В компоненте пользовательского интерфейса проекта с открытым исходным кодом Tornado Cash, реализующим службу микширования криптовалют, был обнаружен вредоносный бэкдор.
Кодовая база Tornado Cash, как известно, легла в основу оригинального сервиса микширования криптовалют Tornado Cash, который стартовал в начале 2020-х годов и стал чрезвычайно популярен среди преступных группировок, включая и северокорейских АРТ.
Сервис использовался достаточно активно для отмывания и сокрытия происхождения средств, украденных ими с криптовалютных платформ, а также прочих нетрудовых криптозаработков.
В связи с чем, конечно же, угодил в немилость и в 2022 году правительство СШАввело санкции в отношении Tornado Cash, а его разработчиков обвинили в отмывании денег и нарушении санкций.
После санкций веб-сайт Tornado Cash прекратил работу, однако кодовая база продолжала существовать отдельно и применялась для размещения новых теневых сервисов микширования.
Правда, и тут не все гладко. Внедренный бэкдор, как выяснилось, использовался в реальных условиях для захвата активов, хранящихся в установках Tornado Cash.
По все видимости, вредоносный код был добавлен в проект одним из его разработчиков и работает путем отправки копий депозитных векселей на сторонний сервер.
Депозитные банкноты, также называемые депозитными сертификатами, работают как закрытые ключи для средств, помещенных в миксер, и могут использоваться для повторного доступа к активам после их смешивания.
Бэкдор был обнаружен исследователем, известным как Gas404, и затем подтвержден Ю Сянем, основателем компании по безопасности блокчейна SlowMist.
Предполагается, что все серверы Tornado Cash, развернутые в сети IPFS с начала года, затронуты. Но в виду теневого характера серверов в настоящее время пока неясно, сколько средств было украдено.
Кидалово конечно присутствует, однако жертвы вряд ли заявят о себе. Тем не менее будем посмотреть.
Кодовая база Tornado Cash, как известно, легла в основу оригинального сервиса микширования криптовалют Tornado Cash, который стартовал в начале 2020-х годов и стал чрезвычайно популярен среди преступных группировок, включая и северокорейских АРТ.
Сервис использовался достаточно активно для отмывания и сокрытия происхождения средств, украденных ими с криптовалютных платформ, а также прочих нетрудовых криптозаработков.
В связи с чем, конечно же, угодил в немилость и в 2022 году правительство СШАввело санкции в отношении Tornado Cash, а его разработчиков обвинили в отмывании денег и нарушении санкций.
После санкций веб-сайт Tornado Cash прекратил работу, однако кодовая база продолжала существовать отдельно и применялась для размещения новых теневых сервисов микширования.
Правда, и тут не все гладко. Внедренный бэкдор, как выяснилось, использовался в реальных условиях для захвата активов, хранящихся в установках Tornado Cash.
По все видимости, вредоносный код был добавлен в проект одним из его разработчиков и работает путем отправки копий депозитных векселей на сторонний сервер.
Депозитные банкноты, также называемые депозитными сертификатами, работают как закрытые ключи для средств, помещенных в миксер, и могут использоваться для повторного доступа к активам после их смешивания.
Бэкдор был обнаружен исследователем, известным как Gas404, и затем подтвержден Ю Сянем, основателем компании по безопасности блокчейна SlowMist.
Предполагается, что все серверы Tornado Cash, развернутые в сети IPFS с начала года, затронуты. Но в виду теневого характера серверов в настоящее время пока неясно, сколько средств было украдено.
Кидалово конечно присутствует, однако жертвы вряд ли заявят о себе. Тем не менее будем посмотреть.
͏Исследователи F.A.C.C.T. представили аналитический отчет «Киберпреступность в России и СНГ. Анализ, тренды, прогнозы. 2023–2024 гг».
Авторы отчета отмечают, что в прошлом году большинство кибератак не были связаны с получением финансовой выгоды, это были политически мотивированные акции: диверсии, уничтожение данных и шпионаж.
В поле зрения исследователей попала деятельность 14 АРТ, отметившихся на территории исследования. При этом 28 атак были направлены против России, 6 – против Азербайджана, и по 4 — против Беларуси, Киргизии и Казахстана.
Количество инцидентов с использованием ransomware и требованиями выкупа выросло на 160%. При этом появились группы двойного назначения, преследующие как финансовые, так и политические мотивы.
В топ вредоносного ПО, которое распространялось посредством рассылок, вошли шпионская Agent Teslaа также стилеры FormBookFormgrabber и Loki PWS.
Больше всего вредоносных фишинговых писем поступало по вторникам, меньше – в воскресенье.
В числе самых активных групп, орудующих в России и странах СНГ, оказались операторы DarkWatchman RAT.
Скомпрометированные данные, полученные при помощи стилеров, преступники все чаще добывают в облаках логов – закрытых Telegram-каналах или даркнете. Всего в прошлом году было выявлено 300 таких облаков.
Количество скомпрометированных хостов – рабочих станций, компьютеров, где с использованием стилера была скомпрометирована учетная запись как минимум одной крупной финансовой организации, увеличилось за год более чем в пять раз – с 496 до 2282.
В целом, отчет можно рассматривать как наиболее полный и свежий источник стратегических и тактических данных об актуальных для нашей страны киберугрозах.
Ознакомиться с исследованием можно на сайте F.A.C.C.T.
Авторы отчета отмечают, что в прошлом году большинство кибератак не были связаны с получением финансовой выгоды, это были политически мотивированные акции: диверсии, уничтожение данных и шпионаж.
В поле зрения исследователей попала деятельность 14 АРТ, отметившихся на территории исследования. При этом 28 атак были направлены против России, 6 – против Азербайджана, и по 4 — против Беларуси, Киргизии и Казахстана.
Количество инцидентов с использованием ransomware и требованиями выкупа выросло на 160%. При этом появились группы двойного назначения, преследующие как финансовые, так и политические мотивы.
В топ вредоносного ПО, которое распространялось посредством рассылок, вошли шпионская Agent Teslaа также стилеры FormBookFormgrabber и Loki PWS.
