Компания Microsoft выпустила отчет Digital Defense Report 2023 аж на 131 странице. А мы его прочитали и имеем сказать следующее.

Когда отчет по информационной безопасности делают девочки-дизайнерки - это однозначное зло. У кого-то пропадает наука арихметика, у Microsoft же вместо отчета выходит что-то неудобочитаемое и унылое. Из 131 страницы реальной фактуры наберется от силы листов на 30. Какое-то размазывание розовых соплей, ей-богу.

Единственное, что запомнилось - по статистике Microsoft 78% устройств IоT имеют уязвимости, а из них 46% не могут быть обновлены. Ну то есть с информационной безопасностью у Интернета вещей все не просто плохо, а прямо вот совсем херово.

Зато в части расследования деятельности национальных APT исследователи, конечно, не подкачали. Мы от них ждали максимальной ангажированности (а что еще ждать от компании, CEO которой на голубом глазу рассказывает про тысячи русских хакерских разведывательных инжинегров) - и они нас не разочаровали. APT, значицца, есть у России, Китая, Ирана и КНДР. Плюс, видимо в связи с последними событиями, на этапе верстки в отчет вставили еще и Палестину. Фьють, все!

Кстати, касаемо инжинегров. Всю 131 страницу мы ждали большой исповеди Microsoft об инклюзивности и дайверсити. Но кроме вскользь упомянутой недостаточности процентного соотношения женщин в инфосеке, ничего не нашли. Решили мы, было, что Rapid7 теперь Microsoft'у руки не подаст. Но не тут-то было! Оказалось, что ни на одной из множества фотографий и коллажей, коими наводнен модный дизайнерский отчет, нет изображения белого мужчины. Женщины есть, азиаты есть, негры есть, латиноамериканцы есть, индусы есть. Белых мужчин нет. Имеются пара светлых затылков, но достоверно понять это европеоид мужского пола или крашенный любитель K-Pop не представляется возможным.

Хотя, нет, врём. Есть на одном фото бородатый тип хипстерской наружности. Наверняка пидара гей.

Исследователи Лаборатории Касперского представили полугодовой обзор наиболее серьезных инцидентов в сфере промышленной кибербезопасности.

За основу аналитики взято 67 отчетов компаний об инцидентах, официально подтвердивших компрометацию со стороны киберкриминала и хактивистов. Причем в предыдущим полугодии их насчитывалось только 40. Подробно рассказывать о каждом смысла нет - остановимся на главных трендах.

Главный из них, как полагают исследователи - приводимые в отчётах цифры можно смело умножать на 10, если говорить о более объективной оценке числа пострадавших организаций.

При этом количество организаций, не знающих о том, что они скомпрометированы (злоумышленники не обращались к ним за выкупом и не упоминали на DLS) — ещё, как минимум, в десяток раз больше.

Общая картина таким образом складывается весьма тревожная и имеет ряд особенностей.

Среди атакованных организаций подавляющее большинство относится к сектору промышленному производству. Наиболее востребованными среди кибепреступников оказались автозаводы, судостроительные и лозистические компании. За ними последовали производители микроэлектроники, многие из которых занимают лидирующие позиции в отрасли.

Другим заметным фактором стало разнообразие пострадавших отраслей экономики из числа «реальных»: затронуты и металлургия, и фармацевтика, и добыча полезных ископаемых, и производство продуктов питания, и энергетика и многие другие. Последняя стала второй после промышленного производства.

Неожиданными оказались жертвы из числа узкоспециализированных компаний, выпускающих системы пожаротушения, спортивную экипировку и оборудование. Вероятно, в скором времени появление в подобных списках организаций, работающих в узких рынках и нишах, перестанет казаться экзотичным.

В третьих, среди жертв много именно крупных, известных и узнаваемых брендов. Даже их бюджетов, выделенных на ИБ, оказалось недостаточно. 

В-четвёртых, большая часть инцидентов была связана с использованием уязвимости в двух различных MFT-решениях, которые, казалось бы, наоборот должны способствовать обеспечению ИБ.

Отдельно стоит отметить, что крупные промышленные организации часто оказываются даже не в состоянии оперативно закрыть опасную уязвимость.

