав, что оказывается:
⁃ The Elder Scrolls 6 не выйдет на PS5 и не выйдет как минимум до 2026 года.
⁃ Планируется Red Dead Redemption 2 следующего поколения.
⁃ Xbox Series X будет иметь бездисковый дизайн в рамках обновления, а новый контроллер получит тактильную связь (кодовое название SEBILE выйдет в мае 2024 г.).
⁃ Слиты полные сроки реализации плана Xbox на период до 2030 года.
⁃ Xbox пытается купить Nintendo (возможно, Warner Bros., Valve и др).
⁃ Известны даты релиза Xbox среднего и следующего поколения (2025 и 2028 гг.) с изображениями.
⁃ Ремейки Fallout 3 и Oblivion в разработке.
⁃ К 2024 году будет анонсирована новый Doom Zero Year, продолжение Ghostwire Tokyo, расширение Starfield (Shattered Space).
⁃ Ведется работа над неизвестными проектами Project Platinum и Project Kestrel.
⁃ И многое другое.
В общем, как отмечают в X, кто-то из FTC, кто прицепил к одному файлу массу конфиденциальных и неотредактированных документов Microsoft в рамках судебного дела и не защитил документы должным образом во время загрузки, и таким образом выложил их в открытый доступ, должен быть уволен.
ResetEra
Bethesda title release schedule leaked (Fallout 3 Remaster, DOOM...
Source:
https://files.cand.uscourts.gov/files/23-cv-02880_FTC_v_Microsoft/PX7011%20(Redacted).pdf
Attachment inside PDF: EX PX1050 Phil Spencer 101122.pdf
https://files.cand.uscourts.gov/files/23-cv-02880_FTC_v_Microsoft/PX7011%20(Redacted).pdf
Attachment inside PDF: EX PX1050 Phil Spencer 101122.pdf
Исследователи VulnCheck сообщают, что около 12 000 брандмауэров Juniper SRX и коммутаторов EX подвержены RCE-уязвимости, которой злоумышленники могут воспользоваться без аутентификации.
Еще в августе Juniper обнаружила многочисленные проблемы, связанные с манипулированием переменными среды PHP (CVE-2023-36844/CVE-2023-36845) и отсутствующей аутентификацией для критической функции (CVE-2023-36846/CVE-2023-36847), которые сами по себе имели оценку 5,3. Но в совокупности эти уязвимости стали критическим недостатком удаленного выполнения кода с рейтингом 9,8.
В более позднем техническом отчете watchTowr Labs опубликовала PoC, который объединил недостатки CVE-2023-36845 и CVE-2023-36846, позволяя исследователям удаленно выполнять код, загружая два файла на уязвимое устройство.
На этот раз VulnCheck представили еще один PoC-эксплойт, который использует только CVE-2023-36845, минуя необходимость загрузки файлов и сохраняя при этом удаленное выполнение кода без аутентификации.
Исследователи смогли модифицировать многоэтапный эксплойт в простой, который можно написать с помощью одной команды curl и который затрагивает большее количество именно старых систем.
Поэтому влияние выявленной проблемы безопасности обширнее и гораздо серьезнее, чем предполагает присвоенный средний рейтинг CVSS, в связи с чем администраторы должны предпринять немедленные меры по обновлению своих систем.
Исследователи также поделились на GitHub сканером для идентификации уязвимых развертываний в Интернете, благодаря которому нашли 14 951 Juniper с доступными из Интернета веб-интерфейсами.
Из них 79% уязвимы и остаются идеальным начальным вектором для реализации атаки на «цепочку мудаков», которая зачастую и приводит к получению хакерами доступа в корпоративную сеть.
При этом поставщик выпустил обновления безопасности, устраняющие уязвимость, еще 17 августа 2023 года, а Shadowserver и GreyNoise уже наблюдают, как злоумышленники приступили к эксплуатации CVE-2023-36845 в «атаках на мудака».
Еще в августе Juniper обнаружила многочисленные проблемы, связанные с манипулированием переменными среды PHP (CVE-2023-36844/CVE-2023-36845) и отсутствующей аутентификацией для критической функции (CVE-2023-36846/CVE-2023-36847), которые сами по себе имели оценку 5,3. Но в совокупности эти уязвимости стали критическим недостатком удаленного выполнения кода с рейтингом 9,8.
