͏Ресерчеры Outpost24 проанализировали более чем 1,8 миллиона аутентификационных данных администраторов, собранных в период с января по сентябрь этого года с помощью своего решения Threat Compass, и обнаружили, что более 40 000 из них имели admin в качестве пароля.

Причем Threat Compass включает в себя аналитику на основе реально украденных учетных данных пользователей.

Вообще же, как оказалось, ИТ-администраторы используют десятки тысяч слабых паролей для защиты доступа к порталам, оставляя широкие возможности для кибератак на корпоративные сети, даже несмотря на то, что собранные данные не были представлены в виде простого текста.

Проанализировав весь объем, Outpost24 выкатили топ-20 самых слабых учетных данных для аутентификации, только взгляните - это вообще без комментариев:

Похоже, что план украинских силовиков подмять под себя рынок ransomware продолжает реализовываться. А чего стесняться, с колл-центрами же прокатило.

В начале месяца мы рассказывали про интервью главы СБУ, где тот делился подробностями, как СБУ привлекает к работе осужденных киберпреступников, а также проникает в банды ransomware, завербовав их членов из разных стран. Чудное комбо!

На днях украинские "хактивисты" из Ukrainian Cyber Alliance взломали и уничтожили инфраструктуру группы вымогателей Trigona через свежую уязвимость в Confluence. Забрали криптокошельки, бэкапы, исходники, а также отдефейсили сайт ransomware. Естественно, говорят, что группа российская (что вполне вероятно, но общей картины это не меняет).

Нам интересен сам выбор цели. С какой стати UCA, последние годы работавшие преимущественно по ресурсам российских ведомств и должностных лиц, вдруг переключились на борьбу с вымогателями?

Все это вполне укладывается в мозаику, когда СБУ и их подшефные хакерские группы активно мочат конкурентов на рынке вымогателей под ритуальные возгласы про борьбу за мир во всем мире, чтобы подмять его под своих хлопчиков. Никто же не будет отрицать, что существенная доля банд ransomware сидят на Украине?

Ведь главное в борьбе с Кровавым Мордором что? Главное - гешефт!

Mandiant предупреждает, что недавно исправленная 0-day в Citrix NetScaler Application Delivery Controller (ADC) и NetScaler Gateway CVE-2023-4966 используется в атаках августа.

Проблема, отслеживаемая как CVE-2023-4966 с оценкой CVSS 9,4 может быть использована без аутентификации для кражи конфиденциальной информации из локальных устройств, настроенных как шлюз или виртуальный сервер AAA.

Citrix объявила об исправлениях ошибок в NetScaler ADC и Gateway 10 октября, но не упомянула при этом о потенциальной эксплуатации.

Однако позже обновили свои рекомендации, предупредив клиентов о наблюдаемой эксплуатации CVE-2023-4966 и призвав их как можно скорее обновить свои экземпляры.

Ошибка устранена в версиях NetScaler ADC и NetScaler Gateway 14.1-8.50, 13.1-49.15 и 13.0-92.19, а также в версиях NetScaler ADC 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 и 12.1-NDcPP 12.1- 55.300.

Mandiant же добавил, что уязвимость использовалась с августа в атаках, направленных на правительственный сектор и технологические организации.

Успешная эксплуатация может позволить злоумышленнику перехватить существующие сеансы с аутентификацией, минуя многофакторную аутентификацию.

Причем эти сеансы могут сохраняться после развертывания обновления для устранения CVE-2023-4966.

Кроме того, исследователи наблюдали перехват сеанса, когда данные были украдены еще до установки исправлений и впоследствии использовались злоумышленником.

В зависимости от разрешений и объема доступа к сеансу перехват может предоставить злоумышленникам дальнейший нисходящий доступ, позволяя им собирать учетные данные, перемещаться в горизонтальном направлении и получать доступ к дополнительным ресурсам в скомпрометированной среде.

В руководстве по исправлению Mandiant рекомендует изолировать экземпляры NetScaler ADC и шлюза при подготовке к установке исправлений, ограничить доступ к непропатченным устройствам, обновить устройства, завершить все активные сеансы после обновления и сканировать устройства на наличие вредоносной активности.  

