Северокорейские хакеры взломали Национальную избирательную комиссию Южной Кореи и украли конфиденциальную информацию.

Случилось это еще в апреле 2021 года, но пролить свет на инцидент решили лишь на этой неделе.

Решение было принято после того, как в мае этого года политики и некоторые СМИ начали высказывать подозрения об атаке северокорейской Lazarus на Национальную избирательную комиссию.

Причем корейский избирком формально независим и не подлежит проверкам со стороны спецслужб, однако в силу резонанса совместное расследование было все же проведено, чтобы развеять все сомнения о возможном замалчивании серьезного инцидента.

Как сообщают NKEconomy, 10 октября представители Национальной разведслужбы NIS провели пресс-конференцию и озвучили результаты проверки безопасности избирательной системы, проведенной совместно с Национальной избирательной комиссией и Корейским агентством Интернета и безопасности (KISA).

Чиновники утверждают, что был смопрометирован компьютер одного из сотрудников комиссии, но прямого проникновения северокорейцев избирательную систему тем не менее не произошло.

NIS по итогу приписало вторжение северокорейской Kimsuky и полагает также, что произошла утечка важных конфиденциальных документов с зараженной машины.

Вместе с тем, установить все обстоятельства инцидента не удалось, поскольку было проинспектировано только 5% от общего объема оборудования, которое уже частично было заменено или утилизировано, а срок хранения журналов составлял всего два года.

Южнокорейским силовикам и клеркам теперь остается лишь гадать на кофейной гуще, в то время как бариста, по всей видимости, уже снял все сливки.

͏Вьетнамские спецслужбы отличились весьма необычным способом нацеливания на потенциальных жертв с использованием шпионского ПО Predator.

Злоумышленник, отслеживаемый как REPLYSPY, использовал ответы в Twitter, а теперь уже X, для распространения ссылок, которые приводили к запуску цепочки эксплойтов и заражению spyware.

Как полагают исследователи, в качестве основного аккаунта в кампании REPLYSPY использовался Джозеф Гордон (@Joseph_Gordon16), который щедро комментил ленту американских и европейский журналистов и чиновников на злободневные темы в Юго-Восточной Азии.

При этом, к примеру, вместо официального сайта South China Morning Post указывался схожий домен Southchinapost[.]net, который в недавнем отчете исследователей Sekoia был атрибутирован к Cytrox/Predator.

В таргетинге на темы, связанные с Тайванем, был замечен URL-адрес caavn[.]org, который также использовался для заражения Predator.

Согласно представленным отчетам Amnesty International и CitizenLab, утверждается, что за группой REPLYSPY стоит правительство Вьетнама, которое стало клиентом альянса Intellexa в 2020 году, прикупив Predator за 5,6 миллиона долларов.

Вот так, «адская дискотека в джунглях» в современных реалиях превратилась в zeroclick-атаки через Twitter.

Новый метод DDoS-атаки HTTP/2 Rapid Reset используется как 0-day и значительно превзошел все предыдущие рекордные показатели DDoS.

Причем тревогу бьют такие мастодонты, как Amazon Web Services, Cloudflare и Google, которые уже столкнулись и были вынуждены отражать атаки на своей инфраструктуре, достигающие 155, 201 и рекордные 398 миллионов запросов в секунду соответственно.

Атака реализует уязвимость в протоколе HTTP/2 (CVE-2023-44487), злоупотребляя функцией отмены потока, непрерывно отправляя и отменяя запросы, что перегружает целевой сервер или приложение и вызывает состояние DoS.

Google смог справиться с атаками, только после того как добавил дополнительную мощность на периферии своей сети.

Причем балансировщики нагрузки HTTP/2 особенно уязвимы для длинных последовательностей запросов.

Cloudflare, который смягчил атаку в три раза больше предыдущего своего антирекорда, ожидает, что HTTP/2 Rapid Reset будут только расти и усиливаться, поскольку злоумышленники непременно освоят новый механизм и функционально нарастят свои ботнеты.

