Подкатили подробности столь срочного выпуска Apple обновлений для исправления 0-day в ОС iPhone, iPad, Mac и Apple Watch.
Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.
В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.
При этом за атакой, по данным исследователей, стояли действующие власти Египта.
При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.
В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.
Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.
На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.
Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.
Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.
И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.
Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.
Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.
В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.
При этом за атакой, по данным исследователей, стояли действующие власти Египта.
При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.
В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.
Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.
На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.
Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.
Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.
И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.
Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.
The Citizen Lab
PREDATOR IN THE WIRES
Between May and September 2023, former Egyptian MP Ahmed Eltantawy was targeted with Cytrox's Predator spyware via links sent on SMS and WhatsApp after Eltantawy publicly stated his plans to run for President in the 2024 Egyptian elections. As Egypt is a…
Израильские организации стали целью двух различных кампаний, за которыми стоит иранский актор, отслеживаемый как OilRig.
Атаки были реализованы в 2021 и 2022 годах и получили названия Outer Space и Juicy Mix, которые включали использование двух первоначальных бэкдоров под названием Solar и Mango, задействованных для сбора конфиденциальной информации из основных браузеров и менеджеров учетных данных Windows.
Как заявили исследователи из ESET, оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых посредством фишинговых электронных писем.
OilRig, также известен как APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, связан с Министерством разведки и безопасности Ирана (MOIS) и активен как минимум с 2014 года.
Почти за десять лет злоумышленник использовал достаточно широкий спектр инструментов для кражи информации, проявляя тактичность и гибкость при написании новых вредоносных программ на основе изученных клиентских сред и уровней доступа.
В 2023 году OilRig также попадал в поле зрения исследователей из Trend Micro при доставке обновленной версии SideTwist в рамках фишинговой кампании, вероятно, нацеленной на американские организации.
Причем использование вредоносного ПО Mango специалистами ESET было приписано OilRig, в то время как Microsoft в мае 2023 года, злонамеренную активность приписал новому кластеру угрозы Storm-0133, но также связанного с MOIS и нацеленного исключительно на израильские местные правительственные учреждения и компании, обслуживающие сектора обороны, жилья и здравоохранения.
В кампании Outer Space, наблюдавшейся в 2021 году, OilRig скомпрометировала израильский сайт по работе с персоналом и впоследствии использовал его в качестве С2 для Solar (базового бэкдора на C#/.NET, способного собирать информацию, загружать и выполнять файлы).
А в кампании Juicy Mix 2022 года использовался уже Mango, по факту - это более улучшенная версия Solar с дополнительными возможностями и обфускацией.
В совокупности специалистами отмечается, как OilRig продолжает проявлять инновацию в TTP, параллельно создавая новые имплантаты с новыми возможностями.
Атаки были реализованы в 2021 и 2022 годах и получили названия Outer Space и Juicy Mix, которые включали использование двух первоначальных бэкдоров под названием Solar и Mango, задействованных для сбора конфиденциальной информации из основных браузеров и менеджеров учетных данных Windows.
Как заявили исследователи из ESET, оба бэкдора были развернуты с помощью VBS-дропперов, предположительно распространяемых посредством фишинговых электронных писем.
OilRig, также известен как APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, связан с Министерством разведки и безопасности Ирана (MOIS) и активен как минимум с 2014 года.
Почти за десять лет злоумышленник использовал достаточно широкий спектр инструментов для кражи информации, проявляя тактичность и гибкость при написании новых вредоносных программ на основе изученных клиентских сред и уровней доступа.
В 2023 году OilRig также попадал в поле зрения исследователей из Trend Micro при доставке обновленной версии SideTwist в рамках фишинговой кампании, вероятно, нацеленной на американские организации.
Причем использование вредоносного ПО Mango специалистами ESET было приписано OilRig, в то время как Microsoft в мае 2023 года, злонамеренную активность приписал новому кластеру угрозы Storm-0133, но также связанного с MOIS и нацеленного исключительно на израильские местные правительственные учреждения и компании, обслуживающие сектора обороны, жилья и здравоохранения.
В кампании Outer Space, наблюдавшейся в 2021 году, OilRig скомпрометировала израильский сайт по работе с персоналом и впоследствии использовал его в качестве С2 для Solar (базового бэкдора на C#/.NET, способного собирать информацию, загружать и выполнять файлы).
А в кампании Juicy Mix 2022 года использовался уже Mango, по факту - это более улучшенная версия Solar с дополнительными возможностями и обфускацией.
В совокупности специалистами отмечается, как OilRig продолжает проявлять инновацию в TTP, параллельно создавая новые имплантаты с новыми возможностями.
Welivesecurity
OilRig’s Outer Space and Juicy Mix: Same ol’ rig, new drill pipes
ESET researchers document OilRig’s Outer Space and Juicy Mix campaigns, targeting Israeli organizations in 2021 and 2022
Исследователи SecureWorks в своем отчете сообщают о финансово мотивированной группе Gold Melody, специализирующейся на реализации доступа к скомпрометированным организациям для проведения последующих атак.
Брокер первоначального доступа (IAB) также отслеживается как Prophet Spider (CrowdStrike) и UNC961 (Mandiant), активна с 2017 года и специализируется на эксплуатации уязвимостей в непропатченных серверах, подключенных к Интернету.
Группа не имеет четкой виктимологии и действует веерно. С середины 2020 года группа расширила свой охват, атакуя организации в сферах розничной торговли, здравоохранения, энергетики, финансов и высоких технологий, дислоцированных в Северной Америке, Северной Европе и Западной Азии.
Gold Melody была связана с атаками, нацеленными на известные уязвимости в JBoss Messaging, Citrix ADC, Oracle WebLogic, GitLab, Citrix ShareFile Storage Zones Controller, Atlassian Confluence, ForgeRock AM и Apache Log4j.
При этом в марте 2023 года Mandiant также отмечала, что во многих случаях вторжение IAB предшествовало развертыванию операторами программ-вымогателей Maze и Egregor. Сама группа старалась действовать экономически более эффективно, внимательно отслеживания последних уязвимостей с общедоступным PoC.
