Более восьми лет RCE-уязвимость GWT остается неисправленной, подвергая многие приложения риску компрометации на стороне сервера.
Google Web Toolkit - это набор инструментов с открытым исходным кодом, который позволяет веб-разработчикам создавать и поддерживать интерфейсные приложения JavaScript на Java, который по данным Enlyft, используется около 2,000 софтверными компаниями.
Ошибка десериализации Java без аутентификации в платформе Google Web Toolkit несмотря на раскрытие в 2015 году остается неисправленной и в будущем может потребовать фундаментальных исправлений инфраструктуры для уязвимых приложений.
В новом исследовании Bishop Fox, специалисты подробно объясняют уязвимость GWT, демонстрируя как можно реализовать уязвимость в приложении, а также приводят потенциальные меры по снижению риска.
Исследователи сравнивают уязвимость GWT с Spring4Shell обнаружен в 2022 году, критикуя разработчиков кода за полное игнорирование проблемы, включая отсутствие обновлений руководства по фреймворку.
Причем, как отмечают Bishop Fox, смягчение воздействия уязвимых веб-приложений будет непростой задачей.
Все дело в том, что ошибка находится на таком фундаментальном уровне, что защита уязвимых веб-приложений, написанных с использованием этой платформы, вероятно, потребует архитектурных изменений этих приложений или самой платформы.
Но тем не менее ряд мер для частичного смягчения последствий исследователи все же представили в своем отчете.
Google Web Toolkit - это набор инструментов с открытым исходным кодом, который позволяет веб-разработчикам создавать и поддерживать интерфейсные приложения JavaScript на Java, который по данным Enlyft, используется около 2,000 софтверными компаниями.
Ошибка десериализации Java без аутентификации в платформе Google Web Toolkit несмотря на раскрытие в 2015 году остается неисправленной и в будущем может потребовать фундаментальных исправлений инфраструктуры для уязвимых приложений.
В новом исследовании Bishop Fox, специалисты подробно объясняют уязвимость GWT, демонстрируя как можно реализовать уязвимость в приложении, а также приводят потенциальные меры по снижению риска.
Исследователи сравнивают уязвимость GWT с Spring4Shell обнаружен в 2022 году, критикуя разработчиков кода за полное игнорирование проблемы, включая отсутствие обновлений руководства по фреймворку.
Причем, как отмечают Bishop Fox, смягчение воздействия уязвимых веб-приложений будет непростой задачей.
Все дело в том, что ошибка находится на таком фундаментальном уровне, что защита уязвимых веб-приложений, написанных с использованием этой платформы, вероятно, потребует архитектурных изменений этих приложений или самой платформы.
Но тем не менее ряд мер для частичного смягчения последствий исследователи все же представили в своем отчете.
Bishop Fox
GWT: Unpatched, Unauthenticated Java Deserialization
In this blog, Bishop Fox's Ben Lincoln talks about an eight year old unpatched and unauthenticated Java deserialization vulnerability in GWT. Learn more!
Отлеживаемая Cisco как Casablanca группа замечена с новой кампанией, связанной с переговорами между Азербайджаном и Арменией по ситуации вокруг Нагорного Карабаха.
Новые активности обнаружили исследователи Qihoo 360, которые наблюдали за новой волной фишинга в регионе. Считается, что Casablanca проправительстваенная группировка, целями которой в основном являются организации, сосредоточенные на Ближнем Востоке, Центральной Азии и Восточной Европе.
Злоумышленники известны своей разработкой малвари LodaRAT, способной работать на двух платформах Windows и Android. Однако в последних атаках злоумышленник использовал вложение doc, содержащее макрос, в качестве дроппера для загрузки трояна VenomRAT.
Процесс атаки включает в себя отправку вредоносного документа посредством фишингового электронного письма. В случае открытия его жертвой загружается вредоносный исполняемый файл.
Далее файл подгружается в память для выполнения скрипта Windows, который удаленно устанавливает библиотеку dll, которая, в свою очередь, доставляет VenomRAT.
Атрибуция и TTPs злоумышленника подробно рассмотрены китайскими исследователями в отчете, которые высказывают опасения в связи возросшим в несколько раз количеством атак Casablanca с начала года.