Cloudflare уже зафиксировал колоссальный рост обращений среди клиентов и если вы увидели ошибку 502 вместо желаемого контента сайта, то вероятно это дело рук злоумышленников.

͏В комментариях к посту про ментальную битву Лукацкого и Кузнецова внимательные подписчики спросили наше мнение про другой пост Алексея Викторовича, про антивирус.

Если кто не видел - Лукацкий рассказал про полную бесполезность антивирусов - "если у вас стоит антивирус, то вы не защищены ни от чего". И обосновал это существованием проверки на детектируемость на VirusTotal и иже с ним. "А потом чорный-чорный человек сделал чорную-пречорную обфускацию..."

Ну что же, наше мнение таково - Фантомас разбушевался!

Мы хотели было написать про необходимость кроме статики учитывать динамический и облачный анализ, проводимый АВ решениями, про различные контексты атак и пр... А потом обратили внимание вот на это высказывание Лукацкого в первом обсуждаемом посте - "Независимо от того, какая у вас мобильная платформа, стоит соблюдать определенные правила безопасности: установка антивируса, регулярное обновление ОС и приложения, бла-бла-бла".

ОМГ, да это же классический случай взаимоисключающих параграфов! Пусть и в разных постах.

Собственно, вероятных вариантов развития событий у нас вырисовывается два:

1. Лукацкий А.В. уехал на Бермуды/улетел на Альфа Центавра/вернулся к себе в измерение Атлантов в стильных шляпах, а вместо него вещает последняя разработка от компании Positive Technologies - генеративная нейросеть Lukatsky AI (недоработанная).

2. Они его все-таки бьют (Алексей, мы Вас спасем! У нас есть секатор, йо-хо-хо и бутылка рома!)

Simpson Manufacturing, один из ведущих производителей строительных и конструкционных материалов и анкеров в Северной Америке со штатом 5150 сотрудников и годовым оборотом в 2,12 млрд. долл., зарансомился.

После произошедшего инцидента компания была вынуждена отключить инфраструктуру, о чем уведомила 10 октября 2023 года соответствующим образом посредством SEC 8-K.

В работе приложения во вторник на прошлой неделе были замечены сбои, после чего, вскоре выяснилось, что они были вызваны кибератакой.

Компания оперативно предприняла все необходимые шаги по локализации атаки и нейтрализации последствий инцидента.

Предварительные результаты работ позволяют спрогнозировать, что этот процесс займет продолжительное время, что неудивительно в случае с ransomware. Однако это пока никак не повлияло на ликвидность акций компании на фондовом рынке.

Более серьезное беспокойство вызывает потенциальная утечка конфиденциальной информации, поскольку Simpson Manufacturing является лидером в своей отрасли, участвуя во многих гостендерах и подрядах, в том числе и на спецобъектах.

Кроме того, производитель ведет научные изыскания и исследования в области новых конструктивных решений и материалов, являясь правообладателем более чем двух тысяч патентов и товарных знаков.

До настоящего времени ответственность за взлом Simpson Manufacturing не взяла ни одна группа вымогателей. Тем не менее, расследование уже стартовало. Будем следить.

Исследователи из Check Point обнаружили таргетированную кибератаку в отношении правительственных организаций и телекоммуникационных структур в Азии.

Кампания отслеживается как Stayin Alive и берет свое начало с 2021 года.

Атака направлена на развертывание базовых бэкдоров и загрузчиков для доставки вредоносного ПО следующего этапа.

Цели включают организации, расположенные во Вьетнаме, Узбекистане, Пакистане и Казахстане.

Эксперты отмечают схожесть с инфраструктурой связанной с Китаем группировки ToddyCat, известной своими кибератаками против правительственных и военных ведомств Европы и Азии с декабря 2020 года.

По классике атаки злоумышленников начинаются с фишингового письма.

Письмо содержит ZIP-файл с легитимным исполняемым файлом, который использует DLL для загрузки бэкдора.

Малварь получила название CurKeep и загружается с помощью поддельного DLL dal_keepalives.dll.

