На фоне громогласных обвинений в адрес КНР в тотальном кибершпионаже и попыток навязать образ кибердиверсантов ученые Georgia Tech из США не стесняются заявлять о разработке аналога Stuxnet.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.
Задействование легитимного ПО для выполнения необходимых задач в ходе атаки далеко уже не новость особенно для тех, кто занимается реагированием на инциденты.
Такой подход позволяет избежать детектирования и минимизирует затраты на разработку ПО.
Сканирование сети, получение слепков памяти системных процессов, выгрузка данных, удаленный запуск файлов и даже шифрование дисков — все это может быть сделано с использованием доверенных программ.
Однако, как сообщают исследователи из Лаборатории Касперского, иногда атакующие находят весьма оригинальные способы применения не самых очевидных программ, как это было в случае с QEMU.
Обычно для подключения к атакованной инфраструктуре с целью развития атаки злоумышленники могут использовать заранее установленное вредоносное ПО или подключаться через доступные RDP-серверы или корпоративный VPN.
Кроме того, могут применяться и утилиты для сетевых туннелей (или «проброса» сетевых портов) между внутренними системами в корпоративной сети и серверами злоумышленников, что обеспечивает доступ к системам внутри, минуя NAT и межсетевые экраны.
Чаще всего, согласно статистике ЛК, злоумышленники использовали ngrok и FRP (наряду с Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox и nps), всего же подобные утилиты встречались в 10% от общего количества атак.
Но в ходе работы над инцидентом в одной крупной компании специалисты с толкнулись с нетипичой активностью.
Если с Angry IP Scanner и mimikatz все было очевидно, то использование QEMU (ПО для эмуляции аппаратного обеспечения различных платформ) вызвало вопросы.
Выяснилось, что запуск происходил без образа жесткого диска или LiveCD, с указанием в параметрах внешнего IP-адреса, что очень нетипично для этой ПО.
Причем сам адрес никак не был связанн с атакованной компанией, что привлекло еще больше внимания.
Изучая документацию, выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам.
Злоумышленники запускали на скомпрометированной системе «клиент», который подключался к их серверу и предоставлял доступ к корпоративной сети, внутри которой «клиент» работал.
Так что это еще один аргумент в пользу концепции многоуровневой (эшелонированной) защиты, которая включает в себя мониторинг активности в сети (NDR, NGFW) и на конечных устройствах (EDR, EPP).
Такой подход позволяет избежать детектирования и минимизирует затраты на разработку ПО.
Сканирование сети, получение слепков памяти системных процессов, выгрузка данных, удаленный запуск файлов и даже шифрование дисков — все это может быть сделано с использованием доверенных программ.
Однако, как сообщают исследователи из Лаборатории Касперского, иногда атакующие находят весьма оригинальные способы применения не самых очевидных программ, как это было в случае с QEMU.
Обычно для подключения к атакованной инфраструктуре с целью развития атаки злоумышленники могут использовать заранее установленное вредоносное ПО или подключаться через доступные RDP-серверы или корпоративный VPN.
Кроме того, могут применяться и утилиты для сетевых туннелей (или «проброса» сетевых портов) между внутренними системами в корпоративной сети и серверами злоумышленников, что обеспечивает доступ к системам внутри, минуя NAT и межсетевые экраны.
Чаще всего, согласно статистике ЛК, злоумышленники использовали ngrok и FRP (наряду с Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox и nps), всего же подобные утилиты встречались в 10% от общего количества атак.
Но в ходе работы над инцидентом в одной крупной компании специалисты с толкнулись с нетипичой активностью.
Если с Angry IP Scanner и mimikatz все было очевидно, то использование QEMU (ПО для эмуляции аппаратного обеспечения различных платформ) вызвало вопросы.
Выяснилось, что запуск происходил без образа жесткого диска или LiveCD, с указанием в параметрах внешнего IP-адреса, что очень нетипично для этой ПО.
Причем сам адрес никак не был связанн с атакованной компанией, что привлекло еще больше внимания.
Изучая документацию, выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам.
Злоумышленники запускали на скомпрометированной системе «клиент», который подключался к их серверу и предоставлял доступ к корпоративной сети, внутри которой «клиент» работал.
Так что это еще один аргумент в пользу концепции многоуровневой (эшелонированной) защиты, которая включает в себя мониторинг активности в сети (NDR, NGFW) и на конечных устройствах (EDR, EPP).
Securelist
Сетевой туннель с помощью… QEMU?
