Вероятно, после мастер-класса у немцев, правительство Великобритании решило возложить ответственность за инцидент с масштабной утечкой данных о заработной плате 272 тысяч действующих и бывших военнослужащих Минобороны на неназванную китайскую APT.

При этом когда речь заходит про то, какие ваши доказательства - Министр обороны Грант Шаппс журналистам Sky News и BBC заявляет, что у правительства пока нет доказательств, позволяющих сделать какой-либо вывод относительно китайских хакеров.

И, вообще, ссылается на соображения национальной безопасности, которые позволяют скрыть все интересующие общественность подробности предполагаемой киберактивности, стоящей за этим инцидентом.

В ходе атаки произошел взлом в системе расчета заработной платы на стороне подрядчика SSCL, в результате которого были украдены банковские реквизиты, включая движения по счетам.

SSCL была основана как совместное предприятие британского правительства и частной технологической фирмы.

В прошлом году правительство продало последние 25% акций компании. Ее клиентами также являются Министерство внутренних дел, Кабинет министров и Министерство юстиции.

Несмотря на отсутствие очевидных свидетельств причастности китайской стороны, чиновники обеспокоены, что Китай сможет использовать украденные данные для поиска сотрудников Минобороны, испытывающих финансовые проблемы, и их последующей вербовки.

Собственно, удивляться нечему, аналогичным образом в конце марта США и Великобритании ввели санкции в отношении китайской APT31 за взлом членов парламента и Избиркома Великобритании при том, что до сих пор атрибутировать атаку не удалось.

Сторонники идей либерализма из американского издания The Atlantic в июне 2024 года (!) написали статью (видимо про запас), в которой обвинили Китай, Иран и Россию в сговоре с трампистами с целью дискредитации демократии и установления во всем мире единого правящего режима, ориентированного на бесконечное самообогащение.

И засунули ее под paywall.

Киномеханик, выключай пленку. Ничего лучше уже не будет.

WPScan предупреждают, что хакеры приступили к массовым атакам на сайты WordPress с устаревшей версией плагина LiteSpeed Cache, создавая подконтрольные админские учетки на уязвимых ресурсах.

LiteSpeed Cache (LS Cache) - это плагин кеширования, установленный почти на 5 миллионах сайтоих WordPress, который обеспечивает ускорение загрузки страниц и более высокие показатели в поисковой выдаче Google.

Усилившаяся в апреле вредоносная активность нацелена на ХSS-уязвимость с CVSS: 8,8, отслеживаемую как CVE-2023-40000.

Она затрагивает все версии плагина старше 5.7.0.1 и позволяет неаутентифицированному пользователю повысить привилегии с помощью специально созданных HTTP-запросов.

Исследователи WPScan обнаружили более 1,2 миллионов попыток сканирования уязвимых сайтов лишь с одного IP-адреса 94[.]102[.]51[.]144.

WPScan сообщает, что в атаках используется вредоносный код JavaScript, внедренный в критические файлы WordPress или базу данных, в результате чего создаются пользователи-администраторы с именами «wpsupp‑user» или «wp‑configuser».

Еще одним признаком заражения является наличие строки eval(atob(Strings.fromCharCode в опции litespeed.admin_display.messages в базе данных.

Несмотря на то, что большая часть пользователей LiteSpeed Cache перешла на более поздние версии плагина, до 1 835 000 продолжают использовать уязвимую версию.

͏С Праздником, дорогие подписчики!

Как и ожидалось, стала известна якобы личность одного из основоположников банды вымогателей LockBit, известного в сети как LockBitSupp, LockBit и putinkrab, которым, по данным западных спецслужб, оказался 31-летний житель Воронежа.

Тем не менее, Министерством юстиции США ему заочно было предъявлено обвинение по 26 пунктам обвинения в создании и использовании программы-вымогателя LockBit в качестве сервиса RaaS.

Согласно обвинительному заключению, он участвовал в разработке LockBit, найме операторов, поддержке инфраструктуры RaaS и сайта DLS, за что, предположительно, получил 100 миллионов долларов в качестве доли от выкупов, поступивших от жертв.

В совокупности ему грозит максимальное наказание в виде 185 лет тюремного заключения. Минюст уже поспешил назначить вознаграждение в размере 10 млн. долл. за помощь в поимке обвиняемого.

Учитывая всю неоднозначность ситуации, торопиться не стали с перепечатками минюстовских бумаг, ведь, как заявил совсем недавно сам LockBitSupp в интервью Click Here, спецслужбы поспешили и указали не на того.

