Ресерчеры из Лаборатории Касперского выкатила новый отчет из серии исследований в отношении резонансного инцидента с бэкдором в бэкдора в XZ Utils.
В первой части была подробна изучена хронология и представлен общий анализ бэкдора, основное внимание во второй уделялось изощрённым социнженерным аспектам инцидента.
В новом исследовании ЛК детально изучен перехватчик функций, используемых в OpenSSH, обнаружив в нём несколько новаторских решений.
Злоумышленник установил функцию предотвращения повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата бэкдора или связи.
Разработчик бэкдора XZ Utils применил специальную технику стеганографии в коде x86, чтобы скрыть прямо в коде открытый ключ шифрования, по технологии, схожей с ROP.
Бэкдор скрывает журналы несанкционированных подключений к SSH-серверу, подключая функцию журналирования.
Бэкдор перехватывает функцию аутентификации по паролю, что позволяет злоумышленнику использовать любое имя пользователя и пароль для входа на зараженный сервер без каких-либо дополнительных проверок.
Аналогичное реализуется и для аутентификации с открытым ключом.
Кроме того, он обладает возможностями удаленного выполнения кода, которые позволяют злоумышленнику выполнить любую системную команду на зараженном сервере.
В целом, можно сделать вывод, что бэкдор XZ Utils действительно весьма сложная и уникальная угроза со множеством особенностей и весьма непростой долгоиграющей кампанией социнженерии.
При этом группа или злоумышленник, стоящий за ней, обладает обширными знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также серьезным опытом в обфускации кода для запуска заражения.
В первой части была подробна изучена хронология и представлен общий анализ бэкдора, основное внимание во второй уделялось изощрённым социнженерным аспектам инцидента.
В новом исследовании ЛК детально изучен перехватчик функций, используемых в OpenSSH, обнаружив в нём несколько новаторских решений.
Злоумышленник установил функцию предотвращения повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата бэкдора или связи.
Разработчик бэкдора XZ Utils применил специальную технику стеганографии в коде x86, чтобы скрыть прямо в коде открытый ключ шифрования, по технологии, схожей с ROP.
Бэкдор скрывает журналы несанкционированных подключений к SSH-серверу, подключая функцию журналирования.
Бэкдор перехватывает функцию аутентификации по паролю, что позволяет злоумышленнику использовать любое имя пользователя и пароль для входа на зараженный сервер без каких-либо дополнительных проверок.
Аналогичное реализуется и для аутентификации с открытым ключом.
Кроме того, он обладает возможностями удаленного выполнения кода, которые позволяют злоумышленнику выполнить любую системную команду на зараженном сервере.
В целом, можно сделать вывод, что бэкдор XZ Utils действительно весьма сложная и уникальная угроза со множеством особенностей и весьма непростой долгоиграющей кампанией социнженерии.
При этом группа или злоумышленник, стоящий за ней, обладает обширными знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также серьезным опытом в обфускации кода для запуска заражения.
Securelist
XZ backdoor behavior inside OpenSSH
In this article, we analyze XZ backdoor behavior inside OpenSSH, after it has achieved RSA-related function hook.
Forwarded from Life-Hack - Хакер
Подведем итоги нашего бесплатного курса "OSINT для новичков". В рамках курса были изучены фундаментальные основы поиска по открытым источникам (Open-Source Intelligence) и инструменты для автоматизации этого процесса. Также были рассмотрены специальные сервисы для сбора данных, часть из которых уже достаточно известна в кругах специалистов, а часть знакома лишь единицам и стремительно набирает популярность. Этот курс поможет вам понять важность защиты данных и конфиденциальности.
Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта
Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!
P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3
P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта
Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!
P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3
P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
͏LockBit сдержала обещание и опубликовала анонсированные украденные у Федеральной резервной системы США данные после провала переговоров, в ходе которым им предложили 50 000 долларов в качестве выкупа.
Банда разместила 21 ссылку с файлами, по-видимому, родительских каталогов, торренты и сжатые архивные файлы, которые, как оказалось, принадлежат одному из финансовых учреждений США - volve Bank and Trust.
Ипотечный кредитор со штаб-квартирой в Мемфисе, штат Теннесси, обслуживает частных лиц и малый бизнес как минимум в 17 штатах, его активы в 2022 году составили 1,3 миллиарда долларов.
Evolve также известна своим открытым банковским партнерством с финтех-платформами Mastercard, Visa, Affirm, Melio, Stripe и Airwallex.
Совсем недавно банк и его материнская компания Evolve Bancorp Inc. подверглись рестрикциям ФРС за финансовые нарушения и за участие в небезопасной банковской деятельности.
Вполне веротяно, что Акела промахнулся или банда провернулся мощны пиар-трюк, но как бы то ни было - с момента появления ФРС на DLS ситуация никак не комментировалась представителями структуры до настоящего времени, что подозрительно.
Так что в любом случае, будем посмотреть.
Банда разместила 21 ссылку с файлами, по-видимому, родительских каталогов, торренты и сжатые архивные файлы, которые, как оказалось, принадлежат одному из финансовых учреждений США - volve Bank and Trust.
Ипотечный кредитор со штаб-квартирой в Мемфисе, штат Теннесси, обслуживает частных лиц и малый бизнес как минимум в 17 штатах, его активы в 2022 году составили 1,3 миллиарда долларов.
Evolve также известна своим открытым банковским партнерством с финтех-платформами Mastercard, Visa, Affirm, Melio, Stripe и Airwallex.
Совсем недавно банк и его материнская компания Evolve Bancorp Inc. подверглись рестрикциям ФРС за финансовые нарушения и за участие в небезопасной банковской деятельности.
Вполне веротяно, что Акела промахнулся или банда провернулся мощны пиар-трюк, но как бы то ни было - с момента появления ФРС на DLS ситуация никак не комментировалась представителями структуры до настоящего времени, что подозрительно.
Так что в любом случае, будем посмотреть.
Apple выпустила обновление прошивки для AirPods с исправлением уязвимости, которая позволяет получить несанкционированный доступ к наушникам.