Во время работы над инцидентом мы обнаружили нетипичную активность злоумышленников. Анализ артефактов показал, что в ходе атаки они разместили в системе программу для эмуляции аппаратного обеспечения различных платформ QEMU.
С развитием генеративных систем искусственного интеллекта, таких как ChatGPT от OpenAI и Gemini от Google приходится сталкиваться и с новым витком угроз в области кибербезопасности.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
WIRED
Here Come the AI Worms
Security researchers created an AI worm in a test environment that can automatically spread between generative AI agents—potentially stealing data and sending spam emails along the way.
Forwarded from Social Engineering
• Вчера у нас освещалась очень интересная и актуальная тема, которую мы сегодня продолжим. Дело в том, что совсем недавно на хакерских форумах продавался весьма функциональный UEFI-буткит BlackLotus. Продавали его за каких-то 5000 баксов, но вскоре его исходники утекли и были опубликованы на GitHub.
• Учитывайте, что информация в этом посте предоставлена исключительно в рамках ознакомления и изучения проблем безопасности! Настоятельно рекомендую не нарушать законы и уважать права других людей.
• Переходим к описанию и необходимым ссылкам: буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Помимо этого BlackLotus способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). BlackLotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ.
• Изучить исходный код и найти более детальное описание можно на github: https://github.com/ldpreload/BlackLotus
• Поскольку теперь исходный код буткита стал доступен для всех желающих, не исключено, что с его помощью хакеры смогут создать более мощные вредоносы, способные обойти существующие и будущие меры противодействия таким угрозам.
• Подробный принцип работы:
- BlackLotus UEFI bootkit: Myth confirmed;
- The Untold Story of the BlackLotus UEFI Bootkit;
- BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатило экстренное обновление от Apple для iOS с исправлениями двух 0-day, которые использовались в целевых атаках на iPhone, связанных, по всей видимости, со spyware.
Число нулей в послужном списке за текущий год у Apple начинает пополняться, пока, конечно, до прошлогоднего рекорда в 20 еще далеко, но темп задан.
Новые ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296) и позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.
Компания заявляет, что устранила недостатки безопасности на устройствах под управлением iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6 с помощью улучшенной проверки ввода.
Список затронутых устройств Apple довольно таки обширен и включает в себя все линейки iPhone XS, iPhone 8, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го и 2-го поколений, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения (и новее).
Apple в свойственной манере не сообщила, кто стоит за раскрытием и не обнародовала информацию о характере и обстоятельствах атак с использованием 0-day.
Но несмотря на это настоятельно рекомендуется как можно скорее установить обновления.
Число нулей в послужном списке за текущий год у Apple начинает пополняться, пока, конечно, до прошлогоднего рекорда в 20 еще далеко, но темп задан.
Новые ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296) и позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.
Компания заявляет, что устранила недостатки безопасности на устройствах под управлением iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6 с помощью улучшенной проверки ввода.
Список затронутых устройств Apple довольно таки обширен и включает в себя все линейки iPhone XS, iPhone 8, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го и 2-го поколений, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения (и новее).
Apple в свойственной манере не сообщила, кто стоит за раскрытием и не обнародовала информацию о характере и обстоятельствах атак с использованием 0-day.
Но несмотря на это настоятельно рекомендуется как можно скорее установить обновления.
Apple Support
About the security content of iOS 17.4 and iPadOS 17.4
This document describes the security content of iOS 17.4 and iPadOS 17.4.
VMware выпустила исправления для четырех уязвимостей, затрагивающих ESXi, Workstation и Fusion, включая две критические уязвимости, которые могут привести к RCE.
CVE-2024-22252 и CVE-2024-22253 представляют собой ошибки использования после освобождения в USB-контроллере XHCI с оценкой CVSS 9,3 (для Workstation и Fusion) и 8,4 (для систем ESXi).
Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте.
Проблемы обнаружили и раскрыли исследователи Ant Group Light-Year и QiAnXin.
Помимо названных VMware устранила две уязвимости с СVSS: 7,9: CVE-2024-22254 и CVE-2024-22255.
Первая уязвимость записи за пределами границ в ESXi может позволить злоумышленнику с привилегиями в процессе VMX осуществить выход из песочницы.
Другая уязвимость раскрытия информации в USB-контроллере UHCI может быть использована злоумышленником с административным доступом к виртуальной машине для утечки памяти из процесса vmx.
