По данным @dataleak в России за первую половину уходящего 2023 года утекло более 43 млн уникальных адресов эл. почты и более 47 млн уникальных телефонных номеров. Всего 67 российских утечек за этот период. 🔥
Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱
Обо всех этих цифрах и утечках пишут в канале Утечки информации.
Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.
Что еще интереснее - в этом году уже утекли данные из более чем 16 страховых компаний и страховых маркетплейсов. Общее количество уникальных номеров телефонов в этих утечках превысило отметку 6 млн, а уникальных адресов эл. почты - 5 млн. 😱
Обо всех этих цифрах и утечках пишут в канале Утечки информации.
Подписывайтесь, чтобы быть в курсе того, откуда мошенники и боты для пробива знают о вас все.
Несколько дней назад мы рассказывали о бравурных заявлениях Comcast Cable Communications (Xfinity).
Компания стала очередной крупной жертвой CitrixBleed и заявляла о том, что что ей не известно ни об утечке данных о клиентах, а также сообщала про оперативное исправление пресловутой уязвимости и эффективную ИБ в режиме 24/7.
Однако специалисты, привлеченные к расследованию киберинцидента, оказались другого мнения.
В реальности утечка данных затрагивает 35 879 455 человек, о чем было доложено в официальном уведомлении, направленном в Генпрокуратуру штата Мэн.
Учитывая недавние публикации Comcast о базе в 32 миллионов клиентов, можно полагать, что Xfinity протекла полностью, включая и сотрудников.
Компания стала очередной крупной жертвой CitrixBleed и заявляла о том, что что ей не известно ни об утечке данных о клиентах, а также сообщала про оперативное исправление пресловутой уязвимости и эффективную ИБ в режиме 24/7.
Однако специалисты, привлеченные к расследованию киберинцидента, оказались другого мнения.
В реальности утечка данных затрагивает 35 879 455 человек, о чем было доложено в официальном уведомлении, направленном в Генпрокуратуру штата Мэн.
Учитывая недавние публикации Comcast о базе в 32 миллионов клиентов, можно полагать, что Xfinity протекла полностью, включая и сотрудников.
Telegram
SecAtor
Очередной крупной жертвой CitrixBleed стала Comcast Cable Communications, работающая под торговой маркой Xfinity.
Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.
Как заявила Xfinity, в результате…
Компания подтвердила киберинцидент и сообщает об утечке данных клиентов после взлома одного из ее серверов Citrix.
Как заявила Xfinity, в результате…
Анонимный исследователь раскрыл серьезную уязвимость в функции безопасного сканирования трафика в продуктах ESET по обеспечению безопасности конечных точек.
CVE-2023-5594 (CVSS: 7,5) не обеспечивает эффективный мониторинг сканирования протоколов SSL/TLS и приводит к тому, что браузер доверяет сайту с сертификатом, подписанным устаревшим алгоритмом, которому нельзя доверять.
Уязвимость вызвана неправильной проверкой цепочки сертификатов сервера.
Промежуточный сертификат, подписанный с использованием MD5 или SHA1, считался доверенным, и, следовательно, браузер в системе с включенной функцией безопасного сканирования трафика ESET мог доверять сайту, защищенному таким сертификатом.
В числе затронутых продуктов - антивирус NOD32, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus, Endpoint Security, Server Security, Mail Security, Security для Microsoft SharePoint Server и File Security для Microsoft Azure.
Исправления реализуются в рамках автоматического обновления с 21 ноября — для установки исправления не требуется вмешательства со стороны пользователя.
По данным ESET, каких-либо атак с использованием уязвимости не замечено.
CVE-2023-5594 (CVSS: 7,5) не обеспечивает эффективный мониторинг сканирования протоколов SSL/TLS и приводит к тому, что браузер доверяет сайту с сертификатом, подписанным устаревшим алгоритмом, которому нельзя доверять.
Уязвимость вызвана неправильной проверкой цепочки сертификатов сервера.
Промежуточный сертификат, подписанный с использованием MD5 или SHA1, считался доверенным, и, следовательно, браузер в системе с включенной функцией безопасного сканирования трафика ESET мог доверять сайту, защищенному таким сертификатом.