И наконец, для многих промышленных организаций кибератака стала причиной не только утечки данных или перебоя в работе внутренних IT-систем, но и приводила к полной остановке бизнес-процессов и простоям производства, нанося убытки в сотни миллионов долларов.

Таким образом, угрозы кибератаки переходит в новую категорию и уже никак не могут игнорироваться первыми лицами промышленной компании вне зависимости от ее размера и специализации.

Создатели популярного инструмента с открытым исходным кодом, который служит основой для многих сетевых протоколов, таких как SSL, TLS, HTTP, FTP, SMTP, предупреждают о двух уязвимостях, которые будут объявлены в ближайшее время.

Проблемы связаны с небезызвестным curl, используемым разработчиками и сисадминами для взаимодействия с API, загрузки файлов и создания автоматизированных рабочих процессов среди различных задач в сети интернет.

На GitHub создатели инструмента уже предупредили, что выпустят исправления для одной уязвимости высокой степени серьезности CVE-2023-38545 и для менее критичной проблемы CVE-2023-38546.

Обновление curl будет выпущено 11 октября для обеих проблем. Как отмечают исследователи, CVE-2023-38545 влияет как на curl, так и на библиотеку libcurl, в то время как CVE-2023-38546 влияет только на библиотеку.

Сами разработчики полагают, что CVE-2023-38545 на сегодняшний день является одним из самых серьезных дефектов curl за последнее время.

Конкретные технические детали пока не разглашаются в целях безопасности, так что держим ухо востро и ждем обновлений.

Инфосек-вендоры бьются в тендере за крупный заказ. Как вы думаете, кто есть кто?

Европейские исследовательские организации (EIC) и Amnesty International решили нанести сокрушительный удар по альянсу spyware-поставщика Intellexa, представив результаты совместного расследования Predator Files.

Ресурс объединяет материалы нескольких национальных изданий, посвященные обзору международной структуры компании и ее деятельности по продвижению шпионского ПО.

Корпоративные единицы альянса охватывают различные юрисдикции как внутри ЕС, так и за его пределами. 

Но больше интересен технический отчет Amnesty, в котором подробно описываются все решения Intellexa и вектора атак.

Кроме того, впервые раскрываются серверная часть и пользовательский интерфейс Predator, подробно описывается экосистема из поддерживающих продуктов Intellexa, предназначенных для доставки шпионского ПО на целевые устройства посредством компрометации мобильных сетей, Wi-Fi и перехвата Интернета-трафика.

Затрагивается и коммерческая сторона вопроса: ценник на пакетное решение Intellexa составляет 8 млн. евро.

Дополнительно за 3 млн. предлагается лицензия для обеспечения постоянства заражения в iOS и Android.

Кроме того, если требуется международный таргетинг, доступно Nova International за 1,2 миллиона евро, которое открывает доступ к 5 дополнительным странам по взаимному согласованию без географических ограничений целевого местоположения.

С технической точки зрения отчет отчет не претендует на исчерпывающее подробное описание каждого продукта, но для ознакомления и понимания экосистемы spyware - достаточно информативен.

Тем не менее, специалистам и тем, кто в теме - ничего нового не открылось: расчет на широкую аудиторию и резонанс.

Опять же арсенал американских спецслужб и АРТ, о котором последнее время вещают китайский инфосек, в реальности куда более инвазивный и технологичный.

Как нам подсказывают подписчики, на медийном поле российского инфосека столкнулись два титана отечественной индустрии информационной безопасности - Positive Technologies и Лаборатория Касперского. Столкнулись не просто так, за тендер какой-нибудь, а по идейным соображениям.

Спешим обозреть.

Сначала выступили Позитивы в лице блестящего (и не только умом) Лукацкого, который объяснил, что все смартфоны небезопасны, а сферический iPhone в вакууме является более безопасным чем конь смартфон на базе Android. Поэтому переживать не надо, запрещать iPhone в организациях не надо, надо радоваться, не надо напрягаться.

