Russian OSINT на днях написал (раз и два), что GoDaddy и Hetzner предупреждают своих клиентов из России о том, что скоро их обслуживание будет прекращено. О том же сообщают и Habr c VC.

А теперь, внимание, обратимся к анналам одного небольшого и скромного Телеграм-канала, посвященного вопросам информационной безопасности:

Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.

11 июля 2020 года.

Ну и кто теперь тут Ванга, япона бога душу мать?!

То ли по привычке, то ли просто накосячили, но факт остается фактом и на этот раз разработчики Microsoft вновь втайне от общественности решили прикрыть уязвимость.

Речь идет об ошибке в сервере Azure DevOps, которая отслеживается как CVE-2023-21751 и имеет среднюю степень серьезности 6,5.

Проблема была устранена в декабрьском PatchTuesday, а упомянуть о ней в забыли. Зато, хотя бы, CVE пришили.

Кончено это уже не то же самое, как выстраданные пачти для своих же бэкдоров после шумихи, устроенной Shadow Brokers, но тоже прелестно.

Исследователи Group-IB рассказали о деятельности ранее неизвестной хакерской группы GambleForce, нацеленной на компании в Азиатско-Тихоокеанского регионе.

Злоумышленники активно орудуют с сентября текущего года и используют набор базовых, но очень эффективных техник, включая SQL-инъекции и эксплуатацию уязвимых CMS для кражи конфиденциальной пользовательской информации.

По оценкам специалистов, злоумышленники уже атаковали 24 организации, преимущественно, связанные с индустрией азартных игр.

Пострадали также и компании в сфере торговли, туризма, а также госучреждения, дислоцированные в Австралии, Бразилии, Китае, Индии, Индонезии, Филиппинах, Южной Корее и Таиланде.

Шесть из них привели злоумышленников к успеху.

В арсенале GambleForce вполне понятные и открытые инструменты, такие как dirsearch, sqlmap, tinyproxy и redis-rogue-getshell, применяемые на разных этапах атак с конечной целью получения конфиденциальной информации из скомпрометированных сетей.

На этапе пост-эксплуатации злоумышленники юзают фреймворк Cobalt Strike.

При этом версия инструмента, обнаруженная в инфраструктуре одной из жертв, включала команды на китайском языке, но до конца происхождение группы остается под вопросом, включая и то, как в дальнейшем GambleForce использует украденную информацию.

Ресерчевам Group-IB удалось вывести из строя C2 злоумышленника и уведомить потерпевшие компании.

Но ожидают, что злоумышленники инфраструктурно перестроятся и возобновят свою деятельность.

͏Когда на разборе инцидента с ransomware спросил: "А что, бэкапы нужно было проверять?"

Dell сообщает об исправлении восьми уязвимостей в решениях PowerProtect DD, многие из которых имеют рейтинг высокой степени серьезности.

Уязвимости затрагивают устройства серии PowerProtect Data Domain (DD), а также APEX Protect Storage, PowerProtect DD Management Center, устройства серии PowerProtect DP и PowerProtect Data Manager.

Наиболее серьезной из уязвимостей с CVSS 8,8 является CVE-2023-44286, которая представляет собой уязвимость межсайтового сценария на основе DOM.

Она позволяет удаленному неавторизованному злоумышленнику внедрить вредоносный код HTML или JavaScript в среду DOM пользователя-жертвы в браузере. Эксплуатация может привести к подделке запросов на стороне клиента, краже сеанса и раскрытию информации.

Ряд других уязвимостей высокой степени серьезности связаны с внедрением команд ОС и недостатками управления доступом.

Ошибки внедрения команд можно использовать для выполнения произвольных команд в базовой операционной системе с привилегиями уязвимой эксплуатации, и они могут позволить злоумышленнику захватить контроль над целевой системой. 