Больше всего вредоносных фишинговых писем поступало по вторникам, меньше – в воскресенье.
В числе самых активных групп, орудующих в России и странах СНГ, оказались операторы DarkWatchman RAT.
Скомпрометированные данные, полученные при помощи стилеров, преступники все чаще добывают в облаках логов – закрытых Telegram-каналах или даркнете. Всего в прошлом году было выявлено 300 таких облаков.
Количество скомпрометированных хостов – рабочих станций, компьютеров, где с использованием стилера была скомпрометирована учетная запись как минимум одной крупной финансовой организации, увеличилось за год более чем в пять раз – с 496 до 2282.
В целом, отчет можно рассматривать как наиболее полный и свежий источник стратегических и тактических данных об актуальных для нашей страны киберугрозах.
Ознакомиться с исследованием можно на сайте F.A.C.C.T.
Как мы и предполагали, силовой удар по империи LockBit, конечно, был ощутим, но не привел к желаемым целям: спустя неделю банда возобновила свою RaaS, угрожая на этот раз сосредоточить больше усилий на объектах госсектора.
Свое возвращение LockBit сопроводили пространными объяснениями и извинениями за личная халатность и безответственность, которые привели к последствиям операции Cronos и взлому ФБР двух главных серверов под управлением PHP 8.1.2, вероятно, с использованием критической CVE-2023-3824.
LockBit обновили PHP-сервер и обещают вознаграждение любому, кто обнаружит уязвимость в последней версии. Новый сайт DLS уже функционирует и включает пять новых жертв.
Рассуждая о том, что побудило ФБР взломать их инфраструктуру, LockBit указывают на январскую атаку в отношении округа Фултона, в результате которой был создан риск серьезной утечки с «множеством интересных вещей и судебных дел Дональда Трампа».
LockBit планирует повысить безопасность инфраструктуры и перейти на ручной выпуск расшифровщиков, а также разместить партнерскую панель на нескольких серверах, предоставив операторам доступ к различным копиям в зависимости от уровня доверия.
Что же касается финансов, через попавшие в поле зрения спецслужб более 500 активных криптоадресов LockBit за последние 18 месяцев провернула более 125 млн. дол., полученных в качестве выкупа (а точнее - лишь 20%-ая комиссия).
Причем почти 110 млн. не были обналичены и оставались на балансе.
Смекнув, что запас пиара заканчивается, а суровые ransomware-будни новых инцидентов маячат на горизонте, инициаторы Cronos вкинули инфу о привлечении LockBitSupp к сотрудничеству с властями.
Однако сами хакеры в разговоре с VX-Underground опровергли подобные утверждения и многие из исследователей разделяют их позицию, ведь разглашение сведений по информаторам бьет по репутации, прежде всего, самих спецслужб-кураторов.
Но в кейсе с LockBit примечательно другое.
Привлеченные к операции исследователи Trend Micro сообщают об обнаружении разработки бандой новой версии вредоносного ПО для шифрования файлов, получившей название LockBit-NG-Dev, которая дальнейшем должна стать LockBit 4.0.
В то время как предыдущая вредоносная ПО LockBit основывалась на C/C++, последний образец представляет собой незавершенную работу, написанную на .NET, которая, судя по всему, скомпилирована с помощью CoreRT и упакована с помощью MPRESS.
Она поддерживает три режима шифрования (с использованием AES+RSA), а именно «быстрый», «прерывистый» и «полный», имеет пользовательское исключение файлов или каталогов и может рандомизировать имена файлов, чтобы усложнить восстановление.
Дополнительные параметры включают механизм самоудаления, который перезаписывает содержимое файла LockBit нулевыми байтами.
Полные параметры конфигурации LockBit-NG-Dev представлены Trend Micro в углубленном техническом анализе.
Свое возвращение LockBit сопроводили пространными объяснениями и извинениями за личная халатность и безответственность, которые привели к последствиям операции Cronos и взлому ФБР двух главных серверов под управлением PHP 8.1.2, вероятно, с использованием критической CVE-2023-3824.
LockBit обновили PHP-сервер и обещают вознаграждение любому, кто обнаружит уязвимость в последней версии. Новый сайт DLS уже функционирует и включает пять новых жертв.
Рассуждая о том, что побудило ФБР взломать их инфраструктуру, LockBit указывают на январскую атаку в отношении округа Фултона, в результате которой был создан риск серьезной утечки с «множеством интересных вещей и судебных дел Дональда Трампа».
LockBit планирует повысить безопасность инфраструктуры и перейти на ручной выпуск расшифровщиков, а также разместить партнерскую панель на нескольких серверах, предоставив операторам доступ к различным копиям в зависимости от уровня доверия.
Что же касается финансов, через попавшие в поле зрения спецслужб более 500 активных криптоадресов LockBit за последние 18 месяцев провернула более 125 млн. дол., полученных в качестве выкупа (а точнее - лишь 20%-ая комиссия).
Причем почти 110 млн. не были обналичены и оставались на балансе.
Смекнув, что запас пиара заканчивается, а суровые ransomware-будни новых инцидентов маячат на горизонте, инициаторы Cronos вкинули инфу о привлечении LockBitSupp к сотрудничеству с властями.
Однако сами хакеры в разговоре с VX-Underground опровергли подобные утверждения и многие из исследователей разделяют их позицию, ведь разглашение сведений по информаторам бьет по репутации, прежде всего, самих спецслужб-кураторов.
Но в кейсе с LockBit примечательно другое.
Привлеченные к операции исследователи Trend Micro сообщают об обнаружении разработки бандой новой версии вредоносного ПО для шифрования файлов, получившей название LockBit-NG-Dev, которая дальнейшем должна стать LockBit 4.0.
В то время как предыдущая вредоносная ПО LockBit основывалась на C/C++, последний образец представляет собой незавершенную работу, написанную на .NET, которая, судя по всему, скомпилирована с помощью CoreRT и упакована с помощью MPRESS.