Затем слово взяли Касперские в лице главы GReAT Игоря Кузнецова (куда румына дели, нехристи?), который рассказал, не переходя на личности, но со ссылкой на Операцию Триангуляцию, что iPhone - шляпа, стоимость эксплойтов для обеих мобильных платформ одинаковая, а все решают системы MDM (mobile device management). Которые на Android поставить можно, а на iOS нет. И как-бы походя прорекламировал свой MDM-продукт.

Что можем сказать по этому поводу. Наше мнение, как всегда, отличается от точек зрения спорящих сторон.

Если вы простой коммерческий пользователь и смартфон нужен вам в первую очередь как средство открытой коммуникации и для банковких приложений - берите iPhone смело, тут мы на стороне Лукацкого. Там для вас действительно меньше угроз в силу большей закрытости iOS и AppStore.

Если же вы - организация, работники которой обрабатывают конфиденциальную информацию на своих смартфонах, то имеет смысл выбрать Android c MDM.

А вообще, в текущих условиях с точки зрения информационной безопасности выбор между iPhone и Android - это аксиома Эскобара в чистом виде. Да и всякие Android-костыли типа CopperheadOS и CalyxOS проблемы не решают.

Поэтому остается ждать, надеяться и верить, что зазвонят, таки, колокола и появится нормальная мобильная безопасная операционная система. А то некоторые все обещают...

Исходный код первой версии HelloKitty ransomware просочился в русскоязычный даркнет.

За утечкой, по всей видимости, стоит сам разработчик, который заявил о работе над новой версией с более мощным шифратором.

HelloKity практикует двойное вымогательство и активна с ноября 2020 года, с 2021 также нацелена на с Linux-вариантом на VMware ESXi.

Программа или ее штаммы также использовались под другими названиями, включая DeathRansom, Fivehands и, возможно, Abyss Locker.

Наиболее резонансный кейс HelloKitty связана с известной атакой на CD Projekt Red в феврале 2021 года, в ходе которой злоумышленники украли исходный код Cyberpunk 2077, Witcher 3, Gwent и других игр, который, по их утверждениям, позже был выгодно продан.

Утечка была впервые обнаружена исследователем 3xp0rt, отследившим некоего kapuchin0, который первый вывалил исходники HelloKitty.

При более пристальном изучении выяснилось, что kapuchin0 - это тот же злоумышленник, что и Gookee. Он отметился тем, что пытался продать доступ к Sony Network Japan в 2020 году.

Кроме того, был связан с RaaS под названием Gooke Ransomware, исходники от которой продавал на хакерских площадках.

По мнению исследователя, kapuchin0 (ака Gookee) является разработчиком HelloKitty, который готовит на замену даже нечто более интересное, нежели Lockbit.

Слитый архив hellokitty.zip включает Microsoft Visual Studio, создающий шифратор и дешифратор HelloKitty, а также  библиотеку NTRUEncrypt, которую эта версия ransomware использует для шифрования файлов.

В свою очередь, спец по вымогателям Майкл Гиллеспи также подтвердил подлинность утекшего кода HelloKitty, который использовался на самом старте кампании в 2020 году.

Так что теперь исследователи получили материал для работы, а хакеры - возможность заточить софт под свои собственные цели: как это было в свое время с Babuk, исходники которого и по сей день используются девятью бандами в ransomware-атаках.

Будем посмотреть.

Не прошло и недели после последней публикации с эксплойтами Looney Tunables для основных дистрибутивов Linux, как подкатила новая проблема рабочей среды GNOME, затрагивающая те же Debian, Ubuntu, Fedora и допом Red Hat Enterprise с SUSE Linux Enterprise.

Речь идет об уязвимости CVE-2023-43641, которая позволяет злоумышленникам выполнять вредоносный код, используя автоматическое индексирование всех загруженных файлов Tracker Miners для обновления поискового индекса на устройствах GNOME Linux.

Для эксплуатации этой уязвимости целевому пользователю необходимо загрузить злонамеренно созданный файл .CUE, который затем сохраняется в папке ~/Downloads.

Ошибка повреждения памяти вызывается, когда индексатор метаданных Tracker Miners автоматически анализирует сохраненный файл через процесс tracker-extract.