Проблемы устранены в следующих версиях, включая те, срок эксплуатации которых истек (EoL): ESXi 6.5 - 6.5U3в; ESXi 6.7 - 6.7U3u; ESXi 7.0 - ESXi70U3p-23307199; ESXi 8.0 - ESXi80U2sb-23305545 и ESXi80U1d-23299997; VMware Cloud Foundation (VCF) 3.x; Workstation 17.x - 17.5.1 и Fusion 13.x (macOS) - 13.5.1.
В качестве временного решения, пока не будет развернуто исправление, клиентам было предложено удалить все USB-контроллеры из виртуальной машины.
CVE-2024-22252 и CVE-2024-22253 представляют собой ошибки использования после освобождения в USB-контроллере XHCI с оценкой CVSS 9,3 (для Workstation и Fusion) и 8,4 (для систем ESXi).
Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте.
Проблемы обнаружили и раскрыли исследователи Ant Group Light-Year и QiAnXin.
Помимо названных VMware устранила две уязвимости с СVSS: 7,9: CVE-2024-22254 и CVE-2024-22255.
Первая уязвимость записи за пределами границ в ESXi может позволить злоумышленнику с привилегиями в процессе VMX осуществить выход из песочницы.
Другая уязвимость раскрытия информации в USB-контроллере UHCI может быть использована злоумышленником с административным доступом к виртуальной машине для утечки памяти из процесса vmx.
Проблемы устранены в следующих версиях, включая те, срок эксплуатации которых истек (EoL): ESXi 6.5 - 6.5U3в; ESXi 6.7 - 6.7U3u; ESXi 7.0 - ESXi70U3p-23307199; ESXi 8.0 - ESXi80U2sb-23305545 и ESXi80U1d-23299997; VMware Cloud Foundation (VCF) 3.x; Workstation 17.x - 17.5.1 и Fusion 13.x (macOS) - 13.5.1.
В качестве временного решения, пока не будет развернуто исправление, клиентам было предложено удалить все USB-контроллеры из виртуальной машины.
Быль про джина из бутылки стала реальностью для владельцев мини-ПК китайского производителя ACEMAGIC. Но есть нюансы.
Как оказалось, почти все модели устройств с завода поставлялись с Redline infostealer и бэкдором Bladabindi в разделе восстановления системы ОС Windows, а в некоторых случаях вредоносное ПО также обнаруживалось в драйвере RGB-подсветки мини-ПК.
До джина добрались исследователи The Net Guy Reviews, позже их находку подтвердили The Gadgeteer и клиенты компании.
Судя по отзывам, вредоносное ПО, судя по всему, проникло на модели мини-ПК ACEMAGIC, такие как S1, AD08 и AD15, но исследователи полагают, что проблемы могли возникнуть у всех моделей.
The Net Guy Reviews сообщают, что вредоносное ПО было обнаружено в разделе установщика мини-ПК, который позволял клиентам устанавливать Windows 11 с локальной учетной записью и без профиля Microsoft.
Все указывают на то, что инженеры ACEMAGIC позаимствовали некоторый код из Интернета и присовокупили его к своему установщику, не проверяя и не сканируя на наличие вредоносного ПО.
К нашему и не только нашему удивлению, китайская ACEMAGIC подтвердила, что ранние партии некоторых ее новых моделей мини-ПК поставлялись с предустановленным вредоносным ПО.
И, что является редкостью среди современных технологических компаний, взяла на себя всю вину за инцидент, подтвердив, что ее инженеры-программисты конкретно облажались и добавили непроверенный код поверх ОС Windows, который к настоящему времени удален.
Компания заявила, что инцидент затронул только ограниченную партию мини-ПК, большая часть которых была реализована в Европе и США.
Как оказалось, почти все модели устройств с завода поставлялись с Redline infostealer и бэкдором Bladabindi в разделе восстановления системы ОС Windows, а в некоторых случаях вредоносное ПО также обнаруживалось в драйвере RGB-подсветки мини-ПК.
До джина добрались исследователи The Net Guy Reviews, позже их находку подтвердили The Gadgeteer и клиенты компании.
Судя по отзывам, вредоносное ПО, судя по всему, проникло на модели мини-ПК ACEMAGIC, такие как S1, AD08 и AD15, но исследователи полагают, что проблемы могли возникнуть у всех моделей.
The Net Guy Reviews сообщают, что вредоносное ПО было обнаружено в разделе установщика мини-ПК, который позволял клиентам устанавливать Windows 11 с локальной учетной записью и без профиля Microsoft.