Для эксплуатации требуется локальный доступ и низкие или повышенные привилегии. Однако злоумышленник может воспользоваться уязвимостью, такой как CVE-2023-44286, для выполнения требований аутентификации.

Три уязвимости средней серьезности, обнаруженные в продуктах PowerProtect, могут быть использованы злоумышленником, прошедшим проверку подлинности, для обхода ограничений безопасности и захвата системы, получения доступа на чтение и запись к файлам ОС, а также выполнения произвольных команд SQL в серверной базе данных приложения и получения доступа на чтение. 

Dell Technologies рекомендует клиентам ознакомиться с рекомендациями по безопасности DSA-2023-412, а также оперативно применить все обновления.

Ведь несмотря на отсутствие какой-либо эксплуатации, уязвимости в решениях поставщика в прошлом году были востребованы АРТ Lazarus, которые задействовали их в своих касаниях.

Пользователи Ubiquiti столкнулись с аномалиями в работе своих сетевых устройств, начиная от маршрутизаторов до камер видеонаблюдения.

Ubiquiti - это популярный производитель сетевых устройств с облачной платформой UniFi, благодаря которой администраторы могут осуществлять управление всеми своими устройствами с единого облачного портала.

Как раз на стороне облака и возникли неполадки, на которые владельцы устройств начали массово жаловаться, рассказывая о поступающих через UniFi Protect уведомлениях с чужих камер наблюдения.

В других случаях после входа в UniFi Site Manager помимо своих устройств пользователи увидели еще 88 из аккаунта другого клиента.

Аналогичными инцидентами делятся и другие пользователи в Reddit, которые таким образом получили не только доступ к чужому UDM Pro, но и смогли перехватить управление устройством и даже создавать дополнительные Wi-Fi-сети.

При этом инертная реакция Ubiquiti привела к тому, что клиенты были глубоко разочарованы тем, что компания не сделала публичного заявления и фактически отказалась признавать серьезную проблему нарушения конфиденциальности.

Однако позже Ubiquiti все же представила официальные комментарии, отмечая, что ошибка доступа к устройствам была вызвана неправильной конфигурацией при обновлении облачной инфраструктуры UniFi.

Проблема возникла 13 декабря, между 6:47 и 15:45 UTC, и с тех пор была исправлена.

Компания тем не менее продолжает расследовать инцидент и пока заявляет лишь о 12 аккаунтах, к которым был получен доступ со стороны других пользователей.

Исследователи из Лаборатории Касперского расчехлили новое уникальное многоплатформенное вредоносное ПО на базе Go под названием NKAbuse с возможностью скрытого обмена данными посредством New Kind of Network.

NKN — это относительно новый децентрализованный одноранговый сетевой протокол на базе технологии блокчейна для управления ресурсами, поддержания безопасной и прозрачной модели сетевых операций.

NKN эффективно оптимизирует скорость передачи данных по сети, реализуя разнообразные наиболее эффективные алгоритмы маршрутизации данных.

По аналогии с Tor, NKN включает узлы, число которых к настоящему времени достигает до 61 тысячи, обеспечивая децентрализацию и конфиденциальность.

Как сообщают исследователи, NKAbuse, в первую очередь, нацелено на настольные ПК на базе Linux в Мексике, Колумбии и Вьетнаме. Однако, учитывая его способность заражать системы MISP и ARM, он также представляет угрозу для устройств IoT.

Одно из наблюдаемых заражений NKAbuse было реализовано в ходе атаки на финансовую компанию с использованием старой 10-ти бальной уязвимости Apache Struts (CVE-2017-5638).

Кроме того, NKAbuse способно злоупотреблять NKN для проведения DDoS-атак, которые достаточно сложно отследить, не говоря уже об идентификации конкретной задействованной инфраструктуры, ведь новый протокол практически вне поля зрения большинства решений безопасности.

Злоумышленники используют преимущества нового протокола связи для C2, эффективно уклоняясь от обнаружения. В частности, клиент вредоносного ПО связывается с мастером бота через NKN для отправки и получения данных.