Она поддерживает три режима шифрования (с использованием AES+RSA), а именно «быстрый», «прерывистый» и «полный», имеет пользовательское исключение файлов или каталогов и может рандомизировать имена файлов, чтобы усложнить восстановление.
Дополнительные параметры включают механизм самоудаления, который перезаписывает содержимое файла LockBit нулевыми байтами.
Полные параметры конфигурации LockBit-NG-Dev представлены Trend Micro в углубленном техническом анализе.
X (formerly Twitter)
vx-underground (@vxunderground) on X
On Monday when the Lockbit ransomware group website was seized by FBI, NCA UK, and EUROPOL, they made a post titled "Who is Lockbitsupp?" - this post indicated that law enforcement could potentially unveil key leadership behind the organization.
During the…
During the…
Исследователи Cybereason представили весьма неутешительную аналитику по ransomware-иницидентам с реальной статистикой по платежам.
В основу исследования лег достаточно широкий опрос, в котором приняли участие более 1000 корпоративных ИТ и ИБ специалистов.
Если кратко, то по результатам почти все респонденты сообщили о том, что пострадали от нарушений безопасности за последние два года. Причем 56% не могли обнаружить нарушения в течение 3-12 месяцев.
84% респондентов в конечном итоге заплатили злоумышленникам требуемый выкуп. При том, что впоследствии 78% подверглись новым вторжениям, и 63% из них во второй раз пришлось заплатить, но уже большие суммы.
Только 47% заявили, что получили свои данные и восстановили услуги, но затем 82 % респондентов пострадали вновь в течение года.
46% оценивают общие коммерческие потери в 1–10 миллионов долларов, а 16% оценивают общие коммерческие потери в более чем 10 миллионов долларов.
Хотя 87% организаций увеличили расходы на ИБ, и только 41% считают, что у них есть ресурсы и планы на реагирование по новым атакам.
Все цифры с мнениями экспертов и практическими рекомендациями для решения подобных проблем представлены в расширенном отчете.
В основу исследования лег достаточно широкий опрос, в котором приняли участие более 1000 корпоративных ИТ и ИБ специалистов.
Если кратко, то по результатам почти все респонденты сообщили о том, что пострадали от нарушений безопасности за последние два года. Причем 56% не могли обнаружить нарушения в течение 3-12 месяцев.
84% респондентов в конечном итоге заплатили злоумышленникам требуемый выкуп. При том, что впоследствии 78% подверглись новым вторжениям, и 63% из них во второй раз пришлось заплатить, но уже большие суммы.
Только 47% заявили, что получили свои данные и восстановили услуги, но затем 82 % респондентов пострадали вновь в течение года.
46% оценивают общие коммерческие потери в 1–10 миллионов долларов, а 16% оценивают общие коммерческие потери в более чем 10 миллионов долларов.
Хотя 87% организаций увеличили расходы на ИБ, и только 41% считают, что у них есть ресурсы и планы на реагирование по новым атакам.
Все цифры с мнениями экспертов и практическими рекомендациями для решения подобных проблем представлены в расширенном отчете.
Cybereason
Ransomware The True Cost to Business 2024 | Report
A global study on Ransomware Business Impact, including CEO insights, top motivations to pay, the evolution of ransomops, ransomware's impact on security budgets, and more.
Всегда была у нас надежда, что кроме Гашека, Pz.38(t) и пива, чехи сделают еще что-нибудь хорошее. Например, Avast.
Но надежды не оправдались, не сделали.
Ведь если даже закрыть глаза на то, что самого инфосек-вендора хакеры взламывали в 2019, в 2023 CL0p’ы покрошили принадлежащую ей Piriform Software (разработчик CCleaner), а в в движке JavaScript их продукта в 2020 нашлась зияющая дыра, то скандал с продажей клиентских данных дочерней Jumpshot забыть не получится.
Причем не получилось не только у нас, но и у подавшего на нее коллективный иск голландского фонда Consumers United in Court, выкатившего крупнейший штраф в 13,7 млн. евро испанского Агентства по защите данных.
А теперь еще и у Федеральной торговой комиссии США (FTC).
Росчерком пера американский регулятор обязал Avast выплатить 16,5 миллиона долларов штрафа за слежку в отношении пользователей в период с 2014 по 2020 гг.
Обещая защищать конфиденциальность, на деле инфосек-вендор вводил пользователей в заблуждение, приторговывая через дочернюю британскую компанию их данными, полученными в ходе работы Avast'овского антивируса на компьютерах жертв аферы.
Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов, включая и ресурсы для взрослых.
Кстати, помимо заработка на пользователях антивируса дельцы из Avast’а, по всей видимости генерили прибыль, наживаясь на жертвах Rhysida из числа своих клиентов.
Как стало известно, расшифровщиком исследователи поделились с общественностью лишь после того, как аналогичный скрипт совершенно бесплатно выпустили южнокорейские ученые.
Что тут можно сказать? Поведение Avast, безусловно, крысиное.
И не нужно повторять то, что мы в принципе всегда знали ☝️
Но надежды не оправдались, не сделали.
Ведь если даже закрыть глаза на то, что самого инфосек-вендора хакеры взламывали в 2019, в 2023 CL0p’ы покрошили принадлежащую ей Piriform Software (разработчик CCleaner), а в в движке JavaScript их продукта в 2020 нашлась зияющая дыра, то скандал с продажей клиентских данных дочерней Jumpshot забыть не получится.
Причем не получилось не только у нас, но и у подавшего на нее коллективный иск голландского фонда Consumers United in Court, выкатившего крупнейший штраф в 13,7 млн. евро испанского Агентства по защите данных.
А теперь еще и у Федеральной торговой комиссии США (FTC).
Росчерком пера американский регулятор обязал Avast выплатить 16,5 миллиона долларов штрафа за слежку в отношении пользователей в период с 2014 по 2020 гг.
Обещая защищать конфиденциальность, на деле инфосек-вендор вводил пользователей в заблуждение, приторговывая через дочернюю британскую компанию их данными, полученными в ходе работы Avast'овского антивируса на компьютерах жертв аферы.
Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов, включая и ресурсы для взрослых.
