Microsoft сообщает о критической RCE-уязвимости в Perforce Helix Core Server, платформе управления исходным кодом, широко используемой в игровом, государственном, военном и технологическом секторах.

Всего же было выявлено четыре уязвимости, где три другие связаны с проблемами отказа в обслуживании. Чтобы снизить риск Microsoft рекомендует пользователям продукта обновиться до версии 2023.1/2513900, выпущенной 7 ноября 2023 года.

Самый опасный недостаток имеет идентификатор CVE-2023-45849 и оценку 10!!! по CVSS, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный удаленный код от имени LocalSystem, получать доступ к локальным ресурсам и системным файлам, а также изменять настройки реестра и т.д.

В целях дополнительных мер защиты Microsoft рекомендует ограничить доступ с помощью VPN или белого списка IP-адресов, использовать прокси-сертификаты TLS для аутентификации пользователей, а также вести журнал всех доступов к Perforce Serve и использовать сегментацию сети для локализации возможных нарушений.

Исследователи F.A.C.C.T. Обнаружили новую кампанию кибершпионажа группировки Cloud Atlas, нацеленную на российские компании под видом поддержки участников СВО.

Cloud Atlas - APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года.

Чаще других целями Cloud Atlas становились промышленные предприятия и  госкомпании в России, Беларуси, Азербайджане, Турции и Словении. В качестве основного вектора атаки АРТ отдает предпочтение точечной почтовой рассылке с вредоносным вложением.

В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы — поддержку участников СВО и воинский учет.

На этот раз хакеры атаковали российское агропромышленное предприятие и исследовательскую госкомпанию с помощью рассылки.

В первом письме злоумышленники от имени представителей Московской городской организации Общероссийского профессионального союза работников госучреждений предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные —  их можно найти в свободном доступе.

В другой почтовой рассылке злоумышленники представились Ассоциацией Учебных Центров и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

Индикаторы компрометации, технический анализ новых атак Cloud Atlas, а TTPs - в свежем блоге экспертов F.A.C.C.T.

Разрешилась история с бандой вымогателей Blackcat, которую по итогу расчехляли американские силовики.

На днях об этом сообщил Минюст США, который подтвердил взлом инфраструктуры ALPHV и получение ключей дешифрования.

Поэтому внезапное закрытие сайтов банды в Tor стало результатом операции ФБР США, несмотря на заявления банды о трудностях на стороне хостинга.

Как пояснили в ФБР, силовикам удалось проникнуть к инфраструктуру задолго до ее нейтрализации, что позволило им в течение нескольких месяцев отслеживать работу ransomware, а также извлечь ключи дешифрования, которые были переданы более чем 500 жертвам. Кроме того, разработан инструмент для расшифровки.

В совокупности силовикам удалось нивелировать требования выкупа на общую сумму около 68 млн. долларов для жертв на территории США.

Теперь после заявления на сайте утечки данных банды ALPHV размещен баннер с информацией о конфискации ресурса в рамках международной правоохранительной операции с участием Европола и Zentrale Kriminalinspektion Guttingen.

Тем не менее, операторы ALPHV продолжали кошмарить жертв и связывались с ними напрямую по электронной почте, подозревая угон инфраструктуры.

Неудивительна в такой ситуации реакция LockBit, которая решила вовлечь освободившихся операторов ALPHV к своей RaaS и доработать реализованных ими жертв с позиции своей ransomware.

Пока что ставить точку в резюме DarkSide - BlackMatter - BlackCat/ALPHV рано. Ведь как показала их история, после перегруппировки они возвращались вновь под другим брендом.

Так что будем посмотреть.

Исследователи из Рурского университета в Бохуме разработали новую атаку с усечением префикса под названием Terrapin, которая нарушает целостность соединений OpenSSH при использовании определенных режимов шифрования.

Terrapin использует слабые места протокола транспортного уровня SSH в сочетании с новыми криптографическими алгоритмами и режимами шифрования, представленными OpenSSH более 10 лет назад.

Она позволяет злоумышленникам модифицировать сообщения на канале, что приводит к переходу на менее безопасные алгоритмы аутентификации клиентов и отключению защиты от атак по времени нажатия клавиш в OpenSSH 9.5.

