Подкатило экстренное обновление от Apple для iOS с исправлениями двух 0-day, которые использовались в целевых атаках на iPhone, связанных, по всей видимости, со spyware.

Число нулей в послужном списке за текущий год у Apple начинает пополняться, пока, конечно, до прошлогоднего рекорда в 20 еще далеко, но темп задан.

Новые ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296) и позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.

Компания заявляет, что устранила недостатки безопасности на устройствах под управлением iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6 с помощью улучшенной проверки ввода.

Список затронутых устройств Apple довольно таки обширен и включает в себя все линейки iPhone XS, iPhone 8, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го и 2-го поколений, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения (и новее).

Apple в свойственной манере не сообщила, кто стоит за раскрытием и не обнародовала информацию о характере и обстоятельствах атак с использованием 0-day.

Но несмотря на это настоятельно рекомендуется как можно скорее установить обновления.

VMware выпустила исправления для четырех уязвимостей, затрагивающих ESXi, Workstation и Fusion, включая две критические уязвимости, которые могут привести к RCE.

CVE-2024-22252 и CVE-2024-22253 представляют собой ошибки использования после освобождения в USB-контроллере XHCI с оценкой CVSS 9,3 (для Workstation и Fusion) и 8,4 (для систем ESXi).

Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте.

Проблемы обнаружили и раскрыли исследователи Ant Group Light-Year и QiAnXin.

Помимо названных VMware устранила две уязвимости с СVSS: 7,9: CVE-2024-22254 и CVE-2024-22255.

Первая уязвимость записи за пределами границ в ESXi может позволить злоумышленнику с привилегиями в процессе VMX осуществить выход из песочницы.

Другая уязвимость раскрытия информации в USB-контроллере UHCI может быть использована злоумышленником с административным доступом к виртуальной машине для утечки памяти из процесса vmx.

Проблемы устранены в следующих версиях, включая те, срок эксплуатации которых истек (EoL): ESXi 6.5 - 6.5U3в; ESXi 6.7 - 6.7U3u; ESXi 7.0 - ESXi70U3p-23307199; ESXi 8.0 - ESXi80U2sb-23305545  и ESXi80U1d-23299997; VMware Cloud Foundation (VCF) 3.x; Workstation 17.x - 17.5.1 и Fusion 13.x (macOS) - 13.5.1.

В качестве временного решения, пока не будет развернуто исправление, клиентам было предложено удалить все USB-контроллеры из виртуальной машины.

Быль про джина из бутылки стала реальностью для владельцев мини-ПК китайского производителя ACEMAGIC. Но есть нюансы.

Как оказалось, почти все модели устройств с завода поставлялись с Redline infostealer и бэкдором Bladabindi в разделе восстановления системы ОС Windows, а в некоторых случаях вредоносное ПО также обнаруживалось в драйвере RGB-подсветки мини-ПК.

До джина добрались исследователи The Net Guy Reviews, позже их находку подтвердили The Gadgeteer и клиенты компании.

Судя по отзывам, вредоносное ПО, судя по всему, проникло на модели мини-ПК ACEMAGIC, такие как S1, AD08 и AD15, но исследователи полагают, что проблемы могли возникнуть у всех моделей.

The Net Guy Reviews сообщают, что вредоносное ПО было обнаружено в разделе установщика мини-ПК, который позволял клиентам устанавливать Windows 11 с локальной учетной записью и без профиля Microsoft.

Все указывают на то, что инженеры ACEMAGIC позаимствовали некоторый код из Интернета и присовокупили его к своему установщику, не проверяя и не сканируя на наличие вредоносного ПО.

К нашему и не только нашему удивлению, китайская ACEMAGIC подтвердила, что ранние партии некоторых ее новых моделей мини-ПК поставлялись с предустановленным вредоносным ПО.

И, что является редкостью среди современных технологических компаний, взяла на себя всю вину за инцидент, подтвердив, что ее инженеры-программисты конкретно облажались и добавили непроверенный код поверх ОС Windows, который к настоящему времени удален.

Компания заявила, что инцидент затронул только ограниченную партию мини-ПК, большая часть которых была реализована в Европе и США.

Новая APT Lotus Bane заявила о себе резонансной атакой на финансовую организацию во Вьетнаме.

Хакерская группировка активна по меньшей мере, с 2022 года и была обнаружена в марте прошлого года товарищами из Group-IB.