При более тщательном изучении инфраструктуры C2 был обнаружен постоянно эволюционирующий арсенал вариантов загрузчика, получивший названия CurLu, CurCore и CurLog, способный принимать DLL-файлы, выполнять удаленные команды и запускать процессы, связанный с новым созданным файлом, в который записываются данные с сервера.

Также был обнаружен пассивный имплантат под названием StylerServ, который слушает пять различных портов (60810, 60811, 60812, 60813 и 60814), чтобы иметь возможность принять удаленное подключение и получить зашифрованный файл конфигурации.

Пока окончательных доказательств связи Stayin Alive с ToddyCat нет, однако результаты показывают, что для вторжений на аналогичные цели использовалась одна и та же инфраструктура.

В целом, как констатируют исследователи, использование одноразовых загрузчиков будет становиться все более распространенным даже среди опытных акторов, поскольку это значительно затрудняет как обнаружение, так и атрибуцию.

Исследователи Cisco Talos предупреждают о несиправленных до настоящего времени 10 0-day, которые затрагивают промышленный сотовый маршрутизатор Yifan YF325.

Злоумышленники могут использовать уязвимости Yifan YF325 для проведения различных атак, в некоторых случаях получая возможность выполнять произвольные команды оболочки на целевом устройстве.

Yifan YF325 — это сотовое терминальное устройство, которое предлагает возможности подключения к сети Wi-Fi и Ethernet.

Как заявляет сам поставщик, YF325 широко используется в различных M2M-областях, включая терминалы самообслуживания, интеллектуальный транспорт и сети, промышленную автоматизацияю, телеметрию, финансы, POS, водоснабжение, защиту окружающей среды, почту, погоду, и тд.

Самая серьезная из них TALOS-2023-1762 (CVE-2023-24479) имеет оценку CVSS 9,8 из 10. Злоумышленник может использовать ее для изменения учетных данных администратора устройства и получения root-доступа.

Другая TALOS-2023-1752 (CVE-2023-32645) также является уязвимостью обхода аутентификации, но в этом случае злоумышленник может просто использовать оставшиеся учетные данные отладки для входа в систему в качестве администратора.

Еще одна TALOS-2023-1767 (CVE-2023-32632) может позволить злоумышленнику выполнять произвольные команды оболочки на целевом устройстве.

Остальные обнаруженные Talos уязвимости представляют собой ошибки переполнения буфера, вызываемые специально созданными сетевыми запросами, и отслеживаются как:
- TALOS-2023-1761 (CVE-2023-35055 и CVE-2023-35056),
- TALOS-2023-1763 (CVE-2023-34365),
- TALOS-2023-1764 (CVE-2023-34346),
- TALOS-2023-1765 (CVE-2023-31272),
- TALOS-2023-1766 (CVE-2023-34426),
- TALOS-2023-1787 (CVE-2023-35965 и CVE-2023-35966),
- TALOS-2023-1788 (CVE-2023-35967 и CVE-2023-35968).

Отдельно стоит отметить, что все они также имеют степень серьезности 9,8.

Несмотря на отсутствие официального патча от Yifan, в соответствии с политикой Cisco раскрыла все уязвимости.

Клиентам определенно стоит оценить все риски использования оборудования и предпринять меры со своей стороны, пока поставщик не выкатил обновления.

Исследователи из Cyble решили реабилитироваться после дикой клюквы про нападение коварных московитов на Tatar-Language Users и выпустили материал о выявленной фишинговой кампании, направленной на российских производителей полупроводников.

Расследуя растущее число инцидентов, связанных с использованием уязвимости WinRAR для доставки своих полезных данных, CRIL 27 сентября обнаружили целевое фишинговое электронное письмо через VirusTotal.

Сообщение на тему: «Относительно предложения о включении НИОКР в план работы на 2024–2025 годы» было отправлено якобы от имени консультанта Минпромторга России с вложением resultati_sovehchaniya_11_09_2023.rar, включающим PDF и папку.

PDF-файл безвреден, а папка служит контейнером для вредоносного файла сценария CMD. В ходе этой целевой атаки злоумышленники использовали RCE-уязвимость, отлеживаемую как CVE-2023-38831, для доставки своей полезной нагрузки на скомпрометированные системы.