Компания рекомендует восстанавливать зараженные устройства из чистых образов, менять учетные данные, если разрешен удаленный доступ с однофакторной аутентификацией, и ограничивать входящий доступ только доверенными или заранее определенными диапазонами исходных IP-адресов.

Начались массовые многомиллионные сливы генетических данных, утекших к результате инцидента, затронувшего американскую компанию в области биотехнологий и геномики 23andMe.

Сразу вслед за публикацией генетической информации 1 миллиона клиентов из числа евреев-ашкенази, в даркнет пролились «днк» еще 4,1 млн. жителей Великобритании и Германии.

Как полагают в компании, данные были получены в результате брута учетных данных пользователей платформы, реализованного с помощью других утечек.

Компания при этом ответственно заявляет, что никаких свидетельств инцидента безопасности в ее инфраструктуре обнаружено не было.

В свою очередь, хакеры заявляют, что среди украденных данных есть генетическая информация Королевской семьи, Ротшильдов и Рокфеллеров, однако пока исследователи затрудняются подтвердить их достоверность.

Кроме того, в списке якобы присутствуют представители высших кругов и наиболее благосостоятельных семей из США и Западной Европы.

Тем не менее, TechCrunch сообщает о совпадении ряда утекших сведений в отношении поданных Великобритании с реальной информацией некоторых клиентов.

Вообще же, до настоящего времени много вопросов по инциденту и реальным масштабам последствий.

Судя по всему, инцидент случился еще несколько месяцев назад.

Ведь, по информации TechCrunch, 300 ТБ, якобы принадлежащих 23andMe, уже продавались в августе 2023 года на площадке Hydra.

Причем некоторые представленные тогда данные частично совпадают с новой утечкой.

Новые обстоятельства явно опровергают официальные заявления 23andMe о компрометации ограниченного числа учетных записей клиентов (даже с учетом активации хакерами в ходе эксфильтрации функции DNA Relatives).

Так что, весьма вероятно, в ближайшее время клиентов ожидают новые даркнет-сенсации, а 23andMe - бледный вид и судебные иски, а главное - серьезные вопросы от VIP-клиентов.

Google анонсировала новые функции сканирования в режиме реального времени на уровне кода в Google Play Protect для борьбы с вредоносным ПО на Android.

Google Play Protect - это встроенная служба обнаружения угроз, которая сканирует устройства Android на наличие любых потенциально вредоносных приложений, загруженных из Play Store, а также внешних источников и сторонних магазинов приложений.

Play Protect работает и регулярно обновляется на большинстве устройств, включая Android 5 и более поздние версии.

Для компании это серьезный шаг на пути к повышению безопасности пользователей Android, которые в последнее время все чаще становятся жертвами продвинутого вредоносного ПО.

Проблема в том, что разработчики вредоносных приложений, продвигаемых вне Google Play, прибегают к ИИ и полиморфному вредоносному ПО для обхода автоматизированных платформ безопасности, что делает подобное сканирование малоэффективным.

После установки на устройство они извлекают дополнительный код с внешнего ресурса, завершая свою вредоносную функциональность на этапе пост-проверки.

Чтобы устранить этот пробел, Google расширил Play Protect, добавив возможность выполнять сканирование в реальном времени на уровне кода, и добавляет возможность сканирования приложений, которые ранее не проверялись.

Усовершенствованный сканер Play Protect будет использовать статический анализ наряду с эвристикой и машинным обучением для выявления закономерностей, указывающих на вредоносную активность.

Новый функционал в Google Play Protect уже доступен в Индии и других странах, а в ближайшие месяцы будет постепенно внедрен по всему миру.

Безусловно, некоторые вредоносные приложения смогут проскользнуть мимо новой системы, добавляя длительные задержки перед загрузкой кода или другое поведение, но, по прогнозам разработчиков, количество недетектируемых вредоносных программ будет снижено.

Насколько эффективным и на какую перспективу окажется решение на практике, все же будем посмотреть.

Амбициозный проект задумала компании MemComputing из Сан-Диего, которая исследует возможность использования ASIC (Application Specific Integrated Circuits) для взлома 2048-битного шифрования RSA в реальном времени.