Все указывают на то, что инженеры ACEMAGIC позаимствовали некоторый код из Интернета и присовокупили его к своему установщику, не проверяя и не сканируя на наличие вредоносного ПО.
К нашему и не только нашему удивлению, китайская ACEMAGIC подтвердила, что ранние партии некоторых ее новых моделей мини-ПК поставлялись с предустановленным вредоносным ПО.
И, что является редкостью среди современных технологических компаний, взяла на себя всю вину за инцидент, подтвердив, что ее инженеры-программисты конкретно облажались и добавили непроверенный код поверх ОС Windows, который к настоящему времени удален.
Компания заявила, что инцидент затронул только ограниченную партию мини-ПК, большая часть которых была реализована в Европе и США.
YouTube
This MINI PC ships with SPYWARE! 🦠 ⚠️ Acemagic AD08, AD15, S1
I love bringing you great new tech every week and sharing my love of savings and deals where I can. This is the video I didn’t want to make. This mini PC was one of the nicest value Mini PCs I’ve come across, though the review took a turn for the worse…
Новая APT Lotus Bane заявила о себе резонансной атакой на финансовую организацию во Вьетнаме.
Хакерская группировка активна по меньшей мере, с 2022 года и была обнаружена в марте прошлого года товарищами из Group-IB.
Примечательно, что группа использует методы, частично совпадающие с TTPs другого известного вьетнамского злоумышленника - OceanLotus (APT32), что указывает на возможные связи между этими группами, несмотря на различие в целевых отраслях.
Lotus Bane активно атакует банковский сектор в Азиатско-Тихоокеанском регионе, используя обильный арсенал разнообразных вредоносных ПО для заражения и последующего контроля над системами.
Среди популярных методов - неопубликованная загрузка DLL и обмен данными через именованные каналы (один из методов межпроцессного взаимодействия), что позволяет злоумышленникам запускать вредоносные исполняемые файлы, а также создавать удаленные запланированные задачи для горизонтального перемещения внутри сети.
Одним из инструментов, используемых Lotus Bane, - вредоносное ПО PIPEDANCE, позволяющее осуществлять связь, как раз таки по именованным каналам.
Этот инструмент был впервые задокументирован специалистами Elastic Security Labs в феврале 2023 года в связи с атакой на неназванную вьетнамскую организацию.
Несмотря на то, что атака произошла во Вьетнаме, эксперты утверждают, что сложность методов используемых Lotus Bane указывает на ее потенциал для более широких горизонтов и операций в пределах всего региона.
Хакерская группировка активна по меньшей мере, с 2022 года и была обнаружена в марте прошлого года товарищами из Group-IB.
Примечательно, что группа использует методы, частично совпадающие с TTPs другого известного вьетнамского злоумышленника - OceanLotus (APT32), что указывает на возможные связи между этими группами, несмотря на различие в целевых отраслях.
Lotus Bane активно атакует банковский сектор в Азиатско-Тихоокеанском регионе, используя обильный арсенал разнообразных вредоносных ПО для заражения и последующего контроля над системами.
Среди популярных методов - неопубликованная загрузка DLL и обмен данными через именованные каналы (один из методов межпроцессного взаимодействия), что позволяет злоумышленникам запускать вредоносные исполняемые файлы, а также создавать удаленные запланированные задачи для горизонтального перемещения внутри сети.
Одним из инструментов, используемых Lotus Bane, - вредоносное ПО PIPEDANCE, позволяющее осуществлять связь, как раз таки по именованным каналам.
Этот инструмент был впервые задокументирован специалистами Elastic Security Labs в феврале 2023 года в связи с атакой на неназванную вьетнамскую организацию.
Несмотря на то, что атака произошла во Вьетнаме, эксперты утверждают, что сложность методов используемых Lotus Bane указывает на ее потенциал для более широких горизонтов и операций в пределах всего региона.
https://buaq.net
New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities
В кейсе с исчезновением BlackCat наметилась развязка после того, как в очередной раз инфраструктура банды ушла в оффлайн.
Успев неплохо потрудиться и напоследок хорошенько нагнуть систему здравоохранения в США в лице Change Healthcare UnitedHealth Group, сайты BlackCat по второму разу прикрыты баннером о конфискации от ФБР.
Исследователи уже заприметили, что новый баннер - прикрышка, которую извлекли из архива со старого сайта утечки и прилепили сами хакеры.