Исследователь Кевин Бэкхаус, обнаруживший эту уязвимость, уже продемонстрировал PoC в своем Twitter. Однако его выпуск будет отложен, дабы предоставить пользователям время для обновления и защиты своих систем.

Тем не менее, для понимающих суть проблемы информации более чем достаточно, чтобы своять свой собственный эксплойт и задействовать его в атаках.

Несмотря на то, что успешная эксплуатация CVE-2023-43641 требует обмана потенциальной жертвы и загрузки .CUE, но это уже дело техники, а администраторам стоит насторожиться, поскольку баг позволяет выполнять код на устройствах, работающих на последних версиях широко распространенной линейки дистрибутивов Linux.

Подкатил Microsoft October 2023 Patch Tuesday, а вместе с ним и исправления для 104 уязвимостей, включая три активно эксплуатируемые 0-day.

Среди них закрыто 26 уязвимостей, связанных с повышением привилегий, 3 - обходом функций безопасности, 45 - RCE (из которых только 12 отмечены как критические), 12 - раскрытием информации, 17 - DoS и 1 - спуфингом.

Помимо 104, исправлена одна уязвимость Chromium, отслеживаемая как CVE-2023-5346, которая была исправлена 3 октября и перенесена на Microsoft Edge.

Из трех активно используемых в дикой природе уязвимостей, публично нераскрытой осталась лишь одна.

Первая 0-day, CVE-2023-41763, - это уязвимость Skype для бизнеса, связанная с повышением привилегий. Злоумышленник, успешно воспользовавшийся уязвимостью, может получить доступ к ограниченной конфиденциальной информации, но не может внести в нее изменения.

Багу обнаружил исследователь Флориан Хаузер, который полагает, что это та же самая уязвимость, о которой ранее в сентябре 2022 года он уже уведомлял Microsoft, тогда компания отказалась ее исправлять. Ресерчер считает также, что ее модно использовать для проникновения в периметр.

Другая CVE-2023-36563 затрагивает Microsoft WordPad и связана с раскрытием информации. Ее можно использовать для кражи NTLM-хэшей при открытии документа в приложении.

Чтобы воспользоваться уязвимостью, злоумышленнику сначала необходимо войти в систему, затем запустить специально созданное ПО, что и приведет к контролю над уязвимой системой. Помимо этого злоумышленник может убедить локального пользователя открыть вредоносный файл.

Ошибка была обнаружена Microsoft Threat Intelligence и, по всей видимости, является ответвлением CVE-2023-36761, исправленной в прошлом месяце.

И наконец, выпущены средства защиты от новой техники DDoS-атаки с использованием CVE-2023-44487 под названием HTTP/2 Rapid Reset, которая активно используется с августа и бьет все предыдущие рекорды по DDoS.

Атака нацелена на функцию отмены потока HTTP/2 и не имеет исправлений, которые можно было бы реализовать, кроме ограничения скорости или блокировки протокола. Microsoft выбран последний вариант.

Недостаток был обнаружен в результате скоординированной работы Cloudflare, Amazon и Google. Подробности не раскрываются.

Полный список уязвимостей, устраненных в рамках Microsoft October 2023 Patch Tuesday, доступен здесь.

Северокорейские хакеры взломали Национальную избирательную комиссию Южной Кореи и украли конфиденциальную информацию.

Случилось это еще в апреле 2021 года, но пролить свет на инцидент решили лишь на этой неделе.

Решение было принято после того, как в мае этого года политики и некоторые СМИ начали высказывать подозрения об атаке северокорейской Lazarus на Национальную избирательную комиссию.

Причем корейский избирком формально независим и не подлежит проверкам со стороны спецслужб, однако в силу резонанса совместное расследование было все же проведено, чтобы развеять все сомнения о возможном замалчивании серьезного инцидента.

Как сообщают NKEconomy, 10 октября представители Национальной разведслужбы NIS провели пресс-конференцию и озвучили результаты проверки безопасности избирательной системы, проведенной совместно с Национальной избирательной комиссией и Корейским агентством Интернета и безопасности (KISA).

Чиновники утверждают, что был смопрометирован компьютер одного из сотрудников комиссии, но прямого проникновения северокорейцев избирательную систему тем не менее не произошло.