Проблема аутентификации, отслеживаемая как CVE-2024-27867, затрагивает AirPods (2-го поколения и новее), AirPods Pro (все модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.
Как поясняют в Apple, когда наушники отправляют запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в радиусе действия Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Другими словами, противник, находящийся в физической близости, может использовать уязвимость для прослушивания переговоров.
Обнаружение и раскрытие приписывают исследователю Йонасу Дресслеру, проблема решена путем улучшения управления состоянием в рамках обновления прошивки AirPods 6A326, AirPods 6F8 и Beats 6F8.
Проблема аутентификации, отслеживаемая как CVE-2024-27867, затрагивает AirPods (2-го поколения и новее), AirPods Pro (все модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.
Как поясняют в Apple, когда наушники отправляют запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в радиусе действия Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Другими словами, противник, находящийся в физической близости, может использовать уязвимость для прослушивания переговоров.
Обнаружение и раскрытие приписывают исследователю Йонасу Дресслеру, проблема решена путем улучшения управления состоянием в рамках обновления прошивки AirPods 6A326, AirPods 6F8 и Beats 6F8.
Apple Support
About firmware updates for AirPods - Apple Support
Learn about changes and features included in the firmware updates for your AirPods.
Исследователи сообщают о начавшейся эксплуатации недавно исправленной критической CVE-2024-5806 в MOVEit Transfer.
Буквально на неделе Progress Software анонсировала исправления для двух критических уязвимостей обхода аутентификации CVE-2024-5805 и CVE-2024-5806, затрагивающих MOVEit Transfer.
Обе описываются как проблемы неправильной аутентификации в SFTP-модуле продукта MOVEit Transfer.
CVE-2024-5806 исправлен вместе с выпуском MOVEit Transfer версий 2023.0.11, 2023.1.6 и 2024.0.2. CVE-2024-5805 влияет только на версию 2024.0.0 и исправлена в выпуске версии 2024.0.1.
Причем в своих рекомендациях по CVE-2024-5806 Progress отметила, что недавно выявленная уязвимость стороннего компонента повышает риск этой CVE. Компания поделилась мерами смягчения, пока не станет доступен патч.
В свою очередь, WatchTowr обнародовала технические подробности для CVE-2024-5806 и продемонстрировала, как ее использовать для получения доступа к уязвимой системе.
Кроме того, WatchTowr также расчехляла и вторую уязвимость, которая затрагивает библиотеку сервера IPWorks SSH, используемую MOVEit Transfer.
Библиотека подвержена уязвимости принудительной аутентификации, которая, вероятно, затрагивает все использующие ее приложения, что потенциально позволяет добиться полного взлома системы.
Вскоре после того, как подробности были обнародованы Shadowserver Foundation сообщила о попытках эксплуатации CVE-2024-5806.
Однако Rapid7 отметила в своем блоге, что несмотря на фиксацию Shadowserver попыток взлома в своих ловушках, активность ловушек не всегда коррелирует с активностью угроз в реальных производственных средах.
Тем не менее, Shadowserver сообщает, что около 1700 экземпляров MOVEit Transfer доступны в Интернете, большинство из которых находятся в Северной Америке.
А по данным Censys их насчитывается 2700, большинство из которых также находятся в США, далее следуют Великобритания и Германия.
И это число, как отмечают исследователи, соответствует количеству жертв предыдущего инцидента с Cl0p. Совпадение?
Буквально на неделе Progress Software анонсировала исправления для двух критических уязвимостей обхода аутентификации CVE-2024-5805 и CVE-2024-5806, затрагивающих MOVEit Transfer.
Обе описываются как проблемы неправильной аутентификации в SFTP-модуле продукта MOVEit Transfer.
CVE-2024-5806 исправлен вместе с выпуском MOVEit Transfer версий 2023.0.11, 2023.1.6 и 2024.0.2. CVE-2024-5805 влияет только на версию 2024.0.0 и исправлена в выпуске версии 2024.0.1.
Причем в своих рекомендациях по CVE-2024-5806 Progress отметила, что недавно выявленная уязвимость стороннего компонента повышает риск этой CVE. Компания поделилась мерами смягчения, пока не станет доступен патч.
В свою очередь, WatchTowr обнародовала технические подробности для CVE-2024-5806 и продемонстрировала, как ее использовать для получения доступа к уязвимой системе.
Кроме того, WatchTowr также расчехляла и вторую уязвимость, которая затрагивает библиотеку сервера IPWorks SSH, используемую MOVEit Transfer.
Библиотека подвержена уязвимости принудительной аутентификации, которая, вероятно, затрагивает все использующие ее приложения, что потенциально позволяет добиться полного взлома системы.
Вскоре после того, как подробности были обнародованы Shadowserver Foundation сообщила о попытках эксплуатации CVE-2024-5806.
Однако Rapid7 отметила в своем блоге, что несмотря на фиксацию Shadowserver попыток взлома в своих ловушках, активность ловушек не всегда коррелирует с активностью угроз в реальных производственных средах.
Тем не менее, Shadowserver сообщает, что около 1700 экземпляров MOVEit Transfer доступны в Интернете, большинство из которых находятся в Северной Америке.
А по данным Censys их насчитывается 2700, большинство из которых также находятся в США, далее следуют Великобритания и Германия.
И это число, как отмечают исследователи, соответствует количеству жертв предыдущего инцидента с Cl0p. Совпадение?
Progress
MOVEit Gateway Critical Security Alert Bulletin – June 2024 – (CVE-2024-5805) - Progress Community
CVSS: 9.1 (CRITICAL)
An Improper Authentication vulnerability in Progress MOVEit Gateway (SFTP module) allows Authentication Bypass.
This issue affects MOVEit Gateway: 2024.0.0.
An Improper Authentication vulnerability in Progress MOVEit Gateway (SFTP module) allows Authentication Bypass.
This issue affects MOVEit Gateway: 2024.0.0.