Кстати, помимо заработка на пользователях антивируса дельцы из Avast’а, по всей видимости генерили прибыль, наживаясь на жертвах Rhysida из числа своих клиентов.
Как стало известно, расшифровщиком исследователи поделились с общественностью лишь после того, как аналогичный скрипт совершенно бесплатно выпустили южнокорейские ученые.
Что тут можно сказать? Поведение Avast, безусловно, крысиное.
И не нужно повторять то, что мы в принципе всегда знали ☝️
404 Media
FTC Fines Avast $16.5 Million For Selling Browsing Data Harvested by Antivirus
I previously revealed that Jumpshot, part of the cybersecurity company Avast, was selling products based on users’ browsing data harvested by its antivirus software. Now the FTC has issued a multimillion dollar fine in response.
Хакеры продолжают топить немецкую промышленность, которая благодаря усилиям правительства Шольца и без того переживает трудные времена.
На этот раз под натиском оказался сталелитейный гигант ThyssenKrupp, руководство которого уже подтвердило атаку, по всей видимости с использованием ransomware, отключив ИТ-системы.
ThyssenKrupp AG - это один из крупнейших в мире производителей стали со штатом более 100 000 человек и годовым доходом в 44,4 миллиарда долларов.
Компания является важнейшим компонентом глобальной цепочки поставок продукции в различных производственных секторах, в которой в качестве материала используется сталь.
В своем заявлении ThyssenKrupp сообщает, что на прошлой неделе она подверглась кибератаке, затронувшей ее подразделение ThyssenKrupp Automotive Body Solutions по производству автомобильных кузовов.
Automotive Body Solutions смогла распознать инцидент на ранней стадии и с тех пор работает над сдерживанием угрозы и локализацией последствий. При этом ThyssenKrupp уточнила, что никакие другие бизнес-подразделения или сегменты не пострадали.
Немецкое новостное издание Saarbruecker Zeitung сообщает, что атака непосредственно повлияла на завод ThyssenKrupp в Сааре, на котором трудится более тысячи специалистов.
Предприятие занимается производством и обработкой стали, а также исследованиями и разработками, включая сотрудничество с отраслевыми партнерами, исследовательскими институтами и университетами.
Учитывая, что быть в роли жертвы ThyssenKrupp не впервой (ранее неоднократно оказывалась под прицелом хакеров, в том числе в 2022, 2020, 2016 и 2013), многие реальные подробности мы вряд ли узнаем.
Уверены на этот случай у немцев уже припасена методичка.
Но будем посмотреть.
На этот раз под натиском оказался сталелитейный гигант ThyssenKrupp, руководство которого уже подтвердило атаку, по всей видимости с использованием ransomware, отключив ИТ-системы.
ThyssenKrupp AG - это один из крупнейших в мире производителей стали со штатом более 100 000 человек и годовым доходом в 44,4 миллиарда долларов.
Компания является важнейшим компонентом глобальной цепочки поставок продукции в различных производственных секторах, в которой в качестве материала используется сталь.
В своем заявлении ThyssenKrupp сообщает, что на прошлой неделе она подверглась кибератаке, затронувшей ее подразделение ThyssenKrupp Automotive Body Solutions по производству автомобильных кузовов.
Automotive Body Solutions смогла распознать инцидент на ранней стадии и с тех пор работает над сдерживанием угрозы и локализацией последствий. При этом ThyssenKrupp уточнила, что никакие другие бизнес-подразделения или сегменты не пострадали.
Немецкое новостное издание Saarbruecker Zeitung сообщает, что атака непосредственно повлияла на завод ThyssenKrupp в Сааре, на котором трудится более тысячи специалистов.
Предприятие занимается производством и обработкой стали, а также исследованиями и разработками, включая сотрудничество с отраслевыми партнерами, исследовательскими институтами и университетами.
Учитывая, что быть в роли жертвы ThyssenKrupp не впервой (ранее неоднократно оказывалась под прицелом хакеров, в том числе в 2022, 2020, 2016 и 2013), многие реальные подробности мы вряд ли узнаем.
Уверены на этот случай у немцев уже припасена методичка.
Но будем посмотреть.
Saarbrücker Zeitung
Unternehmen äußert sich: Hacker-Angriff auf Thyssenkrupp – Werk mit 1000 Mitarbeitern im Saarland betroffen
Ein Hacker-Angriff auf den Stahlhersteller und Automobilzulieferer Thyssenkrupp beeinflusst dort aktuell in Teilen die Arbeit. Das bestätigte das Unternehmen am Freitag. Betroffen ist auch ein Werk im Saarland.
Wordfence предупреждают о критической уязвимости SQL-инъекции с CVSS 9,8 из 10 в плагине WordPress Ultimate Member, который имеет более 200 000 активных установок.
Согласно формулировке Defiant, уязвимость, отслеживаемая как CVE-2024-1071, может быть использована неаутентифицированными злоумышленниками для извлечения конфиденциальной нформации из баз данных.
По данным Defiant, ошибка существует из-за небезопасной реализации функций запросов пользователей, в результате чего функция очистки текста не может защитить от атак SQL-инъекций.
Исследователи компании также обнаружили, что структура запроса позволяет злоумышленникам использовать только слепой подход, основанный на времени, используя SQL CASE и команду сна, наблюдая при этом время ответа на запросы о краже информации.
Хотя это и сложный, но зачастую успешный метод получения информации из базы данных при использовании уязвимостей SQL-инъекций.
Однако уязвимость можно использовать только в том случае, если в плагине активна опция «Включить пользовательскую таблицу для метаданных пользователя».
В связи с чем, не все пользователи плагина будут по своей сути уязвимы, но не стоит забывать, что злоумышленники достаточно продвинуты и могут объединить уязвимости в плагинах для достижения полного захвата сайта.
Ошибка была устранена 19 февраля в новой версии Ultimate Member 2.8.3. За ответственное раскрытие уязвимости исследователь получил вознаграждение в размере 2063 долларов США.
Пользователям Ultimate Member рекомендуется как можно скорее обновиться до исправленной версии, поскольку Defiant заявляет, что уже фиксирует попытки использовать эту ошибку.