В числе затронутых продуктов - антивирус NOD32, Internet Security, Smart Security Premium, Security Ultimate, Endpoint Antivirus, Endpoint Security, Server Security, Mail Security, Security для Microsoft SharePoint Server и File Security для Microsoft Azure.
Исправления реализуются в рамках автоматического обновления с 21 ноября — для установки исправления не требуется вмешательства со стороны пользователя.
По данным ESET, каких-либо атак с использованием уязвимости не замечено.
Федеральное управление уголовной полиции Германии (BKA) и подразделение Франкфурта по борьбе с интернет-преступностью (ZIT) провернули силовую операцию, в результате которой им удалось выхлопать Kingdom Market и арестовать одного из админов в США.
Kingdom Market — это англоязычная теневая торговая площадка в Tor с широким международным охватом, действовала с марта 2021 года.
Площадка объединяла наркодиллеров и селлеров ВПО, различных хакерских приблуд, пробива и поддельных документов, многие из которых работали из США, Швейцарии, Молдовы и Украины. Оплата производилась криптой, включая биткойны, лайткойны, Монеро и Zcash.
Всего на торговой площадке было представлено к продаже более 42 000 наименований товаров и услуг, 3600 из которых приходилось на Германию, действовало несколько сотен зарегистрированных продавцов и десятки тысяч клиентов.
Согласно пресс-релизу BKA, в ходе операции была захвачена вся серверная инфраструктура, а дальнейшие оперативные мероприятия будут направлены на установление всех зарегистрированных пользователей.
Задержанным администратором оказался Алан Билл, также известный как Vend0r или KingdomOfficial, который также выступал в качестве модератора рынка на Reddit.
После закрытия участники Kingdom Market перебрались на даркнет-форум Dread, где пишут о конфискации депонированных активов и предполагаемом аресте еще нескольких лиц, имевших доступ к серверной инфраструктуре ресурса.
В свою очередь, исследователи KELA фиксируют приглашения с Drughub и Cypher, адресованные «беженцам», которых в ближайшее время также ожидают потенциальные встречи с новыми владельцами Kingdom Market.
Kingdom Market — это англоязычная теневая торговая площадка в Tor с широким международным охватом, действовала с марта 2021 года.
Площадка объединяла наркодиллеров и селлеров ВПО, различных хакерских приблуд, пробива и поддельных документов, многие из которых работали из США, Швейцарии, Молдовы и Украины. Оплата производилась криптой, включая биткойны, лайткойны, Монеро и Zcash.
Всего на торговой площадке было представлено к продаже более 42 000 наименований товаров и услуг, 3600 из которых приходилось на Германию, действовало несколько сотен зарегистрированных продавцов и десятки тысяч клиентов.
Согласно пресс-релизу BKA, в ходе операции была захвачена вся серверная инфраструктура, а дальнейшие оперативные мероприятия будут направлены на установление всех зарегистрированных пользователей.
Задержанным администратором оказался Алан Билл, также известный как Vend0r или KingdomOfficial, который также выступал в качестве модератора рынка на Reddit.
После закрытия участники Kingdom Market перебрались на даркнет-форум Dread, где пишут о конфискации депонированных активов и предполагаемом аресте еще нескольких лиц, имевших доступ к серверной инфраструктуре ресурса.
В свою очередь, исследователи KELA фиксируют приглашения с Drughub и Cypher, адресованные «беженцам», которых в ближайшее время также ожидают потенциальные встречи с новыми владельцами Kingdom Market.
IBM Security совместно с Ponemon Institute выпустили ежегодный отчет с ключевыми выводами и финансовыми оценками по утечкам данных в 2023 году на основе аналитики по 553 нарушениям в 16 странах и 17 отраслях.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.
В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.
Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).
С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).
Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).
Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).
Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).
В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.
Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.
Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.
Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.
1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.
39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.
Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.
Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.
Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.
Ibm
Cost of a data breach 2025 | IBM
IBM’s global Cost of a Data Breach Report 2025 provides up-to-date insights into cybersecurity threats and their financial impacts on organizations.