Возможно, что так и есть, этим отчасти объясняются жалобы кинутых на 23 млн. дол. операторов, кошельки которых обчистили владельцы RaaS перед уходом, распределив биткойны по различным кошелькам равными транзакциями на сумму около 3,3 миллиона долларов.
Помимо проделанных финтов, ALPHV разместили объявление о продаже исходников своего вредоносного ПО по цене в 5 миллионов долларов и статус в Tox на «GG» («хорошая игра»).
В недоумении находятся также спецслужбы, некоторые из которых прямо указали на свою непричастность к последним событиям вокруг ALPHV, а другие, в частности, ФБР вовсе отказалось как-то это комментировать.
Но, если верить Смилянцу из Recorded Future, админы сами заявили, что «решили полностью закрыть проект» и «официально заявить, что федералы их обманули». Журналистам из BleepingComputer ALPHV сообщили, что их инфраструктура все же была конфискована.
Но в сухом остатке, если проследить путь банды от DarkSide в 2020 и BlackMatter в 2021 к современному бренду BlackCat или ALPHV, то все события следует понимать началом новой истории, которая по всей видимости будет сопровождаться переформатированием кода и команды.
Что касается бабла, то следует заметить, что BlackCat не являются первопроходцами в использовании такого трюка, скоро как 20 лет назад один находчивый молодой человек, известный в сети под псевдонимом как Redeye, точно также схлопнул свою платежку Fethard, обвинив в этом милицейских милиционеров.
Как говорится, новое - это хорошо забытое старое.
Успев неплохо потрудиться и напоследок хорошенько нагнуть систему здравоохранения в США в лице Change Healthcare UnitedHealth Group, сайты BlackCat по второму разу прикрыты баннером о конфискации от ФБР.
Исследователи уже заприметили, что новый баннер - прикрышка, которую извлекли из архива со старого сайта утечки и прилепили сами хакеры.
Возможно, что так и есть, этим отчасти объясняются жалобы кинутых на 23 млн. дол. операторов, кошельки которых обчистили владельцы RaaS перед уходом, распределив биткойны по различным кошелькам равными транзакциями на сумму около 3,3 миллиона долларов.
Помимо проделанных финтов, ALPHV разместили объявление о продаже исходников своего вредоносного ПО по цене в 5 миллионов долларов и статус в Tox на «GG» («хорошая игра»).
В недоумении находятся также спецслужбы, некоторые из которых прямо указали на свою непричастность к последним событиям вокруг ALPHV, а другие, в частности, ФБР вовсе отказалось как-то это комментировать.
Но, если верить Смилянцу из Recorded Future, админы сами заявили, что «решили полностью закрыть проект» и «официально заявить, что федералы их обманули». Журналистам из BleepingComputer ALPHV сообщили, что их инфраструктура все же была конфискована.
Но в сухом остатке, если проследить путь банды от DarkSide в 2020 и BlackMatter в 2021 к современному бренду BlackCat или ALPHV, то все события следует понимать началом новой истории, которая по всей видимости будет сопровождаться переформатированием кода и команды.
Что касается бабла, то следует заметить, что BlackCat не являются первопроходцами в использовании такого трюка, скоро как 20 лет назад один находчивый молодой человек, известный в сети под псевдонимом как Redeye, точно также схлопнул свою платежку Fethard, обвинив в этом милицейских милиционеров.
Как говорится, новое - это хорошо забытое старое.
Telegram
SecAtor
͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на…
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на…
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.
По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.
Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.
По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.
Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.
X (formerly Twitter)
LeakIX (@leak_ix) on X
⚠️⚠️⚠️ We are seeing massive exploitation of TeamCity CVE-2024-27198.
Hundreds of users are created for later use across the Internet.
Hundreds of users are created for later use across the Internet.
Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.
Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.
Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.
Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.
Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.
Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.
При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.
По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.
В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.
Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.
Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.
Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.
Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.
Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.
При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.
По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.
В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.
Sucuri Blog
From Web3 Drainer to Distributed WordPress Brute Force Attack
Learn how attackers have switched from Web3 crypto drainers to launching distributed WordPress brute force attacks using already compromised websites. We explain attack stages and lifecycle, common indicators of compromise, and how to protect your site from…
Фактовики продолжают расчехлять вымогателей Shadow, проливая свет на ранее неизвестные атаки и TTPs АРТ-группировки.
По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.
Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации.
В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.
Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.
Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.
За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.
Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.
Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.
В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.
По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности.
Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.
По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.
Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации.
В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.
Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.
Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.