Новые активности обнаружили исследователи Qihoo 360, которые наблюдали за новой волной фишинга в регионе. Считается, что Casablanca проправительстваенная группировка, целями которой в основном являются организации, сосредоточенные на Ближнем Востоке, Центральной Азии и Восточной Европе.
Злоумышленники известны своей разработкой малвари LodaRAT, способной работать на двух платформах Windows и Android. Однако в последних атаках злоумышленник использовал вложение doc, содержащее макрос, в качестве дроппера для загрузки трояна VenomRAT.
Процесс атаки включает в себя отправку вредоносного документа посредством фишингового электронного письма. В случае открытия его жертвой загружается вредоносный исполняемый файл.
Далее файл подгружается в память для выполнения скрипта Windows, который удаленно устанавливает библиотеку dll, которая, в свою очередь, доставляет VenomRAT.
Атрибуция и TTPs злоумышленника подробно рассмотрены китайскими исследователями в отчете, которые высказывают опасения в связи возросшим в несколько раз количеством атак Casablanca с начала года.
Google выпустила экстренные обновления для исправления уже восьмой за год 0-day в Chrome, которая активно эксплуатируется в реальных условиях.
В рекомендациях по безопасности для CVE-2023-7024 разработчик подтверждает существование рабочего эксплойта.
Уязвимость высокой степени серьезности (CVE-2023-7024) связана с переполнением буфера кучи в платформе WebRTC, которую реализована в том числе и в других браузерах, включая Mozilla Firefox, Safari и Microsoft Edge.
Проблему обнаружили исследователи Клеман Лесинь и Влад Столяров из Google TAG, в связи с чем под активной эксплуатацией, вероятнее, можно понимать участие АРТ или задействование в spyware-кампаниях.
Однако как обычно подробности атак не приводятся.
Google максимально оперативно отреагировала, обновления были выпущены через день после сообщения об ошибке и доступны в для пользователей Windows (120.0.6099.129/130) и пользователей Mac и Linux (120.0.6099.129).
В рекомендациях по безопасности для CVE-2023-7024 разработчик подтверждает существование рабочего эксплойта.
Уязвимость высокой степени серьезности (CVE-2023-7024) связана с переполнением буфера кучи в платформе WebRTC, которую реализована в том числе и в других браузерах, включая Mozilla Firefox, Safari и Microsoft Edge.
Проблему обнаружили исследователи Клеман Лесинь и Влад Столяров из Google TAG, в связи с чем под активной эксплуатацией, вероятнее, можно понимать участие АРТ или задействование в spyware-кампаниях.
Однако как обычно подробности атак не приводятся.
Google максимально оперативно отреагировала, обновления были выпущены через день после сообщения об ошибке и доступны в для пользователей Windows (120.0.6099.129/130) и пользователей Mac и Linux (120.0.6099.129).
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 120.0.6099.129 for Mac,Linux and 120.0.6099.129/130 to Windows which will roll out over the coming d...
После попадания в рейтинги самых длинных сериалов в мире по версии канала SecAtor, наряду с Санта-Барбарой, Симпсонами и Путеводным светом, новый сезон в Списке критических 0-day в решениях Ivanti обещает быть не менее занятным и авантюрным.
После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.
И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.
Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).
Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.
Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.
Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.
Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).
Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.
Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.
Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.
Но будем посмотреть.
После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.
И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.
Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).
Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.
Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.
Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.
Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).
Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.
Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.
Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.
Но будем посмотреть.
Ivanti
New Ivanti Avalanche Vulnerabilities
As part of our ongoing strengthening of the security of our products we have discovered twenty new vulnerabilities in the Ivanti Avalanche on-premise product.
По данным @dataleak в России за первую половину уходящего 2023 года утекло более 43 млн уникальных адресов эл. почты и более 47 млн уникальных телефонных номеров. Всего 67 российских утечек за этот период. 🔥
Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱
Обо всех этих цифрах и утечках пишут в канале Утечки информации.
Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.
Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱
Обо всех этих цифрах и утечках пишут в канале Утечки информации.
Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.
Несколько дней назад мы рассказывали о бравурных заявлениях Comcast Cable Communications (Xfinity).
Компания стала очередной крупной жертвой CitrixBleed и заявляла о том, что что ей не известно ни об утечке данных о клиентах, а также сообщала про оперативное исправление пресловутой уязвимости и эффективную ИБ в режиме 24/7.