Киберпреступники используют разнообразный арсенал, включая веб-оболочки, встроенное ПО операционной системы и общедоступные утилиты, а также собственные троянские программы и инструменты для туннелирования.
Среди последних - такие как GOTROJ, BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY и HOLERUN, используются для выполнения произвольных команд, сбора системной информации и создания туннеля с жестко запрограммированным IP-адресом.
Специалисты связывают Gold Melody как минимум с пятью вторжениями, произошедшими в период июля 2020 и июля 2022, с использованием различных уязвимостей, включая те, которые влияют на Oracle E-Business Suite, Apache Struts, Sitecore XP и Flexera FlexNet.
После успешного получения доступа к системе, злоумышленники разворачивают веб-шеллы и создают каталоги на скомпрометированном хосте для размещения инструментов, используемых в цепочке заражения.
Как говорится в отчете, Gold Melody проводит тщательное сканирование и разведку, чтобы понять окружение жертвы и проложить путь для сбора учетных данных в целях дальнейшего получения дополнительных кред, горизонтального перемещения и эксфильтрации данных.
Брокер первоначального доступа (IAB) также отслеживается как Prophet Spider (CrowdStrike) и UNC961 (Mandiant), активна с 2017 года и специализируется на эксплуатации уязвимостей в непропатченных серверах, подключенных к Интернету.
Группа не имеет четкой виктимологии и действует веерно. С середины 2020 года группа расширила свой охват, атакуя организации в сферах розничной торговли, здравоохранения, энергетики, финансов и высоких технологий, дислоцированных в Северной Америке, Северной Европе и Западной Азии.
Gold Melody была связана с атаками, нацеленными на известные уязвимости в JBoss Messaging, Citrix ADC, Oracle WebLogic, GitLab, Citrix ShareFile Storage Zones Controller, Atlassian Confluence, ForgeRock AM и Apache Log4j.
При этом в марте 2023 года Mandiant также отмечала, что во многих случаях вторжение IAB предшествовало развертыванию операторами программ-вымогателей Maze и Egregor. Сама группа старалась действовать экономически более эффективно, внимательно отслеживания последних уязвимостей с общедоступным PoC.
Киберпреступники используют разнообразный арсенал, включая веб-оболочки, встроенное ПО операционной системы и общедоступные утилиты, а также собственные троянские программы и инструменты для туннелирования.
Среди последних - такие как GOTROJ, BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY и HOLERUN, используются для выполнения произвольных команд, сбора системной информации и создания туннеля с жестко запрограммированным IP-адресом.
Специалисты связывают Gold Melody как минимум с пятью вторжениями, произошедшими в период июля 2020 и июля 2022, с использованием различных уязвимостей, включая те, которые влияют на Oracle E-Business Suite, Apache Struts, Sitecore XP и Flexera FlexNet.
После успешного получения доступа к системе, злоумышленники разворачивают веб-шеллы и создают каталоги на скомпрометированном хосте для размещения инструментов, используемых в цепочке заражения.
Как говорится в отчете, Gold Melody проводит тщательное сканирование и разведку, чтобы понять окружение жертвы и проложить путь для сбора учетных данных в целях дальнейшего получения дополнительных кред, горизонтального перемещения и эксфильтрации данных.
Secureworks
GOLD MELODY: Profile of an Initial Access Broker
Read how Secureworks Counter Threat Unit analysis indicates that the GOLD MELODY threat group acts as an initial access broker (IAB) that sells access to compromised organizations for other cybercriminals to exploit.
Уже не в первый раз убеждаемся в том, что все предположения западного инфосека о всеобъемлющих связях тех или иных банд ransomware с Россией на практике оказываются не более, чем домыслом.
Если в одних случаях силовые операции приводили к задержанию украинцев, стоявших за Egregor, то на этот раз вдруг выяснилось, что к работе успевшей зарекомендовать себя на поприще вымогательства 8Base причастен 36-летний гражданин Молдовы Андрей Колев.
Выйти на него исследователям удалось благодаря внимательному изучению функции чата на DLS вымогателей 8Base, которая сбоила и выдавала подробное сообщение об ошибке, если вместо POST получала запросы GET.
Помимо раскрытия реального адреса 95.216.51[.]74 сервера в Финляндии фигурировала ссылка на частный сервер Gitlab под названием Jcube-group: gitlab[.]com/jcube-group/clients/apex/8base-v2.
В репозитории JCube Group исследователи обнаружили код с многократным упоминанием «KYC» (например, KYC_UNVERIFIED, KYC_VERIFIED и KYC_PENDING), который также встречался и на DLS 8Base.
Кроме того, исходный код страницы входа «администратора» у 8Base с изображением самолета на фоне аэропорта практически идентичен странице login.blade.php, созданной и размещенной в репозитории JCube Group три недели назад.
На странице в LinkedIn [archived] Колев указал, что является разработчиком в JCube Group. На Jcubegroup[.]com указаны адрес и номер телефона, которые, как подтверждают молдавские документы, принадлежат именно ему.
Чтобы прояснить ситуацию исследователи связались с Колевым и попросили прокомментировать, почему даркнет-сайт 8Base извлекает код из каталога «клиенты» его частного репозитория Gitlab JCube Group. Однако Колев ушел в отказ и категорически опроверг всякую связь с 8Base.
Можно, конечно было и предположить, что молдованина пытались таким образом подставить недоброжелатели или списать все вышеизложенное на совпадение, но опять же по странному стечению обстоятельств сращу после разговора с ним 8Base перестал выдавать сообщение об ошибке с указанием частного репозитория JCube.
В общем, передаем большой привет господину Колеву и ставим для него песню Mama El Baion голландской исполнительницы Maria Zamora.
Если в одних случаях силовые операции приводили к задержанию украинцев, стоявших за Egregor, то на этот раз вдруг выяснилось, что к работе успевшей зарекомендовать себя на поприще вымогательства 8Base причастен 36-летний гражданин Молдовы Андрей Колев.
Выйти на него исследователям удалось благодаря внимательному изучению функции чата на DLS вымогателей 8Base, которая сбоила и выдавала подробное сообщение об ошибке, если вместо POST получала запросы GET.