Примечательно, что группа использует методы, частично совпадающие с TTPs другого известного вьетнамского злоумышленника - OceanLotus (APT32), что указывает на возможные связи между этими группами, несмотря на различие в целевых отраслях.

Lotus Bane активно атакует банковский сектор в Азиатско-Тихоокеанском регионе, используя обильный арсенал разнообразных вредоносных ПО для заражения и последующего контроля над системами.

Среди популярных методов - неопубликованная загрузка DLL и обмен данными через именованные каналы (один из методов межпроцессного взаимодействия), что позволяет злоумышленникам запускать вредоносные исполняемые файлы, а также создавать удаленные запланированные задачи для горизонтального перемещения внутри сети.

Одним из инструментов, используемых Lotus Bane, - вредоносное ПО PIPEDANCE, позволяющее осуществлять связь, как раз таки по именованным каналам.

Этот инструмент был впервые задокументирован специалистами Elastic Security Labs в феврале 2023 года в связи с атакой на неназванную вьетнамскую организацию.

Несмотря на то, что атака произошла во Вьетнаме, эксперты утверждают, что сложность методов используемых Lotus Bane указывает на ее потенциал для более широких горизонтов и операций в пределах всего региона.

В кейсе с исчезновением BlackCat наметилась развязка после того, как в очередной раз инфраструктура банды ушла в оффлайн.

Успев неплохо потрудиться и напоследок хорошенько нагнуть систему здравоохранения в США в лице Change Healthcare UnitedHealth Group, сайты BlackCat по второму разу прикрыты баннером о конфискации от ФБР.

Исследователи уже заприметили, что новый баннер - прикрышка, которую извлекли из архива со старого сайта утечки и прилепили сами хакеры.

Возможно, что так и есть, этим отчасти объясняются жалобы кинутых на 23 млн. дол. операторов, кошельки которых обчистили владельцы RaaS перед уходом, распределив биткойны по различным кошелькам равными транзакциями на сумму около 3,3 миллиона долларов.

Помимо проделанных финтов, ALPHV разместили объявление о продаже исходников своего вредоносного ПО по цене в 5 миллионов долларов и статус в Tox на «GG» («хорошая игра»).

В недоумении находятся также спецслужбы, некоторые из которых прямо указали на свою непричастность к последним событиям вокруг ALPHV, а другие, в частности, ФБР вовсе отказалось как-то это комментировать.

Но, если верить Смилянцу из Recorded Future, админы сами заявили, что «решили полностью закрыть проект» и «официально заявить, что федералы их обманули». Журналистам из BleepingComputer ALPHV сообщили, что их инфраструктура все же была конфискована.

Но в сухом остатке, если проследить путь банды от DarkSide в 2020 и BlackMatter в 2021 к современному бренду BlackCat или ALPHV, то все события следует понимать началом новой истории, которая по всей видимости будет сопровождаться переформатированием кода и команды.

Что касается бабла, то следует заметить, что BlackCat не являются первопроходцами в использовании такого трюка, скоро как 20 лет назад один находчивый молодой человек, известный в сети под псевдонимом как Redeye, точно также схлопнул свою платежку Fethard, обвинив в этом милицейских милиционеров.

Как говорится, новое - это хорошо забытое старое.

Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.

CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.

Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.

Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.

При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.

Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.

По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.

Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.

Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.

Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.

Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.

Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.

Фактовики продолжают расчехлять вымогателей Shadow, проливая свет на ранее неизвестные атаки и TTPs АРТ-группировки.

По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.

Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации. 

В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.

Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.

Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.

За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.

Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.

Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.

В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.

По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности. 

Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.

Исследователь из Университета Центральной Флориды обнаружил критические уязвимости в плагине Ethercat для инструмента мониторинга сетевой безопасности с открытым исходным кодом Zeek, которые позволяют взломать сеть ICS

По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.

Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.

Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.

Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek. 

В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.

В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.

В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.

Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.

Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.

Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.

Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.

Причем другие платины оказались не подвержены такому типу ошибкам.

Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с Международным Женским Днем!

Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!

Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!

Ура, товарищи!

Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.

Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.

И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.

Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.

Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.

Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.

Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.

Не MOVEit 0-day, конечно, но не менее опасная CVE-2024-1403 в Progress Software OpenEdge Authentication Gateway и AdminServer с максимальным уровнем серьезности 10,0 CVSS обзавелась PoC-эксплойтом.