Среди команды полезной нагрузки, отправляемые C2, - атаки HTTP, TCP, UDP, PING, ICMP и SSL-флуд.

В дополнение к возможностям DDoS, NKAbuse также действует как RAT в скомпрометированных системах, позволяя своим операторам выполнять команды, кража данных и делать снимки экрана.

Вредоносное ПО обычно устанавливается на устройство жертвы путем выполнения удаленного сценария оболочки.

Примечательным аспектом является отсутствие механизма самораспространения, а персистентность достигается за счет использования заданий cron.

По мнению ЛК, исследуемый имплантат был тщательно разработан для интеграции в ботнет, однако он может быть адаптирован к работе в качестве бэкдора на конкретном хосте.

При этом использование технологии блокчейна обеспечивает высокую надежность и анонимность, что указывает на внушительный потенциал будущего развития ботнета, фактически действующего без идентифицируемого центрального контроллера, что делает защиту от этой угрозы весьма проблематичной.

Иранская APT34, более известная как OilRig, использовала три новых загрузчика в кампании, нацеленной на Израиля, где были атакованы организации в сфере здравоохранения, производства и государственного управления.

Как отмечают специалисты ESET, задействовались ODAgent, OilCheck и OilBooster. При этом кроме нового софта использовалась обновленная версия известного загрузчика SampleCheck5000 (или SC5k).

Малварь использует один из нескольких легитимных облачных сервисов для связи и эксфильтрации данных: API Microsoft Graph OneDrive или Outlook и API веб-службу Microsoft Office Exchange (EWS), чтобы скрыть вредоносную активность и смешаться с легитимным сетевым трафиком.

Неясно, какой именно вектор начального доступа использовался для компрометации целей, а также неизвестно, смогли ли злоумышленники сохранить свое присутствие в сетях, чтобы развернуть эти загрузчики.

OilRig на ландшафте угроз как минимум с 2014 года и отслеживается под именами Crambus, Cobalt Gypsy, Hazel Sandstorm (ранее EUROPIUM) и Helix Kitten.

Иранские злоумышленники уже прославились своей изощрённостью и использованием широкого спектра вредоносных программ для атак на организации Ближнего Востока.

Только в 2023 году было замечено, что хакерская группа использует новое вредоносное ПО, такое как MrPerfectionManager, PowerExchange, Solar, Mango и Menorah.

Исследователи Akamai обнаружили ботнет на базе Mirai под названием InfectedSlurs, который нацелен на уязвимости в QNAP VioStor NVR и марштрутизаторах FXC.

Вредоносная активность с эксплуатацией двух 0-day в маршрутизаторах и сетевых видеорегистраторах попала в поле зрения исследователей еще октябре 2023 года.

После выпуска поставщиком исправлений Akamai представила два дополнительных отчета (1, 2), дополнив исходный за конец ноября.

Первая уязвимость, использованная InfectedSlurs, отслеживается как CVE-2023-49897 и затрагивает Wi-Fi-маршрутизаторы FXC AE1021 и AE1021PE.

Поставщик выпустил обновления безопасности 6 декабря 2023 с версией встроенного ПО 2.0.10, рекомендуя пользователям помимо обновления выполнить сброс настроек до заводских параметров с изменением пароля по умолчанию.

Другая уязвимость высокой степени серьезности, использованная в атаках ботнета — CVE-2023-47565, затрагивает сетевой видеорегистратор QNAP VioStor NVR с прошивкой QVR 4.x и связана с внедрением команд ОС.

QNAP опубликовала рекомендацию 7 декабря 2023, пояснив, что ранее неизвестная проблема была исправлена в прошивке QVR 5.x и более поздних версиях, доступных для всех поддерживаемых моделей.

Помимо обновления поставщик рекомендует клиентам также сменить пароли пользователей на QVR через панель управления.