Помимо раскрытия реального адреса 95.216.51[.]74 сервера в Финляндии фигурировала ссылка на частный сервер Gitlab под названием Jcube-group: gitlab[.]com/jcube-group/clients/apex/8base-v2.
В репозитории JCube Group исследователи обнаружили код с многократным упоминанием «KYC» (например, KYC_UNVERIFIED, KYC_VERIFIED и KYC_PENDING), который также встречался и на DLS 8Base.
Кроме того, исходный код страницы входа «администратора» у 8Base с изображением самолета на фоне аэропорта практически идентичен странице login.blade.php, созданной и размещенной в репозитории JCube Group три недели назад.
На странице в LinkedIn [archived] Колев указал, что является разработчиком в JCube Group. На Jcubegroup[.]com указаны адрес и номер телефона, которые, как подтверждают молдавские документы, принадлежат именно ему.
Чтобы прояснить ситуацию исследователи связались с Колевым и попросили прокомментировать, почему даркнет-сайт 8Base извлекает код из каталога «клиенты» его частного репозитория Gitlab JCube Group. Однако Колев ушел в отказ и категорически опроверг всякую связь с 8Base.
Можно, конечно было и предположить, что молдованина пытались таким образом подставить недоброжелатели или списать все вышеизложенное на совпадение, но опять же по странному стечению обстоятельств сращу после разговора с ним 8Base перестал выдавать сообщение об ошибке с указанием частного репозитория JCube.
В общем, передаем большой привет господину Колеву и ставим для него песню Mama El Baion голландской исполнительницы Maria Zamora.
YouTube
Mama El Baion
Provided to YouTube by The Orchard Enterprises
Mama El Baion · Maria Zamora Y Sus Machachos
Greatest Hits of the 50's, Vol. 16
℗ 2011 Smith & Co
Released on: 2011-02-28
Music Publisher: Leonardi Edizioni Srl./ SDJ Beheer BV
Auto-generated by YouTube.
Mama El Baion · Maria Zamora Y Sus Machachos
Greatest Hits of the 50's, Vol. 16
℗ 2011 Smith & Co
Released on: 2011-02-28
Music Publisher: Leonardi Edizioni Srl./ SDJ Beheer BV
Auto-generated by YouTube.
Clop’ы, вероятнее, уже вовсю трудятся над новой темой, подыскивая очередные 0-day и допиливая под них эксплойты, а последствия их последней хакерской облавы клиенты MOVEit Transfer продолжают разгребать.
Согласно озвученный американской образовательной НКО National Student Clearinghouse (NSC) статистике, утечка данных Национального студенческого информационного центра затронула 900 колледжей и университетов, пользующихся ее услугами по всей территории США.
Как выяснилось, банда вымогателей получила доступ к информации, принадлежащей тысячам организаций и миллионам лиц, в конце мая этого года, воспользовавшись 0-day в ПО для управляемой передачи файлов MOVEit.
20 июня стало известно о том, что данные из базы данных студенческих записей были украдены.
Скомпрометированной оказалась информация, включающая установочные данные, контакты, номера соцстрахования и студбилета, а также различные образовательные записи.
По данным Emsisoft, такие образом число организации, на которых прямо или косвенно повлиял взлом MOVEit, по состоянию на конец сентября достиг 2053.
Общее число пострадавших лиц превышает 57 миллионов.
Несмотря на занимательное количество потенциальных жертв, по оценкам Coveware, лишь некоторые из них согласились выплатить отступные.
Тем не менее, по прогноенным оценкам последний кейс может принести им доход до 100 млн.долл. в качестве выкупа, чего вполне достаточно для подготовки к новой делюге.
Согласно озвученный американской образовательной НКО National Student Clearinghouse (NSC) статистике, утечка данных Национального студенческого информационного центра затронула 900 колледжей и университетов, пользующихся ее услугами по всей территории США.
Как выяснилось, банда вымогателей получила доступ к информации, принадлежащей тысячам организаций и миллионам лиц, в конце мая этого года, воспользовавшись 0-day в ПО для управляемой передачи файлов MOVEit.
20 июня стало известно о том, что данные из базы данных студенческих записей были украдены.
Скомпрометированной оказалась информация, включающая установочные данные, контакты, номера соцстрахования и студбилета, а также различные образовательные записи.
По данным Emsisoft, такие образом число организации, на которых прямо или косвенно повлиял взлом MOVEit, по состоянию на конец сентября достиг 2053.
Общее число пострадавших лиц превышает 57 миллионов.
Несмотря на занимательное количество потенциальных жертв, по оценкам Coveware, лишь некоторые из них согласились выплатить отступные.
Тем не менее, по прогноенным оценкам последний кейс может принести им доход до 100 млн.долл. в качестве выкупа, чего вполне достаточно для подготовки к новой делюге.
Исследователи Sonar Source обнаружили критическую уязвимость в TeamCity, позволяющую злоумышленникам выполнять произвольный код и захватывать уязвимые серверы.
TeamCity - это широко используемая платформа для управления сборками и непрерывной интеграции (CI/CD) от JetBrains, доступная как для локальной установки, так и в виде облачного сервиса.
TeamCity развернута более чем 30 000 клиентами по всему миру, при этом, согласно Shodan, более 3000 серверов напрямую подключены к Интернету.
CVE-2023-42793 имеет оценку CVSS 9,8 и описывается как обход аутентификации, влияющий на все локальные экземпляры TeamCity до версии 2023.05.3 включительно. Облако TeamCity не подвержено этой уязвимости.
Недостаток может быть использован удаленно, без аутентификации, для выполнения произвольного кода и получения административного контроля над уязвимым сервером.
Это позволяет злоумышленникам не только выкрасть исходники, секреты и закрытые ключи, но и внедрить вредоносный код с сборки, создавая угрозу целостности выпусков и реализации полноформатной атаки на цепочку поставок ПО.
Ошибка устранена в TeamCity версии 2023.05.4. Кроме того, JetBrains выпустила плагин исправления безопасности для TeamCity версий 8.0 и выше, без возможности отката исправления.
Несмотря сокрытие технических подробностей, в JetBrains и Sonar уверены, что CVE-2023-42793 будет непременно эксплуатироваться в реальных атаках с серьезными последствиями.
Но будем посмотреть.