Цель атаки — получить полный контроль над скомпрометированной системой с помощью полезной нагрузки второго этапа, известной как Athena, кроссплатформенного агента RedTeam-платформы Mythic C2, который ранее был замечен в операциях APT-36.

Этот имплатат оснащен широким набором предустановленных команд, предназначенных для выполнения различных действий над скомпрометированной системой, включая внедрение сборки, выполнение шелл-кода, сбор данных аутентификации, загрузку объектных файлов маяков (BOF) и множество других функций.

Athena интегрирован с платформой Custom Command and Control, что позволяет осуществлять связь через различные каналы C2 для подключения к удаленному серверу. В этом конкретном случае связь C3 осуществляется через канал Discord.

Причем личность злоумышленника, ответственного за эту кампанию, остается неизвестной, и в настоящее время исследователи не могут связать его с какой-либо известной APT.

MITRE ATT&CK, IOC и Yara - в отчете исследователей.

Исследователи BI.ZONE обнаружили новую кибергруппировку, которая использует популярные коммерчески доступные и легкодетектируемые инструменты для кибершпионажа в отношении госструктур России и Беларуси, оставаясь при этом незамеченной.

Sticky Werewolf активна как минимум с апреля 2023 года и к настоящему моменту реализовала не менее 30 атак.

Причем в атаках на многие госорганизации злоумышленникам удавалось эффективно использовать даже популярные RAT для получения первоначального доступа.

Для получения первоначального доступа к целевым системам Sticky Werewolf использовала фишинговые письма со ссылками на вредоносные файлы, которые генерировала с помощью сервиса IP LOGGER.

Он позволяет использовать собственные доменные имена при создании ссылок, чтобы они не выглядели подозрительно.

При этом IP LOGGER также позволял им получать данные в отношении жертв: временя перехода, IP‑адрес, страна, город, версии браузера и ОС, помогая провести базовое профилирование потенциально скомпрометированных систем.

По фишинговым ссылкам располагались вредоносные файлы с расширением exe или scr, которые были замаскированы под документы Microsoft Word или PDF.

За открытием такого файла следовала демонстрация легитимного документа соответствующего формата, а в папку C:\Users\User\AppData\Local\Temp под именем легитимного приложения, например utorrent.exe (µTorrent), копировался и в фоновом режиме устанавливался коммерческий вредонос NetWire RAT.

При этом для обфускации NetWire Sticky Werewolf использовала протектор Themida, что затрудняло обнаружение и анализ.

NetWire RAT передавал атакующим данные о нажатиях клавиш, видео с экрана и веб-камеры, звук микрофона и осуществляет другие действия с целью шпионажа.

Примечательно, что в марте 2023 года селлер NetWire был задержан в Хорватии, а инфраструктура конфискована, но это не помешало группе выполнять свои задачи.

С рекомендациями, IOC и MITRE ATT&CK можно ознакомиться подробно в отчете.

Десятки уязвимостей в популярном кеширующем прокси-сервере Squid остаются неисправленными спустя 2 года после раскрытия и уведомления разработчиков.

Squid — одно из самых распространенных на сегодняшний день решений кеширующего прокси с открытым исходным кодом.

В Интернете доступно более 2,5 миллионов экземпляров Squid.

Причем многие используют Squid, даже не подозревая об этом, поскольку некоторые компании встраивают его в домашние или офисные брандмауэры, другие используют Squid в архитектурах доставки контента по всему миру.

Дыры в безопасности Squid были обнаружены в 2021 году исследователем Джошуа Роджерсом, который на этой неделе раскрыл технические детали своих выводов.

Роджерс выявил 55 уязвимостей, исследуя различные компоненты с помощью фаззинга, ручной проверки кода и статического анализа. 

По словам исследователя, лишь немногим уязвимостям присвоены идентификаторы CVE, и 35 из них остаются неисправленными.

Многие уязвимости могут привести к сбою, но некоторые также могут быть использованы для выполнения произвольного кода.