Теория специалистов из MemComputing заключается в том, что если объединить обработку и данные в памяти, то можно преодолеть так называемое "бутылочное горлышко фон Неймана" (ограничение пропускной способности обмена данными между процессором и памятью по сравнению с объёмом памяти).

В свою очередь, практика показывает, что с ростом вычислительной сложности время обработки, требуемое классическими компьютерами, увеличивается, причем экспоненциально и сложные математические задачи не могут быть решены классическими компьютерами в приемлемые сроки.

Собственно, пока мир пребывает в ожидании квантовых компьютеров в MemComputing решили узнать, сколько времени займет взлом RSA с использованием ее запатентованной обработки в памяти, и можно ли это сделать за более короткий срок.

Больше похоже на помывочный контракт, ведь базовое исследование было проведено по инициативе ВВС США.

В совокупности проделанных исследований и разработок прогноз для ASIC показывал возможность решения проблемы 2048-битной факторизации за десятки минут.

Увы, этот вывод, скорее теоретический, чем доказуемый факт, но если все это окажется практически реализуемым, то страшный криптоапокалипсис и смерть текущего шифрования наступит раньше, чем мы ожидали.

Исследователи из Лаборатории Касперского сообщают об обновленной версии бэкдора MATA, которая была обнаружена в ходе атак в период с августа 2022 по май 2023 года, нацеленных на нефтегазовые компании и оборонную промышленность в Восточной Европе.

В ходе кампании использовались целевые фишинговые письма для того, чтобы заставить жертв загрузить вредоносные исполняемые файлы, которые, в свою очередь, с использованием CVE-2021-26411 в Internet Explorer инициировали цепочку заражений.

Обновленная платформа MATA сочетает в себе загрузчик, основной троян и инфокрад для бэкдоров и обеспечения устойчивости в целевых сетях. Причем версия MATA в этих атаках была аналогична предыдущим, связанным с северокорейской Lazarus, но с новыми возможностями.

Вредоносная активность попала в поле зрения исследователей в сентябре 2022 года после изучения двух образцов MATA, взаимодействующих с C2 внутри взломанных сетей организации, которые представляли собой серверы финансового ПО, подключенные к многочисленным дочерним компаниям целевой организации.

Расследование показало, что хакеры последовательно расширяли зону своего влияния с одного контроллера домена на производственном предприятии до всей корпоративной сети.

Атака продолжилась и хакеры получали доступ к двум панелям администратора решения безопасности: одна для защиты конечных точек, а другая для проверки соответствия, злоупотребляя им они наблюдали за инфраструктурой организации и распространяли вредоносное ПО среди ее дочерних компаний.

В соответствующих случаях, когда целью были серверы Linux, злоумышленники использовали вариант MATA для Linux в виде файла ELF, который по функциональности аналогичен 3-му поколению имплантата Windows.

Лаборатория Касперского изучила три новые версии MATA: одна (v3) возникла из второго поколения, которое наблюдалось в прошлых атаках, вторая (v4) получила название MataDoor и третья (v5) была написана с нуля.

Последняя версия MATA поставляется в форме DLL и обладает расширенными возможностями удаленного управления, поддерживает многопротокольные (TCP, SSL, PSSL, PDTLS) соединения с серверами управления и поддерживает прокси (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM) для создания цепочки серверов.

23 команды MATA пятого поколения включают действия по настройке подключения, управлению имплантатом и получению информации, а дополнительные плагины позволяют запускать еще 75 команд, связанных со сбором информации, управлением процессами и файлами, сетевой разведкой, функциями прокси и удаленным выполнением оболочки.

Из других интересных находок - новый модуль вредоносного ПО, который может использовать съемные носители данных для заражения изолированных систем, различные инфостиллеры, способные перехватывать учетные данные, файлы cookie, снимки экрана и содержимое буфера обмена, а также инструменты EDR/обхода безопасности.

Исследователи сообщают, что хакеры обошли EDR и инструменты безопасности, используя общедоступный эксплойт для CVE-2021-40449, получивший название CallbackHell. Если этот метод обхода не работал, они переключались на ранее задокументированные методы BYOVD.