Учитывая, что версия 5.0.0 была выпущена почти десять лет назад, некоторые модели VioStor NVR, срок эксплуатации которых истек, не получат обновлений, поэтому единственное решение — заменить их на более новые, активно поддерживаемые модели.

Хакеры используют ботнет состоящий из маршрутизаторов и брандмауэров Cisco, DrayTek, Fortinet и NETGEAR для скрытой передачи данных.

С таким заявлением выступили специалисты Lumen Technologies, которые, собственно, и обнаружили так называемый KV-botnet, используемый субъектами угроз для своих грязных делишек.

Специалисты считают, что активным юзером вредоносной инфраструктуры является китайская хакерская группа Volt Typhoon, о чем свидетельствуют также данные телеметрии, которые указывают на управление ботнета с IP-адресов из Китая.

KV-botnet активен как минимум с февраля 2022 года и представляет собой скрытую сеть передачи данных, предназначенную для продвинутых участников угроз.

Он работает через два отдельных логических кластера и отличается сложным процессом заражения в сочетании с хорошо скрытой инфраструктурой C2, а также нацеленностью на устройства на границе сети.

Точный механизм первоначального заражения устройств пока неизвестен.

Однако, специалисты Microsoft, которые первыми раскрыли тактику злоумышленника, сообщили, что хакеры пытается вмешаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN.

Lumen Technologies отмечает, что за последний месяц инфраструктура ботнета обновилась, нацелившись также на IP-камеры Axis, что указывает на подготовку к новой волне атак.

Ведущий разработчик ПО для баз данных MongoDB стал жертвой кибератаки, в результате которой была украдены данные клиентов.

MongoDB подтвердила инцидент и сообщает о начале расследования.

Как заявили в компании, 13 декабря была обнаружена аномальная активность в сети, а позже установлено, что хакеры проникли в системы и оставались там «в течение некоторого периода времени до момента обнаружения».

В уведомлении для клиентов директор по ИБ MongoDB Лена Смарт заявила, что компании не известно о каких-либо рисках для данных, которые клиенты хранят в ее флагманском MongoDB Atlas.

Тем не менее, разработчики порекомендовал клиентам проявлять бдительность на предмет возможных фишинговых атак или инцидентов использованием социальной инженерии, а также активировать MFA и регулярно менять пароли в MongoDB Atlas.

Никакой другой дополнительной информации о компрометации пока нет. Будем следить.

Исследователи Palo Alto Networks разработали высокоточный детектор на основе машинного обучения, способный выявлять десятки тысяч вредоносных доменов, прежде чем они будут задействованы в запланированных атаках или инцидентах.

Злоумышленники, как правило, резервируют значительное количество доменов для обеспечения бесперебойной работы инфраструктуры для фишинговых, вредоносных или мошеннических кампаний, а также прочих преступных махинаций.

В современных условиях киберпреступники вынуждены активнее практиковать массовую регистрацию доменов и автоматизацию инфраструктуры, так или иначе оставляя своего рода метки, по которым исследователи могут вычислить зарезервированные вредоносные домены еще на ранней стадии.

Анализируя буквально крупицы информации из журналов прозрачности сертификатов и данных пассивного DNS (pDNS) в объеме, исследователи смогли запилить алгоритм машинного обучения Random Forest, который на выходе дал весьма впечатляющие результаты.

По состоянию на июль 2023 года детектор обнаружил 1 114 499 уникальных корневых доменных имен и еженедельно выявляет десятки тысяч вредоносных доменов.

Созданная модель в среднем обнаружила «складированные» домены на 34,4 дня раньше, чем поставщики на VirusTotal.

Для этого Unit42 разработала более 300 функций для обработки терабайт данных и миллиардов записей pDNS и сертификатов, а при обучении модели использовались миллионы вредоносных и безопасных доменов.