Все дело в том, что Squid фактически не располагает ни финансовыми, ни кадровыми ресурсами для устранения обнаруженных проблем.

В общем ситуацию можно описать словами из известной киноленты: наука есть, а жизни нет.

Исследователи Numen Labs сообщают об RCE-уязвимости (CVE-2023-41047) в популярном ПО с открытым исходным кодом для 3D печати OctoPrint.

Оно позволяет отображать состояние и основные параметры принтера, а также поддерживает планирование заданий печати и удаленное управление принтером.

Проблема затрагивает OctoPrint 1.9.2 и все нижестоящие версии и связана с тем, что во время выполнения задания печати настраивается специально созданный сценарий языка GCODE, позволяющий выполнять произвольный код во время рендеринга сценария.

Злоумышленник может использовать это для извлечения или манипулирования данными, управляемыми OctoPrint, а также выполнения произвольных команд с правами процесса OctoPrint в серверной системе.

Numen уведомила разработчика об ошибке 31 августа, которую OctoPrint почти сразу же подтвердила, а 10 октября выпустила обновление. В новой версии 1.9.3 была добавлена ​​изолированная программная среда безопасности.

К настоящему времени, по данным Shodan, в сети доступно более 20 000 открытых OctoPrints.

В связи с чем, администраторам OctoPrint настоятельно рекомендуется перейти на обновленную версию ПО.

Кроме того, тщательно проверять админский доступ к своей установке и не настраивать вслепую произвольные сценарии GCODE, найденные в Интернете или предоставленные третьими лицами.

Если давно читаете канал SecAtor, то последний отчет Splunk с результатами опроса более 350 руководителей в сфере безопасности вряд ли вас шокирует.

Но неискушенную аудиторию точно удивят некоторые цифры из нового глобального исследования, которое проводилось посредством опросов CISO, CSO и другие руководители высшего звена в сфере безопасности в период с мая по июнь 2023 года при участии Enterprise Strategy Group.

Мероприятия проводились в 10 странах: Австралии, Канаде, Франции, Германии, Индии, Японии, Новой Зеландии, Сингапуре, Великобритании и США.

Оказывается, что 90% организаций пострадали как минимум от одной крупной кибератаки за последний год.

Причем многие отрасли промышленности подверглись атакам с использованием ransomware, которые существенно повлияли на их системы и бизнес-операции, включая финансовые услуги (59%), розничную торговлю (59%) и здравоохранение (52%). 

Как мы и неоднократно говорили, результаты опроса показали, что 83% респондентов признались, что заплатили злоумышленникам выкуп в ходе реагирования на ransomware-инциденты.

95% респондентов сообщили, что они платили либо напрямую, либо через посредника - переговорщика или поставщика киберстрахования.

При этом сумма в 50% случаев составила не менее 100 000 долларов, а четверть всех выплаченных выкупов превышала 250 000 долларов, что продолжает делать вымогательство весьма прибыльным бизнесом вопреки прогнозам инфосек-специалистов.

Другим интересным выводом стало повышение приоритета кибербезопасности внутри организаций.

В 47% опрошенных организаций директора по информационной безопасности теперь подчиняются непосредственно руководителю компании.

93% респондентов-директоров по ИБ ожидают увеличения своего бюджета на кибербезопасность в следующем году, при том, что в 83% это совпадает с секвестированием бюджетов по другим статьям.

Большинство из опрошенных (70%) считают, что ИИ может предоставить злоумышленникам больше возможностей для совершения атак, но 35% уже экспериментируют с ним для киберзащиты, включая анализ вредоносного ПО, автоматизацию рабочих процессов и оценку рисков.

Приоритетом в работе большая часть опрошенных считают сокращение количества используемых инструментов и упрощения процессов за счет автоматизации (93% уже на этом пути).

Илон Маск в очередной раз хочет удивить мир и, если SpaceX получит разрешение регулятора, то обычному обывателю не придется иметь ТеслаФон, чтоб пользоваться его услугами.