Несмотря на то, что ЛК ранее связывала MATA с Lazarus, исследователям сложно с высокой степенью достоверности связать недавно наблюдаемую активность.

Новые варианты и методы MATA, такие как сериализация TTLV, многоуровневые протоколы и механизмы рукопожатия, более похожи на те, что используются АРТ Purple, Magenta и Green Lambert.

Кроме того, развертывание нескольких фреймворков вредоносного ПО и версий фреймворка MATA в рамках одной атаки встречается очень редко, что указывает на достаточно ресурсного злоумышленника.

Дополнительная техническая информация доступна в полном отчете.

͏Адовая уязвимость в Cisco IOS XE, про которую мы писали позавчера, активно эксплуатируется злоумышленниками прямо сейчас.

CVE-2023-20198, которая имеет оценку 10 из 10 по CVSS и приводит к созданию неаутентифицированным пользователем учетной записи с максимальными привилегиями доступа, не имеет на данный момент закрывающего апдейта.

По данным GreyNoise, по состоянию на полтора суток назад, в мире выявлено почти 42 тысячи маршрутизаторов и коммутаторов Cisco, на КОТОРЫХ УЖЕ УСТАНОВЛЕН ВРЕДОНОСНЫЙ ИМПЛАНТ! Сама Cisco про это "благородно" умалчивает.

Из этих 42 тысяч в России зафиксировано 436 УСТРОЙСТВ CISCO С УЖЕ УСТАНОВЛЕННЫМИ ИМПЛАНТАМИ! Это по состоянию, еще раз, на ночь с 18 на 19 октября. Сейчас, наверняка, больше. Патча, напомним, нет.

Поскольку маршрутизаторы Cisco используются у нас преимущественно в корпоративных сетях , это, товарищи, не жопа - это ЖОПИЩЕ.

Всем сотрудникам ИБ удачных выходных.

Вы держитесь здесь! Вам всего доброго, хорошего настроения! (с)

Исследователи Sophos X-Ops раскрыли атаку на цепочку поставок, в рамках которой злоумышленник взломал официальный сервер CloudChat и модифицировал Windows-установщик для распространения вредоносного ПО.

При этом CloudChat для Android, Mac, iOS и Linux затронуты не были. В самом коде приложения ничего не изменилось, но к нему добавилась дополнительная библиотека импорта — d3lib1.dll (code1.dll и code3.dll).

Загружаемая в процессе установки приложения вредоносная d3lib1.dll содержит зашифрованную полезную нагрузку, которая подключается обратно к серверу C2 для загрузки и запуска вредоносного ПО следующего этапа.

Во-первых, DLL сканирует процессы для поиска определенных строк: 360 (возможно, связан с Quihoo); xagt (агент FireEye); и falcon (CrowdStrike). В случае совпадения - пытается завершить соответствующий процесс.

Далее DLL подключается к промежуточному серверу и загружает файл BMP, который содержит данные, зашифрованные с помощью RC4, которые DLL расшифровывает с помощью жестко запрограммированного ключа fdjYUGYb&%53321.

Расшифрованный контент представляет собой структуру данных и шеллкод, образующие полезную нагрузку промежуточного уровня. Структура данных включает ключ XOR для деобфускации полезных данных промежуточного устройства и других необходимых параметров.

Далее DLL создает небольшой объект, содержащий различные API, которые потребуются ему позже, используя хеширование API ROR12 для разрешения API непосредственно из PEB.

Затем DLL распаковывает полезную нагрузку промежуточного уровня с помощью LZNT1. Шелл-код stager создает мьютекс lks2x, затем связывается с C2, определенным в конфигурации, который также зашифрован RC4 с тем же ключом. В этом случае IP-адрес C2 — 103.169.91.16, порт 443.

Неясно, как долго распространялся троянизированный установщик, но Sophos заметила инцидент в августе и немедленно уведомила поставщика, который до настоящего времени не дал никакой обратной связи.

Тем не менее, теперь на официальном ресурсе - оригинальный установщик без вредоносного функционала, а кампанию можно считать завершенной.