За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.
Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.
Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.
В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.
По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности.
Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.
Forwarded from Russian OSINT
SCMP пишет, что в Китае некоторые образцы кибердогов применяются в военном деле. Часть экспертов видят потенциал в бионических четвероногих, которые способны стрелять не хуже профессиональных военных.
Ведущий ученый Сюй Ченг в области машиностроения из 🇨🇳Нанкинского университета опубликовал исследование в Chinese Journal of Engineering, где рассказывает о новой 🤖🐕"ударной платформе на ногах".
Команда Сюй установила на железную собаку 7,62-мм пулемет. Роботизированная собака произвела 10 выстрелов⚔️ по мишени размером с человека, стоящей на расстоянии 100 метров. Максимальное расстояние между центром мишени и пятью ближайшими пулевыми отверстиями - составило всего 5 см.
Для сравнения, опытные стрелки с винтовкой M16 в руках показывают результат около 6 см.
Ученый считает, что перспективы использования у кибердогов в городских боях, где требуется проведение антитеррористических операций, освобождение заложников, зачистка улиц и зданий - высокие.
В Китае роботы-собаки поначалу отставали в технологическом развитии от американских собратьев, но за последние годы этот разрыв значительно сократился. Цена гражданской модели упала до $3 000.
Доги могут перемещаться по лестницам, выполнять акробатические трюки, включая сальто назад, преодолевать сложные ландшафты, а также поддерживать непрерывный бег в течение почти 4 часов с грузом около 20 кг.
По мере стремительного развития
"Вскоре они достигнут уровня, когда смогут самостоятельно решать - является ли человек врагом или нет. Окончательная дилемма: нужно ли нажимать на спусковой крючок или нет", - сказал он.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь из Университета Центральной Флориды обнаружил критические уязвимости в плагине Ethercat для инструмента мониторинга сетевой безопасности с открытым исходным кодом Zeek, которые позволяют взломать сеть ICS
По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.
Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.
Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.
Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek.
В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.
В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.
В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.
Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.
Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.
Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.
Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.
Причем другие платины оказались не подвержены такому типу ошибкам.
По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.
Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.
Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.
Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek.
В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.
В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.
В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.
Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.
Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.
Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.
Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.
Причем другие платины оказались не подвержены такому типу ошибкам.
blog.securityonion.net
Vulnerabilities in Zeek Ethercat Plugin
CISA recently announced some vulnerabilities in the Zeek Ethercat plugin: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02 htt...
Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с Международным Женским Днем!
Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Ура, товарищи!
Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Ура, товарищи!
Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.
Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.
И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.
Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.
Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.
Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.
Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.
Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.
И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.
Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.
Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.
Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.
Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.
Bishop Fox
Further Adventures in Fortinet Decryption
In this blog, we examine how the new Fortinet encryption scheme works and provide a tool to decrypt the root filesystem for x86-based FortiOS images.
Не MOVEit 0-day, конечно, но не менее опасная CVE-2024-1403 в Progress Software OpenEdge Authentication Gateway и AdminServer с максимальным уровнем серьезности 10,0 CVSS обзавелась PoC-эксплойтом.
Уязвимость влияет на версии OpenEdge 11.7.18, 12.2.13 (и более ранние) и 12.8.0, позволяя потенциально реализовать обход аутентификации и привести к несанкционированному доступу для входа в систему.
Progress Software отметила, что проблема обусловлена неправильной обработкой непредвиденных типов имен пользователей и паролей и устранена в версиях OpenEdge LTS Update 11.7.19, 12.2.14 и 12.8.1.
Horizon3.ai провела реверс-инжиниринг уязвимой службы AdminServer и по результатам выпустила PoC для CVE-2024-1403, заявив, что проблема связана с функцией под названием Connect(), которая вызывается при установке удаленного соединения.
Эта функция, в свою очередь, вызывает другую функцию, authorizeUser(), которая проверяет, соответствуют ли предоставленные учетные данные определенным критериям, и передает управление другой части кода, которая напрямую аутентифицирует пользователя, если предоставленное имя пользователя соответствует NT AUTHORITY\SYSTEM. В этом и есть уязвимость.
Помимо PoC исследователи также нашли подходы к развитию атаки и увеличению ее поверхности за счет злоупотребления функциями в доступных интерфейсах RMI, чтобы добиться удаленного выполнения кода.
Обещают приложить больше исследовательских усилий и показать результат. Так что будем посмотреть.