TeamCity - это широко используемая платформа для управления сборками и непрерывной интеграции (CI/CD) от JetBrains, доступная как для локальной установки, так и в виде облачного сервиса.
TeamCity развернута более чем 30 000 клиентами по всему миру, при этом, согласно Shodan, более 3000 серверов напрямую подключены к Интернету.
CVE-2023-42793 имеет оценку CVSS 9,8 и описывается как обход аутентификации, влияющий на все локальные экземпляры TeamCity до версии 2023.05.3 включительно. Облако TeamCity не подвержено этой уязвимости.
Недостаток может быть использован удаленно, без аутентификации, для выполнения произвольного кода и получения административного контроля над уязвимым сервером.
Это позволяет злоумышленникам не только выкрасть исходники, секреты и закрытые ключи, но и внедрить вредоносный код с сборки, создавая угрозу целостности выпусков и реализации полноформатной атаки на цепочку поставок ПО.
Ошибка устранена в TeamCity версии 2023.05.4. Кроме того, JetBrains выпустила плагин исправления безопасности для TeamCity версий 8.0 и выше, без возможности отката исправления.
Несмотря сокрытие технических подробностей, в JetBrains и Sonar уверены, что CVE-2023-42793 будет непременно эксплуатироваться в реальных атаках с серьезными последствиями.
Но будем посмотреть.
Sonarsource
Source Code at Risk: Critical Code Vulnerability in CI/CD Platform TeamCity
Our Vulnerability Research team discovered a critical vulnerability in the popular CI/CD server TeamCity, which attackers could use to steal source code and poison build artifacts.
͏Начавшая карьеру в сфере ransomware банда-новичок, именуемая RansomedVC, сделала громкое заявление о взломе всех систем Sony Group Corporation, о чем появилась соответствующая отметка на DLS.
В ней указывается, что данные Sony теперь уйдут с молотка, ведь, если верить RansomedVC, корпорация отказалась от выкупа. При этом сама Sony пока еще никак комментировала возможный инцидент.
В качестве доказательств взлома киберпреступники предоставили несколько файлов, включая несколько файлов Java и скрины, очевидно демонстрирующие доступ к исходному коду и приложениям, связанным с Sony Creators Cloud. Один из утекших файлов - это презентация PowerPoint с пометкой «конфиденциально» и, судя по всему, имеет отношение к отделу качества Sony, но датирована 2017 годом.
RansomedVC - это сравнительно новая группа вымогателей, которую Malwarebytes впервые отследила в августе 2023 года после того, как она опубликовала на своем сайте информацию о девяти жертвах.
Группа следует излюбленной легенде, распространенной среди коллег, согласно которой их роль сводится к своего рода пентестерам, но в случае с RansomedVC добавляется тема с GDPR для оправдания атак и давления на жертв, согласно которой необходимо сообщать о любых уязвимостях, которые они обнаруживают в сетях своих жертв.
Помимо этого, RansomedVC позиционируют себя как сервис «цифрового налога за мир» и угрожает жертвам штрафами за утечку данных, если выкуп не будет выплачен. Требования о выкупе варьируются от нескольких тысяч до 1 млн. долл.
Возвращаясь к инциденту с Sony, всплывают новые обстоятельства: в даркнете считают, что вымогатели соскамились и пытаются пропиариться, а якобы в Sony никакие корпоративные данные не были украдены и услуги не пострадали. Заявленные данные были получены из другой утечки.
Тем не менее, Sony инициировала расследование после заявления вымогателей, детали которого не раскрываются.
Удастся ли RansomedVC повторить кампанию Lazarus станет известно по результатам проверки, а пока будем относиться к подобным заявлениям с определений долей скепсиса.
В ней указывается, что данные Sony теперь уйдут с молотка, ведь, если верить RansomedVC, корпорация отказалась от выкупа. При этом сама Sony пока еще никак комментировала возможный инцидент.
В качестве доказательств взлома киберпреступники предоставили несколько файлов, включая несколько файлов Java и скрины, очевидно демонстрирующие доступ к исходному коду и приложениям, связанным с Sony Creators Cloud. Один из утекших файлов - это презентация PowerPoint с пометкой «конфиденциально» и, судя по всему, имеет отношение к отделу качества Sony, но датирована 2017 годом.
RansomedVC - это сравнительно новая группа вымогателей, которую Malwarebytes впервые отследила в августе 2023 года после того, как она опубликовала на своем сайте информацию о девяти жертвах.
Группа следует излюбленной легенде, распространенной среди коллег, согласно которой их роль сводится к своего рода пентестерам, но в случае с RansomedVC добавляется тема с GDPR для оправдания атак и давления на жертв, согласно которой необходимо сообщать о любых уязвимостях, которые они обнаруживают в сетях своих жертв.
Помимо этого, RansomedVC позиционируют себя как сервис «цифрового налога за мир» и угрожает жертвам штрафами за утечку данных, если выкуп не будет выплачен. Требования о выкупе варьируются от нескольких тысяч до 1 млн. долл.
Возвращаясь к инциденту с Sony, всплывают новые обстоятельства: в даркнете считают, что вымогатели соскамились и пытаются пропиариться, а якобы в Sony никакие корпоративные данные не были украдены и услуги не пострадали. Заявленные данные были получены из другой утечки.
Тем не менее, Sony инициировала расследование после заявления вымогателей, детали которого не раскрываются.
Удастся ли RansomedVC повторить кампанию Lazarus станет известно по результатам проверки, а пока будем относиться к подобным заявлениям с определений долей скепсиса.
Министерство финансов Кувейта попало под раздачу ransomware и пытается оправиться от атаки.
Как сообщают источники, атака началась 18 сентября, и чиновники немедленно попытались локализовать затронутые системы.
В понедельник Минфин отчитался, что Национальный киберцентр страны работает 24/7, чтобы решить проблему, и привлек на помощь передовые инфосек-компании.
Видимо для Кувейта атака началась, ровно тогда, когда у злоумышленников она уже закончилась, поскольку в тот же понедельник группа вымогателей Rhysida добавила жертву на свой DLS, предоставив правительству неделю на оплату выкупа. Размер гонорара пока публично не оглашался.