Баталия между ALPHV с ФБР, которую в последние дни наблюдал весь инфосек, когда конфискованная инфраструктура банды 4 раза переходила из рук в руки, а в адрес штатов звучали угрозы возмездия и атак на объекты КИИ, пришла к неожиданному финалу.
На помощь к ALPHV пришли LockBit, которые предложили «близким по духу и профессии» объединиться в картель и продолжить общее дело с новым размахом, усиливая таким образом фронт противодействия американским спецслужбам и их партнерам из других стран.
Полагаем, LockBit задан новый тренд в и индустрии ransomware, который будет масштабироваться с каждой последующей операцией правоохранителей.
Будем посмотреть.
На помощь к ALPHV пришли LockBit, которые предложили «близким по духу и профессии» объединиться в картель и продолжить общее дело с новым размахом, усиливая таким образом фронт противодействия американским спецслужбам и их партнерам из других стран.
Полагаем, LockBit задан новый тренд в и индустрии ransomware, который будет масштабироваться с каждой последующей операцией правоохранителей.
Будем посмотреть.
Исследователи Trustwave задетектили новую масштабную фишинговую кампанию, нацеленную на пользователей Instagram (компании Meta, признанной в РФ экстремисткой) и реализующую обход 2FA с помощью кражи восьмизначных резервных кодов.
Злоумышленники реализуют уже применявшуюся вымогателями LockBit и операторами вредоносного ПО BazaLoader в отношении пользователей Facebook схему с письмом о нарушении авторских прав.
Месседж маскируется под уведомление о нарушении авторских прав, а в последствии осуществляется перехват резервных кодов пользователей соцсети, что позволяет хакерам обойти 2Fa аутентификацию на вашем аккаунте.
В фишинговом сообщении о нарушении авторских прав говорится, что пользователь разместил что-то, что нарушает закон о защите интеллектуальной собственности, в связи с чем его аккаунт был ограничен.
И дабы снять ограничения получателю рекомендуется СРОЧНО нажать кнопку для обжалования решения, которая перенаправит на фишинговую страницу, где необходимо ввести свои учетные данные и другие сведения.
Злонамеренный месседж выглядит вполне убедительно, как и дизайн страниц и так и доменное имя с адресом отправителя, а с учетом навеянной спешки вполне можно повестись и отдать в руки злоумышленников свои креды.
Злоумышленники реализуют уже применявшуюся вымогателями LockBit и операторами вредоносного ПО BazaLoader в отношении пользователей Facebook схему с письмом о нарушении авторских прав.
Месседж маскируется под уведомление о нарушении авторских прав, а в последствии осуществляется перехват резервных кодов пользователей соцсети, что позволяет хакерам обойти 2Fa аутентификацию на вашем аккаунте.
В фишинговом сообщении о нарушении авторских прав говорится, что пользователь разместил что-то, что нарушает закон о защите интеллектуальной собственности, в связи с чем его аккаунт был ограничен.
И дабы снять ограничения получателю рекомендуется СРОЧНО нажать кнопку для обжалования решения, которая перенаправит на фишинговую страницу, где необходимо ввести свои учетные данные и другие сведения.
Злонамеренный месседж выглядит вполне убедительно, как и дизайн страниц и так и доменное имя с адресом отправителя, а с учетом навеянной спешки вполне можно повестись и отдать в руки злоумышленников свои креды.
Trustwave
Instagram Phishing Targets Backup Codes
We noticed Instagram “Copyright Infringement” phishing emails in our spam traps, targeting Instagram credentials, cybercriminals obtain Instagram backup codes.
Французская Ubisoft, известная по Assassin's Creed, FarCry, Tom Clancy's Rainbow Six Siege и новому Avatar: Frontiers of Pandora, расследует новый резонансный киберинцидент после атак Egregor в 2020 и LAPSUS$ в 2022.
На этот раз о взломе стало известно после того, как у VX-Underground были опубликованы скриншоты служебного ПО и инструментов разработчика.
В компании отмечают, что им известно о предполагаемом инциденте, связанном с безопасностью данных, но в настоящее время Ubisoft не готова делиться подробностями, ссылаясь на расследование.