Однако специалисты, привлеченные к расследованию киберинцидента, оказались другого мнения.
В реальности утечка данных затрагивает 35 879 455 человек, о чем было доложено в официальном уведомлении, направленном в Генпрокуратуру штата Мэн.
Учитывая недавние публикации Comcast о базе в 32 миллионов клиентов, можно полагать, что Xfinity протекла полностью, включая и сотрудников.
Компания стала очередной крупной жертвой CitrixBleed и заявляла о том, что что ей не известно ни об утечке данных о клиентах, а также сообщала про оперативное исправление пресловутой уязвимости и эффективную ИБ в режиме 24/7.
Однако специалисты, привлеченные к расследованию киберинцидента, оказались другого мнения.
В реальности утечка данных затрагивает 35 879 455 человек, о чем было доложено в официальном уведомлении, направленном в Генпрокуратуру штата Мэн.
Учитывая недавние публикации Comcast о базе в 32 миллионов клиентов, можно полагать, что Xfinity протекла полностью, включая и сотрудников.
Telegram
SecAtor
Очередной крупной жертвой CitrixBleed стала Comcast Cable Communications, работающая под торговой маркой Xfinity.
Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.
Как заявила Xfinity, в результате…
Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.
Как заявила Xfinity, в результате…
Анонимный исследователь раскрыл серьезную уязвимость в функции безопасного сканирования трафика в продуктах ESET по обеспечению безопасности конечных точек.
CVE-2023-5594 (CVSS: 7,5) не обеспечивает эффективный мониторинг сканирования протоколов SSL/TLS и приводит к тому, что браузер доверяет сайту с сертификатом, подписанным устаревшим алгоритмом, которому нельзя доверять.
Уязвимость вызвана неправильной проверкой цепочки сертификатов сервера.
Промежуточный сертификат, подписанный с использованием MD5 или SHA1, считался доверенным, и, следовательно, браузер в системе с включенной функцией безопасного сканирования трафика ESET мог доверять сайту, защищенному таким сертификатом.
В числе затронутых продуктов - антивирус NOD32, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus, Endpoint Security, Server Security, Mail Security, Security для Microsoft SharePoint Server и File Security для Microsoft Azure.
Исправления реализуются в рамках автоматического обновления с 21 ноября — для установки исправления не требуется вмешательства со стороны пользователя.
По данным ESET, каких-либо атак с использованием уязвимости не замечено.
CVE-2023-5594 (CVSS: 7,5) не обеспечивает эффективный мониторинг сканирования протоколов SSL/TLS и приводит к тому, что браузер доверяет сайту с сертификатом, подписанным устаревшим алгоритмом, которому нельзя доверять.
Уязвимость вызвана неправильной проверкой цепочки сертификатов сервера.
Промежуточный сертификат, подписанный с использованием MD5 или SHA1, считался доверенным, и, следовательно, браузер в системе с включенной функцией безопасного сканирования трафика ESET мог доверять сайту, защищенному таким сертификатом.
В числе затронутых продуктов - антивирус NOD32, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus, Endpoint Security, Server Security, Mail Security, Security для Microsoft SharePoint Server и File Security для Microsoft Azure.
Исправления реализуются в рамках автоматического обновления с 21 ноября — для установки исправления не требуется вмешательства со стороны пользователя.
По данным ESET, каких-либо атак с использованием уязвимости не замечено.
Федеральное управление уголовной полиции Германии (BKA) и подразделение Франкфурта по борьбе с интернет-преступностью (ZIT) провернули силовую операцию, в результате которой им удалось выхлопать Kingdom Market и арестовать одного из админов в США.
Kingdom Market — это англоязычная теневая торговая площадка в Tor с широким международным охватом, действовала с марта 2021 года.
Площадка объединяла наркодиллеров и селлеров ВПО, различных хакерских приблуд, пробива и поддельных документов, многие из которых работали из США, Швейцарии, Молдовы и Украины. Оплата производилась криптой, включая биткойны, лайткойны, Монеро и Zcash.
Всего на торговой площадке было представлено к продаже более 42 000 наименований товаров и услуг, 3600 из которых приходилось на Германию, действовало несколько сотен зарегистрированных продавцов и десятки тысяч клиентов.