Собственно, в чем изюминка! Starlink предлагает технологию Direct to Cell, которая позволит существующими LTE-телефонам пользоваться услугами связи от слова везде, где есть небо.

Запуск нового сервиса для отправки SMS-сообщений запланирован уже на 2024 год, а голосовые, данные и IoT-услуги ожидаются в 2025.

Новый веб-сайт Starlink уже размещает рекламу прямого подключения к сотовым телефонам, которое работает с существующими мобильными устройствами без необходимости вносить изменения в оборудование или ПО.

Starlink обещает "всеобщий доступ, будь то на суше, озерах или прибрежных водах". Компания рекламирует новую функциональность своим бизнес-партнерам, предлагая интеграцию сетей, аналогичную стандартному роумингу.

Ноу-хау позволит Starlink конкурировать напрямую с телеком-компаниями, а многие из них и вовсе канут в лета.

Однако SpaceX должна получить специальное разрешение от Федеральной комиссии по связи на использование радиочастот.

Некоторые крупные игроки телекома уже подсуетились в этом вопросе, пытаясь помешать конкуренту. Например, AT&T занесла в FCC соответствующую петицию.

Как обещает Starlink, спутники Direct to Cell будут первоначально будут запущены на ракете SpaceX Falcon 9, а затем на Starship. На орбите спутники подключаться по лазерной обратной связи к созвездию Starlink и обеспечат глобальную связь.

Компания ведет разработку в коллаборации с T-Mobile и пока нет никаких дополнительных подробностей о ценах или о том, ожидается ли внедрение услуг для конечного потребителя, но однозначно решение не будет удовлетворено до тех пор, пока SpaceX и T-Mobile не проведут соответствующие испытания и демонстрацию.

Так что будем посмотреть.

͏Equifax Ltd согласилась выплатить штраф в 11 миллионов фунтов стерлингов (13,4 миллиона долларов США) за утечку данных компании в 2017 году, назначенный финансовым регулятором Великобритании, за что получила 30% скидки.

Как сообщает FCA, Equifax UK передала данные граждан Великобритании своей
материнской компании в США, которая, в свою очередь, не смогла и, по всей видимости, даже на стала должным образом их защищать.

Equifax узнала о доступе к данным Великобритании лишь спустя через 6 недель после того, как Equifax Inc обнаружила взлом.

В результате взлома компании в 2017 году были раскрыты персональные данные 163 миллионов пользователей, в том числе 13,8 миллиона потребителей из Великобритании.

Жители островного государства Джерси в проливе Ла-Манш на неделю лишились электричества и газа в результате кибератаки.

Официальные власти связывают аварию со сбоем программного обеспечения на заводе Island Energy (IE) St Helier, который вызвал остановку всех систем, включая и резервные.

После чего 7 октября подача газа 4500 клиентам была остановлена и для налоговой гавани (40 % экономики острова Джерси приходится на сектор оказания финансовых услуг) настали темные времена.

Как позже признался исполнительный директор IE Джо Кокс, завод La Collette был закрыт после того, как вредоносный код вызвал сбои в поставках электроэнергии, подтвердив таким образом успешную атаку на инфраструктуру национальной КИИ.

Расследование продолжается, выводы еще не озвучены. Так что будем посмотреть.

Исследователи из Лаборатории Касперского выкатили подробный отчет с результатами анализа новых имплантатов группировки ToddyCat для кражи данных.

ToddyCat — это сложная группа APT, которая активна с декабря 2020 и сосредоточена на кибершпионаже с использованием различных методов по уходу от обнаружения.

В поле зрения исследователей АРТ попала в прошлом году, когда исследователям удалось связать злоумышленника с резонансными атаками на госорганизации и военные структуры в Европе и Азии.

Причем буквально за день до Касперских о применении связанных с инфраструктурой ToddyCat «одноразовых» инструментов в атаках на телеком-провайдеров в Средней Азии, Вьетнаме и Пакистане сообщали CheckPoint.

Как еще раньше было замечено, в арсенале группы были широко представлены троян Ninja и бэкдор Samurai.