В свою очередь, vx-underground сообщают, что злоумышленник поделился с ними подробностями инцидента 20 декабря, который потенциально может включать утечку в объеме примерно 900 ГБ данных.
Хакер заявил, что получил доступ на 48 часов к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, подтвердив свои заявления пруфами в формате скринов.Как был получен первоначальный доступ актор умалчивает.
Однако, как отмечают злоумышленники, выкрасть пользовательские данные Rainbow 6 Siege им все же не удалось, поскольку их успели к этому времени обнаружить и нейтрализовать доступ.
На этот раз о взломе стало известно после того, как у VX-Underground были опубликованы скриншоты служебного ПО и инструментов разработчика.
В компании отмечают, что им известно о предполагаемом инциденте, связанном с безопасностью данных, но в настоящее время Ubisoft не готова делиться подробностями, ссылаясь на расследование.
В свою очередь, vx-underground сообщают, что злоумышленник поделился с ними подробностями инцидента 20 декабря, который потенциально может включать утечку в объеме примерно 900 ГБ данных.
Хакер заявил, что получил доступ на 48 часов к серверу Ubisoft SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas, подтвердив свои заявления пруфами в формате скринов.Как был получен первоначальный доступ актор умалчивает.
Однако, как отмечают злоумышленники, выкрасть пользовательские данные Rainbow 6 Siege им все же не удалось, поскольку их успели к этому времени обнаружить и нейтрализовать доступ.
X (formerly Twitter)
vx-underground (@vxunderground) on X
December 20th an unknown Threat Actor compromised Ubisoft. The individual had access for roughly 48 hours until administration realized something was off and access was revoked.
They aimed to exfiltrate roughly 900gb of data but lost access.
They aimed to exfiltrate roughly 900gb of data but lost access.
Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.
Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.
Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.
Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.
Вредоносная программа собирает информацию о системе и передает ее на C2.
Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.
Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.
Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.
Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.
Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.
Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.
Вредоносная программа собирает информацию о системе и передает ее на C2.
Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.
Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.
Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation RusticWeb targets Indian Govt: From Rust-based malware to Web-service exfiltration
<p>SEQRITE Labs APT-Team has uncovered a phishing campaign targeting various Indian government personnel since October 2023. We have also identified targeting of both government and private entities in the defence sector over December. New Rust-based payloads…
Исследователи сообщают о новой кампании проиранской АРТ Cyber Toufan, которой удалось скомпрометировать 49 израильских компаний, включая Израильское управление инноваций, Toyota Israel, Министерство благосостояния и социального обеспечения, Ikea Israel, Max и др.
Cyber Toufan активна с ноября 2023 года и если верить их публикациям в Telegram - ответственна за «уничтожение более 1000» серверов и критически важных баз данных» многих известных организаций.
Последнюю мощную атаку хаукерам удалось провернуть благодаря взлому ведущего хостинг-оператора Signature-IT в Израиле, через которую они смогли получить доступ к ее клиентам.
В результате расследования были найдены артефакты, указывающие на участие Cyber Toufan, которая, как полагают исследователи, украла значительный объем клиентских данных, а затем уничтожила все данные с хостинга.
Согласно отчету SOCRadar, Cyber Toufan представляет сложную организацию, потенциально спонсируемую государством, что обусловило их быстрый рост и эффективное выполнение сложных кибератак.
Учитывая стиль группировки, цели и геополитический нарратив, лежащий в основе их атак, не сложно догадаться, что потенциальную поддержку АРТ обеспечивает именно Иран.
Cyber Toufan активна с ноября 2023 года и если верить их публикациям в Telegram - ответственна за «уничтожение более 1000» серверов и критически важных баз данных» многих известных организаций.
Последнюю мощную атаку хаукерам удалось провернуть благодаря взлому ведущего хостинг-оператора Signature-IT в Израиле, через которую они смогли получить доступ к ее клиентам.
В результате расследования были найдены артефакты, указывающие на участие Cyber Toufan, которая, как полагают исследователи, украла значительный объем клиентских данных, а затем уничтожила все данные с хостинга.