Согласно пресс-релизу BKA, в ходе операции была захвачена вся серверная инфраструктура, а дальнейшие оперативные мероприятия будут направлены на установление всех зарегистрированных пользователей.
Задержанным администратором оказался Алан Билл, также известный как Vend0r или KingdomOfficial, который также выступал в качестве модератора рынка на Reddit.
После закрытия участники Kingdom Market перебрались на даркнет-форум Dread, где пишут о конфискации депонированных активов и предполагаемом аресте еще нескольких лиц, имевших доступ к серверной инфраструктуре ресурса.
В свою очередь, исследователи KELA фиксируют приглашения с Drughub и Cypher, адресованные «беженцам», которых в ближайшее время также ожидают потенциальные встречи с новыми владельцами Kingdom Market.
Kingdom Market — это англоязычная теневая торговая площадка в Tor с широким международным охватом, действовала с марта 2021 года.
Площадка объединяла наркодиллеров и селлеров ВПО, различных хакерских приблуд, пробива и поддельных документов, многие из которых работали из США, Швейцарии, Молдовы и Украины. Оплата производилась криптой, включая биткойны, лайткойны, Монеро и Zcash.
Всего на торговой площадке было представлено к продаже более 42 000 наименований товаров и услуг, 3600 из которых приходилось на Германию, действовало несколько сотен зарегистрированных продавцов и десятки тысяч клиентов.
Согласно пресс-релизу BKA, в ходе операции была захвачена вся серверная инфраструктура, а дальнейшие оперативные мероприятия будут направлены на установление всех зарегистрированных пользователей.
Задержанным администратором оказался Алан Билл, также известный как Vend0r или KingdomOfficial, который также выступал в качестве модератора рынка на Reddit.
После закрытия участники Kingdom Market перебрались на даркнет-форум Dread, где пишут о конфискации депонированных активов и предполагаемом аресте еще нескольких лиц, имевших доступ к серверной инфраструктуре ресурса.
В свою очередь, исследователи KELA фиксируют приглашения с Drughub и Cypher, адресованные «беженцам», которых в ближайшее время также ожидают потенциальные встречи с новыми владельцами Kingdom Market.
IBM Security совместно с Ponemon Institute выпустили ежегодный отчет с ключевыми выводами и финансовыми оценками по утечкам данных в 2023 году на основе аналитики по 553 нарушениям в 16 странах и 17 отраслях.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Ibm
Cost of a data breach 2025 | IBM
IBM’s global Cost of a Data Breach Report 2025 provides up-to-date insights into cybersecurity threats and their financial impacts on organizations.
Баталия между ALPHV с ФБР, которую в последние дни наблюдал весь инфосек, когда конфискованная инфраструктура банды 4 раза переходила из рук в руки, а в адрес штатов звучали угрозы возмездия и атак на объекты КИИ, пришла к неожиданному финалу.
На помощь к ALPHV пришли LockBit, которые предложили «близким по духу и профессии» объединиться в картель и продолжить общее дело с новым размахом, усиливая таким образом фронт противодействия американским спецслужбам и их партнерам из других стран.
Полагаем, LockBit задан новый тренд в и индустрии ransomware, который будет масштабироваться с каждой последующей операцией правоохранителей.
Будем посмотреть.
На помощь к ALPHV пришли LockBit, которые предложили «близким по духу и профессии» объединиться в картель и продолжить общее дело с новым размахом, усиливая таким образом фронт противодействия американским спецслужбам и их партнерам из других стран.
Полагаем, LockBit задан новый тренд в и индустрии ransomware, который будет масштабироваться с каждой последующей операцией правоохранителей.
Будем посмотреть.
Исследователи Trustwave задетектили новую масштабную фишинговую кампанию, нацеленную на пользователей Instagram (компании Meta, признанной в РФ экстремисткой) и реализующую обход 2FA с помощью кражи восьмизначных резервных кодов.
Злоумышленники реализуют уже применявшуюся вымогателями LockBit и операторами вредоносного ПО BazaLoader в отношении пользователей Facebook схему с письмом о нарушении авторских прав.