Уязвимость влияет на версии OpenEdge 11.7.18, 12.2.13 (и более ранние) и 12.8.0, позволяя потенциально реализовать обход аутентификации и привести к несанкционированному доступу для входа в систему.

Progress Software отметила, что проблема обусловлена неправильной обработкой непредвиденных типов имен пользователей и паролей и устранена в версиях OpenEdge LTS Update 11.7.19, 12.2.14 и 12.8.1.

Horizon3.ai провела реверс-инжиниринг уязвимой службы AdminServer и по результатам выпустила PoC для CVE-2024-1403, заявив, что проблема связана с функцией под названием Connect(), которая вызывается при установке удаленного соединения.

Эта функция, в свою очередь, вызывает другую функцию, authorizeUser(), которая проверяет, соответствуют ли предоставленные учетные данные определенным критериям, и передает управление другой части кода, которая напрямую аутентифицирует пользователя, если предоставленное имя пользователя соответствует NT AUTHORITY\SYSTEM. В этом и есть уязвимость.

Помимо PoC исследователи также нашли подходы к развитию атаки и увеличению ее поверхности за счет злоупотребления функциями в доступных интерфейсах RMI, чтобы добиться удаленного выполнения кода.

Обещают приложить больше исследовательских усилий и показать результат. Так что будем посмотреть.

Тайваньский QNAP вновь латает дыры в своих программных продуктах NAS, включая QTS, QuTS Hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.

На этот раз клиентов предупреждают о трех уязвимости в NAS, которые могут привести к обходу аутентификации, внедрению команд и внедрению SQL.

Если два недостатка требуют от злоумышленника аутентификации в целевой системе, что значительно снижает риск, то третий CVE-2024-21899 может быть выполнен удаленно без аутентификации и имеет низкая сложность атаки.

Упомянутые менее серьезные CVE-2024-21900 и CVE-2024-21901 позволяют прошедшим проверку пользователям выполнять произвольные команды в системе и внедрять вредоносный код SQL через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею, а также нарушить целостность базы данных.

Недостатки затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS Hero h5.1.x, QuTS Hero h4.5.x, QuTScloud c5.x и службу myQNAPcloud 1.0.x.

Пользователям с доступными онлайн сетевыми хранилищами рекомендуется выполнить обновление, в противном случае есть риск познакомиться с вымогателями DeadBolt, Checkmate и Qlocker, которые, можно сказать, специализируются на устройствах QNAP.

Вагон и маленькую тележку секретных материалов банда вымогателей Play вынесла в мае прошлого года из компании Xplain, который считается одним из основных поставщиков IT для правительства Швейцарии.

Правительство страны тогда распорядилось провести проверку инцидента с использованием ransomware в августе 2023 года, и в четверг Швейцарский национальный центр кибербезопасности представил свои первоначальные выводы, подтвердив утечку секретных данных.

В общей сложности швейцарские власти обнаружили, что 1,3 миллиона файлов объемом 907 ГБ оказались в руках хакеров 23 мая, а затем 1 июня были слиты в даркнет.

Как оказалось, 5% из них были связаны с федеральным правительством страны и включали 65 000 документов с секретной информацией и конфиденциальными личными данными.

Утечка затронула швейцарскую армию, несколько кантональных полицейских сил и Федеральное управление полиции. Она включала личные данные, техническую и инженерную информацию, секретные документы, пароли и многое другое.

Расследование обещают завершить к концу марта, отчет будет направлен в Федеральный совет страны. Вероятно, затем приведет к отставкам уголовным делам и судебным претензиям. Может и сейфы прикупят, да бумаги побольше.

Похоже, что американская CISA начала предупреждать об угрозах, связанных с уязвимостями Ivanti, после того, как сама была взломана через решения этого поставщика.

Обнаружив в феврале вредоносную активность, указывающую на эксплуатацию уязвимостей в решениях поставщика, CISA пришлось отключить несколько своих систем (каких именно не понятно), дабы предотвратить дальнейшее распространение угрозы.

Также CISA воздержалась от комментариев относительно того, кто может стоять за этим инцидентом и были ли украдены данные злоумышленниками.

Но знакомые с ситуацией источники, которые указали, что среди скомпрометированных систем был шлюз защиты инфраструктуры (IP Gateway) и Инструмент мониторинга химической безопасности (CSAT).