Уязвимость влияет на версии OpenEdge 11.7.18, 12.2.13 (и более ранние) и 12.8.0, позволяя потенциально реализовать обход аутентификации и привести к несанкционированному доступу для входа в систему.
Progress Software отметила, что проблема обусловлена неправильной обработкой непредвиденных типов имен пользователей и паролей и устранена в версиях OpenEdge LTS Update 11.7.19, 12.2.14 и 12.8.1.
Horizon3.ai провела реверс-инжиниринг уязвимой службы AdminServer и по результатам выпустила PoC для CVE-2024-1403, заявив, что проблема связана с функцией под названием Connect(), которая вызывается при установке удаленного соединения.
Эта функция, в свою очередь, вызывает другую функцию, authorizeUser(), которая проверяет, соответствуют ли предоставленные учетные данные определенным критериям, и передает управление другой части кода, которая напрямую аутентифицирует пользователя, если предоставленное имя пользователя соответствует NT AUTHORITY\SYSTEM. В этом и есть уязвимость.
Помимо PoC исследователи также нашли подходы к развитию атаки и увеличению ее поверхности за счет злоупотребления функциями в доступных интерфейсах RMI, чтобы добиться удаленного выполнения кода.
Обещают приложить больше исследовательских усилий и показать результат. Так что будем посмотреть.
GitHub
GitHub - horizon3ai/CVE-2024-1403: Progress OpenEdge Authentication Bypass
Progress OpenEdge Authentication Bypass. Contribute to horizon3ai/CVE-2024-1403 development by creating an account on GitHub.
Тайваньский QNAP вновь латает дыры в своих программных продуктах NAS, включая QTS, QuTS Hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.
На этот раз клиентов предупреждают о трех уязвимости в NAS, которые могут привести к обходу аутентификации, внедрению команд и внедрению SQL.
Если два недостатка требуют от злоумышленника аутентификации в целевой системе, что значительно снижает риск, то третий CVE-2024-21899 может быть выполнен удаленно без аутентификации и имеет низкая сложность атаки.
Упомянутые менее серьезные CVE-2024-21900 и CVE-2024-21901 позволяют прошедшим проверку пользователям выполнять произвольные команды в системе и внедрять вредоносный код SQL через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею, а также нарушить целостность базы данных.
Недостатки затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS Hero h5.1.x, QuTS Hero h4.5.x, QuTScloud c5.x и службу myQNAPcloud 1.0.x.
Пользователям с доступными онлайн сетевыми хранилищами рекомендуется выполнить обновление, в противном случае есть риск познакомиться с вымогателями DeadBolt, Checkmate и Qlocker, которые, можно сказать, специализируются на устройствах QNAP.
На этот раз клиентов предупреждают о трех уязвимости в NAS, которые могут привести к обходу аутентификации, внедрению команд и внедрению SQL.
Если два недостатка требуют от злоумышленника аутентификации в целевой системе, что значительно снижает риск, то третий CVE-2024-21899 может быть выполнен удаленно без аутентификации и имеет низкая сложность атаки.
Упомянутые менее серьезные CVE-2024-21900 и CVE-2024-21901 позволяют прошедшим проверку пользователям выполнять произвольные команды в системе и внедрять вредоносный код SQL через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею, а также нарушить целостность базы данных.
Недостатки затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS Hero h5.1.x, QuTS Hero h4.5.x, QuTScloud c5.x и службу myQNAPcloud 1.0.x.
Пользователям с доступными онлайн сетевыми хранилищами рекомендуется выполнить обновление, в противном случае есть риск познакомиться с вымогателями DeadBolt, Checkmate и Qlocker, которые, можно сказать, специализируются на устройствах QNAP.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, myQNAPcloud, and myQNAPcloud Link (PWN2OWN 2023) - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Вагон и маленькую тележку секретных материалов банда вымогателей Play вынесла в мае прошлого года из компании Xplain, который считается одним из основных поставщиков IT для правительства Швейцарии.
Правительство страны тогда распорядилось провести проверку инцидента с использованием ransomware в августе 2023 года, и в четверг Швейцарский национальный центр кибербезопасности представил свои первоначальные выводы, подтвердив утечку секретных данных.
В общей сложности швейцарские власти обнаружили, что 1,3 миллиона файлов объемом 907 ГБ оказались в руках хакеров 23 мая, а затем 1 июня были слиты в даркнет.
Как оказалось, 5% из них были связаны с федеральным правительством страны и включали 65 000 документов с секретной информацией и конфиденциальными личными данными.