Месседж маскируется под уведомление о нарушении авторских прав, а в последствии осуществляется перехват резервных кодов пользователей соцсети, что позволяет хакерам обойти 2Fa аутентификацию на вашем аккаунте.
В фишинговом сообщении о нарушении авторских прав говорится, что пользователь разместил что-то, что нарушает закон о защите интеллектуальной собственности, в связи с чем его аккаунт был ограничен.
И дабы снять ограничения получателю рекомендуется СРОЧНО нажать кнопку для обжалования решения, которая перенаправит на фишинговую страницу, где необходимо ввести свои учетные данные и другие сведения.
Злонамеренный месседж выглядит вполне убедительно, как и дизайн страниц и так и доменное имя с адресом отправителя, а с учетом навеянной спешки вполне можно повестись и отдать в руки злоумышленников свои креды.
Злоумышленники реализуют уже применявшуюся вымогателями LockBit и операторами вредоносного ПО BazaLoader в отношении пользователей Facebook схему с письмом о нарушении авторских прав.
Месседж маскируется под уведомление о нарушении авторских прав, а в последствии осуществляется перехват резервных кодов пользователей соцсети, что позволяет хакерам обойти 2Fa аутентификацию на вашем аккаунте.
В фишинговом сообщении о нарушении авторских прав говорится, что пользователь разместил что-то, что нарушает закон о защите интеллектуальной собственности, в связи с чем его аккаунт был ограничен.
И дабы снять ограничения получателю рекомендуется СРОЧНО нажать кнопку для обжалования решения, которая перенаправит на фишинговую страницу, где необходимо ввести свои учетные данные и другие сведения.
Злонамеренный месседж выглядит вполне убедительно, как и дизайн страниц и так и доменное имя с адресом отправителя, а с учетом навеянной спешки вполне можно повестись и отдать в руки злоумышленников свои креды.
Trustwave
Instagram Phishing Targets Backup Codes
We noticed Instagram “Copyright Infringement” phishing emails in our spam traps, targeting Instagram credentials, cybercriminals obtain Instagram backup codes.
Французская Ubisoft, известная по Assassin's Creed, FarCry, Tom Clancy's Rainbow Six Siege и новому Avatar: Frontiers of Pandora, расследует новый резонансный киберинцидент после атак Egregor в 2020 и LAPSUS$ в 2022.
На этот раз о взломе стало известно после того, как у VX-Underground были опубликованы скриншоты служебного ПО и инструментов разработчика.
В компании отмечают, что им известно о предполагаемом инциденте, связанном с безопасностью данных, но в настоящее время Ubisoft не готова делиться подробностями, ссылаясь на расследование.
В свою очередь, vx-underground сообщают, что злоумышленник поделился с ними подробностями инцидента 20 декабря, который потенциально может включать утечку в объеме примерно 900 ГБ данных.
Хакер заявил, что получил доступ на 48 часов к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, подтвердив свои заявления пруфами в формате скринов.Как был получен первоначальный доступ актор умалчивает.
Однако, как отмечают злоумышленники, выкрасть пользовательские данные Rainbow 6 Siege им все же не удалось, поскольку их успели к этому времени обнаружить и нейтрализовать доступ.
На этот раз о взломе стало известно после того, как у VX-Underground были опубликованы скриншоты служебного ПО и инструментов разработчика.
В компании отмечают, что им известно о предполагаемом инциденте, связанном с безопасностью данных, но в настоящее время Ubisoft не готова делиться подробностями, ссылаясь на расследование.
В свою очередь, vx-underground сообщают, что злоумышленник поделился с ними подробностями инцидента 20 декабря, который потенциально может включать утечку в объеме примерно 900 ГБ данных.
Хакер заявил, что получил доступ на 48 часов к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, подтвердив свои заявления пруфами в формате скринов.Как был получен первоначальный доступ актор умалчивает.
Однако, как отмечают злоумышленники, выкрасть пользовательские данные Rainbow 6 Siege им все же не удалось, поскольку их успели к этому времени обнаружить и нейтрализовать доступ.
X (formerly Twitter)
vx-underground (@vxunderground) on X
December 20th an unknown Threat Actor compromised Ubisoft. The individual had access for roughly 48 hours until administration realized something was off and access was revoked.
They aimed to exfiltrate roughly 900gb of data but lost access.