NIS по итогу приписало вторжение северокорейской Kimsuky и полагает также, что произошла утечка важных конфиденциальных документов с зараженной машины.

Вместе с тем, установить все обстоятельства инцидента не удалось, поскольку было проинспектировано только 5% от общего объема оборудования, которое уже частично было заменено или утилизировано, а срок хранения журналов составлял всего два года.

Южнокорейским силовикам и клеркам теперь остается лишь гадать на кофейной гуще, в то время как бариста, по всей видимости, уже снял все сливки.

͏Вьетнамские спецслужбы отличились весьма необычным способом нацеливания на потенциальных жертв с использованием шпионского ПО Predator.

Злоумышленник, отслеживаемый как REPLYSPY, использовал ответы в Twitter, а теперь уже X, для распространения ссылок, которые приводили к запуску цепочки эксплойтов и заражению spyware.

Как полагают исследователи, в качестве основного аккаунта в кампании REPLYSPY использовался Джозеф Гордон (@Joseph_Gordon16), который щедро комментил ленту американских и европейский журналистов и чиновников на злободневные темы в Юго-Восточной Азии.

При этом, к примеру, вместо официального сайта South China Morning Post указывался схожий домен Southchinapost[.]net, который в недавнем отчете исследователей Sekoia был атрибутирован к Cytrox/Predator.

В таргетинге на темы, связанные с Тайванем, был замечен URL-адрес caavn[.]org, который также использовался для заражения Predator.

Согласно представленным отчетам Amnesty International и CitizenLab, утверждается, что за группой REPLYSPY стоит правительство Вьетнама, которое стало клиентом альянса Intellexa в 2020 году, прикупив Predator за 5,6 миллиона долларов.

Вот так, «адская дискотека в джунглях» в современных реалиях превратилась в zeroclick-атаки через Twitter.

Новый метод DDoS-атаки HTTP/2 Rapid Reset используется как 0-day и значительно превзошел все предыдущие рекордные показатели DDoS.

Причем тревогу бьют такие мастодонты, как Amazon Web Services, Cloudflare и Google, которые уже столкнулись и были вынуждены отражать атаки на своей инфраструктуре, достигающие 155, 201 и рекордные 398 миллионов запросов в секунду соответственно.

Атака реализует уязвимость в протоколе HTTP/2 (CVE-2023-44487), злоупотребляя функцией отмены потока, непрерывно отправляя и отменяя запросы, что перегружает целевой сервер или приложение и вызывает состояние DoS.

Google смог справиться с атаками, только после того как добавил дополнительную мощность на периферии своей сети.

Причем балансировщики нагрузки HTTP/2 особенно уязвимы для длинных последовательностей запросов.

Cloudflare, который смягчил атаку в три раза больше предыдущего своего антирекорда, ожидает, что HTTP/2 Rapid Reset будут только расти и усиливаться, поскольку злоумышленники непременно освоят новый механизм и функционально нарастят свои ботнеты.

Cloudflare уже зафиксировал колоссальный рост обращений среди клиентов и если вы увидели ошибку 502 вместо желаемого контента сайта, то вероятно это дело рук злоумышленников.

͏В комментариях к посту про ментальную битву Лукацкого и Кузнецова внимательные подписчики спросили наше мнение про другой пост Алексея Викторовича, про антивирус.

Если кто не видел - Лукацкий рассказал про полную бесполезность антивирусов - "если у вас стоит антивирус, то вы не защищены ни от чего". И обосновал это существованием проверки на детектируемость на VirusTotal и иже с ним. "А потом чорный-чорный человек сделал чорную-пречорную обфускацию..."

Ну что же, наше мнение таково - Фантомас разбушевался!

Мы хотели было написать про необходимость кроме статики учитывать динамический и облачный анализ, проводимый АВ решениями, про различные контексты атак и пр... А потом обратили внимание вот на это высказывание Лукацкого в первом обсуждаемом посте - "Независимо от того, какая у вас мобильная платформа, стоит соблюдать определенные правила безопасности: установка антивируса, регулярное обновление ОС и приложения, бла-бла-бла".

ОМГ, да это же классический случай взаимоисключающих параграфов! Пусть и в разных постах.