Однако дальнейшее расследование выявило совершенно новый набор вредоносного ПО.

Он включал широкий арсенал загрузчиков, разработанных с нуля и в некоторых случаях под конкретных жертв, компактный пассивный UDP-бэкдор, LoFiSe для поиска и сбора интересующих файлов, а также различные инструменты эксфильтрации в файлообменники DropBox и Microsoft OneDrive.

Также было замечено, что ToddyCat использует специальные сценарии для сбора данных, Cobalt Strike для последующей эксплуатации и скомпрометированные учетные данные администратора домена для облегчения горизонтального перемещения для продолжения своей шпионской деятельности.

Кроме того, исследователи наблюдали варианты скриптов, предназначенные исключительно для сбора данных и копирования файлов в определенные папки, но без включения их в сжатые архивы.

В этих случаях злоумышленник выполнял сценарий на удаленном хосте, используя стандартную технику удаленного выполнения задач.

Затем собранные файлы вручную переносились на хост для эксфильтрации с помощью утилиты xcopy и, наконец, сжимались с использованием двоичного файла 7z.

Обновленные индикаторы компрометации ToddyCat и подробный обзор каждого инструмента, а также методы горизонтального перемещения и проведения шпионских операций представлены в отчете.

Не успела коварная рука злоумышленника дотянуться до пользователя Signal, как разработчики мессенджера уже успели опровергнуть слухи о 0-day, связанной с функцией генерации предпросмотра ссылок.

Инсайд об этой нулевой уязвимости начал распространяться в сети на выходных.

Как утверждали некоторые источники, обнаруженная бага позволяет полностью захватить устройство.

В ходе расследования в компании не без сарказма заявили, что кроме невнятных вирусных отчетов о предполагаемой уязвимости Signal 0-day, ничего не обнаружили и на данный момент нет доказательств, что эта угроза вообще реальна.

Несмотря на отсутствие доказательств представители Signal все же попросил тех, у кого есть новая и "реальная" информация, связаться с их командой безопасности.

Ну, а пока идет разбор полетов, особо переживающим пользователям, возможно, стоит отключить функцию предварительного просмотра ссылок.

Давненько в нашей ленте не было аналитики по вредоносным ПО, но тут как раз словенский CERT выкатил технический анализ загрузчика GuLoader.

Обнаруженный в 2019 году GuLoader, также называемый как vbdropper или CloudEyE, представляет собой продвинутый VBS-загрузчик, который используется для распространения различных RAT-троянов (таких как Agent Tesla, Arkei/Vidar, Formbook, Lokibot, Netwire и Remcos и др.).

Загрузчик использует VBS-скрипт для помещения упакованной полезной нагрузки в раздел реестра и затем выполняет ее с помощью PowerShell. Реализует различные методы антианализа, антиотладки и антидизассемблирования для обхода средств безопасности.

Все технические аспекты описывать не будем, но уверены, что вирусным аналитикам материал определенно будет полезен.

Cisco предупреждает клиентов об использовании новой 0-day, затрагивающей IOS XE и отслеживаемой как CVE-2023-20198, для взлома устройств.

Критическая уязвимость представляет собой проблему повышения привилегий и влияет на веб-интерфейс пользователя IOS XE, который поставляется с образом по умолчанию.

Уязвимостью можно воспользоваться из сети или непосредственно из Интернета.

Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться уязвимостью, чтобы создать учетную запись с наивысшими привилегиями (уровень доступа 15) и использовать ее для получения контроля над устройством.

При таком уровне доступа злоумышленник может изменять правила сетевой маршрутизации, а также открывать порты для доступа к контролируемым злоумышленниками серверам с целью кражи данных.

28 сентября Cisco Talos сообщила об атаках с использованием CVE-2023-20198, столкнувшись с необычной активность на устройстве клиента, обратившегося на техподдержку.

Дальнейший анализ показал, что вредоносная деятельность включала создание новой учетной записи пользователя с именем «cisco_tac_admin» и началась еще 18 сентября. 