Исследователи из SEC Consult предупреждают, что уязвимости Siemens Sicam могут быть применены в реальных атаках на энергетический сектор
В мае Siemens выпустила обновления для удаленного терминала Sicam A8000, сетевых датчиков Sicam EGS и ПО автоматизации электропитания Sicam 8, которые устраняют два недостатка высокой степени серьезности и один средней.
Одна из них, CVE-2024-31484, представляет собой проблему переполнения буфера, которую можно использовать для чтения конфиденциальных данных из памяти, что может привести к RCE в контексте текущего процесса или состоянию DoS.
Вторая CVE-2024-31485 связана с внедрением команд в веб-интерфейс продуктов и позволяет злоумышленнику перехватывать имя пользователя и пароль с повышенными привилегиями, позволяя выполнять произвольный код от имени пользователя root.
Третья проблема, CVE-2024-31486, связана с неправильной защитой паролей клиентов MQTT, что позволяет злоумышленнику, имеющему физический или удаленный доступ к оболочке, получить учетные данные.
В июньском сообщении промышленный гигант сообщил клиентам, что CVE-2024-31484 также влияет и на устройства SICAM AK3/TM/BC.
Затронутые продукты — это решения для электросетей, обеспечивающие автоматизацию подстанций.
В свою очередь, SEC Consult, которой приписывают обнаружение этих уязвимостей, в среду представила подробное описание для каждой из уязвимостей, пояснив также, как злоумышленники могут использовать выявленные уязвимости в реальной атаке.
Злоумышленнику необходимо сначала получить доступ на уровне сети к порту 443/80, чтобы взаимодействовать с целью.
Злоупотребляя CVE-2024-31484, атакующий может утечь информацию из сегмента глобальной памяти, что может способствовать дальнейшим атакам.
Кроме того, если злоумышленнику удалось получить учетную запись с низким уровнем привилегий для SICAM-WEB, возможно задействовать CVE-2024-31485 для кражи пароля администратора.
Переключившись на его учетную запись, злоумышленник может перенастроить ПЛК и тем самым дестабилизировать подстанцию.
Так что все пароли следует изменить после исправления уязвимости, поскольку их конфиденциальность теперь не может быть гарантирована.
В мае Siemens выпустила обновления для удаленного терминала Sicam A8000, сетевых датчиков Sicam EGS и ПО автоматизации электропитания Sicam 8, которые устраняют два недостатка высокой степени серьезности и один средней.
Одна из них, CVE-2024-31484, представляет собой проблему переполнения буфера, которую можно использовать для чтения конфиденциальных данных из памяти, что может привести к RCE в контексте текущего процесса или состоянию DoS.
Вторая CVE-2024-31485 связана с внедрением команд в веб-интерфейс продуктов и позволяет злоумышленнику перехватывать имя пользователя и пароль с повышенными привилегиями, позволяя выполнять произвольный код от имени пользователя root.
Третья проблема, CVE-2024-31486, связана с неправильной защитой паролей клиентов MQTT, что позволяет злоумышленнику, имеющему физический или удаленный доступ к оболочке, получить учетные данные.
В июньском сообщении промышленный гигант сообщил клиентам, что CVE-2024-31484 также влияет и на устройства SICAM AK3/TM/BC.
Затронутые продукты — это решения для электросетей, обеспечивающие автоматизацию подстанций.
В свою очередь, SEC Consult, которой приписывают обнаружение этих уязвимостей, в среду представила подробное описание для каждой из уязвимостей, пояснив также, как злоумышленники могут использовать выявленные уязвимости в реальной атаке.
Злоумышленнику необходимо сначала получить доступ на уровне сети к порту 443/80, чтобы взаимодействовать с целью.
Злоупотребляя CVE-2024-31484, атакующий может утечь информацию из сегмента глобальной памяти, что может способствовать дальнейшим атакам.
Кроме того, если злоумышленнику удалось получить учетную запись с низким уровнем привилегий для SICAM-WEB, возможно задействовать CVE-2024-31485 для кражи пароля администратора.
Переключившись на его учетную запись, злоумышленник может перенастроить ПЛК и тем самым дестабилизировать подстанцию.
Так что все пароли следует изменить после исправления уязвимости, поскольку их конфиденциальность теперь не может быть гарантирована.
SEC Consult
Multiple Vulnerabilities in Siemens Power Automation Products (CP-8000/CP-8021/CP8-022/CP-8031/CP-8050/SICORE)
Multiple vulnerabilities were discovered in Siemens Energy automation products. Information could be leaked via an unauthenticated buffer-overread. Further, authenticated privilege escalation was possible via missing input sanitization. Finally, an attacker…
Исследователи F.A.C.C.T. сообщают о новой группе ReaverBits, нацеленной на российские компании посредством вредоносных рассылок от имени компаний и министерств.
К настоящему времени удалось задетектить около пяти рассылкок группы, две из которых были в декабре 2023 года, еще две - в январе 2024 года, а последняя - в мае.
Атаки были направлены на федеральный фонд, а также российские компании из сферы ритейла, телекоммуникаций, процессинга, агропромышленного комплекса.
Наименование обусловлено тем, что атакующие похищали конфиденциальные данные с помощью шпионского ПО MetaStealer, отсюда «reaver» (в переводе «вор»), а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
Группа активно полагается на спуфинг, в качестве нагрузки использует уже названный MetaStealer.
В одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Технические подробности каждой из атак ReaverBits, включая IoC и MITRE ATT&CK, - в отчете.
К настоящему времени удалось задетектить около пяти рассылкок группы, две из которых были в декабре 2023 года, еще две - в январе 2024 года, а последняя - в мае.
Атаки были направлены на федеральный фонд, а также российские компании из сферы ритейла, телекоммуникаций, процессинга, агропромышленного комплекса.
Наименование обусловлено тем, что атакующие похищали конфиденциальные данные с помощью шпионского ПО MetaStealer, отсюда «reaver» (в переводе «вор»), а «bits» – из-за использования в URL-адресах «bitbucket» и «bitrix».
Группа активно полагается на спуфинг, в качестве нагрузки использует уже названный MetaStealer.