В более позднем техническом отчете watchTowr Labs опубликовала PoC, который объединил недостатки CVE-2023-36845 и CVE-2023-36846, позволяя исследователям удаленно выполнять код, загружая два файла на уязвимое устройство.
На этот раз VulnCheck представили еще один PoC-эксплойт, который использует только CVE-2023-36845, минуя необходимость загрузки файлов и сохраняя при этом удаленное выполнение кода без аутентификации.
Исследователи смогли модифицировать многоэтапный эксплойт в простой, который можно написать с помощью одной команды curl и который затрагивает большее количество именно старых систем.
Поэтому влияние выявленной проблемы безопасности обширнее и гораздо серьезнее, чем предполагает присвоенный средний рейтинг CVSS, в связи с чем администраторы должны предпринять немедленные меры по обновлению своих систем.
Исследователи также поделились на GitHub сканером для идентификации уязвимых развертываний в Интернете, благодаря которому нашли 14 951 Juniper с доступными из Интернета веб-интерфейсами.
Из них 79% уязвимы и остаются идеальным начальным вектором для реализации атаки на «цепочку мудаков», которая зачастую и приводит к получению хакерами доступа в корпоративную сеть.
При этом поставщик выпустил обновления безопасности, устраняющие уязвимость, еще 17 августа 2023 года, а Shadowserver и GreyNoise уже наблюдают, как злоумышленники приступили к эксплуатации CVE-2023-36845 в «атаках на мудака».
Исследователи Microsoft в области искусственного интеллекта не учли серьезную ошибку в безопасности и случайно раскрыли 38 ТБ данных, включая копии рабочих станций сотрудников, креды, корпоративные секреты и более 30 000 приватных сообщений Microsoft Teams.
Утечку раскрыли исследователи из Wiz, которые обнаружили проблему во время рутинного сканирования сети на предмет неправильно настроенных контейнеров.
Утечка была обнаружена в репозитории AI GitHub исследовательского подразделения Microsoft в области искусственного интеллекта под названием Robust-Models-Transfer и, как сообщается, была случайно обнародована при публикации набора обучающих данных с открытым исходным кодом.
Для совместного использования файлов Microsoft использовала функцию Azure с токенами SAS, которая позволяет совместно использовать данные из учетных записей хранения.
Wiz обнаружили, что URL-адрес на совместное использование всей учетной записи хранения был настроен таким образом, что включала еще 38 ТБ.
Помимо этого Wiz заметили, что токен также был неправильно настроен, предоставляя разрешения полного контроля вместо режима «только для чтения», что давало потенциальным злоумышленникам возможность удалять и перезаписывать файлы.
Злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, доверяющий репозиторию Microsoft GitHub, был бы заражен.
Причем чертежи, предназначенные для моделей обучения ИИ, были представлены в формате ckpt, созданном на основе широко используемого TensorFlow и средства форматирования Pickle Python. Сам формат в таком случае мог стать шлюзом для RCE.
По данным Wiz, группа реагирования Microsoft аннулировала токен SAS в течение двух дней с момента первоначального раскрытия информации в июне этого года, еще через месяц токен был заменен на GitHub.
Microsoft прокомментировала инцидент, заявляя о том, что никакие данные клиентов не были раскрыты, никакие другие внутренние службы не подверглись риску из-за этой проблемы.
Компания заявила, что также обнаружила ошибку в своей системе сканирования, которая помечала конкретный URL-адрес SAS в репозитории как ложное срабатывание.
Как отметили исследователи, из-за отсутствия безопасности и управления токенами SAS учетной записи их следует считать такими же конфиденциальными, как и сам ключ учетной записи.
Поэтому настоятельно рекомендуется избегать использования учетной записи SAS для внешнего обмена. Ошибки при создании токена могут легко остаться незамеченными и раскрыть конфиденциальные данные.
Утечку раскрыли исследователи из Wiz, которые обнаружили проблему во время рутинного сканирования сети на предмет неправильно настроенных контейнеров.
Утечка была обнаружена в репозитории AI GitHub исследовательского подразделения Microsoft в области искусственного интеллекта под названием Robust-Models-Transfer и, как сообщается, была случайно обнародована при публикации набора обучающих данных с открытым исходным кодом.
Для совместного использования файлов Microsoft использовала функцию Azure с токенами SAS, которая позволяет совместно использовать данные из учетных записей хранения.