Причем в CSAT хранится часть наиболее важная и приватная информация по промышленной ифнраструктуре США, в том числе система Top Screen для химических предприятий высокого риска, планы и оценки безопасности критически важных объектов.

CISA опровергла слухи, но призвала организации пересмотреть консультативное заключение от 29 февраля, предупреждающее об эксплуатации уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Причем делая акцент на том, что хакеры нашли способы обхода инструментов Ivanti для защиты от компрометации.

Сюжет нового сезона захватывающего сериала под названием Ivanti 0 day продолжает удивлять, в том числе появлением достаточно неожиданных персонажей.

Но концовки, по всей видимости, так и не предвидится.

͏Сценарий остросюжетного мистического инфосек-детектива с элементами бурлеска "Трудности перевода". Краткое содержание.

В далеком конце мая 2023 года Лаборатория Касперского объявляет, что вскрыла массовую кампанию по заражению iPhone российских пользователей неизведанным вредоносным ПО. Эта кампания получает название Operation Triangulation. Несмотря на то, что сама Лаборатория никакой атрибуции не проводит, российские СМИ со ссылкой на российские же госорганы спешат сообщить, что за вирусной атакой стоят спецслужбы США. Всем становится тревожно.

Спустя полторы недели китайская инфосек компания Qihoo 360 сообщает, что к Операции Триангуляции причастна некая APT-C-63 aka Sand Eagle, а также, что используемый вредоносный инструмент имеет версию не только под iOS, но и под Windows. Однако спустя два дня отчет таинственным образом исчезает. Становится еще тревожнее.

В начале 2024 года Qihoo 360 выпускает годовой отчет по активности APT, в котором китайские исследователи помечают APT Sand Eagle как Middle East based, а Триангуляцию теперь относят к активности APT-C-40. Так китайцы издревле называют постоянную продвинутую угрозу, которая, как гласят свитки времен Династии Хань, исходит с запада, с южных берегов Потомака, из штаб-квартиры АНБ. Другое название APT-C-40 - Equation. Тревога нарастает.

В феврале 2024 года российская компания F.A.C.C.T представляет отчет, в котором, вероятно под влиянием летних прозрений китайских мудрецов, приписывает Операцию Триангуляцию группе Sand Eagle. Отчет внимательно просматривают товарищи из vx-underground, после чего инфосек сообщество начинает активно спорить - это таки русская пропаганда или нет? Кто-то, отчаявшись найти правду, задает вопрос про Sand Eagle созданному Франкенштейном Илоном Маском искусcтвенному интеллекту Grok, который сообщает, что это группа высокопрофессиональных хакеров, которая, как считается, базируется в США. Эксперты бьются в падучей, "Грок знает то, чего не ведаем мы!" - восклицают они. Тревога достигает немыслимых высот.

В финале на помощь приходят Чип и Дейл журналисты-исследователи CyberNews, которые наконец выясняют, что на самом деле Sand Eagle - это художественный роман 2006 года под названием Орел на песке. Все счастливы, играют на ситаре, поют песни, танцуют танец живота, пьют ром.

To be continued...

Исследователи из Лаборатории Касперского представили аналитику по итогам 2023 года в отношении спама и фишинга.

Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.

По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.

Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.

Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.

Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.

Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.

Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.

Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.

Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.

Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.

Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.

Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.

Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.

На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Еще раз вернемся к разговору про трудности перевода.

Пытаясь выцедить молекулы «правильной» атрибуции ведущих RaaS из отчета F.A.C.C.T. за 2023 года, исследователи из vx-underground с недоумением обнаруживают, что Lockbit и Babuk упоминаются в качестве ПО и не имеют привязки к каким-либо группам.

В качестве примера приводится раздел про Shadow (Comet) APT, где Lockbit и Babuk указаны в числе прочих как используемые а атаках инструменты.

Заподозрив неладное и разложив отчет на буквы, vx-underground так и нашли отсылки к операторам или владельцам RaaS, что показалось им очень подозрительным, даже несмотря на вразумительные доводы в комментариях.

Но мы неоднократно обозревали деятельность Shadow в контексте исследований F.A.C.C.T., отмечая наличие в арсенале хакеров билдера Lockbit и модифицированного ПО Babuk, которые задействовались в финансово мотивированных кампаниях в отношении организации в России и странах СНГ.

Поэтому, если бы специалисты занимались делом, а не погоней за русской пропагандой, то никаких трудностей у них бы не возникало. Но имеем, что имеем.