В одной из атак группа применяла загрузчик LuckyDownloader, предположительно, воспользовавшись услугой стороннего актора, отслеживаемого по имени LuckyBogdan.
Технические подробности каждой из атак ReaverBits, включая IoC и MITRE ATT&CK, - в отчете.
F6
Карты биты: новая группа ReaverBits атакует российские компании - F6
Специалисты F6 Threat Intelligence обнаружили новую преступную группу, атакующую российские организации от имени компаний и министерств.
Forwarded from Social Engineering
• Snoop — один из самых перспективных #OSINT инструментов для поиска
user_name с учётом СНГ локаций. 90% из Вас уже слышали об этом инструменте и в более подробном описании он не нуждается.• Две недели назад была опубликована новая версия (1.4.1) этого инструмента, которая включает в себя следующие изменения:
- Расширена поисковая web-base Snoop до 4200+ сайтов (было 3700);
- Улучшен алгоритм агрессивного режима поиска: опция
--quick/-q в Snoop на Windows (ускорение поиска составляет от 5% до 200% в зависимости от версии Windows и производительности ПК, снижено потребление ОЗУ);- В блок 'snoop info' опции '--version/-V' добавлен предварительно расчетный параметр;
- Обновлен формат дат в CLI/отчетах согласно международному стандарту ISO 8601.
• Полное описание обновления читайте в Changelog'е.
• Скачать Snoop для Windows и Linux можно отсюда;
• База данных из 4200+ ресурсов;
• Документация \ подробное руководство;
• Автор.
• Дополнительная информация доступна по хештегу #OSINT и в наших подборках: https://xn--r1a.website/Social_engineering/3202
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortra предупреждает о критической уязвимости FileCatalyst Workflow SQLi, для которой уже доступен PoC.
Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.
CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.
Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).
При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.
Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra
Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.
Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.
Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).
В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.
Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.
Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.
CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.
Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).
При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.
Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra
Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.
Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.
Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).
В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.
Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.
Tenable®
Fortra FileCatalyst Workflow Unauthenticated SQLi
A SQL injection vulnerability exists in Fortra FileCatalyst Workflow v5.1.6 build 135 and earlier.A user-supplied jobID is used to form the WHERE clause in an SQL query:
Ресерчеры из Лаборатории Касперского явно перешли в информационное наступление и представили новый отчет, с которым определенно следует ознакомиться руководителям малых и средних компаний для понимания и оценки современных киберугроз.
Дело в том, что малый и средний бизнес все чаще становится целью атак злоумышленников, что обусловлено, прежде всего, пренебрежением надежными мерами кибербезопасности в виду ограниченных ресурсов и нехватки знаний.
Причем финансовый ущерб от утечек данных может оказаться для них непосильным, что подчеркивает важность превентивных мер. Особенно, если учитывать, что это устойчивая тенденция, которая продолжает представлять постоянную угрозу для бизнеса.
В связи с чем, ресерчеры Лаборатории с помощью Kaspersky Security Network (KSN) и подготовили анализ угроз 2024 года для малого и среднего бизнеса, оснастив его примерами реальных атак.
По данным ЛК, с начала года с вредоносным и нежелательным ПО, скрытым в программах для малого и среднего бизнеса или имитирующим их, столкнулись 2402 пользователя.
Всего под видом такого ПО распространялось 4110 уникальных файлов. Это на 8% больше по сравнению с аналогичным периодом 2023 года, что свидетельствует о росте активности злоумышленников.
Наиболее заметный рост атак с использованием файлов, имитирующих легитимное ПО, наблюдался для Microsoft Excel.
При этом общее количество заражений в секторе малого и среднего бизнеса составило 138 046 по сравнению со 131 219 случаями за тот же период 2023 года - рост более чем на 5%.
Самой распространенной киберугрозой остаются атаки троянцев. Злоумышленники по-прежнему целенаправленно атакуют малые и средние компании, предпочитая зловредное ПО нежелательным программам.
В отчете ЛК приведены конкретные примеры с использованием фишинга, взломом соцсетей и спамом, а также конкретные рекомендации по по киберзащите.
Дело в том, что малый и средний бизнес все чаще становится целью атак злоумышленников, что обусловлено, прежде всего, пренебрежением надежными мерами кибербезопасности в виду ограниченных ресурсов и нехватки знаний.
Причем финансовый ущерб от утечек данных может оказаться для них непосильным, что подчеркивает важность превентивных мер. Особенно, если учитывать, что это устойчивая тенденция, которая продолжает представлять постоянную угрозу для бизнеса.
В связи с чем, ресерчеры Лаборатории с помощью Kaspersky Security Network (KSN) и подготовили анализ угроз 2024 года для малого и среднего бизнеса, оснастив его примерами реальных атак.
По данным ЛК, с начала года с вредоносным и нежелательным ПО, скрытым в программах для малого и среднего бизнеса или имитирующим их, столкнулись 2402 пользователя.
Всего под видом такого ПО распространялось 4110 уникальных файлов. Это на 8% больше по сравнению с аналогичным периодом 2023 года, что свидетельствует о росте активности злоумышленников.
Наиболее заметный рост атак с использованием файлов, имитирующих легитимное ПО, наблюдался для Microsoft Excel.
При этом общее количество заражений в секторе малого и среднего бизнеса составило 138 046 по сравнению со 131 219 случаями за тот же период 2023 года - рост более чем на 5%.
Самой распространенной киберугрозой остаются атаки троянцев. Злоумышленники по-прежнему целенаправленно атакуют малые и средние компании, предпочитая зловредное ПО нежелательным программам.
В отчете ЛК приведены конкретные примеры с использованием фишинга, взломом соцсетей и спамом, а также конкретные рекомендации по по киберзащите.
securelist.ru
Исследование киберугроз 2024 года для малого и среднего бизнеса
Аналитики «Лаборатории Касперского» объясняют, какие программы чаще всего подвергаются атакам и как предприятия могут защититься от фишинга и спама.
Исследователи Claroty сообщают о серьезных последствиях взлома газового хроматографа Emerson с использованием вновь обнаруженных критических уязвимостей.