Согласно отчету SOCRadar, Cyber Toufan представляет сложную организацию, потенциально спонсируемую государством, что обусловило их быстрый рост и эффективное выполнение сложных кибератак.
Учитывая стиль группировки, цели и геополитический нарратив, лежащий в основе их атак, не сложно догадаться, что потенциальную поддержку АРТ обеспечивает именно Иран.
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Cyber Toufan Al-aqsa - SOCRadar® Cyber Intelligence Inc.
On November 16 2023, a new group emerged in the intricate web of modern cyber warfare: Cyber Toufan. This group, shrouded in the digital shadows, has recently
Исследователи из Лаборатории Касперского представили подробный разбор архитектуры Common Log File System (CLFS) в части его конструктивных недостатков, которые привели к появлению зиродеев, умело использованных операторами ransomware в 2022 и 2023.
Последний отслеживался как CVE-2023-28252 и был исправлен Microsoft после только, как о нем сообщили исследователи.
Причем обнаруженный 0-day эксплойт был похож на другие эксплойты повышения привилегий (EoP) для Microsoft Windows, которые наблюдались в атаках программ-вымогателей на протяжении года.
Вообще же с июня 2022 года злоумышленники использовали эксплойты как минимум для пяти различных уязвимостей драйверов CLFS.
Четыре из рассматриваемых уязвимостей, реализованных злоумышленниками (CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252), были задетектированы как нулевые.
Причем такого количества эксплойтов драйверов CLFS, замеченных в активных атаках в течение года, ранее не наблюдалось.
На самом деле ничего удивительно, зная как Microsoft ведет работу над ошибками. Некоторые из уязвимостей, как выяснили исследователи, были вариантами ранее известных проблем, которые не были изначально эффективно исправлены.
А что касается Common Log File System (CLFS), то это хороший пример того, как не следует проектировать формат файла. И с момента выпуска патча для CVE-2023-28252 в апреле 2023 года в нем было исправлено еще несколько проблем.
Возвращаясь к исследованию, оно получилось довольно таки объемным и было разделено на шесть частей, первая (часть 1. Windows CLFS и пять эксплойтов операторов-вымогателей) из которых посвящена CLFS.
Пять других включат обзор фактических первопричин и обстоятельств использования конкретных уязвимостей: часть 2: эксплойт №1 - CVE-2022-24521, часть 3: эксплойт №2 — сентябрь 2022, часть 4: эксплойт №3 — октябрь 2022, часть 5: эксплойт №4 — CVE-2023-23376 и часть 6: эксплойт №5 — CVE-2023-28252.
Последний отслеживался как CVE-2023-28252 и был исправлен Microsoft после только, как о нем сообщили исследователи.
Причем обнаруженный 0-day эксплойт был похож на другие эксплойты повышения привилегий (EoP) для Microsoft Windows, которые наблюдались в атаках программ-вымогателей на протяжении года.
Вообще же с июня 2022 года злоумышленники использовали эксплойты как минимум для пяти различных уязвимостей драйверов CLFS.
Четыре из рассматриваемых уязвимостей, реализованных злоумышленниками (CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252), были задетектированы как нулевые.
Причем такого количества эксплойтов драйверов CLFS, замеченных в активных атаках в течение года, ранее не наблюдалось.
На самом деле ничего удивительно, зная как Microsoft ведет работу над ошибками. Некоторые из уязвимостей, как выяснили исследователи, были вариантами ранее известных проблем, которые не были изначально эффективно исправлены.
А что касается Common Log File System (CLFS), то это хороший пример того, как не следует проектировать формат файла. И с момента выпуска патча для CVE-2023-28252 в апреле 2023 года в нем было исправлено еще несколько проблем.
Возвращаясь к исследованию, оно получилось довольно таки объемным и было разделено на шесть частей, первая (часть 1. Windows CLFS и пять эксплойтов операторов-вымогателей) из которых посвящена CLFS.