Согласно формулировке Defiant, уязвимость, отслеживаемая как CVE-2024-1071, может быть использована неаутентифицированными злоумышленниками для извлечения конфиденциальной нформации из баз данных.
По данным Defiant, ошибка существует из-за небезопасной реализации функций запросов пользователей, в результате чего функция очистки текста не может защитить от атак SQL-инъекций.
Исследователи компании также обнаружили, что структура запроса позволяет злоумышленникам использовать только слепой подход, основанный на времени, используя SQL CASE и команду сна, наблюдая при этом время ответа на запросы о краже информации.
Хотя это и сложный, но зачастую успешный метод получения информации из базы данных при использовании уязвимостей SQL-инъекций.
Однако уязвимость можно использовать только в том случае, если в плагине активна опция «Включить пользовательскую таблицу для метаданных пользователя».
В связи с чем, не все пользователи плагина будут по своей сути уязвимы, но не стоит забывать, что злоумышленники достаточно продвинуты и могут объединить уязвимости в плагинах для достижения полного захвата сайта.
Ошибка была устранена 19 февраля в новой версии Ultimate Member 2.8.3. За ответственное раскрытие уязвимости исследователь получил вознаграждение в размере 2063 долларов США.
Пользователям Ultimate Member рекомендуется как можно скорее обновиться до исправленной версии, поскольку Defiant заявляет, что уже фиксирует попытки использовать эту ошибку.
Wordfence
$2,063 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in Ultimate Member WordPress Plugin
🎉 Did you know we’re running a Bug Bounty Extravaganza again? Earn over 6x our usual bounty rates, up to $10,000, for all vulnerabilities submitted through February 29th, 2024 when you opt to have Wordfence handle responsible disclosure! On January 30th,…
Исследователи из Лаборатории Касперского сообщают о возросшей в 2023 году активности вредоносного и нежелательного ПО для Android, вернувшейся к уровню начала 2021 после относительного затишья.
Обновленную статистику Kaspersky Security Network представили в своем отчете по мобильной вирусологии.
Благодаря решениям ЛК в 2023 удалось предотвратить почти 33,8 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
При этом число уникальных установочных пакетов снизилось относительно 2022 года, что говорит о том, что злоумышленники значительно активнее, чем раньше, использовали одни и те же пакеты для заражения разных жертв.
Традиционно атакующие продолжили распространять вредоносные ПО через официальные магазины приложений, такие как Google Play.
Например, в магазине был замечен Trojan.AndroidOS.Agent.wr, маскирующийся под файловый менеджер и реализующий reverse proxy с рекламой.
Кроме того, официальные и сторонние площадки заполонили поддельные инвестиционные приложения для сбора пользовательских данных с помощью социнженерии, которые впоследствии утекали телефонным мошенникам.
Серьезную угрозу в 2023 представляли вредоносные модификации для популярных мессенджеров WhatsApp и Telegram, нацеленные на хищение данных ничего не подозревающих пользователей.
Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare) — 40,8% от всех обнаруженных угроз. Наиболее популярное семейство рекламного ПО - MobiDash (35,2%), за ним следуют Adlo (9,4%) и HiddenAd (9%).
При этом стоит отметить, что значительно уменьшилась активность вредоносного ПО типа Trojan-SMS, а в список самых распространенных вредоносных ПО вошли многие семейства, которых не было в двадцатке предыдущего года.
Что же касается географической привязки, то пользователи из Турции в 2023 году столкнулись с самым большим разнообразием угроз.
В их числе оказались разные модификации банковских троянцев BrowBot, GodFather и Sova, шпионы SmsThief.tp, SMS-троянцы Fakeapp.e и бэкдор Tambir.
Несколько специализированных угроз действовало и в Бразилии: здесь были активны банковские троянцы Banbra и Brats.
Преимущественно в Индонезии распространялись шпионы SmsThief и SmsEye, а на пользователях из Таиланда специализировался Fakeapp.g.
Общее число атак банковских троянцев осталось на уровне предыдущего года, несмотря на некоторое уменьшение числа уникальных установочных пакетов. По новым установочным пакетам вымогателей - зафиксирован небольшой рост.
Троянец Rasket (52,39%) вышел на первое место по числу атак среди других троянцев такого же типа, потеснив Pigertl (22,30%). Остальные строчки привычно занимают различные модификации давно известных Rkor, Congur, Small, Svpeng.
Обновленную статистику Kaspersky Security Network представили в своем отчете по мобильной вирусологии.
Благодаря решениям ЛК в 2023 удалось предотвратить почти 33,8 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
При этом число уникальных установочных пакетов снизилось относительно 2022 года, что говорит о том, что злоумышленники значительно активнее, чем раньше, использовали одни и те же пакеты для заражения разных жертв.
Традиционно атакующие продолжили распространять вредоносные ПО через официальные магазины приложений, такие как Google Play.
Например, в магазине был замечен Trojan.AndroidOS.Agent.wr, маскирующийся под файловый менеджер и реализующий reverse proxy с рекламой.
Кроме того, официальные и сторонние площадки заполонили поддельные инвестиционные приложения для сбора пользовательских данных с помощью социнженерии, которые впоследствии утекали телефонным мошенникам.
Серьезную угрозу в 2023 представляли вредоносные модификации для популярных мессенджеров WhatsApp и Telegram, нацеленные на хищение данных ничего не подозревающих пользователей.
Самой распространенной угрозой для мобильных устройств стало рекламное ПО (AdWare) — 40,8% от всех обнаруженных угроз. Наиболее популярное семейство рекламного ПО - MobiDash (35,2%), за ним следуют Adlo (9,4%) и HiddenAd (9%).
При этом стоит отметить, что значительно уменьшилась активность вредоносного ПО типа Trojan-SMS, а в список самых распространенных вредоносных ПО вошли многие семейства, которых не было в двадцатке предыдущего года.
Что же касается географической привязки, то пользователи из Турции в 2023 году столкнулись с самым большим разнообразием угроз.