Утечка затронула швейцарскую армию, несколько кантональных полицейских сил и Федеральное управление полиции. Она включала личные данные, техническую и инженерную информацию, секретные документы, пароли и многое другое.
Расследование обещают завершить к концу марта, отчет будет направлен в Федеральный совет страны. Вероятно, затем приведет к отставкам уголовным делам и судебным претензиям. Может и сейфы прикупят, да бумаги побольше.
Правительство страны тогда распорядилось провести проверку инцидента с использованием ransomware в августе 2023 года, и в четверг Швейцарский национальный центр кибербезопасности представил свои первоначальные выводы, подтвердив утечку секретных данных.
В общей сложности швейцарские власти обнаружили, что 1,3 миллиона файлов объемом 907 ГБ оказались в руках хакеров 23 мая, а затем 1 июня были слиты в даркнет.
Как оказалось, 5% из них были связаны с федеральным правительством страны и включали 65 000 документов с секретной информацией и конфиденциальными личными данными.
Утечка затронула швейцарскую армию, несколько кантональных полицейских сил и Федеральное управление полиции. Она включала личные данные, техническую и инженерную информацию, секретные документы, пароли и многое другое.
Расследование обещают завершить к концу марта, отчет будет направлен в Федеральный совет страны. Вероятно, затем приведет к отставкам уголовным делам и судебным претензиям. Может и сейфы прикупят, да бумаги побольше.
www.admin.ch
Hacker attack on Xplain: National Cyber Security Centre publishes data analysis report
Current information from the Federal Administration. All press releases from the Federal Administration, the departments and offices.
Похоже, что американская CISA начала предупреждать об угрозах, связанных с уязвимостями Ivanti, после того, как сама была взломана через решения этого поставщика.
Обнаружив в феврале вредоносную активность, указывающую на эксплуатацию уязвимостей в решениях поставщика, CISA пришлось отключить несколько своих систем (каких именно не понятно), дабы предотвратить дальнейшее распространение угрозы.
Также CISA воздержалась от комментариев относительно того, кто может стоять за этим инцидентом и были ли украдены данные злоумышленниками.
Но знакомые с ситуацией источники, которые указали, что среди скомпрометированных систем был шлюз защиты инфраструктуры (IP Gateway) и Инструмент мониторинга химической безопасности (CSAT).
Причем в CSAT хранится часть наиболее важная и приватная информация по промышленной ифнраструктуре США, в том числе система Top Screen для химических предприятий высокого риска, планы и оценки безопасности критически важных объектов.
CISA опровергла слухи, но призвала организации пересмотреть консультативное заключение от 29 февраля, предупреждающее об эксплуатации уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.
Причем делая акцент на том, что хакеры нашли способы обхода инструментов Ivanti для защиты от компрометации.
Сюжет нового сезона захватывающего сериала под названием Ivanti 0 day продолжает удивлять, в том числе появлением достаточно неожиданных персонажей.
Но концовки, по всей видимости, так и не предвидится.
Обнаружив в феврале вредоносную активность, указывающую на эксплуатацию уязвимостей в решениях поставщика, CISA пришлось отключить несколько своих систем (каких именно не понятно), дабы предотвратить дальнейшее распространение угрозы.
Также CISA воздержалась от комментариев относительно того, кто может стоять за этим инцидентом и были ли украдены данные злоумышленниками.
Но знакомые с ситуацией источники, которые указали, что среди скомпрометированных систем был шлюз защиты инфраструктуры (IP Gateway) и Инструмент мониторинга химической безопасности (CSAT).
Причем в CSAT хранится часть наиболее важная и приватная информация по промышленной ифнраструктуре США, в том числе система Top Screen для химических предприятий высокого риска, планы и оценки безопасности критически важных объектов.
CISA опровергла слухи, но призвала организации пересмотреть консультативное заключение от 29 февраля, предупреждающее об эксплуатации уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.
Причем делая акцент на том, что хакеры нашли способы обхода инструментов Ivanti для защиты от компрометации.
Сюжет нового сезона захватывающего сериала под названием Ivanti 0 day продолжает удивлять, в том числе появлением достаточно неожиданных персонажей.
Но концовки, по всей видимости, так и не предвидится.
SiliconANGLE
Report: Hackers used Ivanti vulnerabilities to breach two CISA systems
Hackers have gained access to two applications operated by the U.S. Cybersecurity and Infrastructure Security Agency, The Record reported today.A CISA spokesperson confirmed the breach in a statem