Классификатор был сразу включен во множество решений безопасности. Детектор уже позволил выявить мошенничество, фишинг, распространение вредоносного ПО и C2.

С примерами таких кампаний, которые были обнаружены на ранней стадии Palo Alto Networks, можно ознакомиться в блоге.

Очередной крупной жертвой CitrixBleed стала Comcast Cable Communications, работающая под торговой маркой Xfinity.

Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.

Как заявила Xfinity, в результате предварительного расследования и анализа затронутых систем привлеченные специалисты пришли к выводу, что утечка включает имена пользователей и хешированные пароли клиентов.

Причем по некоторым клиентам также могла быть украдена и другая информация, в том числе контактные и установочные сведения, номера социального страхования, а также секретные вопросы и ответы. И это еще не финал, расследование продолжается.

Телекоммуникационная компания обнаружила вредоносную активность 25 октября. При этом злоумышленники находились в сети 16-19 октября.

Это примерно через две недели после того, как Citrix выпустила обновления для устранения критической CVE-2023-4966, которой воспользовались хакеры.

Еще месяц понадобился Xfinity, чтобы оценить последствия инцидента и только к 16 ноября специалисты установили, что в результате атаки были украдены данные нераскрытого числа клиентов.

В связи с чем, Xfinity обратилась к пострадавшим клиентам с требованием сброса пароля для учетных записей, настоятельно рекомендуя включить 2Fa или MFa.

Вместе с тем, в последнем официальном заявлении компания дала заднюю, заявляя что ей не известно ни об утечке данных о клиентах, ни о каких-либо атаках на клиентов. Требований о выкупе также не поступало. Отдельно в Xfinity отметили про оперативное исправление CitrixBleed и эффективную безопасность в режиме 24/7.

В совокупности все это напоминает отрывок из фильма Люди в черном, где Джей корректирует воспоминания зевак с помощью нейролизатора, зачитывая при этом последнее заявление Xfinity для прессы.

Microsoft сообщает о критической RCE-уязвимости в Perforce Helix Core Server, платформе управления исходным кодом, широко используемой в игровом, государственном, военном и технологическом секторах.

Всего же было выявлено четыре уязвимости, где три другие связаны с проблемами отказа в обслуживании. Чтобы снизить риск Microsoft рекомендует пользователям продукта обновиться до версии 2023.1/2513900, выпущенной 7 ноября 2023 года.

Самый опасный недостаток имеет идентификатор CVE-2023-45849 и оценку 10!!! по CVSS, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный удаленный код от имени LocalSystem, получать доступ к локальным ресурсам и системным файлам, а также изменять настройки реестра и т.д.

В целях дополнительных мер защиты Microsoft рекомендует ограничить доступ с помощью VPN или белого списка IP-адресов, использовать прокси-сертификаты TLS для аутентификации пользователей, а также вести журнал всех доступов к Perforce Serve и использовать сегментацию сети для локализации возможных нарушений.

Исследователи F.A.C.C.T. Обнаружили новую кампанию кибершпионажа группировки Cloud Atlas, нацеленную на российские компании под видом поддержки участников СВО.

Cloud Atlas - APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года.

Чаще других целями Cloud Atlas становились промышленные предприятия и  госкомпании в России, Беларуси, Азербайджане, Турции и Словении. В качестве основного вектора атаки АРТ отдает предпочтение точечной почтовой рассылке с вредоносным вложением.

В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.

На этот раз хакеры атаковали российское агропромышленное предприятие и исследовательскую госкомпанию с помощью рассылки.

В первом письме злоумышленники от имени представителей Московской городской организации Общероссийского профессионального союза работников госучреждений предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные —  их можно найти в свободном доступе.

В другой почтовой рассылке злоумышленники представились Ассоциацией Учебных Центров и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

Индикаторы компрометации, технический анализ новых атак Cloud Atlas, а TTPs - в свежем блоге экспертов F.A.C.C.T.