В их числе оказались разные модификации банковских троянцев BrowBot, GodFather и Sova, шпионы SmsThief.tp, SMS-троянцы Fakeapp.e и бэкдор Tambir.
Несколько специализированных угроз действовало и в Бразилии: здесь были активны банковские троянцы Banbra и Brats.
Преимущественно в Индонезии распространялись шпионы SmsThief и SmsEye, а на пользователях из Таиланда специализировался Fakeapp.g.
Общее число атак банковских троянцев осталось на уровне предыдущего года, несмотря на некоторое уменьшение числа уникальных установочных пакетов. По новым установочным пакетам вымогателей - зафиксирован небольшой рост.
Троянец Rasket (52,39%) вышел на первое место по числу атак среди других троянцев такого же типа, потеснив Pigertl (22,30%). Остальные строчки привычно занимают различные модификации давно известных Rkor, Congur, Small, Svpeng.
Securelist
Отчет «Лаборатории Касперского» о мобильных угрозах за 2023 год
Отчет содержит статистику и основные тренды, связанные с мобильным вредоносным ПО: троянцы в Google Play, вредоносные модификации мессенджеров и др.
Блэк SEO всегда будет в тренде и таргет на мертвые домены и поддомены, связанные с крупными брендами и популярными компаниями - далеко не новость.
Однако поражает воображение масштаб угрозы кампании SubdoMailing, в рамках которой были захвачены более 8000 доменов и 13000 субдоменов, принадлежащих легитимным брендам и учреждениям с целью распространения спама и монетизации кликов.
О проблеме рассказали исследователи из Guardio Labs, которые отслеживают скоординированную злонамеренную деятельность, как минимум с сентября 2022 года и приписывают ее ResurrecAds, уже известной своими манипуляциями с цифровой рекламной экосистемой из корыстных побуждений.
Как сообщают специалисты, злоумышленники управляют обширной инфраструктурой, охватывающей широкий спектр хостов, SMTP-серверов, IP-адресов и даже частных домашних подключений к интернет-провайдерам, наряду с множеством дополнительных собственных доменных имен.
Доверие, связанное с этими доменами, используется для распространения спама и злонамеренных фишинговых электронных писем по несколько миллионов каждый день, хитро используя их преимущество в обходе спам-фильтров и настроенных политик электронной почты SPF и DKIM.
В арсенале у злоумышленников имеются субдомены, связанные с такими крупными брендами и организациями, как ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF и VMware, среди прочих.
Кампания примечательна своей способностью обходить стандартные блокировки безопасности, причем весь текст письма представлен в виде изображения, дабы избежать текстовых спам-фильтров, однако, клик по которому инициирует серию перенаправлений через разные домены.
Причем, эти редиректы проверяют тип вашего устройства и географическое положение, ведя к контенту, с максимальной монетизацией.
Сценарии разнообразные, от раздражающей рекламы или партнерской ссылки до более обманных тактик, направленных на мошеннические викторины, фишинговые сайты или даже загрузки вредоносного ПО.
Вариантов защиты немного, но, чтобы хоть как-то идентифицировать угрозу, специалисты Guardio Labs создали сайт для проверки поддоменов, который позволяет владельцам доменов определить, подвергается ли их бренд злоупотреблениям.
Однако поражает воображение масштаб угрозы кампании SubdoMailing, в рамках которой были захвачены более 8000 доменов и 13000 субдоменов, принадлежащих легитимным брендам и учреждениям с целью распространения спама и монетизации кликов.
О проблеме рассказали исследователи из Guardio Labs, которые отслеживают скоординированную злонамеренную деятельность, как минимум с сентября 2022 года и приписывают ее ResurrecAds, уже известной своими манипуляциями с цифровой рекламной экосистемой из корыстных побуждений.
Как сообщают специалисты, злоумышленники управляют обширной инфраструктурой, охватывающей широкий спектр хостов, SMTP-серверов, IP-адресов и даже частных домашних подключений к интернет-провайдерам, наряду с множеством дополнительных собственных доменных имен.
Доверие, связанное с этими доменами, используется для распространения спама и злонамеренных фишинговых электронных писем по несколько миллионов каждый день, хитро используя их преимущество в обходе спам-фильтров и настроенных политик электронной почты SPF и DKIM.
В арсенале у злоумышленников имеются субдомены, связанные с такими крупными брендами и организациями, как ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF и VMware, среди прочих.
Кампания примечательна своей способностью обходить стандартные блокировки безопасности, причем весь текст письма представлен в виде изображения, дабы избежать текстовых спам-фильтров, однако, клик по которому инициирует серию перенаправлений через разные домены.
Причем, эти редиректы проверяют тип вашего устройства и географическое положение, ведя к контенту, с максимальной монетизацией.
Сценарии разнообразные, от раздражающей рекламы или партнерской ссылки до более обманных тактик, направленных на мошеннические викторины, фишинговые сайты или даже загрузки вредоносного ПО.
Вариантов защиты немного, но, чтобы хоть как-то идентифицировать угрозу, специалисты Guardio Labs создали сайт для проверки поддоменов, который позволяет владельцам доменов определить, подвергается ли их бренд злоупотреблениям.
Medium
“SubdoMailing” — Thousands of Hijacked Major-Brand Subdomains Found Bombarding Users With Millions of Malicious Emails
By Nati Tal, Oleg Zaytsev (Guardio Labs)
Раскрытые совсем недавно критические уязвимости ConnectWise ScreenConnect (CVE-2024-1708 и CVE-2024-1709), получившие наименование SlashAndGrab, стали экспулатироваться буквально на следующий день, а теперь и для доставки ransomware.
Причем по данным Huntress, SlashAndGrab использовался для доставки LockBit, Cobalt Strike, SSH-туннелей, инструментов удаленного управления и майнеров криптовалюты.
В числе жертв, выявленных компанией, оказались органы власти, системы экстренной помощи и организации в сфере здравоохранения.
В свою очередь, Sophos также сообщила, что ее исследователи наблюдали развертывание в скомпрометированных системах программы-вымогателя LockBit.