В свою очередь, Sophos опубликовала IOC, связанные с этой кампанией, у себя на GitHub (здесь).

Разработчики малвари BlackCat/ALPHV усовершенствовали свой арсенал и начали использовать новый инструмент под названием Munchkin.

Теперь для скрытого развертывания шифровальщика используется виртуальная машина на сетевых устройствах, что позволяет BlackCat работать на удаленных системах или шифровать сетевые ресурсы SMB и CIFS.

Munchkin представляет собой специально настроенный дистрибутив Linux Alpine OS, поставляемый в виде файла ISO.

После компрометации устройства злоумышленники устанавливают VirtualBox и создают новую виртуальную машину с использованием ISO Munchkin, который включает в себя набор скриптов и утилит для загрузки паролей, распространения по сети, создания полезных нагрузок шифровальщика BlackCat 'Sphynx' и выполнения команд на сетевых хостах.

Munchkin облегчает работу вымогателей, позволяя им выполнять различные задачи, включая обход защитных решений оконечных устройств жертвы.

Поскольку виртуальные машины обеспечивают дополнительный слой изоляции от операционной системы, это затрудняет обнаружение и анализ для антивирусных средств защиты.

Выбор злоумышленников упал на операционную систему Alpine не просто так.

Данная ОС оставляет наименьший цифровой след и позволяет автоматизировать значительный пул операций, что в свою очередь снижает необходимость ручного вмешательства, создавая дополнительный "шум" от командных потоков.

Кроме того, модульность Munchkin с множеством скриптов на Python и уникальные конфигурации создают условия для смены полезной нагрузки по мере необходимости, позволяя легко адаптировать инструмент к конкретным целям или кампаниям.

Лаборатория Касперского вновь вернулась к порочной практике апартеида в отношении русскоязычных пользователей - частенько интересные материалы сразу выходят на английском языке, а на великомогучем в лучшем случае спустя несколько дней. Иногда и вовсе не выходят.

Нет, мы-то, конечно, умеем в "Зе Тейбл", а как быть тем у кого Pre-Intermediate? Да и просто приятнее читать на родном и горячо любимом.

Требуем срочно прекратить бесчинства! А иначе придется выписать ЛК Нельсона Манделу черную метку.

Требование касается, прежде всего, ежеквартальной аналитики по АРТ, которую команда GReAT публикует на протяжении уже шести ле, чего мало, кто вообще делает.

В третьем квартале ключевыми событиями стали: кампания TetrisPhantom, нацеленная на правительственные учреждения в Азиатско-Тихоокеанском регионе путем компрометации определенного типа защищенного USB-накопителя, обеспечивающего аппаратное шифрование, а также шпионская деятельность BlindEagle в Латинской Америке.

Кроме того, исследователи отмечают атаки неизвестной APT BadRory на организации в России, новую вредоносную кампанию с развертыванием Owowa, бэкдора IIS, которая получила наименование GOFFEE.

Зафиксирован всплеск атак с использованием обновленных вариантов TargetPlug с более широкими географическими контурами.

Выявлены новые кампании кибернаемников Dark Caracal, направленные на предприятия государственного и частного сектора во многих испаноязычных странах.

Тюркоязычная StrongPity обзавелась новыми загрузчиками и нацелена на новые страны: Алжир, Ливан, Армению и Иран. Претерпело изменения вредоносное ПО BellaCiao, связанное с Charming Kitten.

Другие известные акторы также не остались в стороне: новая многоэтапная цепочка заражения у ScarCruft, последовательные RAT BlindEagle и эмуляция VPN-приложений MuddyWater.

Северокорейская Lazarus использовала троянизированные версии приложений Virtual Network Computing (VNC) в качестве приманки для атак на оборонную промышленность и инженеров-ядерщиков в рамках длительной кампании Operation Dream Job.

В общем, геополитика продолжает оставаться ключевым фактором развития APT, а кибершпионаж - главной целью всех наблюдаемых кампаний APT, которые по-прежнему географически дифференцированы: Европа, Южная Америка, Ближний Восток и различные регионы Азии.