Разрешилась история с бандой вымогателей Blackcat, которую по итогу расчехляли американские силовики.

На днях об этом сообщил Минюст США, который подтвердил взлом инфраструктуры ALPHV и получение ключей дешифрования.

Поэтому внезапное закрытие сайтов банды в Tor стало результатом операции ФБР США, несмотря на заявления банды о трудностях на стороне хостинга.

Как пояснили в ФБР, силовикам удалось проникнуть к инфраструктуру задолго до ее нейтрализации, что позволило им в течение нескольких месяцев отслеживать работу ransomware, а также извлечь ключи дешифрования, которые были переданы более чем 500 жертвам. Кроме того, разработан инструмент для расшифровки.

В совокупности силовикам удалось нивелировать требования выкупа на общую сумму около 68 млн. долларов для жертв на территории США.

Теперь после заявления на сайте утечки данных банды ALPHV размещен баннер с информацией о конфискации ресурса в рамках международной правоохранительной операции с участием Европола и Zentrale Kriminalinspektion Guttingen.

Тем не менее, операторы ALPHV продолжали кошмарить жертв и связывались с ними напрямую по электронной почте, подозревая угон инфраструктуры.

Неудивительна в такой ситуации реакция LockBit, которая решила вовлечь освободившихся операторов ALPHV к своей RaaS и доработать реализованных ими жертв с позиции своей ransomware.

Пока что ставить точку в резюме DarkSide - BlackMatter - BlackCat/ALPHV рано. Ведь как показала их история, после перегруппировки они возвращались вновь под другим брендом.

Так что будем посмотреть.

Исследователи из Рурского университета в Бохуме разработали новую атаку с усечением префикса под названием Terrapin, которая нарушает целостность соединений OpenSSH при использовании определенных режимов шифрования.

Terrapin использует слабые места протокола транспортного уровня SSH в сочетании с новыми криптографическими алгоритмами и режимами шифрования, представленными OpenSSH более 10 лет назад.

Она позволяет злоумышленникам модифицировать сообщения на канале, что приводит к переходу на менее безопасные алгоритмы аутентификации клиентов и отключению защиты от атак по времени нажатия клавиш в OpenSSH 9.5.

Обнаруженные недостатки отслеживаются как CVE-2023-48795, CVE-2023-46445 и CVE-2023-46446.

Для реализации злоумышленникам необходимо находиться в позиции MiTM на сетевом уровне, чтобы перехватить и повлиять на обмен рукопожатиями, а соединение должно быть защищено либо ChaCha20-Poly1305, либо CBC с шифрованием, затем MAC.

Данные в сообщениях, которыми обмениваются после завершения рукопожатия, определяют серьезность последствий атаки.

Несмотря на особые требования к Terrapin, широкое внедрение упомянутых режимов шифрования (сканирование показывает 77%) делает атаку осуществимой в реальном сценарии.

Множество поставщиков постепенно смягчают проблему. Одним из решений стала реализация строгого обмена ключами, который делает невозможным внедрение пакетов во время рукопожатия.

Однако потребуется время, чтобы эта проблема была решена повсеместно. При этом исследователи отмечают, что строгие меры противодействия обмену ключами эффективны только тогда, когда они реализованы как на клиенте, так и на сервере.

Команда ученых представила сканер для уязвимостей Terrapin на GitHub, который администраторы могут использовать, чтобы определить, уязвим ли SSH-клиент или сервер для атаки. 

Terrapin - это не простая программная ошибка, которую можно исправить обновлением одной библиотеки или компонента. Необходимо обновить и клиенты, и серверы, чтобы защитить соединение от атак с усечением префикса.

На данный момент самым большим фактором смягчения атаки является требование MiTM, которое делает Terrapin менее серьезной угрозой. По этой причине исправление CVE-2023-48795 во многих случаях может не быть приоритетом.

Более подробную информацию об атаке Terrapin можно найти в техническом отчете.