Ранее группировка уже предпринимала столь деструктивные атаки, когда положила в штатах Prospect Medical Holdings, которая управляет 16 больницами, и в результате инцидента была вынуждена перенаправлять скорые помощи.
Кувейт под прицелом злоумышленников тоже не впервые, еще в прошлом году на территории страны были атакованы несколько магазинов Ikea группой вымогателей Vice Society, которая, как полагают исследователи, может иметь связи с Rhysida.
Кстати, все эти атаки произошли на фоне того, как Совет национальной безопасности США призвал правительства других стран отказаться от выплат выкупа бандам вымогателей.
Одно дело рассуждать, совсем другое поднимать инфраструктуру - уже после состоявшегося инцидента, так что у правительства Кувейта теперь есть все условия, чтобы на практике апробировать рекомендации звездно-полосатых.
Как сообщают источники, атака началась 18 сентября, и чиновники немедленно попытались локализовать затронутые системы.
В понедельник Минфин отчитался, что Национальный киберцентр страны работает 24/7, чтобы решить проблему, и привлек на помощь передовые инфосек-компании.
Видимо для Кувейта атака началась, ровно тогда, когда у злоумышленников она уже закончилась, поскольку в тот же понедельник группа вымогателей Rhysida добавила жертву на свой DLS, предоставив правительству неделю на оплату выкупа. Размер гонорара пока публично не оглашался.
Ранее группировка уже предпринимала столь деструктивные атаки, когда положила в штатах Prospect Medical Holdings, которая управляет 16 больницами, и в результате инцидента была вынуждена перенаправлять скорые помощи.
Кувейт под прицелом злоумышленников тоже не впервые, еще в прошлом году на территории страны были атакованы несколько магазинов Ikea группой вымогателей Vice Society, которая, как полагают исследователи, может иметь связи с Rhysida.
Кстати, все эти атаки произошли на фоне того, как Совет национальной безопасности США призвал правительства других стран отказаться от выплат выкупа бандам вымогателей.
Одно дело рассуждать, совсем другое поднимать инфраструктуру - уже после состоявшегося инцидента, так что у правительства Кувейта теперь есть все условия, чтобы на практике апробировать рекомендации звездно-полосатых.
Economy Middle East
Kuwait’s ministry of finance recovery efforts post major ransomware attack
Kuwait’s Ministry of Finance (MoF) disclosed that the National Cyber Center of the country has been tirelessly working to resolve a ransomware attack that targeted the ministry last week. The attack was launched on September 18, and prompted swift action…
Вероятно, отчаявшись и будучи совершенно обескураженным от увиденного хакер решил поделиться с инфосеком подробностями атаки на Conduent, где про ИБ не слышали от слова совсем.
Проникнуть в периметр хакеру удалось после взлома электронной почты сотрудника ИБ, откуда за 3 последующие месяца был получен доступ ко всей инфраструктуре.
После смены пароля, для входа использовалась электронка одного из руководителей отдела кадров, к которой был добавлен собственный MFA, что обеспечило еще 6-7 месяцев.
За это время хакер выкрал всю почту и документацию, перечитал все чаты, зачистил все переписки и файлы, к которым мог получить доступ. Но так и не был обнаружен.
Как подытожил автор, компания является ярким примером того, чего не следует делать, а вместо потенциальной АРТ - к счастью, почти год в ее сети пробыл «скучающий придурок».
В этой истории прекрасно все, но особый изыск ей придает тот факт, что Conduent - это американская компания с доходом в 4,14 млрд. долл.
Проникнуть в периметр хакеру удалось после взлома электронной почты сотрудника ИБ, откуда за 3 последующие месяца был получен доступ ко всей инфраструктуре.
После смены пароля, для входа использовалась электронка одного из руководителей отдела кадров, к которой был добавлен собственный MFA, что обеспечило еще 6-7 месяцев.
За это время хакер выкрал всю почту и документацию, перечитал все чаты, зачистил все переписки и файлы, к которым мог получить доступ. Но так и не был обнаружен.
Как подытожил автор, компания является ярким примером того, чего не следует делать, а вместо потенциальной АРТ - к счастью, почти год в ее сети пробыл «скучающий придурок».
В этой истории прекрасно все, но особый изыск ей придает тот факт, что Conduent - это американская компания с доходом в 4,14 млрд. долл.
Крупная логистическая компания KNP Logistics, дочка Knights of Old со 158-летней историей, вынуждена уволить около 730 сотрудников в результате ransomware-атаки.
KNP Logistics Group была образована в 2016 году в результате слияния Knights of Old с базирующейся в Дерби компанией Nelson Distribution Limited, включая Steve Porter Transport Limited с острова Уайт и Merlin Supply Chain Solutions Limited, расположенную в Айлипе и Лутоне.
В июне этого года компания подверглась крупной атаке с использованием программы-вымогателя, которая затронула практически все ключевые системы, процессы и финансовую информацию, нанеся непоправимый ущерб и серьезные бюджетные издержки.
Как бы ни старались совладельцы бизнеса Раджнеш Миттал и Филип Армстронг, привлечь дополнительные инвестиции и финансирование не удалось, в связи с чем они были вынуждены принимать жесткие административные меры.
Как сообщает BBC, по итогу все сотрудники группы, за исключением 170, были уволены, а входящая в конгломерат Nelson Distribution Limited была продана.
Теперь некогда одна из крупнейших частных логистических групп в Великобритании по факту уходит, теряя свой статус и оставляя большую часть рынка.
Интересно, есть ли среди уволенных 730 сотрудников лица, отвечавшие в компанию за информационную безопасность...
KNP Logistics Group была образована в 2016 году в результате слияния Knights of Old с базирующейся в Дерби компанией Nelson Distribution Limited, включая Steve Porter Transport Limited с острова Уайт и Merlin Supply Chain Solutions Limited, расположенную в Айлипе и Лутоне.
В июне этого года компания подверглась крупной атаке с использованием программы-вымогателя, которая затронула практически все ключевые системы, процессы и финансовую информацию, нанеся непоправимый ущерб и серьезные бюджетные издержки.