Продолжаем мониторить ситуацию с атаками Cisco IOS XE 0-day, которая за выходные кардинально преобразилась.

Если в вкратце, то как минимум с 28 сентября реализуеьтся масштабная кампания по эксплуатации CVE-2023-20198 в панели веб-администрирования IOS XE, которую 16 октября подтвердила Cisco.

0-day позволял злоумышленникам создать учетную запись администратора с самым высоким уровнем привилегий на устройствах с открытой в сети панелью WebUI.

Однако расследование атак привело к обнаружению второй 0-day, с помощью которой злоумышленники использовали созданную учетную запись администратора для внедрения в IOS XE команд, которые выполнялись с правами root.

В Cisco заявили, что цепочка эксплойтов использовалась для внедрения бэкдора на основе Lua на устройства по всему миру.

И изначально считали второй эксплуатируемой в кампании багой исправленную в 2021 году CVE-2021-1435. На самом деле ей оказалась другая 0-day, отлеживаемая теперь как CVE-2023-20273.

Тем не менее, CVE-2021-1435 также использовалась в реальных условиях, но в другой кампании и другим злоумышленником.

Кроме того, самое интересное, что с конца сентября начал исчезать бэкдор Lua, который доставлялся на взломанные Cisco IOS XE.

По оценкам Censys и Shadowserver, количество взломанных устройств IOS XE достигало до 42 000 и даже более, но в эти выходные оно внезапно не упало примерно до 500-1000.

Как полагают специалисты, по всей видимости, это было вызвано действиями самого злоумышленника, публичная видимость бэкдора привлекла слишком много внимания к кампании, а сам он обладал низкой персистентностью.

Но не исключается, что все это могло сопровождаться другим механизмом более глубокой компрометации затронутых устройств, как в случае с Barracuda.

В свою очередь, несмотря на последние события, Cisco наконец-то выпустила исправления для обоих 0-day.

Правда, обновлений в этом случае все равно не будет достаточно, клиентам придется все же провести проверку безопасности своих устройств и систем.

Относительно атрибуции и результатов предварительного расследования Cisco комментариев не дает, сохраняя молчание.

Печально еще то, что цепочку эксплойтов раскрыли примерно в то же время, когда обнаружился еще один 0-day эксплойт CVE-2023-20109, что указывает на системную отработку злоумышленниками устройств Cisco IOS XE, которая приносит им неплохие результаты.

Но будем посмотреть.

SolarWinds устранила критические уязвуимости в Access Rights Manager (ARM), которые злоумышленники могли использовать для удаленного запуска кода с системными привилегиями.

SolarWinds ARM — это инструмент для управления правами доступа пользователей ИТ-среде, реализующий также интеграцию с Microsoft Active Directory, управление доступом на основе ролей, визуальную обратную связь и многое другое.

Исследователи обнаружили восемь недостатков в решении SolarWinds 22 июня в рамках инициативы Zero Day Initiative (ZDI), три из которых были критическими.

Среди них:

- CVE-2023-35182  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы из-за десериализации ненадежных данных в методе createGlobalServerChannelInternal.

- CVE-2023-35185  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте SYSTEM из-за отсутствия проверки введенных пользователем путей в методе OpenFile.

- CVE-2023-35187  (9,8): удаленные злоумышленники, не прошедшие проверку подлинности, могут выполнить произвольный код в контексте системы без проверки подлинности из-за отсутствия проверки введенных пользователем путей в методе OpenClientUpdateFile.

Другие исправленные SolarWinds проблемы категорий высокой серьезности, поскольку их можно использовать для получения разрешений или RCE на хосте после аутентификации.

Для решения проблем поставщик представил патч, доступный в версии 2023.2.1 своего Access Rights Manager, а также опубликовал рекомендации с описанием всех восьми уязвимостей и их уровня серьезности по оценке компании.

При этом, кстати, сама компания не оценила ни одну из проблем безопасности как критическую, а присвоила высший рейтинг - 8,8 для ошибок высокой важности.

Вероятно, в Okta остается вакантной должность CISO, и по всей видимости, уже два года подряд, а может и вовсе отсутствует.