Обнаруженные недостатки отслеживаются как CVE-2023-48795, CVE-2023-46445 и CVE-2023-46446.

Для реализации злоумышленникам необходимо находиться в позиции MiTM на сетевом уровне, чтобы перехватить и повлиять на обмен рукопожатиями, а соединение должно быть защищено либо ChaCha20-Poly1305, либо CBC с шифрованием, затем MAC.

Данные в сообщениях, которыми обмениваются после завершения рукопожатия, определяют серьезность последствий атаки.

Несмотря на особые требования к Terrapin, широкое внедрение упомянутых режимов шифрования (сканирование показывает 77%) делает атаку осуществимой в реальном сценарии.

Множество поставщиков постепенно смягчают проблему. Одним из решений стала реализация строгого обмена ключами, который делает невозможным внедрение пакетов во время рукопожатия.

Однако потребуется время, чтобы эта проблема была решена повсеместно. При этом исследователи отмечают, что строгие меры противодействия обмену ключами эффективны только тогда, когда они реализованы как на клиенте, так и на сервере.

Команда ученых представила сканер для уязвимостей Terrapin на GitHub, который администраторы могут использовать, чтобы определить, уязвим ли SSH-клиент или сервер для атаки. 

Terrapin - это не простая программная ошибка, которую можно исправить обновлением одной библиотеки или компонента. Необходимо обновить и клиенты, и серверы, чтобы защитить соединение от атак с усечением префикса.

На данный момент самым большим фактором смягчения атаки является требование MiTM, которое делает Terrapin менее серьезной угрозой. По этой причине исправление CVE-2023-48795 во многих случаях может не быть приоритетом.

Более подробную информацию об атаке Terrapin можно найти в техническом отчете.

Исследователи из BI.ZONE Threat Intelligence сообщают о новых атаках отлеживаемой ими группировки Core Werewolf, нацеленной на десятки объектов отечественной критической инфраструктуры.

Атакующие сфокусировались на предприятия в сфере оборонной и энергетической промышленности, а также другие объекты критической инфраструктуры. Мотивацией группы традиционно является кибершпионаж.

На этот раз злоумышленники рассылали письма с прикрепленным архивом UKAZ.PDF.ZIP, внутри которого находился исполняемый файл под названием «О предоставлении информации по согласованию и наградам.exe», который по сути являлся ВПО.

Исполняемый файл - это самораспаковывающийся архив, после запуска которого на экране жертвы выдавался ожидаемый документ PDF или Microsoft Word.

В последней выявленной кампании это был документ с текстом приказа от заместителя генерального директора известной промышленной компании.

Параллельно в фоновом режиме устанавливался легитимный инструмент UltraVNC, который позволял атакующим получить полный контроль над скомпрометированным устройством.

Core Werewolf активна как минимум с декабря 2021 года, а ее полная история и TTPs - в отдельной статье.

Нидерландская НПО Stichting Data Bescherming Nederland (SDBN) после исков отношении Amazon и X подала в суд на Adobe, вменяя незаконное использование файлов cookie браузера для отслеживания активности граждан Нидерландов.

По данным фонда, Adobe предъявлены обвинения в тайном сборе начиная с 25 мая 2018 внушительных объемов конфиденциальных данных пользователей с известных голландских веб-сайтов, включая KPN, ABP, Налоговое управление Нидерландов, а также популярных мобильных приложений, в том числе Marktplaats и Buienradar.

Реализуется сбор с помощью платформы управления данными Audience Manager, входящей в состав Adobe Experience Cloud, а также путем интеграции своего SDK в сторонние прилодения.

Причем консолидированные посредством возможностей Adobe массивы затем передаются третьим сторонам в коммерческих целях в формате подробного личного профиля, нарушая требования GDPR.

Как полагают специалисты SDBN, Adobe не обеспечивает должной прозрачности в отношении сбора данных, и компания часто извлекает файлы cookie еще до того, как у вас появится возможность отказаться от них.

SDBN, действуя от имени миллионов граждан, требует от Adobe прекратить незаконный сбор данных посредством отслеживания файлов cookie и приложений.

После неудачных переговоров и провала мирового соглашения с Adobe, SDBN теперь намерена отстаивать интересы в судебной плоскости.