Как бы ни старались совладельцы бизнеса Раджнеш Миттал и Филип Армстронг, привлечь дополнительные инвестиции и финансирование не удалось, в связи с чем они были вынуждены принимать жесткие административные меры.
Как сообщает BBC, по итогу все сотрудники группы, за исключением 170, были уволены, а входящая в конгломерат Nelson Distribution Limited была продана.
Теперь некогда одна из крупнейших частных логистических групп в Великобритании по факту уходит, теряя свой статус и оставляя большую часть рынка.
Интересно, есть ли среди уволенных 730 сотрудников лица, отвечавшие в компанию за информационную безопасность...
BBC News
Kettering logistics firm enters administration with 730 jobs lost
Administrators say the company was financially crippled by a cyber attack in June.
Исследователи F.A.C.C.T. продолжают отслеживать вымогателей Shadow, которые теперь опустошают бюджеты своих жертв под новым брендом C0met.
Причем еще в начале лета исследователям удалось найти взаимосвязь Shadow с другой преступной группой, также атаковавшей крупный российский бизнес - Twelve, обнаружив общие инструменты, TTPs, а в нескольких атаках — и общую инфраструктуру.
Вымогатели из Shadow работают исключительно «за кеш»: банда следует классической модели вымогательства, крадет и шифрует данные, а затем требуя крупный выкуп (в размере 5-10% от годового дохода компании) за расшифровку и не разглашение похищенной конфиденциальной информации.
Twelve же напротив позиционировала себя в качестве хактивистов: на финальном этапе атаки злоумышленники уничтожали ИТ-инфраструктуру жертвы, осуществляя шифрование всех данных без возможности расшифровки.
Именно Twelve весной 2023 взяла на себя ответственность за взлом ФТС РФ, а в мае - за атаку на российского производителя гидравлического оборудования.
Обе группировки практикуют взлом телег пользователей из числа сотрудников целевых оршганизаций, а переписку и данные используют для разведки.
А после шифрования участники банды создают группы Telegram по теме инцидента, в которые добавляет ИТ-специалистов и руководство компании-жертвы.
Теперь, как заметили исследователи, группировка Shadow провела ребрендинг и стада именоваться Comet (C0met).
Атакующие, как и прежде, используют в атаках модифицированную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в паблик билдера, а для Linux-систем - ransomnware, созданную на основе исходников Babuk.
Примечательно, что члены группировки Comet заявляют об интернациональном составе группировки и таргетинге в том числе и за пределами России.
Преступники "прикрываются" сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной группе.
Однако, по информации F.A.C.C.T., жертвы Shadow и Twelve, а теперь и Comet замечены лишь в РФ: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и др.
Так что не далеко ушли.
Причем еще в начале лета исследователям удалось найти взаимосвязь Shadow с другой преступной группой, также атаковавшей крупный российский бизнес - Twelve, обнаружив общие инструменты, TTPs, а в нескольких атаках — и общую инфраструктуру.
Вымогатели из Shadow работают исключительно «за кеш»: банда следует классической модели вымогательства, крадет и шифрует данные, а затем требуя крупный выкуп (в размере 5-10% от годового дохода компании) за расшифровку и не разглашение похищенной конфиденциальной информации.
Twelve же напротив позиционировала себя в качестве хактивистов: на финальном этапе атаки злоумышленники уничтожали ИТ-инфраструктуру жертвы, осуществляя шифрование всех данных без возможности расшифровки.
Именно Twelve весной 2023 взяла на себя ответственность за взлом ФТС РФ, а в мае - за атаку на российского производителя гидравлического оборудования.
Обе группировки практикуют взлом телег пользователей из числа сотрудников целевых оршганизаций, а переписку и данные используют для разведки.
А после шифрования участники банды создают группы Telegram по теме инцидента, в которые добавляет ИТ-специалистов и руководство компании-жертвы.
Теперь, как заметили исследователи, группировка Shadow провела ребрендинг и стада именоваться Comet (C0met).
Атакующие, как и прежде, используют в атаках модифицированную версию программы LockBit 3 (Black), созданную с помощью одной и той же версии утекшего в паблик билдера, а для Linux-систем - ransomnware, созданную на основе исходников Babuk.
Примечательно, что члены группировки Comet заявляют об интернациональном составе группировки и таргетинге в том числе и за пределами России.
Преступники "прикрываются" сложностью анализа зашифрованной версии LockBit 3, а соответственно и атрибуции таких версий LockBit 3 (Black) к конкретной преступной группе.
Однако, по информации F.A.C.C.T., жертвы Shadow и Twelve, а теперь и Comet замечены лишь в РФ: Москва, Санкт-Петербург, Барнаул, Екатеринбург, Ижевск, Череповец и др.
Так что не далеко ушли.
Хабр
Ребрендинг Shadow: теперь вымогатели чистят бюджеты компаний под именем C0met
В последний день лета мы опубликовали новость о взаимосвязи двух преступных группировок, атакующих крупный российский бизнес. Речь шла о группах Shadow и Twelve . Напомним, что вымогатели из Shadow...
Forwarded from Russian OSINT
Как сообщает Arstechnica, исследователи в своём новом ресерче утверждают, что 6 основных поставщиков GPU уязвимы к недавно обнаруженной атаке, которая позволяет вредоносным сайтам считывать имена пользователей, пароли и другие конфиденциальные визуальные данные.
Сross-origin attack предусматривает то, что вредоносный сайт с одного домена, например, example. com может эффективно считывать пиксели, отображаемые на сайте example. org или другого домена. Злоумышленники способны реконструировать их таким образом, что смогут увидеть слова или изображения, отображаемые на втором сайте. Такая утечка якобы нарушает важнейший принцип безопасности, который формирует один из самых фундаментальных рубежей защиты Интернета, сообщает Arstechnica.
Атака
🖇Статья GPU. zip будет опубликована на 45-м симпозиуме IEEE по безопасности и конфиденциальности
- Повлияет ли на меня GPU.zip?
- Скорее всего, да. Мы протестировали интегрированные GPU от AMD, Apple, Arm, Intel и Qualcomm, а также один дискретный GPU от Nvidia. По крайней мере, предварительные результаты свидетельствуют о том, что все протестированные GPU затронуты.