Собственно, вероятных вариантов развития событий у нас вырисовывается два:

1. Лукацкий А.В. уехал на Бермуды/улетел на Альфа Центавра/вернулся к себе в измерение Атлантов в стильных шляпах, а вместо него вещает последняя разработка от компании Positive Technologies - генеративная нейросеть Lukatsky AI (недоработанная).

2. Они его все-таки бьют (Алексей, мы Вас спасем! У нас есть секатор, йо-хо-хо и бутылка рома!)

Simpson Manufacturing, один из ведущих производителей строительных и конструкционных материалов и анкеров в Северной Америке со штатом 5150 сотрудников и годовым оборотом в 2,12 млрд. долл., зарансомился.

После произошедшего инцидента компания была вынуждена отключить инфраструктуру, о чем уведомила 10 октября 2023 года соответствующим образом посредством SEC 8-K.

В работе приложения во вторник на прошлой неделе были замечены сбои, после чего, вскоре выяснилось, что они были вызваны кибератакой.

Компания оперативно предприняла все необходимые шаги по локализации атаки и нейтрализации последствий инцидента.

Предварительные результаты работ позволяют спрогнозировать, что этот процесс займет продолжительное время, что неудивительно в случае с ransomware. Однако это пока никак не повлияло на ликвидность акций компании на фондовом рынке.

Более серьезное беспокойство вызывает потенциальная утечка конфиденциальной информации, поскольку Simpson Manufacturing является лидером в своей отрасли, участвуя во многих гостендерах и подрядах, в том числе и на спецобъектах.

Кроме того, производитель ведет научные изыскания и исследования в области новых конструктивных решений и материалов, являясь правообладателем более чем двух тысяч патентов и товарных знаков.

До настоящего времени ответственность за взлом Simpson Manufacturing не взяла ни одна группа вымогателей. Тем не менее, расследование уже стартовало. Будем следить.

Исследователи из Check Point обнаружили таргетированную кибератаку в отношении правительственных организаций и телекоммуникационных структур в Азии.

Кампания отслеживается как Stayin Alive и берет свое начало с 2021 года.

Атака направлена на развертывание базовых бэкдоров и загрузчиков для доставки вредоносного ПО следующего этапа.

Цели включают организации, расположенные во Вьетнаме, Узбекистане, Пакистане и Казахстане.

Эксперты отмечают схожесть с инфраструктурой связанной с Китаем группировки ToddyCat, известной своими кибератаками против правительственных и военных ведомств Европы и Азии с декабря 2020 года.

По классике атаки злоумышленников начинаются с фишингового письма.

Письмо содержит ZIP-файл с легитимным исполняемым файлом, который использует DLL для загрузки бэкдора.

Малварь получила название CurKeep и загружается с помощью поддельного DLL dal_keepalives.dll.

При более тщательном изучении инфраструктуры C2 был обнаружен постоянно эволюционирующий арсенал вариантов загрузчика, получивший названия CurLu, CurCore и CurLog, способный принимать DLL-файлы, выполнять удаленные команды и запускать процессы, связанный с новым созданным файлом, в который записываются данные с сервера.

Также был обнаружен пассивный имплантат под названием StylerServ, который слушает пять различных портов (60810, 60811, 60812, 60813 и 60814), чтобы иметь возможность принять удаленное подключение и получить зашифрованный файл конфигурации.

Пока окончательных доказательств связи Stayin Alive с ToddyCat нет, однако результаты показывают, что для вторжений на аналогичные цели использовалась одна и та же инфраструктура.

В целом, как констатируют исследователи, использование одноразовых загрузчиков будет становиться все более распространенным даже среди опытных акторов, поскольку это значительно затрудняет как обнаружение, так и атрибуцию.

Исследователи Cisco Talos предупреждают о несиправленных до настоящего времени 10 0-day, которые затрагивают промышленный сотовый маршрутизатор Yifan YF325.

Злоумышленники могут использовать уязвимости Yifan YF325 для проведения различных атак, в некоторых случаях получая возможность выполнять произвольные команды оболочки на целевом устройстве.

Yifan YF325 — это сотовое терминальное устройство, которое предлагает возможности подключения к сети Wi-Fi и Ethernet.