They aimed to exfiltrate roughly 900gb of data but lost access.
Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.
Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.
Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.
Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.
Вредоносная программа собирает информацию о системе и передает ее на C2.
Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.
Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.
Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.
Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.
Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.
Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.
Вредоносная программа собирает информацию о системе и передает ее на C2.
Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.
Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.
Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation RusticWeb targets Indian Govt: From Rust-based malware to Web-service exfiltration
<p>SEQRITE Labs APT-Team has uncovered a phishing campaign targeting various Indian government personnel since October 2023. We have also identified targeting of both government and private entities in the defence sector over December. New Rust-based payloads…
Исследователи сообщают о новой кампании проиранской АРТ Cyber Toufan, которой удалось скомпрометировать 49 израильских компаний, включая Израильское управление инноваций, Toyota Israel, Министерство благосостояния и социального обеспечения, Ikea Israel, Max и др.
Cyber Toufan активна с ноября 2023 года и если верить их публикациям в Telegram - ответственна за «уничтожение более 1000» серверов и критически важных баз данных» многих известных организаций.
Последнюю мощную атаку хаукерам удалось провернуть благодаря взлому ведущего хостинг-оператора Signature-IT в Израиле, через которую они смогли получить доступ к ее клиентам.
В результате расследования были найдены артефакты, указывающие на участие Cyber Toufan, которая, как полагают исследователи, украла значительный объем клиентских данных, а затем уничтожила все данные с хостинга.
Согласно отчету SOCRadar, Cyber Toufan представляет сложную организацию, потенциально спонсируемую государством, что обусловило их быстрый рост и эффективное выполнение сложных кибератак.
Учитывая стиль группировки, цели и геополитический нарратив, лежащий в основе их атак, не сложно догадаться, что потенциальную поддержку АРТ обеспечивает именно Иран.
Cyber Toufan активна с ноября 2023 года и если верить их публикациям в Telegram - ответственна за «уничтожение более 1000» серверов и критически важных баз данных» многих известных организаций.
Последнюю мощную атаку хаукерам удалось провернуть благодаря взлому ведущего хостинг-оператора Signature-IT в Израиле, через которую они смогли получить доступ к ее клиентам.
В результате расследования были найдены артефакты, указывающие на участие Cyber Toufan, которая, как полагают исследователи, украла значительный объем клиентских данных, а затем уничтожила все данные с хостинга.
Согласно отчету SOCRadar, Cyber Toufan представляет сложную организацию, потенциально спонсируемую государством, что обусловило их быстрый рост и эффективное выполнение сложных кибератак.
Учитывая стиль группировки, цели и геополитический нарратив, лежащий в основе их атак, не сложно догадаться, что потенциальную поддержку АРТ обеспечивает именно Иран.
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Cyber Toufan Al-aqsa - SOCRadar® Cyber Intelligence Inc.
On November 16 2023, a new group emerged in the intricate web of modern cyber warfare: Cyber Toufan. This group, shrouded in the digital shadows, has recently
Исследователи из Лаборатории Касперского представили подробный разбор архитектуры Common Log File System (CLFS) в части его конструктивных недостатков, которые привели к появлению зиродеев, умело использованных операторами ransomware в 2022 и 2023.
Последний отслеживался как CVE-2023-28252 и был исправлен Microsoft после только, как о нем сообщили исследователи.
Причем обнаруженный 0-day эксплойт был похож на другие эксплойты повышения привилегий (EoP) для Microsoft Windows, которые наблюдались в атаках программ-вымогателей на протяжении года.
Вообще же с июня 2022 года злоумышленники использовали эксплойты как минимум для пяти различных уязвимостей драйверов CLFS.
Четыре из рассматриваемых уязвимостей, реализованных злоумышленниками (CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252), были задетектированы как нулевые.
Причем такого количества эксплойтов драйверов CLFS, замеченных в активных атаках в течение года, ранее не наблюдалось.
На самом деле ничего удивительно, зная как Microsoft ведет работу над ошибками. Некоторые из уязвимостей, как выяснили исследователи, были вариантами ранее известных проблем, которые не были изначально эффективно исправлены.
А что касается Common Log File System (CLFS), то это хороший пример того, как не следует проектировать формат файла. И с момента выпуска патча для CVE-2023-28252 в апреле 2023 года в нем было исправлено еще несколько проблем.