Причем уже после операции «Кронос», приведшей к захвату спецслужбами инфраструктуры банды.
Кроме того, Sophos фиксировались случаи доставки AsyncRAT, различных инфокрадов и ПО для удаленного доступа SimpleHelp.
И совсем свежая аналитика от Trend Micro указывает на то, что SlashAndGrab теперь в прицеле банды вымогателей BlackBasta и Bl00dy, которые реализуют уязвимости для взлома сетей и шифрования файлов.
Такими темпами SlashAndGrab рискует превзойти все достижения MOVEit 0-day, оттеняя попутно все недавние качели с Ivanti, но будем посмотреть.
Причем по данным Huntress, SlashAndGrab использовался для доставки LockBit, Cobalt Strike, SSH-туннелей, инструментов удаленного управления и майнеров криптовалюты.
В числе жертв, выявленных компанией, оказались органы власти, системы экстренной помощи и организации в сфере здравоохранения.
В свою очередь, Sophos также сообщила, что ее исследователи наблюдали развертывание в скомпрометированных системах программы-вымогателя LockBit.
Причем уже после операции «Кронос», приведшей к захвату спецслужбами инфраструктуры банды.
Кроме того, Sophos фиксировались случаи доставки AsyncRAT, различных инфокрадов и ПО для удаленного доступа SimpleHelp.
И совсем свежая аналитика от Trend Micro указывает на то, что SlashAndGrab теперь в прицеле банды вымогателей BlackBasta и Bl00dy, которые реализуют уязвимости для взлома сетей и шифрования файлов.
Такими темпами SlashAndGrab рискует превзойти все достижения MOVEit 0-day, оттеняя попутно все недавние качели с Ivanti, но будем посмотреть.
Trend Micro
Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities
This blog entry gives a detailed analysis of these recent ScreenConnect vulnerabilities. We also discuss our discovery of threat actor groups, including Black Basta and Bl00dy Ransomware gangs, that are actively exploiting CVE-2024-1708 and CVE-2024-1709…
Бизоны сообщают о новых атаках активной с 2023 года Mysterious Werewolf на военно-промышленного комплекса РФ с помощью бэкдора RingSpy, написанного на Python.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
Злоумышленники продолжают активно полагаться на фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD.
После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD с использованием уязвимости CVE-2023-38831 в WinRAR для доставки в скомпрометированную систему нового оригинального инструмента - RingSpy.
Вредоносное ПО стало заменой агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках.
RingSpy позволяет злоумышленнику удаленно выполнять команды, получать результат и скачивать файлы с сетевых ресурсов.
Mysterious Werewolf продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в Telegram.
Индикаторы компрометации и MITRE ATT&CK - в отчете.
BI.ZONE
Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy
Группировка использует фишинговую рассылку для первоначального доступа, а в ней — архив с исполняемым файлом, который доставляет в систему оригинальный бэкдор RingSpy для получения удаленного доступа
Исследователи Patchstack предупреждают об XSS-уязвимости, отслеживаемой как CVE-2023-40000, в плагине LiteSpeed Cache для WordPress.
LiteSpeed Cache - это популярный плагин кеширования в WordPress с более чем 5 миллионами активных установок.
Неаутентифицированный пользователь может использовать уязвимость для кражи конфиденциальной информации или повышения привилегий на сайте WordPress, выполнив всего лишь один HTTP-запрос.
Уязвимость затрагивает функцию update_cdn_status и и может быть воспроизведена при установке по умолчанию.
Основная проблема обусловлена тем, что код, обрабатывающий вводимые пользователем данные, не реализует очистку и экранирование вывода, что также сочетается с неправильным контролем доступа к одной из доступных конечных точек REST API из плагина.
Поскольку уязвимость связана с созданием значения HTML непосредственно из параметра тела POST для сообщения администратора, проблему можно решить, очистив ввод пользователя через esc_html непосредственно в затронутом параметре.
Кроме того, поставщик реализовал проверку разрешений для функции update_cdn_status, включая проверку хеша, чтобы ограничить доступ к функции исключительно привилегированным пользователям.
Уязвимость была устранена с выходом версии 5.7.0.1, при том последняя версия 6.1 выпущена 5 февраля 2024 года.
LiteSpeed Cache - это популярный плагин кеширования в WordPress с более чем 5 миллионами активных установок.
Неаутентифицированный пользователь может использовать уязвимость для кражи конфиденциальной информации или повышения привилегий на сайте WordPress, выполнив всего лишь один HTTP-запрос.
Уязвимость затрагивает функцию update_cdn_status и и может быть воспроизведена при установке по умолчанию.
Основная проблема обусловлена тем, что код, обрабатывающий вводимые пользователем данные, не реализует очистку и экранирование вывода, что также сочетается с неправильным контролем доступа к одной из доступных конечных точек REST API из плагина.
Поскольку уязвимость связана с созданием значения HTML непосредственно из параметра тела POST для сообщения администратора, проблему можно решить, очистив ввод пользователя через esc_html непосредственно в затронутом параметре.
Кроме того, поставщик реализовал проверку разрешений для функции update_cdn_status, включая проверку хеша, чтобы ограничить доступ к функции исключительно привилегированным пользователям.
Уязвимость была устранена с выходом версии 5.7.0.1, при том последняя версия 6.1 выпущена 5 февраля 2024 года.
Patchstack
XSS Vulnerability in LiteSpeed Cache Plugin - Patchstack
There is a vulnerability in the LiteSpeed Cache plugin - Unauth Site Wide Stored XSS in <= 5.7 affecting 4+ millions of sites.
Forwarded from Russian OSINT
Группа ученых из Флоридского университета опубликовала исследование, посвященное семейству атак с использованием беспроводных зарядок стандарта Qi, которое они назвали VoltSchemer.
Защититься от VoltSchemer не так уж сложно: достаточно не пользоваться публичными беспроводными зарядками и не подключать собственную беспроводную зарядку к подозрительным USB-портам и адаптерам питания.