Газовый хроматограф - это по сути химический анализатор, который реализует измерение содержания различных компонентов в образце и зачастую используются в больницах для анализов крови, а также в сфере экологического контроля загрязнений воздуха.
Как правило, устройства газовой хроматографии Emerson подключаются к внутренним сетям и контролируются техническими специалистами удаленно по каналу связи, использующему собственный протокол.
Claroty в своем исследовании сосредоточились на Emerson Rosemount 370XA, который ресерчеры смогли полностью смоделировать и оттестить.
Анализ показал, и позже Emerson подтвердила, что продукты Rosemount GC370XA, GC700XA и GC1500XA подвержены четырем уязвимостям.
Список включает в себя критическую инъекцию команд, которая позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с привилегиями root.
Кроме того, имелась проблема высокой серьезности, которая позволяет неаутентифицированному сетевому злоумышленнику обойти аутентификацию и получить возможности администратора.
Остальные уязвимости отнесены к категории средней степени серьезности.
Один из них позволяет злоумышленнику, не прошедшему аутентификацию, получить конфиденциальную информацию или DoS, а другой - злоумышленнику, прошедшему аутентификацию, выполнять произвольные команды.
Компрометация таких устройств может оказать существенное влияние в различных отраслях.
Так, при производстве продуктов питания атаки на газовые хроматографы могут повлиять на обнаружение бактерий и привести к остановке технологической цепочки.
Подобные же атаки на больничные хроматографы могут исказить результаты анализов крови и других образцов пациентов.
Emerson проинформировала клиентов о доступности обновлений прошивки, которые должны были устранить уязвимости, а также рекомендовала изолировать уязвимый продукт от Интернета в соответствии с лучшими отраслевыми практиками.
Газовый хроматограф - это по сути химический анализатор, который реализует измерение содержания различных компонентов в образце и зачастую используются в больницах для анализов крови, а также в сфере экологического контроля загрязнений воздуха.
Как правило, устройства газовой хроматографии Emerson подключаются к внутренним сетям и контролируются техническими специалистами удаленно по каналу связи, использующему собственный протокол.
Claroty в своем исследовании сосредоточились на Emerson Rosemount 370XA, который ресерчеры смогли полностью смоделировать и оттестить.
Анализ показал, и позже Emerson подтвердила, что продукты Rosemount GC370XA, GC700XA и GC1500XA подвержены четырем уязвимостям.
Список включает в себя критическую инъекцию команд, которая позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с привилегиями root.
Кроме того, имелась проблема высокой серьезности, которая позволяет неаутентифицированному сетевому злоумышленнику обойти аутентификацию и получить возможности администратора.
Остальные уязвимости отнесены к категории средней степени серьезности.
Один из них позволяет злоумышленнику, не прошедшему аутентификацию, получить конфиденциальную информацию или DoS, а другой - злоумышленнику, прошедшему аутентификацию, выполнять произвольные команды.
Компрометация таких устройств может оказать существенное влияние в различных отраслях.
Так, при производстве продуктов питания атаки на газовые хроматографы могут повлиять на обнаружение бактерий и привести к остановке технологической цепочки.
Подобные же атаки на больничные хроматографы могут исказить результаты анализов крови и других образцов пациентов.
Emerson проинформировала клиентов о доступности обновлений прошивки, которые должны были устранить уязвимости, а также рекомендовала изолировать уязвимый продукт от Интернета в соответствии с лучшими отраслевыми практиками.
Claroty
Hacking a $100K Gas Chromatograph without Owning One
Claroty Team82 researched an Emerson Rosemount 370XA gas chromatograph, used in many industrial and healthcare laboratory applications. Four vulnerabilities were uncovered that allow an attacker to bypass authentication or exploit weak authentication to gain…
͏Тем временем подкатил новый ноль, на этот раз 0day Sandbox Escape RCE в браузере Chrome с эксплойтом, который работает на версиях 126.0.6478.126 и 126.0.6478.127, потенциально позволяя выполнять произвольный код в затронутых системах.
Новинка реализуется в даркнете по цене в 1 000 000 долларов США в эквиваленте Monero (XMR) или BTC. Сделка возможна с привлечением гаранта.
По словам селлера, уязвимость была протестирована и подтвердила работоспособность в операционных системах Windows, в частности версий 21H1 и 21H2.
Новинка реализуется в даркнете по цене в 1 000 000 долларов США в эквиваленте Monero (XMR) или BTC. Сделка возможна с привлечением гаранта.
По словам селлера, уязвимость была протестирована и подтвердила работоспособность в операционных системах Windows, в частности версий 21H1 и 21H2.
Да неужели!
NEW: We spoke to official Kaspersky resellers in the U.S. about upcoming sales ban.
They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.
The ban and sanctions "are complete bullshit,” one said.
NEW: We spoke to official Kaspersky resellers in the U.S. about upcoming sales ban.
They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.
The ban and sanctions "are complete bullshit,” one said.
X (formerly Twitter)
Lorenzo Franceschi-Bicchierai (@lorenzofb) on X
NEW: We spoke to official Kaspersky resellers in the U.S. about upcoming sales ban.
They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.
The ban and sanctions "are complete bullshit,” one said.…
They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.
The ban and sanctions "are complete bullshit,” one said.…
GitLab выпустила обновления для исправления 14 уязвимостей, включая одну критическую и три проблемы высокой степени серьезности.
Затрагивающая GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0 критическая уязвимость при определенных обстоятельствах может быть использована для запуска конвейеров от имени любого пользователя.
Проблема отслеживается как CVE-2024-5655 и имеет степень серьезности 9,6 из 10, исправлена в версиях 17.1.1, 17.0.3 и 16.11.5.
Учитывая, что конвейеры GitLab реализуют функционал непрерывной интеграции/непрерывного развертывания (CI/CD), поставщик настоятельно рекомендует как можно скорее обновить все инсталляции с уязвимой версией.
Кроме того, поставщик также сообщил, что обновление содержит два критических изменения:
- Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.
- CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0, причем это изменение перенесено в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.