Please open Telegram to view this post
VIEW IN TELEGRAM
Децентрализованная P2P-сеть Mixin Network, базирующаяся в Гонконге подверглась взлому, ущерб от которого составил около $200 млн.
Команда проекта приостановила вывод средств на время расследования и столкнулась с волной противоречий и негодований, в связи с раскрытием информации о хакерской атаке.
На фоне новости о взломе курс нативного токена сети XIN упал на более чем 8% и, согласно CoinGecko, торгуется на уровне в $194.
23 сентября база данных облачного провайдера Mixin была взломана, что привело к потере активов, в связи с чем сразу же были приостановлены услуги по вводу и выводу средств.
Но больше всего клиентов возмутило даже не это, а заявление основателя Mixin, Сяодонг Фэна, который предложил план компенсации, в рамках которого сервис готов возместить лишь до 50% активов пользователей.
Некоторые держатели токенов вовсе обвинили разработчиков в излишней централизации сети, что, по их мнению, и послужило единой точкой отказа.
Разработчики уже связались с компанией Google и аналитиками из SlowMist для расследования инцидента, итоги которого обещают быть весьма интригующими.
Но, как обычно, будем посмотреть.
Команда проекта приостановила вывод средств на время расследования и столкнулась с волной противоречий и негодований, в связи с раскрытием информации о хакерской атаке.
На фоне новости о взломе курс нативного токена сети XIN упал на более чем 8% и, согласно CoinGecko, торгуется на уровне в $194.
23 сентября база данных облачного провайдера Mixin была взломана, что привело к потере активов, в связи с чем сразу же были приостановлены услуги по вводу и выводу средств.
Но больше всего клиентов возмутило даже не это, а заявление основателя Mixin, Сяодонг Фэна, который предложил план компенсации, в рамках которого сервис готов возместить лишь до 50% активов пользователей.
Некоторые держатели токенов вовсе обвинили разработчиков в излишней централизации сети, что, по их мнению, и послужило единой точкой отказа.
Разработчики уже связались с компанией Google и аналитиками из SlowMist для расследования инцидента, итоги которого обещают быть весьма интригующими.
Но, как обычно, будем посмотреть.
Cointelegraph
$200M Mixin Network hack draws controversy
The incident targeted Mixin’s centralized cloud servers.
Исследователи Dr.Web сообщают, что киберпреступники активно используют серьезную уязвимость Openfire в актах для шифрования серверов и установки криптомайнеров.
Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.
CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.
Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.
Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.
Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.
Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.
Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.
Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.
Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.
Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.
Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.
В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.
Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).
В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.
Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.
CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.
Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.
Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.
Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.
Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.
Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.
Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.
Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.
Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.
Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.
В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.
Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).
В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.
Dr.Web
Vulnerability in Openfire messaging software allows unauthorized access to compromised servers
Doctor Web is notifying users about the spread of malicious plugins for the Openfire messaging server. To date, more than 3,000 servers worldwide that have Openfire software installed on them have been affected by a vulnerability that lets hackers gain access…
Вслед за Qihoo 360 исследователи китайской Xitan Laboratory единым эшелоном продолжают масштабный пендослив, вдребезги разбивая парадигму западного инфосека, где злые тоталитарные хакеры обязательно атрибутируются только с Россией, КНР, Ираном и Северной Корей.
Новую волну критики после резкого заявления МГБ КНР с разоблачением американских киберопераций вызвал отчет Xitan Laboratory с аналитикой по пяти бэкдорам, которые использовались АНБ США для взлома Сианьского Северо-Западного политехнического университета в июне прошлого года.
Новые открытия были основаны на в ходе изучения аналитики Национального центра реагирования на компьютерные вирусы и отчетов об 360 Security Company в сочетании с отчетами зарубежных исследований об американских APT.
По итогу был раскрыт их арсенал, который включал такие бэкдоры, как NOPEN (для периферийных устройств и систем Linux), FireJet (для хостов Windows), SecondDate (реализует атаку типа MITM с позиций сетевого оборудования), CunningHeretic (для обеспечения устойчивости) и StoicSurgeon (используется в сочетании с NOPEN для реализации различных скрытых функций).
Первый из них АНБ США внедряла благодаря различным уязвимостям для управлениями пограничными устройствами и сетевым оборудованием на основе unix/linux систем, включая FreeBSD, SunOS, HP-UX, Solaris, Linux и тд.
SecondDate является одним из наиболее важных инструментов в атаках и обычно используется в сочетании с Foxacid. Малварь обычно функционирует в серверах шлюзах, пограничных маршрутизаторах и устройствах межсетевого экрана в течение длительного времени.
FuryJet - это троян для удаленного управления, имеющий графический интерфейс, способный генерировать более 20 видов полезных нагрузок и обладающий эффективными функциями антианализа и антиотладки. Его можно комбинировать с Eternal Blue, Eternal Romance, Double Pulsar и другими уязвимостями Windows из набора Equation Toolkit для проведения атак.
CunningHeretic представляет простой инструмент для внедрения бэкдоров, который удаляется после запуска. Он реализует повышение привилегий, может скрываться в целевом устройстве в течение длительного времени и запускаться автоматически вместе с системой, используется преимущественно для достижения устойчивости.
Последний из них - это усовершенствованный руткит-бэкдор для четырех типов ОС, включая Linux, Solaris, JunOS и FreeBSD, который можно использовать в сочетании с модулем Dewdrop. Применяется в основном для сокрытия файлов и процессов NOPEN во избежание обнаружения.
В своем отчете китайцы дали также некоторые технические спецификации для всех названных инструментов, анонсируя представить новые подробности шпионского арсенала американских АРТ, а также связанных с ним инцидентов.
В свою очередь, американцы не остались в долгу и выкатили свои заработки. Но об чуть позже.
Новую волну критики после резкого заявления МГБ КНР с разоблачением американских киберопераций вызвал отчет Xitan Laboratory с аналитикой по пяти бэкдорам, которые использовались АНБ США для взлома Сианьского Северо-Западного политехнического университета в июне прошлого года.
Новые открытия были основаны на в ходе изучения аналитики Национального центра реагирования на компьютерные вирусы и отчетов об 360 Security Company в сочетании с отчетами зарубежных исследований об американских APT.