Коллективный иск в числе требований также предполагает возмещения ущерба для более чем семи миллионов голландских пользователей.

Достаточно серьезный прецедент намечается. Будем посмотреть.

Более восьми лет RCE-уязвимость GWT остается неисправленной, подвергая многие приложения риску компрометации на стороне сервера.

Google Web Toolkit - это набор инструментов с открытым исходным кодом, который позволяет веб-разработчикам создавать и поддерживать интерфейсные приложения JavaScript на Java, который по данным Enlyft, используется около 2,000 софтверными компаниями.

Ошибка десериализации Java без аутентификации в платформе Google Web Toolkit несмотря на раскрытие в 2015 году остается неисправленной и в будущем может потребовать фундаментальных исправлений инфраструктуры для уязвимых приложений.

В новом исследовании Bishop Fox, специалисты подробно объясняют уязвимость GWT, демонстрируя как можно реализовать уязвимость в приложении, а также приводят потенциальные меры по снижению риска.

Исследователи сравнивают уязвимость GWT с Spring4Shell обнаружен в 2022 году, критикуя разработчиков кода за полное игнорирование проблемы, включая отсутствие обновлений руководства по фреймворку.

Причем, как отмечают Bishop Fox, смягчение воздействия уязвимых веб-приложений будет непростой задачей.

Все дело в том, что ошибка находится на таком фундаментальном уровне, что защита уязвимых веб-приложений, написанных с использованием этой платформы, вероятно, потребует архитектурных изменений этих приложений или самой платформы.

Но тем не менее ряд мер для частичного смягчения последствий исследователи все же представили в своем отчете.

Отлеживаемая Cisco как Casablanca группа замечена с новой кампанией, связанной с переговорами между Азербайджаном и Арменией по ситуации вокруг Нагорного Карабаха.

Новые активности обнаружили исследователи Qihoo 360, которые наблюдали за новой волной фишинга в регионе. Считается, что Casablanca проправительстваенная группировка, целями которой в основном являются организации, сосредоточенные на Ближнем Востоке, Центральной Азии и Восточной Европе.

Злоумышленники известны своей разработкой малвари LodaRAT, способной работать на двух платформах Windows и Android. Однако в последних атаках злоумышленник использовал вложение doc, содержащее макрос, в качестве дроппера для загрузки трояна VenomRAT.

Процесс атаки включает в себя отправку вредоносного документа посредством фишингового электронного письма. В случае открытия его жертвой загружается вредоносный исполняемый файл.

Далее файл подгружается в память для выполнения скрипта Windows, который удаленно устанавливает библиотеку dll, которая, в свою очередь, доставляет VenomRAT.

Атрибуция и TTPs злоумышленника подробно рассмотрены китайскими исследователями в отчете, которые высказывают опасения в связи возросшим в несколько раз количеством атак Casablanca с начала года.

Google выпустила экстренные обновления для исправления уже восьмой за год 0-day в Chrome, которая активно эксплуатируется в реальных условиях.

В рекомендациях по безопасности для CVE-2023-7024 разработчик подтверждает существование рабочего эксплойта.

Уязвимость высокой степени серьезности (CVE-2023-7024) связана с переполнением буфера кучи в платформе WebRTC, которую реализована в том числе и в других браузерах, включая Mozilla Firefox, Safari и Microsoft Edge.

Проблему обнаружили исследователи Клеман Лесинь и Влад Столяров из Google TAG, в связи с чем под активной эксплуатацией, вероятнее, можно понимать участие АРТ или задействование в spyware-кампаниях.

Однако как обычно подробности атак не приводятся.

Google максимально оперативно отреагировала, обновления были выпущены через день после сообщения об ошибке и доступны в для пользователей Windows (120.0.6099.129/130) и пользователей Mac и Linux (120.0.6099.129).

После попадания в рейтинги самых длинных сериалов в мире по версии канала SecAtor, наряду с Санта-Барбарой, Симпсонами и Путеводным светом, новый сезон в Списке критических 0-day в решениях Ivanti обещает быть не менее занятным и авантюрным.

После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.

И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.

Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).

Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.

Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.

Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).

Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.

Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.

Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.

Но будем посмотреть.