Среди других ошибок, серьезность которых оценена как высокая (CVSS v3.1: 7,5–8,7) следующие:
- CVE-2024-4901: XSS-уязвимость, позволяющая вредоносным заметкам о фиксации из импортированных проектов внедрять сценарии, что потенциально может привести к несанкционированным действиям и раскрытию данных.
- CVE-2024-4994: CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения GraphQL, обманывая аутентифицированных пользователей и заставляя их выполнять нежелательные запросы, что может привести к манипулированию данными и несанкционированным операциям.
- CVE-2024-6323: ошибка авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах, что потенциально может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.
Ресурсы для обновлений GitLab доступны здесь, а рекомендации по GitLab Runner можно найти на этой странице.
Затрагивающая GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0 критическая уязвимость при определенных обстоятельствах может быть использована для запуска конвейеров от имени любого пользователя.
Проблема отслеживается как CVE-2024-5655 и имеет степень серьезности 9,6 из 10, исправлена в версиях 17.1.1, 17.0.3 и 16.11.5.
Учитывая, что конвейеры GitLab реализуют функционал непрерывной интеграции/непрерывного развертывания (CI/CD), поставщик настоятельно рекомендует как можно скорее обновить все инсталляции с уязвимой версией.
Кроме того, поставщик также сообщил, что обновление содержит два критических изменения:
- Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.
- CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0, причем это изменение перенесено в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.
Среди других ошибок, серьезность которых оценена как высокая (CVSS v3.1: 7,5–8,7) следующие:
- CVE-2024-4901: XSS-уязвимость, позволяющая вредоносным заметкам о фиксации из импортированных проектов внедрять сценарии, что потенциально может привести к несанкционированным действиям и раскрытию данных.
- CVE-2024-4994: CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения GraphQL, обманывая аутентифицированных пользователей и заставляя их выполнять нежелательные запросы, что может привести к манипулированию данными и несанкционированным операциям.
- CVE-2024-6323: ошибка авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах, что потенциально может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.
Ресурсы для обновлений GitLab доступны здесь, а рекомендации по GitLab Runner можно найти на этой странице.
GitLab
GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
Learn more about GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Хакеры развальцевали корпоративную сеть TeamViewer, о чем 26 июня сообщил сам разработчик решения для удаленного доступа с 640 000 клиентов и 2,5 млрд установок, обнаружив сбой во внутренней ИТ-среде.
Новость о взломе впервые появилась на Mastodon, где исследователь поделился фрагментами оповещения с Dutch Digital Trust Center (портал обмена информацией по киберугрозам).
По словам компании, это сделала неустановленная хакерская группа APT, начато расследование совместно с командой всемирно известных экспертов по кибербезопасности.
При этом отмечается, что внутренняя корпоративная ИТ-среда TeamViewer полностью независима от среды продукта. Нет никаких доказательств того, что среда продукта или данные клиентов затронуты.
Компания планирует обеспечить прозрачность информации об утечке и будет постоянно обновлять статус своего расследования по мере поступления новой информации.
Тем не менее, как заметили исследователи, страница c обновлением ИТ-безопасности TeamViewer содержит <meta name="robots" content="noindex"> тег HTML, который предотвращает индексацию документа поисковыми системами.
В прошлый раз TeamViewer ломали в 2016 году, тогда инцидент связали с китайскими хакерами из-за использования ими бэкдора Winnti. Тогда компания не раскрывала информацию почти три года, сославшись на то, что данные в ходе атаки не пострадали.
Новый инцидент NCC Group на пару с Health-ISAC уже поспешили навесить российским хакерам, аргументируя свою позицию мнением доверенного источника в разведсообществе, который утверждал, что TeamViewer часто используется в их атаках.
Однако позже умопомрачительства опровергли, факт инцидента в TeamViewer и задействование его решения в атаках той или иной APT никак не соотносятся между собой (даже логически).
Так что пока официальных комментариев на этот счет ни от TeamViewer, ни от NCC Group нет, а все всхлипывания можно считать не более чем пропагандистской залипухой.
Новость о взломе впервые появилась на Mastodon, где исследователь поделился фрагментами оповещения с Dutch Digital Trust Center (портал обмена информацией по киберугрозам).
По словам компании, это сделала неустановленная хакерская группа APT, начато расследование совместно с командой всемирно известных экспертов по кибербезопасности.
При этом отмечается, что внутренняя корпоративная ИТ-среда TeamViewer полностью независима от среды продукта. Нет никаких доказательств того, что среда продукта или данные клиентов затронуты.
Компания планирует обеспечить прозрачность информации об утечке и будет постоянно обновлять статус своего расследования по мере поступления новой информации.
Тем не менее, как заметили исследователи, страница c обновлением ИТ-безопасности TeamViewer содержит <meta name="robots" content="noindex"> тег HTML, который предотвращает индексацию документа поисковыми системами.
В прошлый раз TeamViewer ломали в 2016 году, тогда инцидент связали с китайскими хакерами из-за использования ими бэкдора Winnti. Тогда компания не раскрывала информацию почти три года, сославшись на то, что данные в ходе атаки не пострадали.
Новый инцидент NCC Group на пару с Health-ISAC уже поспешили навесить российским хакерам, аргументируя свою позицию мнением доверенного источника в разведсообществе, который утверждал, что TeamViewer часто используется в их атаках.
Однако позже умопомрачительства опровергли, факт инцидента в TeamViewer и задействование его решения в атаках той или иной APT никак не соотносятся между собой (даже логически).
Так что пока официальных комментариев на этот счет ни от TeamViewer, ни от NCC Group нет, а все всхлипывания можно считать не более чем пропагандистской залипухой.
Infosec Exchange
Jeffrey (@jtig@infosec.exchange)
"The NCC Group Global Threat Intelligence team has been made aware of significant compromise of
the TeamViewer remote access and support platform by an APT group. Due to the widespread usage
of this software the following alert is being circulated securely…
the TeamViewer remote access and support platform by an APT group. Due to the widespread usage
of this software the following alert is being circulated securely…
Команда KrakenLabs компании Outpost24 задетектила нового злоумышленника Unfurling Hemlock, который заражал целевые системы до десяти вредоносными ПО одновременно в ходе кампаний, распространяющих сотни тысяч вредоносных файлов.