Пять других включат обзор фактических первопричин и обстоятельств использования конкретных уязвимостей: часть 2: эксплойт №1 - CVE-2022-24521, часть 3: эксплойт №2 — сентябрь 2022, часть 4: эксплойт №3 — октябрь 2022, часть 5: эксплойт №4 — CVE-2023-23376 и часть 6: эксплойт №5 — CVE-2023-28252.
Securelist
Windows CLFS and five exploits used by ransomware operators
We had never seen so many CLFS driver exploits being used in active attacks before, and then suddenly there are so many of them captured in just one year. Is there something wrong with the CLFS driver? Are all these vulnerabilities similar? These questions…
Forwarded from Russian OSINT
Хацкер взломал подрядчика 🇺🇸 АНБ и 🇺🇸 ЦРУ CACI International
Пишут, что неизвестный хакер разместил на популярном теневом форуме образцы данных, которые могли быть украдены у американского государственного подрядчика CACI International. Компания предоставляет ряд услуг правительству США: национальная безопасность, разведка, здравоохранение и другие сферы.
🎩 Некто под ником IntelBroker утверждает, что похитил данные результате недавнего взлома систем CACI в декабре 2023. В базе якобы содержится информация о 520 сотрудниках CACI, включая почту, частичные данные по ФИО, хэшированные пароли, уникальные записи, временные метки и статус учетной записи. RestorePrivacy сделали запрос в компанию, но не получили никакого ответа.
🚰 В качестве пруфа хакер выложил информацию о 30 сотрудниках.
✋ @Russian_OSINT
Пишут, что неизвестный хакер разместил на популярном теневом форуме образцы данных, которые могли быть украдены у американского государственного подрядчика CACI International. Компания предоставляет ряд услуг правительству США: национальная безопасность, разведка, здравоохранение и другие сферы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Вчера на Западе отмечали католическое Рождество. И поэтому сегодня западный инфосек спит. А значит новостей будет меньше.
Но мы не огорчаемся, а поздравляем всех, кто вчера отмечал этот прекрасный праздник.
MERRY CHRYSLER!!!
Но мы не огорчаемся, а поздравляем всех, кто вчера отмечал этот прекрасный праздник.
MERRY CHRYSLER!!!
Исследователи Positive Technologies в своем новом отчете обратили внимание на Prototype Pollution (CVE-2023-45811, CVE-2023-38894 и CVE-2019-10744).
Безусловно, это не новая брешь, про нее писали на Хабре, на PortSwigger, и в научных журналах, но, как говориться в известном анекдоте - есть нюанс.
Несмотря на большое число публикаций, некоторые популярные решения до сих пор остаются уязвимыми для Prototype Pollution, которая позволяет атакующему «загрязнить» поле глобального объекта, которое может наследоваться пользовательскими объектами и создавать угрозу для безопасности приложения.
Для демонстрации того, как можно на практике столкнуться с Prototype Pollution исследователи использовали уязвимую версию библиотеки clickbar/dot-diver на TypeScript, которая к настоящему времени имеет исправление для CVE-2023-45827 в в версии 1.0.2 и выше.
Библиотека clickbar/dot-diver, написанная на TypeScript (source code), предоставляет удобный API для чтения значения поля из объекта (с помощью функции getByPath) и записи значения в поле объекта (с помощью функции setByPath).
Уязвимость затрагивала функцию setByPath, при использовании которой происходит рекурсивный перебор полей в шаблоне пути. При нахождении необходимого поля ему присваивается нужное значение.
Основная проблема в применении этой функции заключается в том, что если значение пути содержит путь к прототипу, то появляется возможность установить свойства прототипа, а это может привести к «загрязнению» глобального объекта.
В числе основных рекомендаций для устранения проблем безопасности, связанных с уязвимостью Prototype Pollution, исследователи выделяют следующие:
- постоянное обновление пакетов до последних стабильных версий;
- поиск уязвимых компонентов с помощью SCA и SAST;
- обработка недоверенных пользовательских данных на входе приложения;
- использование конструкторов в случае отсутствия необходимости в наследовании объектов: let obj = Object.create(null) и let obj = {__proto__:null};
- для защиты от модификации глобальных прототипов можно использовать функции API: Object.freeze() и Object.seal().