Ведь именно за это время компания столкнулась с многочисленными инцидентами безопасности.

Ее кошмарили вымогатели Lapsus$, которые получили доступ к ее административным консолям.

Затем отправленные клиентам Okta пароли (OTP) украла Scatter Swine (ака 0ktapus), которая взломала компанию облачных коммуникаций Twilio.

Подлетела Auth0, являющая поставщиком услуг аутентификации и принадлежащая Okta, когда у нее выхлопали репозитории исходного кода.

Исходники и самой Okta также выкрали после взлома частных репозиториев GitHub компании.

На этот раз злоумышленники взломали систему поддержки Okta с использованием украденных учетных данных.

Как сообщает в компании, злоумышленники получили доступ к файлам, содержащим файлы cookie и токены сеансов, загруженные клиентами в ее систему управления поддержкой.

При этом производственная среда Okta не пострадала, поскольку изолирована от службы поддержки, однако чего не скажешь о клиентах.

Несмотря на то, что Okta еще не разглашает список пострадавших клиентов, некоторые из них успели уже отметиться.

Одним из них оказалась BeyondTrust, которая обнаружила и заблокировала попытку войти в учетную запись администратора Okta 2 октября с использованием файла cookie, украденного из системы поддержки.

Злоумышленник успел выполнить лишь несколько ограниченных действий.

Примечательно, что после немедленного уведомления Okta какой-то внятной оперативной реакции не последовало. Лишь к 19 октября служба безопасности Okta подтвердила нарушение.

Другой жертвой атаки стала Cloudflare, которая задетектила вредоносную активность, связанную со взломом Okta, на своих серверах в среду, 18 октября 2023 года.

Группе реагирования удалось сдержать актора и свести к минимуму воздействие на системы и данные компании.

К настоящему времени компания отозвала токены сеанса, встроенные в общие файлы HAR и поделилась перечнем IOC, включая IP-адреса и информацию User-Agent веб-браузера, связанную с злоумышленниками.

Будем следить за развитием событий, новые жертвы, очевидно - на подходе.

Вьетнамские хакеры снова атакуют Великобританию, США и Индию, только теперь с помощью вредоносного ПО DarkGate.

Из отчета экспертов WithSecure следует, что атаки с DarkGate, были связаны с другими вьетнамскими злоумышленниками, которые использовали небезызвестный стилер Ducktail.

По мнению специалистов, пересечение инструментов и кампаний, связано с особенностями киберпреступного рынка, а рост атак с DarkGate в последние месяцы обусловлен решением автора вредоносного ПО предлагать зловред в аренду (MaaS).

Цепочки атак, распространяющие DarkGate, характеризуются использованием скриптов AutoIt, извлекаемых с помощью Visual Basic и отправляемых через фишинговые письма, сообщения в Skype или Microsoft Teams.

Собственно, выполнение скрипта AutoIt приводит к развертыванию DarkGate.

Однако в последнем случае первоначальным вектором атаки было сообщение LinkedIn, которое перенаправляло жертву на файл, размещенный на Google Диске (метод, который обычно используют злоумышленники Ducktail).

Стоит отметить, что Ducktail - обычный граббер, в то время как DarkGate полноценный RAT с более широкими возможностями.

Не смотря на схожесть тем и приманок для доставки Ducktail и DarkGate, функции финального этапа сильно отличаются.

Более того, вредоносный софт может использоваться не одной группой, а выходить далеко за кластер во Вьетнаме, что, в свою очередь, значительно затрудняет определение истинного объема злонамеренной активности, основываясь только на анализе вредоносного ПО.

Пока в Великобритании обсуждают законопроект по тотальному контролю электронных коммуникаций, в Германии молча читают переписку, по крайней мере - в Jabber.

Случайным образом админам платформы удалось заметить MiTM-атаку, нацеленную на перехват зашифрованного трафика TLS, проходящего через серверы Hetzner и Linode.

Как стало известно в ходе предварительного расследования инцидента, активный перехват длился три месяца с 18 июля по 18 октября и был обнаружен после того, когда истек срок действия одного из сертификатов злоумышленников.