По данным исследователей, эта деятельность началась как минимум в феврале 2023 года и реализует особый метод распространения.
Исследователи описывают его как кластерную бомбу вредоносного ПО, которая позволяет злоумышленнику использовать один образец вредоносного ПО и распространять дополнительные экземпляры на зараженной машине.
В совокупности KrakenLabs обнаружила более 50 000 «кассетных бомб», имеющих уникальные характеристики, связывающие их с группой Unfurling Hemlock.
Атаки начинаются с запуска WEXTRACT.EXE, который поступает на целевые устройства либо через вредоносные электронные письма, либо через загрузчики вредоносного ПО, к которым Unfurling Hemlock имеет доступ операторов.
Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и еще один сжатый файл.
Каждый шаг распаковки доставляет вариант вредоносного ПО на машину жертвы. Когда достигается финальная стадия, извлеченные файлы выполняются в обратном порядке, то есть последнее извлеченное вредоносное ПО выполняется первым.
KrakenLabs зафиксировала от четырех до семи этапов, что означает, что количество шагов и объем вредоносного ПО, распространяемого во время атак Unfurling Hemlock, различаются.
Аналитики KrakenLabs обнаружили на компьютерах жертв следующие вредоносные ПО, загрузчики и утилиты: Redline, RisePro, Mystic Stealer (работает по MaaS), Amadey, SmokeLoader, Protection disabler, Enigma Packer, Healer.exe, Performance checker, а также утилиты, использующие собственные инструменты Packer, Heal(такие как wmiadap.exe и wmiprvse.exe), для сбора системной информации.
Из проанализированных образцов исследователи пришли к выводу, что более половины всех атак Unfurling Hemlock были нацелены на системы в США, в то время как относительно высокая активность наблюдалась также в Германии, России, Турции, Индии и Канаде.
В отчете KrakenLabs не рассматриваются пути монетизации или действия после взлома, но можно предположить, что Unfurling Hemlock продает логи и первоначальный доступ другим субъектам угроз.
Основываясь на полученных артефактах, исследователи с определенной степенью уверенности полагают, что Unfurling Hemlock базируется в восточноевропейской стране.
По данным исследователей, эта деятельность началась как минимум в феврале 2023 года и реализует особый метод распространения.
Исследователи описывают его как кластерную бомбу вредоносного ПО, которая позволяет злоумышленнику использовать один образец вредоносного ПО и распространять дополнительные экземпляры на зараженной машине.
В совокупности KrakenLabs обнаружила более 50 000 «кассетных бомб», имеющих уникальные характеристики, связывающие их с группой Unfurling Hemlock.
Атаки начинаются с запуска WEXTRACT.EXE, который поступает на целевые устройства либо через вредоносные электронные письма, либо через загрузчики вредоносного ПО, к которым Unfurling Hemlock имеет доступ операторов.
Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и еще один сжатый файл.
Каждый шаг распаковки доставляет вариант вредоносного ПО на машину жертвы. Когда достигается финальная стадия, извлеченные файлы выполняются в обратном порядке, то есть последнее извлеченное вредоносное ПО выполняется первым.
KrakenLabs зафиксировала от четырех до семи этапов, что означает, что количество шагов и объем вредоносного ПО, распространяемого во время атак Unfurling Hemlock, различаются.
Аналитики KrakenLabs обнаружили на компьютерах жертв следующие вредоносные ПО, загрузчики и утилиты: Redline, RisePro, Mystic Stealer (работает по MaaS), Amadey, SmokeLoader, Protection disabler, Enigma Packer, Healer.exe, Performance checker, а также утилиты, использующие собственные инструменты Packer, Heal(такие как wmiadap.exe и wmiprvse.exe), для сбора системной информации.
Из проанализированных образцов исследователи пришли к выводу, что более половины всех атак Unfurling Hemlock были нацелены на системы в США, в то время как относительно высокая активность наблюдалась также в Германии, России, Турции, Индии и Канаде.
В отчете KrakenLabs не рассматриваются пути монетизации или действия после взлома, но можно предположить, что Unfurling Hemlock продает логи и первоначальный доступ другим субъектам угроз.
Основываясь на полученных артефактах, исследователи с определенной степенью уверенности полагают, что Unfurling Hemlock базируется в восточноевропейской стране.
Outpost24
Unfurling Hemlock: New threat group uses cluster bomb campaign to distribute malware
Read Outpost24’s Threat Intelligence team’s deep analysis of a suspected new cybercrime group and how they operate.
Группа исследователей из Технологического университета Граца в Австрии раскрыла детали новой атаки SnailLoad, который позволяет удаленному злоумышленнику определить просматриваемые пользователем сайты и другой контент.
Новая атака SnailLoad использует изменения сетевой задержки для определения активности пользователя и более эффективна, поскольку не требует PitM, JavaScript, взлома Wi-Fi-соединения или выполнения какого-либо кода в системе жертвы.
Причем исследователи продемонстрировали атаку, продемонстрировав, как можно определить видеоролики YouTube и веб-сайты, к которым обращается пользователь.
Для запуска SnailLoad злоумышленник проводит ряд измерений задержки для различных видео YouTube и веб-сайтов, которые может просматривать жертва. Эти данные реализуют трассировку задержки, по сути создавая отпечаток для каждого из них.
Затем необходимо заставить целевого пользователя загрузить данные с вредоносного сервера, включая файлы, таблицы стилей, шрифты, изображения или рекламу.
Основная угроза заключается в том, что любой TCP-сервер может скрытно получать данные о задержках от любых клиентов, подключающихся к нему.
Важным аспектом является то, что вредоносному серверу необходимо загружать контент медленно (отсюда и название SnailLoad), чтобы злоумышленник мог отслеживать задержку соединения в течение длительного периода времени.