Безусловно, это не новая брешь, про нее писали на Хабре, на PortSwigger, и в научных журналах, но, как говориться в известном анекдоте - есть нюанс.
Несмотря на большое число публикаций, некоторые популярные решения до сих пор остаются уязвимыми для Prototype Pollution, которая позволяет атакующему «загрязнить» поле глобального объекта, которое может наследоваться пользовательскими объектами и создавать угрозу для безопасности приложения.
Для демонстрации того, как можно на практике столкнуться с Prototype Pollution исследователи использовали уязвимую версию библиотеки clickbar/dot-diver на TypeScript, которая к настоящему времени имеет исправление для CVE-2023-45827 в в версии 1.0.2 и выше.
Библиотека clickbar/dot-diver, написанная на TypeScript (source code), предоставляет удобный API для чтения значения поля из объекта (с помощью функции getByPath) и записи значения в поле объекта (с помощью функции setByPath).
Уязвимость затрагивала функцию setByPath, при использовании которой происходит рекурсивный перебор полей в шаблоне пути. При нахождении необходимого поля ему присваивается нужное значение.
Основная проблема в применении этой функции заключается в том, что если значение пути содержит путь к прототипу, то появляется возможность установить свойства прототипа, а это может привести к «загрязнению» глобального объекта.
В числе основных рекомендаций для устранения проблем безопасности, связанных с уязвимостью Prototype Pollution, исследователи выделяют следующие:
- постоянное обновление пакетов до последних стабильных версий;
- поиск уязвимых компонентов с помощью SCA и SAST;
- обработка недоверенных пользовательских данных на входе приложения;
- использование конструкторов в случае отсутствия необходимости в наследовании объектов: let obj = Object.create(null) и let obj = {__proto__:null};
- для защиты от модификации глобальных прототипов можно использовать функции API: Object.freeze() и Object.seal().
Хабр
Загрязненный — значит опасный: про уязвимость Prototype Pollution
Prototype Pollution ( CVE-2023-45811 , CVE-2023-38894 , CVE-2019-10744 ) — не новая брешь, вы уже наверняка читали про нее и на Хабре , и на PortSwigger , и даже в научных журналах , но есть нюанс....
Barracuda на пару с Mandiant сообщают о двух 0-day, которые активно эксплуатируются китайской АРТ (UNC4841), при этом основная из уязвимостей остается до сих пор неисправленной.
Основная отслеживается как CVE-2023-7101 и связана с уязвимостью выполнения произвольного кода в сторонней библиотеке Spreadsheet::ParseExcel. Это модуль Perl, используемый для анализа файлов Excel.
Недостаток в Spreadsheet::ParseExcel вызван передачей непроверенных входных данных из файла в строковый тип «eval». В частности, проблема связана с оценкой строк числового формата в логике синтаксического анализа Excel.
Вторая CVE-2023-7102 предназначена для баги в библиотеке, используемой в прошивке устройств Barracuda ESG Appliance, и отслеживается как отдельная ошибка.
После того, как UNC4841 успешно проэксплутировал уязвимость, Barracuda обнаружила новые варианты вредоносного ПО SEASPY и SALTWATER, развернутые на ограниченном количестве устройств ESG.
После чего 22 декабря 2023 года Barracuda развернула патч для исправления взломанных устройств ESG, на которых были обнаружены признаки компрометации, связанные с недавно выявленными вариантами вредоносного ПО.
В то время как Barracuda ограничила функциональность библиотеки в своем устройстве ESG, основная CVE-2023-7101 в затронутой библиотеке с открытым исходным кодом остается без исправления.
Организациям, использующим Spreadsheet::ParseExcel в своих решениях, рекомендуется изучить CVE-2023-7101 и незамедлительно принять необходимые меры по исправлению.
Что касается новой кампании уже известного актора, то среди специалистов бытует мнение о том, что в распоряжении APT на самом деле еще припасены другие 0-day, которые будут использоваться достаточно осторожно в атаках на крупные цели, аналогично наблюдавшемуся инциденту с правительством Австралии.