Злоумышленнику удалось выдать несколько SSL/TLS-сертификатов через Let's Encrypt для доменов jabber и xmpp с 18 апреля 2023 года.

Однако перевыпустить TLS-сертификат не удалось, и прокси-сервер MiTM начал обслуживать просроченный сертификат на порту 5222 для домена jabber (Hetzner).

Атака на XMPP-трафик клиента jabber/xmpp подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (достоверно не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223).

Учитывая характер перехвата, злоумышленник смог бы выполнить любые действия на стороне пользователя в качестве авторизованной учетной записи, а это означает, что злоумышленник мог загрузить список учетных записей, незашифрованную историю сообщений на стороне сервера, отправлять новые сообщения или изменять их в режиме реального времени.

Коммуникации со сквозным шифрованием OMEMO, OTR или PGP, были защищены от перехвата только в том случае, если обе стороны подтвердили ключи шифрования.

Примечательно, что атака прекратилась вскоре после того, как было начато расследование и стали проводиться сетевые тесты вместе с тикетами в службу поддержки Hetzner и Linode. Также как выяснили исследователи, ни один из серверов платформы не взломан.

Поскольку сеть Hetzner и Linode, судя по всему, была переконфигурирована специально для такого рода атак на IP-адреса службы XMPP, команда Jabber полагает, что перехват был организован спланированной операцией немецких спецслужб.

Как смогли выяснить Fox-IT NCC Group, бэкдор Lua, внедренный в устройства Cisco с использованием пары 0-day в IOS XE (CVE-2023-20198 и CVE-2023-20273), был модифицирован злоумышленником для сокрытия от обнаружения.

Выявить описанную нами вчера аномалию позволило исследование сетевого трафика со скомпрометированных устройств.

Таким образом, на многих устройствах имплант все еще активен, но теперь отвечает только в том случае, если установлен правильный HTTP-заголовок авторизации.

Все это объясняет почему за последние несколько дней количество скомпрометированных устройств резко упало с 40 000 до нескольких сотен, что и привело к предположениям о возможном внесенении актором каких-то скрытых изменений, чтобы скрыть его присутствие.

Тем не менее, Fox-IT полагают, что число скомпрометированных устройств все еще достигает 37 000.

Cisco, со своей стороны, подтвердила изменение поведения зловреда в своих обновленных рекомендациях, поделившись механизмом проверки рабочей станции на наличие имплантата.

В даркнете опять неспокойно.

Банда вымогателей Lockbit атаковала сеть компании Brookfield Global Relocation Services, которая ведет сопровежение канадских военных и дипломатов в ходе их поездок внутри страны и зарубежом.

Инцидент затронул личную информацию канадских госслужащих, масштабы и объемы нарушения не разглашаются.

Данные избирателей самого главного в штатах округа Колумбия теперь продаются на хакерских площадках. Избирком подтвердил утечку полного списка избирателей округа.

Некто Prophet на известном форуме за 700 евро готов поделиться доступом к порталу Meta для взаимодействия с правоохранительными органами по запросам.

19-ти летний хакер DiabloX Phantom взял на себя ответственность за взлом ряда правительственных ресурсов Филиппин и кражу гигабайтов данных из национальных госсистем.

Среди известных жертв его хакерских атак — веб-сайты Палаты представителей Филиппин, базы данных национальной полиции, Управления статистики Филиппин и национальной корпорация медстрахования.

В качестве пруфов он представил необходимые образцы данных.

Главным мотивом столь дерзкого поступка - стало желание продемонстрировать отсутствие внимания местных властей к вопросам ИБ.

Ведь в некоторых случаях доступ был получен благодаря слабым паролям - Admin123, открытым источникам, простейшей социнженерии и неграмотности IT-персонала.

Набирает обороты 7777-Botnet, который включает более чем 16 000 зараженных устройств Интернета вещей и реализует медленные брутфорс-атаки (2-3 попытки в неделю с одного IP) на инфраструктуру Microsoft Azure, нацеленные на руководителей высшего звена.

В число выявленных на данный момент жертв входят две компании из энергетического сектора США, господрядчик Великобритании, британский университет и несколько компаний во Франции.