Но, несмотря на то что атаки VoltSchemer весьма интересны и зрелищны, их практическая применимость крайне сомнительна. Во-первых, атаку очень сложно организовать. А во-вторых, не очень понятна потенциальная выгода для атакующего — разумеется, если он не маньяк-пироман.
А вот что это исследование демонстрирует, так это то, насколько в принципе опасны могут быть беспроводные зарядки — в особенности наиболее мощные модели. Так что избегать незнакомых беспроводных зарядок может оказаться и впрямь неплохой идеей. Взломать их вряд ли кто-то взломает, но вот опасность поджарить смартфон из-за «сошедшей с ума» и переставшей реагировать на команды зарядки вовсе не выглядит невероятной.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжается передел рынка поставщиков spyware и прочих технологии массовой слежки, контроль над которым и доминантную позицию все увереннее занимают США.
На этот раз под санкционный пресс Министерства торговли США попала канадская компания Sandvine, для чего поводом стал контракт с властями Египта.
В официальном пресс-релизе утверждается, что сетевое оборудование Sandvine использовалось для мониторинга и цензурирования Интернет-трафика в Египте и проведения атак на местных политических деятелей и правозащитников.
Sandvine Canada и пять ее дочерних компаний были добавлены в список BIS Министерства торговли, фигурантам которого запрещено продавать технологии Sandvine без лицензии правительства США.
Таким образом, Sandvine становится пятым поставщиком коммерческого ПО для наблюдения и шпионажа, включенным в этот список наряду с известными Candiru, NSO Group, Intellexa и Cytrox, попавшими под санкции в 2021 и 2023.
Sandvine была основана в 2001 году и славится своими решениями в области анализа сетевого трафика, обеспечивая возможность устранения перегрузок сети и глубокой проверки пакетов.
Проблемы у компании начали возникать еще в конце 2010-х годов, когда правозащитные группы и исследователи стали обвинять компанию в сотрудничестве с поборниками демократии.
В своем отчете за 2020 год Bloomberg сообщали, что оборудование Sandvine задействовано в интернет-цензуре в 15 странах — Алжире, Афганистане, Азербайджане, Египте, Эритрее, Иордании, Кувейте, Пакистане, Катаре, России, Судане, Таиланде, Турции, Объединенных Арабских Эмиратах и Узбекистане.
Кроме того, согласно отчету CitizenLab в сентябре прошлого года, возможности Sandvine использовались для доставки шпионского ПО Predator на телефон Ахмеда Эльтантави, члена парламента, участвовавшего в президентской кампании.
Причем по мнению CitizenLab, такой метод внедрения через Sandvine был аналогичен тому инциденту 2018 года в Турции для доставки шпионского ПО сотням пользователей.
Усилившееся давление также способствовало тому, что ей пришлось уйти из Белоруссии в 2020 году после сообщений о том, что оборудование Sandvine применялось в ходе выборной кампании.
Позже в 2023 году ее выдавили и с рынка США.
Вполне вероятно, что торговые ограничения в отношении Sandvine реализованы по аналогии се Sandvine исполчьи технологии и специалисты уже давно в самих штатах, но работают под новым брендом и новыми кураторами, а главное с новым портфелем заказов.
На этот раз под санкционный пресс Министерства торговли США попала канадская компания Sandvine, для чего поводом стал контракт с властями Египта.
В официальном пресс-релизе утверждается, что сетевое оборудование Sandvine использовалось для мониторинга и цензурирования Интернет-трафика в Египте и проведения атак на местных политических деятелей и правозащитников.
Sandvine Canada и пять ее дочерних компаний были добавлены в список BIS Министерства торговли, фигурантам которого запрещено продавать технологии Sandvine без лицензии правительства США.
Таким образом, Sandvine становится пятым поставщиком коммерческого ПО для наблюдения и шпионажа, включенным в этот список наряду с известными Candiru, NSO Group, Intellexa и Cytrox, попавшими под санкции в 2021 и 2023.
Sandvine была основана в 2001 году и славится своими решениями в области анализа сетевого трафика, обеспечивая возможность устранения перегрузок сети и глубокой проверки пакетов.
Проблемы у компании начали возникать еще в конце 2010-х годов, когда правозащитные группы и исследователи стали обвинять компанию в сотрудничестве с поборниками демократии.
В своем отчете за 2020 год Bloomberg сообщали, что оборудование Sandvine задействовано в интернет-цензуре в 15 странах — Алжире, Афганистане, Азербайджане, Египте, Эритрее, Иордании, Кувейте, Пакистане, Катаре, России, Судане, Таиланде, Турции, Объединенных Арабских Эмиратах и Узбекистане.
Кроме того, согласно отчету CitizenLab в сентябре прошлого года, возможности Sandvine использовались для доставки шпионского ПО Predator на телефон Ахмеда Эльтантави, члена парламента, участвовавшего в президентской кампании.
Причем по мнению CitizenLab, такой метод внедрения через Sandvine был аналогичен тому инциденту 2018 года в Турции для доставки шпионского ПО сотням пользователей.
Усилившееся давление также способствовало тому, что ей пришлось уйти из Белоруссии в 2020 году после сообщений о том, что оборудование Sandvine применялось в ходе выборной кампании.
Позже в 2023 году ее выдавили и с рынка США.
Вполне вероятно, что торговые ограничения в отношении Sandvine реализованы по аналогии се Sandvine исполчьи технологии и специалисты уже давно в самих штатах, но работают под новым брендом и новыми кураторами, а главное с новым портфелем заказов.
Если шутки про DDoS через зубные щетки остались шутками, то всерьез стоит обратить внимание на исследование Лаборатории Касперского в отношении уязвимостей умных игрушек, которые превращают девайс в чат-рулетку с детьми по всему миру.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
securelist.ru
Уязвимости детской обучающей игрушки-робота
Исследование безопасности детской обучающей игрушки-робота выявило уязвимости, позволяющие злоумышленнику перехватывать управление устройством и общаться с ребенком по видеосвязи.
Открыт новый набор на практические курсы по информационной безопасности INSECA.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Глубоко полюбившиеся бандам ransomware решения американской Progress Software вновь тренде угроз.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.