Ранее, те же американские спецслужбы распространяли информацию о том, что LockBitSupp сотрудничает с ними уже продолжительное время, что оказалось пропагандистской залипухой, которую в конечном итоге они сами же и разоблачили.

Как полагает LockBitSupp, озвученные в обвинении данные, вероятно, могут принадлежать одному из операторов, списки которых как до первичного захвата, так и после - все в руках спецслужб и ближайшее время их имена начнут также оглашаться.

Тем не менее, несмотря на возрастающее давление и уловки спецслужб, LockBit, согласно последнему отчету Trend Micro, продолжает удерживать первое место по числу обнаружений в первом квартале 2024 года.

Лидерство сохранится, ведь разработчики банды допиливают LockBit 4.0, а действия силового блока видимого результата не принесли.

Но будем посмотреть.

Google выпустила обновления безопасности для устранения пятой за этот год 0-day в Chrome 124, которая активно использовалась в дикой природе.

Уязвимость высокой степени серьезности отслеживается как CVE-2024-4671 и связана с use-after-free в Visuals, наборе библиотек для взаимодействия с графическим процессором.

Об ошибке стало известно 7 мая 2024 года после сообщения от анонимного исследователя. Причем на разработку и выпуск исправлений ушло всего два дня.

В рекомендациях Google не представила никакой информации ни в отношении вознаграждения за обнаружение ошибки, ни в отношении подробностей атак, которые, вероятно, связаны со spyware.

Пользователям рекомендуется обновить Chrome до версии 124.0.6367.201/.202 для Windows и macOS и до версии 124.0.6367.201 для Linux для снижения риска потенциальных угроз.

͏Если достаточно часто Европол приходит к хакерам, то на этот раз случилось все наоборот, хакеры вынесли ведущий правоохранительный орган Европейского Союза.

Ведомство подтвердило киберинцилент после того, как авторитетный в киберподполье IntelBroker выкатил на продажу украденные к правоохранителей данные, включая и секретные документы FOUO (только для служебного пользования).

Согласно официальной версии Европола, киберинцидент ограничен локальной группой пользователей и затронул лишь портал платформы для экспертов Европола (EPE), который используется для обмена передовым опытом и общими сведениями по преступности.

При этом никакие основные системы Европола якобы не пострадали, оперативные данные не были скомпрометированы.

Тем не менее, веб-сайт EPE не подает признаков жизни и находится на обслуживании, а IntelBroker утверждает, что помимо прочего смог получить доступ к EC3 SPACE, платформе для аккредитованных экспертов по киберпреступности.

Но самое интригующее из заявления хакеров - это взлом системы SIRIUS, которая используется судебными и правоохранительными органами из 47 стран для доступа к трансграничным электронным доказательствам в контексте уголовных расследований и разбирательств.

Безусловно, официальных подтверждений этому никто даст, даже несмотря на представленные пруфы, а расследование, вероятно, захлебнется в бюрократии.

Как и в сентябре прошлого года, когда поиски пропавших дел высокопоставленных сотрудников ведомства, как и виновников кражи, ни к чему не привели.

Продолжая тему, вслед за Европолом хакеры навестили и ведущую инфосек-компанию с доходом в 1,8 млрд. долл., доступ к которой на Breach Forums был выставлен на продажу все тем же IntelBroker.

Как позже выяснилось, жертвой стала Zscaler, которая до последнего скрывала инцидент.

Но по мере распространения слухов признала себя жертвой, сославшись на нарушения в изолированной тестовой среде.

При этом проводимое расследование не выявило никаких доказательств взлома ее клиентской или производственной сред, а скомпрометированный сервер якобы не размещался в инфраструктуре Zscaler и не имел пересечений с основными системами.

В свою очередь, IntelBroker предлагает доступ, который включает в себя «конфиденциальные и очень важные журналы, содержащие учетные данные, доступ SMTP, доступ к аутентификации по указателю PAuth, ключи доступа SSL и сертификаты SSL.

Учитывая репутацию селлера и предыдущие кейсы, в отмазки Zscaler вериться с трудом, больше это походит на Qualys, которая в свое время заявляла, что сама установила зараженный SolarWinds Orion в тестовой среде для изучения.

В конце концов, не зря же ведущая инфосек-компания обратилась за помощью к другой авторитетной фирме по реагированию на инциденты для расследования обстоятельств взлома.

Так что будем следить за ситуацией.

Исследователи из Лаборатории Касперского обнаружили критические уязвимости в модемах Telit Cinterion, которые позволяют удаленно выполнить произвольный код через SMS.