Позже она прекратилась 1 октября, но 12 октября Cisco снова начала наблюдать вредоносную активность — предположительно, осуществляемую тем же злоумышленником.

Если в сентябре была лишь создана новая учетная запись, то в октябре хакеры также внедрили имплант, состоящий из файла конфигурации, позволяет злоумышленнику выполнять произвольные команды на уровне системы или IOS.

Злоумышленник доставил имплантат, воспользовавшись CVE-2021-1435, уязвимостью внедрения команд IOS XE, исправленной Cisco в марте 2021 года.

Однако компания также наблюдала установку имплантата на устройствах, с исправлениями CVE-2021-1435, механизм доставки при этом пока остается неизвестным.

Сетевой гигант также отметил, что имплант не является постоянным — он удаляется при перезагрузке устройства — но учетные записи, созданные злоумышленниками, остаются активны. 

Исследователи пока не разглашают, кто может стоять за этими атаками. Пока же Cisco работает над исправлением для CVE-2023-20198. 

Пока патч не доступен, поставщик рекомендует клиентам отключать функцию HTTP-сервера в своих системах с выходом в Интернет.

Компания также поделилась списком IoC, которые организации могут использовать для проверки того, были ли их устройства взломаны.

Исследователи Rapid7 в рамках ведущегося исследовательского проекта по изучению угроз управляемой передачи файлов множественные уязвимости в South River Technologies Titan MFT и Titan SFTP.

Titan MFT и Titan SFTP - это серверы управляемой передачи файлов бизнес-класса, которые обеспечивают отказоустойчивость и кластеризацию с высокой доступностью, первый при этом имеет ряд дополнительных функций, включая WebDAV.

Ошибкам подвержены Titan MFT и Titan SFTP 2.0.16.2277 и 2.0.17.2298, а также более ранних (в зависимости от поставщика), причем как Linux, так и Windows версии.

Успешная эксплуатация некоторых из этих проблем позволяет злоумышленнику удаленно выполнить код от имени пользователя root или пользователя системы.

Однако все проблемы возникают после аутентификации и требуют конфигураций, отличных от настроек по умолчанию, и поэтому, маловероятно, что станут объектом широкомасштабного использования.

Первая из них, CVE-2023-45685, представляет собой удаленное выполнение кода с проверкой подлинности с помощью zip-листа.

В виду отсутствия проверки файлов в ZIP-архиве на наличие символов обхода пути, злоумышленник, прошедший проверку подлинности, может загрузить ZIP-файл, который может быть извлечен за пределы домашнего каталога пользователя.

Другая, CVE-2023-45686 реализует удаленное выполнение кода с проверкой подлинности через обход пути WebDAV.

Пользователь может записывать файлы за пределами своего домашнего каталога, добавляя ../символы в URL-адрес WebDAV. Успешная эксплуатация позволяет аутентифицированному злоумышленнику записать произвольный файл в любое место файловой системы, что приводит к RCE.

CVE-2023-45687 - это проблема фиксации сеанса на удаленном сервере администрирования. Злоумышленник может либо украсть токен сеанса, либо обманом заставить администратора авторизовать произвольный токен, а административный доступ можно использовать для записи произвольного файла в файловую систему.

Еще одна CVE-2023-45688 и CVE-2023-45689 связаны с раскрытием информации посредством обхода пути на FTP и в интерфейсе администратора соответственно.

И, наконец, последняя CVE-2023-45690 вызывает утечку информации через общедоступную базу данных и журналы.

Хэши паролей появляются в общедоступных файлах, включая базы данных и файлы журналов. Учетные записи без полномочий root, имеющие доступ к хосту, могут использовать эти файлы для повышения своих привилегий до root.

Для всех перечисленных уязвимостей South River Technologies представил исправления, выпустив Titan SFTP или Titan MFT версии 2.0.18.

Кроме того, эти проблемы можно устранить, настроив службу Titan SFTP или Titan MFT так, чтобы она не запускалась под учетной записью локальной системы, а вместо этого использовала определенную учетную запись пользователя Windows или Linux с ограниченными привилегиями.