Основная отслеживается как CVE-2023-7101 и связана с уязвимостью выполнения произвольного кода в сторонней библиотеке Spreadsheet::ParseExcel. Это модуль Perl, используемый для анализа файлов Excel.
Недостаток в Spreadsheet::ParseExcel вызван передачей непроверенных входных данных из файла в строковый тип «eval». В частности, проблема связана с оценкой строк числового формата в логике синтаксического анализа Excel.
Вторая CVE-2023-7102 предназначена для баги в библиотеке, используемой в прошивке устройств Barracuda ESG Appliance, и отслеживается как отдельная ошибка.
После того, как UNC4841 успешно проэксплутировал уязвимость, Barracuda обнаружила новые варианты вредоносного ПО SEASPY и SALTWATER, развернутые на ограниченном количестве устройств ESG.
После чего 22 декабря 2023 года Barracuda развернула патч для исправления взломанных устройств ESG, на которых были обнаружены признаки компрометации, связанные с недавно выявленными вариантами вредоносного ПО.
В то время как Barracuda ограничила функциональность библиотеки в своем устройстве ESG, основная CVE-2023-7101 в затронутой библиотеке с открытым исходным кодом остается без исправления.
Организациям, использующим Spreadsheet::ParseExcel в своих решениях, рекомендуется изучить CVE-2023-7101 и незамедлительно принять необходимые меры по исправлению.
Что касается новой кампании уже известного актора, то среди специалистов бытует мнение о том, что в распоряжении APT на самом деле еще припасены другие 0-day, которые будут использоваться достаточно осторожно в атаках на крупные цели, аналогично наблюдавшемуся инциденту с правительством Австралии.
Google Cloud Blog
Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868) | Mandiant | Google Cloud Blog
Не прошло и года после взлома Rockstar Games, как в сети появились исходники Grand Theft Auto 5.
Видимо переговоры зашли в тупик или хакеры просто забили, но факт остается фактом и утечка уже в сети.
Напомним, Rockstar Games был взломан в 2022 году членами хакерской группы Lapsus$, которые получили доступ к внутреннему серверу Slack компании и Confluence wiki.
Все же, тогда злоумышленники не врали, когда утверждали, что украли исходный код GTA 5 и тестовую сборку GTA 6.
Ссылки на скачивание были размещены на многих площадках, включая Discord, Telegram и на теневых ресурсах, которые хакеры использовали для слива утечек.
В телеге некто Phil опубликовал ссылки на украденный исходный код, поделившись скриншотом одной из папок на своем канале и поблагодарил хакера из Lapsus$.
Вероятно, за барыш с Rocksta договориться не получилось и мотивацией злоумышленников стала монетизация читов для игры, на которую повелось не мало любителей GTA.
Специалисты уже оценили утечку, которая выглядит более чем легитимно, но от официальных заявлений отказались поскольку ждут официальных комментариев от Rockstar.
Видимо переговоры зашли в тупик или хакеры просто забили, но факт остается фактом и утечка уже в сети.
Напомним, Rockstar Games был взломан в 2022 году членами хакерской группы Lapsus$, которые получили доступ к внутреннему серверу Slack компании и Confluence wiki.
Все же, тогда злоумышленники не врали, когда утверждали, что украли исходный код GTA 5 и тестовую сборку GTA 6.
Ссылки на скачивание были размещены на многих площадках, включая Discord, Telegram и на теневых ресурсах, которые хакеры использовали для слива утечек.
В телеге некто Phil опубликовал ссылки на украденный исходный код, поделившись скриншотом одной из папок на своем канале и поблагодарил хакера из Lapsus$.
Вероятно, за барыш с Rocksta договориться не получилось и мотивацией злоумышленников стала монетизация читов для игры, на которую повелось не мало любителей GTA.
Специалисты уже оценили утечку, которая выглядит более чем легитимно, но от официальных заявлений отказались поскольку ждут официальных комментариев от Rockstar.
Sportskeeda
GTA 5 source code leaks online, giving Rockstar a huge blow on Christmas: Report
After Insomniac Games’ recent leak, the GTA 5 developer Rockstar Games was targeted next by leakers.