Возвращаясь к исследованию, оно получилось довольно таки объемным и было разделено на шесть частей, первая (часть 1. Windows CLFS и пять эксплойтов операторов-вымогателей) из которых посвящена CLFS.
Пять других включат обзор фактических первопричин и обстоятельств использования конкретных уязвимостей: часть 2: эксплойт №1 - CVE-2022-24521, часть 3: эксплойт №2 — сентябрь 2022, часть 4: эксплойт №3 — октябрь 2022, часть 5: эксплойт №4 — CVE-2023-23376 и часть 6: эксплойт №5 — CVE-2023-28252.
Последний отслеживался как CVE-2023-28252 и был исправлен Microsoft после только, как о нем сообщили исследователи.
Причем обнаруженный 0-day эксплойт был похож на другие эксплойты повышения привилегий (EoP) для Microsoft Windows, которые наблюдались в атаках программ-вымогателей на протяжении года.
Вообще же с июня 2022 года злоумышленники использовали эксплойты как минимум для пяти различных уязвимостей драйверов CLFS.
Четыре из рассматриваемых уязвимостей, реализованных злоумышленниками (CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252), были задетектированы как нулевые.
Причем такого количества эксплойтов драйверов CLFS, замеченных в активных атаках в течение года, ранее не наблюдалось.
На самом деле ничего удивительно, зная как Microsoft ведет работу над ошибками. Некоторые из уязвимостей, как выяснили исследователи, были вариантами ранее известных проблем, которые не были изначально эффективно исправлены.
А что касается Common Log File System (CLFS), то это хороший пример того, как не следует проектировать формат файла. И с момента выпуска патча для CVE-2023-28252 в апреле 2023 года в нем было исправлено еще несколько проблем.
Возвращаясь к исследованию, оно получилось довольно таки объемным и было разделено на шесть частей, первая (часть 1. Windows CLFS и пять эксплойтов операторов-вымогателей) из которых посвящена CLFS.
Пять других включат обзор фактических первопричин и обстоятельств использования конкретных уязвимостей: часть 2: эксплойт №1 - CVE-2022-24521, часть 3: эксплойт №2 — сентябрь 2022, часть 4: эксплойт №3 — октябрь 2022, часть 5: эксплойт №4 — CVE-2023-23376 и часть 6: эксплойт №5 — CVE-2023-28252.
Securelist
Windows CLFS and five exploits used by ransomware operators
We had never seen so many CLFS driver exploits being used in active attacks before, and then suddenly there are so many of them captured in just one year. Is there something wrong with the CLFS driver? Are all these vulnerabilities similar? These questions…
Forwarded from Russian OSINT
Хацкер взломал подрядчика 🇺🇸 АНБ и 🇺🇸 ЦРУ CACI International
Пишут, что неизвестный хакер разместил на популярном теневом форуме образцы данных, которые могли быть украдены у американского государственного подрядчика CACI International. Компания предоставляет ряд услуг правительству США: национальная безопасность, разведка, здравоохранение и другие сферы.
🎩 Некто под ником IntelBroker утверждает, что похитил данные результате недавнего взлома систем CACI в декабре 2023. В базе якобы содержится информация о 520 сотрудниках CACI, включая почту, частичные данные по ФИО, хэшированные пароли, уникальные записи, временные метки и статус учетной записи. RestorePrivacy сделали запрос в компанию, но не получили никакого ответа.
🚰 В качестве пруфа хакер выложил информацию о 30 сотрудниках.
✋ @Russian_OSINT
Пишут, что неизвестный хакер разместил на популярном теневом форуме образцы данных, которые могли быть украдены у американского государственного подрядчика CACI International. Компания предоставляет ряд услуг правительству США: национальная безопасность, разведка, здравоохранение и другие сферы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера на Западе отмечали католическое Рождество. И поэтому сегодня западный инфосек спит. А значит новостей будет меньше.
Но мы не огорчаемся, а поздравляем всех, кто вчера отмечал этот прекрасный праздник.
MERRY CHRYSLER!!!
Но мы не огорчаемся, а поздравляем всех, кто вчера отмечал этот прекрасный праздник.
MERRY CHRYSLER!!!