Сотовые модемы Cinterion обычно широко востребованы в системах автоматизации промышленности, здравоохранения, телекома для обеспечения удаленного управления.

В общей сложности в ноябре 2023 года исследователями Kaspersky ICS CERT было найдено восемь проблем, семи из которых присвоены CVE-2023-47610 - CVE-2023-47616, еще одна - в ожидании регистрации.

Все они затрагивают широкую линейку модемов, включая Cinterion BGS5, Cinterion EHS5/6/7, Cinterion PDS5/6/8, Cinterion ELS61/81 и Cinterion PLS62.

Самая серьезная из них - CVE-2023-47610, проблема переполнения кучи, влияет на обработчики сообщений User Plane Location (SUPL) модема, открывая глубокий доступ к операционной системе.

Исследователи оценили ее на 8,8, в то время как по оценке NIST проблема имеет критическое значение и получила оценку серьезности 9,8.

Злоумышленники, воспользовавшиеся уязвимостью с помощью специально созданных SMS-сообщений, могут удаленно выполнить произвольный код на модеме без аутентификации и физического доступа.

Причем интерфейс обмена SMS-сообщениями присутствует фактически на всех модемах, а доступ к нему возможен, если известен абонентский номер целевого модема в сети сотового оператора.

Проблемы с отправкой двоичных SMS также можно нивелировать, задействуя поддельную базовую станцию, что обеспечит обход ограничений на стороне оператора.

Другие обнаруженные уязвимости, несмотря на более низкий уровень серьезности, могут быть использованы для нарушения целостности MIDlet - Java-приложений с различными функциями.

Одна из них CVE-2023-47611 позволяет злоумышленнику добиться выполнения кода с повышенными привилегиями (уровень производителя), обходя проверку цифровой подписи.

Telit выпустила обновления прошивки для устранения проблем в конце прошлого года, но не всех: некоторые остались неисправленными.

Исследователи предупреждают, что обнаруженные уязвимости в сочетании с широким распространением этих устройств в различных секторах несут потенциал масштабных глобальных сбоев.

Тем более, что модемы встроены в другие решения, в связи с чем четко определить весь спектр затронутых продуктов достаточно сложно.

Технические подробности и варианты эксплуатации для получения контроля над уязвимыми устройствами Telit Cinterion обещают раскрыть в субботу на конференции OffensiveCon в Берлине.

͏Как я ворвался в инфосек. Часть 5.

Не прошло и недели, как Chrome обзавелся новой 0-day, для исправления которой Google выпустила экстренные обновления безопасности.

Спустя три дня вслед за пятым нулем CVE-2024-4671 в Visuals список текущего года пополнился шестым CVE-2024-4761. Новая ошибка затрагивает движок JavaScript Chrome V8 и представляет собой проблему записи за пределами границ.

Подобные проблемы возникают, когда программе разрешено записывать данные за пределы указанного массива или буфера, что потенциально может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям.

В своем бюллетене Google предупреждает о существовании рабочего экспорта для CVE-2024-4761, но традиционно подробности не раскрывает.

Компания устранила уязвимость, выпустив версии 124.0.6367.207/.208 для Mac/Windows и 124.0.6367.207 для Linux. Обновления будут доступны всем пользователям в ближайшие дни.

Исследователи F.A.C.C.T. задетектили новый вредоносный загрузчик PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа PhantomCore и используется с марта 2024 года.

PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ.

Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками.

Основной инструмент APT - троян удаленного доступа PhantomRAT.

В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл.

Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.

Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы.

Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.

В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.

Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble.

Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов.

Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.

Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге.

Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению.

Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL.

При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.

Подкатил глобальный Apple Patch Day с исправлениями серьезных уявзвимостей в iPhone, iPad и macOS, включая 0-day на старых флагманских мобильных устройствах, которые, по всей видимости, уже подвергались атакам.

В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений.

Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра.

Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями.

Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе.

Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным.

Исследователи Cybernews сообщают об обнаружении 6 мая второй по величине утечки после Mother of All Breaches (MOAB) с 26 млрд. записей, которую назвали COMB (compilation of many breaches).

Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны.

Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет.

Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти.

Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников.

Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение.

Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных.

Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu.

Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял.

Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР.

Исследователи предупреждают об активной эксплуатации N-day уязвимостей в популярном решении резервного копирования и восстановления Arcserve Unified Data Protection (UDP), которые используются для обеспечения доступа к сетям жертв.

Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых:

- CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin.

- CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль.

- CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS).

Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801.

Вскоре после этого и последовали возможные попытки использования Arcserve UDP.

Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2.