По данным @dataleak в России за первую половину уходящего 2023 года утекло более 43 млн уникальных адресов эл. почты и более 47 млн уникальных телефонных номеров. Всего 67 российских утечек за этот период. 🔥

Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱

Обо всех этих цифрах и утечках пишут в канале Утечки информации.

Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.

Несколько дней назад мы рассказывали о бравурных заявлениях Comcast Cable Communications (Xfinity).

Компания стала очередной крупной жертвой CitrixBleed и заявляла о том, что что ей не известно ни об утечке данных о клиентах, а также сообщала про оперативное исправление пресловутой уязвимости и эффективную ИБ в режиме 24/7.

Однако специалисты, привлеченные к расследованию киберинцидента, оказались другого мнения.

В реальности утечка данных затрагивает 35 879 455 человек, о чем было доложено в официальном уведомлении, направленном в Генпрокуратуру штата Мэн.

Учитывая недавние публикации Comcast о базе в 32 миллионов клиентов, можно полагать, что Xfinity протекла полностью, включая и сотрудников.

͏Только актуальные мануалы на канале SecAtor

Анонимный исследователь раскрыл серьезную уязвимость в функции безопасного сканирования трафика в продуктах ESET по обеспечению безопасности конечных точек.

CVE-2023-5594 (CVSS: 7,5) не обеспечивает эффективный мониторинг сканирования протоколов SSL/TLS и приводит к тому, что браузер доверяет сайту с сертификатом, подписанным устаревшим алгоритмом, которому нельзя доверять.

Уязвимость вызвана неправильной проверкой цепочки сертификатов сервера.

Промежуточный сертификат, подписанный с использованием MD5 или SHA1, считался доверенным, и, следовательно, браузер в системе с включенной функцией безопасного сканирования трафика ESET мог доверять сайту, защищенному таким сертификатом.

В числе затронутых продуктов - антивирус NOD32, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus, Endpoint Security, Server Security, Mail Security, Security для Microsoft SharePoint Server и File Security для Microsoft Azure.

Исправления реализуются в рамках автоматического обновления с 21 ноября — для установки исправления не требуется вмешательства со стороны пользователя.

По данным ESET, каких-либо атак с использованием уязвимости не замечено.

Федеральное управление уголовной полиции Германии (BKA) и подразделение Франкфурта по борьбе с интернет-преступностью (ZIT) провернули силовую операцию, в результате которой им удалось выхлопать Kingdom Market и арестовать одного из админов в США.

Kingdom Market — это англоязычная теневая торговая площадка в Tor с широким международным охватом, действовала с марта 2021 года.

Площадка объединяла наркодиллеров и селлеров ВПО, различных хакерских приблуд, пробива и поддельных документов, многие из которых работали из США, Швейцарии, Молдовы и Украины. Оплата производилась криптой, включая биткойны, лайткойны, Монеро и Zcash.

Всего на торговой площадке было представлено к продаже более 42 000 наименований товаров и услуг, 3600 из которых приходилось на Германию, действовало несколько сотен зарегистрированных продавцов и десятки тысяч клиентов.

Согласно пресс-релизу BKA, в ходе операции была захвачена вся серверная инфраструктура, а дальнейшие оперативные мероприятия будут направлены на установление всех зарегистрированных пользователей.

Задержанным администратором оказался Алан Билл, также известный как Vend0r или KingdomOfficial, который также выступал в качестве модератора рынка на Reddit.

После закрытия участники Kingdom Market перебрались на даркнет-форум Dread, где пишут о конфискации депонированных активов и предполагаемом аресте еще нескольких лиц, имевших доступ к серверной инфраструктуре ресурса.

В свою очередь, исследователи KELA фиксируют приглашения с Drughub и Cypher, адресованные «беженцам», которых в ближайшее время также ожидают потенциальные встречи с новыми владельцами Kingdom Market.

IBM Security совместно с Ponemon Institute выпустили ежегодный отчет с ключевыми выводами и финансовыми оценками по утечкам данных в 2023 году на основе аналитики по 553 нарушениям в 16 странах и 17 отраслях.

Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.

В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.

Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).

С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).

Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).

Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).

Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).

В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.

Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.

Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.

Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.

1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.

39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.

Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.

Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.

Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.