Как заявляет сам поставщик, YF325 широко используется в различных M2M-областях, включая терминалы самообслуживания, интеллектуальный транспорт и сети, промышленную автоматизацияю, телеметрию, финансы, POS, водоснабжение, защиту окружающей среды, почту, погоду, и тд.

Самая серьезная из них TALOS-2023-1762 (CVE-2023-24479) имеет оценку CVSS 9,8 из 10. Злоумышленник может использовать ее для изменения учетных данных администратора устройства и получения root-доступа.

Другая TALOS-2023-1752 (CVE-2023-32645) также является уязвимостью обхода аутентификации, но в этом случае злоумышленник может просто использовать оставшиеся учетные данные отладки для входа в систему в качестве администратора.

Еще одна TALOS-2023-1767 (CVE-2023-32632) может позволить злоумышленнику выполнять произвольные команды оболочки на целевом устройстве.

Остальные обнаруженные Talos уязвимости представляют собой ошибки переполнения буфера, вызываемые специально созданными сетевыми запросами, и отслеживаются как:
- TALOS-2023-1761 (CVE-2023-35055 и CVE-2023-35056),
- TALOS-2023-1763 (CVE-2023-34365),
- TALOS-2023-1764 (CVE-2023-34346),
- TALOS-2023-1765 (CVE-2023-31272),
- TALOS-2023-1766 (CVE-2023-34426),
- TALOS-2023-1787 (CVE-2023-35965 и CVE-2023-35966),
- TALOS-2023-1788 (CVE-2023-35967 и CVE-2023-35968).

Отдельно стоит отметить, что все они также имеют степень серьезности 9,8.

Несмотря на отсутствие официального патча от Yifan, в соответствии с политикой Cisco раскрыла все уязвимости.

Клиентам определенно стоит оценить все риски использования оборудования и предпринять меры со своей стороны, пока поставщик не выкатил обновления.

Исследователи из Cyble решили реабилитироваться после дикой клюквы про нападение коварных московитов на Tatar-Language Users и выпустили материал о выявленной фишинговой кампании, направленной на российских производителей полупроводников.

Расследуя растущее число инцидентов, связанных с использованием уязвимости WinRAR для доставки своих полезных данных, CRIL 27 сентября обнаружили целевое фишинговое электронное письмо через VirusTotal.

Сообщение на тему: «Относительно предложения о включении НИОКР в план работы на 2024–2025 годы» было отправлено якобы от имени консультанта Минпромторга России с вложением resultati_sovehchaniya_11_09_2023.rar, включающим PDF и папку.

PDF-файл безвреден, а папка служит контейнером для вредоносного файла сценария CMD. В ходе этой целевой атаки злоумышленники использовали RCE-уязвимость, отлеживаемую как CVE-2023-38831, для доставки своей полезной нагрузки на скомпрометированные системы.

Цель атаки — получить полный контроль над скомпрометированной системой с помощью полезной нагрузки второго этапа, известной как Athena, кроссплатформенного агента RedTeam-платформы Mythic C2, который ранее был замечен в операциях APT-36.

Этот имплатат оснащен широким набором предустановленных команд, предназначенных для выполнения различных действий над скомпрометированной системой, включая внедрение сборки, выполнение шелл-кода, сбор данных аутентификации, загрузку объектных файлов маяков (BOF) и множество других функций.

Athena интегрирован с платформой Custom Command and Control, что позволяет осуществлять связь через различные каналы C2 для подключения к удаленному серверу. В этом конкретном случае связь C3 осуществляется через канал Discord.

Причем личность злоумышленника, ответственного за эту кампанию, остается неизвестной, и в настоящее время исследователи не могут связать его с какой-либо известной APT.

MITRE ATT&CK, IOC и Yara - в отчете исследователей.

Исследователи BI.ZONE обнаружили новую кибергруппировку, которая использует популярные коммерчески доступные и легкодетектируемые инструменты для кибершпионажа в отношении госструктур России и Беларуси, оставаясь при этом незамеченной.

Sticky Werewolf активна как минимум с апреля 2023 года и к настоящему моменту реализовала не менее 30 атак.