По итогу был раскрыт их арсенал, который включал такие бэкдоры, как NOPEN (для периферийных устройств и систем Linux), FireJet (для хостов Windows), SecondDate (реализует атаку типа MITM с позиций сетевого оборудования), CunningHeretic (для обеспечения устойчивости) и StoicSurgeon (используется в сочетании с NOPEN для реализации различных скрытых функций).
Первый из них АНБ США внедряла благодаря различным уязвимостям для управлениями пограничными устройствами и сетевым оборудованием на основе unix/linux систем, включая FreeBSD, SunOS, HP-UX, Solaris, Linux и тд.
SecondDate является одним из наиболее важных инструментов в атаках и обычно используется в сочетании с Foxacid. Малварь обычно функционирует в серверах шлюзах, пограничных маршрутизаторах и устройствах межсетевого экрана в течение длительного времени.
FuryJet - это троян для удаленного управления, имеющий графический интерфейс, способный генерировать более 20 видов полезных нагрузок и обладающий эффективными функциями антианализа и антиотладки. Его можно комбинировать с Eternal Blue, Eternal Romance, Double Pulsar и другими уязвимостями Windows из набора Equation Toolkit для проведения атак.
CunningHeretic представляет простой инструмент для внедрения бэкдоров, который удаляется после запуска. Он реализует повышение привилегий, может скрываться в целевом устройстве в течение длительного времени и запускаться автоматически вместе с системой, используется преимущественно для достижения устойчивости.
Последний из них - это усовершенствованный руткит-бэкдор для четырех типов ОС, включая Linux, Solaris, JunOS и FreeBSD, который можно использовать в сочетании с модулем Dewdrop. Применяется в основном для сокрытия файлов и процессов NOPEN во избежание обнаружения.
В своем отчете китайцы дали также некоторые технические спецификации для всех названных инструментов, анонсируя представить новые подробности шпионского арсенала американских АРТ, а также связанных с ним инцидентов.
В свою очередь, американцы не остались в долгу и выкатили свои заработки. Но об чуть позже.
Telegram
SecAtor
Китайцы из Qihoo 360 вносят яркий диссонанс в стройное хоровое пение западных инфосек компаний, у которых злые тоталитарные хакеры бывают только в России, КНР, Иране и Северной Корее. А у всех западных стран и их саттелитов демократия и лапки.
Вот честно…
Вот честно…
Google исправила пятую 0-day в Chrome, используемую в дикой природе.
Уязвимость высокой степени серьезности вызвана проблемой переполнения буфера кучи в кодировке VP8 библиотеки видеокодеков с открытым исходным кодом libvpx.
Последствия эксплуатации могут быть разными: от сбоев приложения до RCE.
Согласно заявлению компании, ей известно о существовании рабочего эксплойта для CVE-2023-5217.
Об ошибке сообщил исследователи Google Threat Analysis Group в понедельник, 25 сентября.
До недавнего времени компания не раскрывала технических подробностей и ставшие ей известными обстоятельства эксплуатации в реальных атаках.
Однако сегодня Мэдди Стоун из Google TAG сообщила, что уязвимость нулевого дня CVE-2023-5217 была использована для установки шпионского ПО, какого именно пока не ясно.
Есть предположение, что новая уязвимость может быть продолжением недавнего раскрытия Citizen Lab и Google TAG предыдущей уязвимости нулевого дня, отлеживаемой как CVE-2023-4863.
Кстати, если изначально компания отметила ее как недостаток в Chrome, то позже присвоила еще одну CVE (CVE-2023-5129) и максимальный уровень серьезности 10/10.
Проблема активно использовалась для развертывания шпионского ПО совместно с как CVE-2023-41064. Обе были объединены в рамках эксплойта с нулевым щелчком под названием BLASTPASS.
Позже исследователи Rezilion увидели, что масштаб этой уязвимости гораздо шире, чем предполагалось изначально.
При более глобальном изучении выяснилось, что бага затрагивает библиотеку libwebp, которая, в свою очередь, реализована в большом количестве проектов, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple Safari, Android browser и др.
Учитывая популярность libwebp, проблема потенциально затрагивает миллионы различных приложений по всему миру и значительно расширяет поверхность атаки, вызывая серьезные опасения как у разработчиков, так и у пользователей.
Уязвимость высокой степени серьезности вызвана проблемой переполнения буфера кучи в кодировке VP8 библиотеки видеокодеков с открытым исходным кодом libvpx.
Последствия эксплуатации могут быть разными: от сбоев приложения до RCE.
Согласно заявлению компании, ей известно о существовании рабочего эксплойта для CVE-2023-5217.
Об ошибке сообщил исследователи Google Threat Analysis Group в понедельник, 25 сентября.
До недавнего времени компания не раскрывала технических подробностей и ставшие ей известными обстоятельства эксплуатации в реальных атаках.
Однако сегодня Мэдди Стоун из Google TAG сообщила, что уязвимость нулевого дня CVE-2023-5217 была использована для установки шпионского ПО, какого именно пока не ясно.
Есть предположение, что новая уязвимость может быть продолжением недавнего раскрытия Citizen Lab и Google TAG предыдущей уязвимости нулевого дня, отлеживаемой как CVE-2023-4863.
Кстати, если изначально компания отметила ее как недостаток в Chrome, то позже присвоила еще одну CVE (CVE-2023-5129) и максимальный уровень серьезности 10/10.
Проблема активно использовалась для развертывания шпионского ПО совместно с как CVE-2023-41064. Обе были объединены в рамках эксплойта с нулевым щелчком под названием BLASTPASS.
Позже исследователи Rezilion увидели, что масштаб этой уязвимости гораздо шире, чем предполагалось изначально.
При более глобальном изучении выяснилось, что бага затрагивает библиотеку libwebp, которая, в свою очередь, реализована в большом количестве проектов, включая Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple Safari, Android browser и др.
Учитывая популярность libwebp, проблема потенциально затрагивает миллионы различных приложений по всему миру и значительно расширяет поверхность атаки, вызывая серьезные опасения как у разработчиков, так и у пользователей.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 117.0.5938.132 for Windows, Mac and Linux, which will roll out over the coming days/weeks. A full lis...