Атака полагается на то, что серверы обычно имеют быстрое подключение к Интернету, в отличие от скорости, с которой трафик достигает систем интернет-провайдера или шлюза жертвы, где пакеты задерживаются. Эти узкие места полосы пропускания используются для измерения задержки.
Данные, полученные злоумышленником во время загрузки контента системой жертвы с вредоносного сервера, сравниваются с ранее созданным отпечатком, что позволяет злоумышленнику выяснить, какие из видеороликов или веб-сайтов в его списке просматриваются жертвой в другом окне во время проведения атаки SnailLoad.
Исследователи отметили, что злоумышленник может задействовать сверточную нейронную сеть (CNN), чтобы изучить трассировку задержки для каждого целевого актива.
Атаку почти невозможно смягчить, поскольку она полагается на принцип работы Интернета. Однако маловероятно, что SnailLoad будет использоваться в реальных условиях.
Тем не менее, в тестах, проведенных исследователями TU Graz на 10 видеороликах YouTube и 100 популярных сайтах, точность составила в диапазоне от 37% до 98%, в зависимости от типа целевого ресурса и интернет-соединения.
Результаты исследования ресерчеры намерены представить на Black Hat USA 2024. Также они опубликовали статью с описанием SnailLoad и создали отдельный сайт с демонстрацией атаки.
Новая атака SnailLoad использует изменения сетевой задержки для определения активности пользователя и более эффективна, поскольку не требует PitM, JavaScript, взлома Wi-Fi-соединения или выполнения какого-либо кода в системе жертвы.
Причем исследователи продемонстрировали атаку, продемонстрировав, как можно определить видеоролики YouTube и веб-сайты, к которым обращается пользователь.
Для запуска SnailLoad злоумышленник проводит ряд измерений задержки для различных видео YouTube и веб-сайтов, которые может просматривать жертва. Эти данные реализуют трассировку задержки, по сути создавая отпечаток для каждого из них.
Затем необходимо заставить целевого пользователя загрузить данные с вредоносного сервера, включая файлы, таблицы стилей, шрифты, изображения или рекламу.
Основная угроза заключается в том, что любой TCP-сервер может скрытно получать данные о задержках от любых клиентов, подключающихся к нему.
Важным аспектом является то, что вредоносному серверу необходимо загружать контент медленно (отсюда и название SnailLoad), чтобы злоумышленник мог отслеживать задержку соединения в течение длительного периода времени.
Атака полагается на то, что серверы обычно имеют быстрое подключение к Интернету, в отличие от скорости, с которой трафик достигает систем интернет-провайдера или шлюза жертвы, где пакеты задерживаются. Эти узкие места полосы пропускания используются для измерения задержки.
Данные, полученные злоумышленником во время загрузки контента системой жертвы с вредоносного сервера, сравниваются с ранее созданным отпечатком, что позволяет злоумышленнику выяснить, какие из видеороликов или веб-сайтов в его списке просматриваются жертвой в другом окне во время проведения атаки SnailLoad.
Исследователи отметили, что злоумышленник может задействовать сверточную нейронную сеть (CNN), чтобы изучить трассировку задержки для каждого целевого актива.
Атаку почти невозможно смягчить, поскольку она полагается на принцип работы Интернета. Однако маловероятно, что SnailLoad будет использоваться в реальных условиях.
Тем не менее, в тестах, проведенных исследователями TU Graz на 10 видеороликах YouTube и 100 популярных сайтах, точность составила в диапазоне от 37% до 98%, в зависимости от типа целевого ресурса и интернет-соединения.
Результаты исследования ресерчеры намерены представить на Black Hat USA 2024. Также они опубликовали статью с описанием SnailLoad и создали отдельный сайт с демонстрацией атаки.
Juniper Networks выпустила внеочередное исправление для уязвимости обхода аутентификации максимальной степени серьезности в Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router.
Проблема отслеживается как CVE-2024-2973 (CVSS 10,0) и злоумышленнику обойти аутентификацию с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или Conductor с резервным узлом, и получить полный контроль над устройством.
Уязвимость затрагивает только маршрутизаторы или проводники, работающие в конфигурациях с высокой доступностью и избыточностью.
Администраторы применяют резервные конфигурации высокой доступности, где непрерывность обслуживания имеет решающее значение. Она необходима для поддержания бесперебойных услуг и повышения устойчивости к непредвиденным событиям.
Это делает уязвимую конфигурацию довольно распространенной в критически важной сетевой инфраструктуре, в том числе в средах крупных предприятий, ЦОД, телекоммуникациях, электронной коммерции, а также в государственных службах.
CVE-2024-2973 затрагивает Session Smart Router и Conductor в версиях до 5.6.15, с 6.0 до 6.1.9-lts, с 6.2 до 6.2.5-sts, а также WAN Assurance Router 6.0 до 6.1.9-lts, 6.2 до 6.2.5-sts.
Для этой уязвимости не существует обходных путей, и рекомендуемые действия ограничиваются применением доступных исправлений.
Проблема отслеживается как CVE-2024-2973 (CVSS 10,0) и злоумышленнику обойти аутентификацию с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или Conductor с резервным узлом, и получить полный контроль над устройством.
Уязвимость затрагивает только маршрутизаторы или проводники, работающие в конфигурациях с высокой доступностью и избыточностью.
Администраторы применяют резервные конфигурации высокой доступности, где непрерывность обслуживания имеет решающее значение. Она необходима для поддержания бесперебойных услуг и повышения устойчивости к непредвиденным событиям.
Это делает уязвимую конфигурацию довольно распространенной в критически важной сетевой инфраструктуре, в том числе в средах крупных предприятий, ЦОД, телекоммуникациях, электронной коммерции, а также в государственных службах.
CVE-2024-2973 затрагивает Session Smart Router и Conductor в версиях до 5.6.15, с 6.0 до 6.1.9-lts, с 6.2 до 6.2.5-sts, а также WAN Assurance Router 6.0 до 6.1.9-lts, 6.2 до 6.2.5-sts.
Для этой уязвимости не существует обходных путей, и рекомендуемые действия ограничиваются применением доступных исправлений.