Причем в атаках на многие госорганизации злоумышленникам удавалось эффективно использовать даже популярные RAT для получения первоначального доступа.

Для получения первоначального доступа к целевым системам Sticky Werewolf использовала фишинговые письма со ссылками на вредоносные файлы, которые генерировала с помощью сервиса IP LOGGER.

Он позволяет использовать собственные доменные имена при создании ссылок, чтобы они не выглядели подозрительно.

При этом IP LOGGER также позволял им получать данные в отношении жертв: временя перехода, IP‑адрес, страна, город, версии браузера и ОС, помогая провести базовое профилирование потенциально скомпрометированных систем.

По фишинговым ссылкам располагались вредоносные файлы с расширением exe или scr, которые были замаскированы под документы Microsoft Word или PDF.

За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а в папку C:\Users\User\AppData\Local\Temp под именем легитимного приложения, например utorrent.exe (µTorrent), копировался и в фоновом режиме устанавливался коммерческий вредонос NetWire RAT.

При этом для обфускации NetWire Sticky Werewolf использовала протектор Themida, что затрудняло обнаружение и анализ.

NetWire RAT передавал атакующим данные о нажатиях клавиш, видео с экрана и веб-камеры, звук микрофона и осуществляет другие действия с целью шпионажа.

Примечательно, что в марте 2023 года селлер NetWire был задержан в Хорватии, а инфраструктура конфискована, но это не помешало группе выполнять свои задачи.

С рекомендациями, IOC и MITRE ATT&CK можно ознакомиться подробно в отчете.

Десятки уязвимостей в популярном кеширующем прокси-сервере Squid остаются неисправленными спустя 2 года после раскрытия и уведомления разработчиков.

Squid — одно из самых распространенных на сегодняшний день решений кеширующего прокси с открытым исходным кодом.

В Интернете доступно более 2,5 миллионов экземпляров Squid.

Причем многие используют Squid, даже не подозревая об этом, поскольку некоторые компании встраивают его в домашние или офисные брандмауэры, другие используют Squid в архитектурах доставки контента по всему миру.

Дыры в безопасности Squid были обнаружены в 2021 году исследователем Джошуа Роджерсом, который на этой неделе раскрыл технические детали своих выводов.

Роджерс выявил 55 уязвимостей, исследуя различные компоненты с помощью фаззинга, ручной проверки кода и статического анализа. 

По словам исследователя, лишь немногим уязвимостям присвоены идентификаторы CVE, и 35 из них остаются неисправленными.

Многие уязвимости могут привести к сбою, но некоторые также могут быть использованы для выполнения произвольного кода.

Все дело в том, что Squid фактически не располагает ни финансовыми, ни кадровыми ресурсами для устранения обнаруженных проблем.

В общем ситуацию можно описать словами из известной киноленты: наука есть, а жизни нет.

Исследователи Numen Labs сообщают об RCE-уязвимости (CVE-2023-41047) в популярном ПО с открытым исходным кодом для 3D печати OctoPrint.

Оно позволяет отображать состояние и основные параметры принтера, а также поддерживает планирование заданий печати и удаленное управление принтером.

Проблема затрагивает OctoPrint 1.9.2 и все нижестоящие версии и связана с тем, что во время выполнения задания печати настраивается специально созданный сценарий языка GCODE, позволяющий выполнять произвольный код во время рендеринга сценария.

Злоумышленник может использовать это для извлечения или манипулирования данными, управляемыми OctoPrint, а также выполнения произвольных команд с правами процесса OctoPrint в серверной системе.

Numen уведомила разработчика об ошибке 31 августа, которую OctoPrint почти сразу же подтвердила, а 10 октября выпустила обновление. В новой версии 1.9.3 была добавлена ​​изолированная программная среда безопасности.

К настоящему времени, по данным Shodan, в сети доступно более 20 000 открытых OctoPrints.

В связи с чем, администраторам OctoPrint настоятельно рекомендуется перейти на обновленную версию ПО.

Кроме того, тщательно проверять админский доступ к своей установке и не настраивать вслепую произвольные сценарии GCODE, найденные в Интернете или предоставленные третьими лицами.