Wiz обнаружили, что URL-адрес на совместное использование всей учетной записи хранения был настроен таким образом, что включала еще 38 ТБ.
Помимо этого Wiz заметили, что токен также был неправильно настроен, предоставляя разрешения полного контроля вместо режима «только для чтения», что давало потенциальным злоумышленникам возможность удалять и перезаписывать файлы.
Злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, доверяющий репозиторию Microsoft GitHub, был бы заражен.
Причем чертежи, предназначенные для моделей обучения ИИ, были представлены в формате ckpt, созданном на основе широко используемого TensorFlow и средства форматирования Pickle Python. Сам формат в таком случае мог стать шлюзом для RCE.
По данным Wiz, группа реагирования Microsoft аннулировала токен SAS в течение двух дней с момента первоначального раскрытия информации в июне этого года, еще через месяц токен был заменен на GitHub.
Microsoft прокомментировала инцидент, заявляя о том, что никакие данные клиентов не были раскрыты, никакие другие внутренние службы не подверглись риску из-за этой проблемы.
Компания заявила, что также обнаружила ошибку в своей системе сканирования, которая помечала конкретный URL-адрес SAS в репозитории как ложное срабатывание.
Как отметили исследователи, из-за отсутствия безопасности и управления токенами SAS учетной записи их следует считать такими же конфиденциальными, как и сам ключ учетной записи.
Поэтому настоятельно рекомендуется избегать использования учетной записи SAS для внешнего обмена. Ошибки при создании токена могут легко остаться незамеченными и раскрыть конфиденциальные данные.
wiz.io
38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog
Wiz Research found a data exposure incident on Microsoft’s AI GitHub repository, including over 30,000 internal Microsoft Teams messages – all caused by one misconfigured SAS token
Starlink неожиданно потеряла 212 спутников за последние два месяца.
Видимо, летом в небе также жарко, то ли от вспышек на солнце, или еще каких, ведь у SpaceX наблюдался резкий рост числа сгоревших спутников в период с 18 июля по 18 сентября, о чем говорят данные, собранные satellitemap.space.
В целом, тенденция неутешительная для компании, а число сгоревших спутников стабильно увеличивается в течение последних трех лет, но значительный всплеск наблюдается, начиная с июля.
Пока SpaceX не дает комментариев по этому поводу и доподлинно неясно, было ли это запланированным выводом из орбиты или исчезновение является результатом сбоя, а возможно иных причин или внешних воздействий.
Активные запуски SpaceX инциировала в 2019 году и с тех пор на орбиту было отправлено более 5 000 спутников, из которых около 4 500 активны. Starlink разработаны так, чтобы сгорать в атмосфере в конце жизненного цикла, который составляет пять лет.
Однако космические спутники могут быть уязвимы для электромагнитных бурь и сильные солнечные вспышки могут выводить девайсы из строя. Так, в феврале прошлого года SpaceX заявляла, что потеряла 40 новых спутников вскоре после запуска из-за электромагнитной бури.
Учитывая стоимость ракетного пуска, потенциальный ущерб для компании мог составить до 100 млн. долл., а пока же ждем комментариев Илона Маска.
Видимо, летом в небе также жарко, то ли от вспышек на солнце, или еще каких, ведь у SpaceX наблюдался резкий рост числа сгоревших спутников в период с 18 июля по 18 сентября, о чем говорят данные, собранные satellitemap.space.
В целом, тенденция неутешительная для компании, а число сгоревших спутников стабильно увеличивается в течение последних трех лет, но значительный всплеск наблюдается, начиная с июля.
Пока SpaceX не дает комментариев по этому поводу и доподлинно неясно, было ли это запланированным выводом из орбиты или исчезновение является результатом сбоя, а возможно иных причин или внешних воздействий.
Активные запуски SpaceX инциировала в 2019 году и с тех пор на орбиту было отправлено более 5 000 спутников, из которых около 4 500 активны. Starlink разработаны так, чтобы сгорать в атмосфере в конце жизненного цикла, который составляет пять лет.
Однако космические спутники могут быть уязвимы для электромагнитных бурь и сильные солнечные вспышки могут выводить девайсы из строя. Так, в феврале прошлого года SpaceX заявляла, что потеряла 40 новых спутников вскоре после запуска из-за электромагнитной бури.
Учитывая стоимость ракетного пуска, потенциальный ущерб для компании мог составить до 100 млн. долл., а пока же ждем комментариев Илона Маска.