Исследователи Rapid7 раскрыла атаку на цепочку поставок ПО, в рамках которой хакеры взломали индийского разработчика Conceptworld для распространения инфостилера через его приложения.

В результате инцидента были троянизированы установщики таких приложений, как Notezilla, RecentX и Copywhiz. Причем вредоносные версии имели больший размер файла, чем их легитимные аналоги.

По данным Rapid7, взлом, по-видимому, произошел 18 июня 2024 года и включал задействование штамма вредоносного ПО под названием dllFake.

В настоящее время неясно, как конкретно был скомпрометирован официальный conceptworld[.]com для размещения поддельных установщиков.

Однако после начала установки приложения пользователю предлагается продолжить процесс, связанный с ПО, хотя в реальности он предназначен для загрузки и выполнения двоичного dllCrt32.exe, который отвечает за запуск пакетного сценария dllCrt.bat.

Помимо обеспечения постоянного присутствия на машине, он настроен на выполнение другого dllBus32.exe, который, в свою очередь, устанавливает соединения с C2 для получения команд.

Вредоносная ПО способна красть учетные данные браузеров Google Chrome, Mozilla Firefox, криптокошельков Atomic, Coinomi, Electrum, Exodus и Guarda.

Кроме того, способен собирать файлы определенных расширений (.txt, .doc, .png и .jpg), регистрировать содержимое буфера обмена и нажатия клавиш, а также выполнять дополнительные полезные нагрузки на зараженных хостах Windows.

dllFake также обеспечивает постоянство с помощью запланированной задачи для выполнения основной полезной нагрузки каждые три часа.

Проблема была устранена 24 июня в течение 12 часов с момента раскрытия информации. IoC и MITRE ATT&CK - отчете.

Микромягкие умеют удивлять. Даже, если на время забыть про ReCall, новая «опция» вряд ли будет по душе пользователям Windows 11.

Microsoft намерена принудительно синхронизировать данные пользователей Windows 11 с OneDrive, принудительно создавая резервные копии.

Без предварительного уведомления или объяснения Microsoft теперь по умолчанию активирует функцию автоматического резервного копирования с помощью OneDrive при настройке нового компьютера.

Безусловно, резервирование можно будет отключить, по крайней мере визуально такая возможность останется, как будет на самом деле - и так понятно.

Если здесь условный рубильник хотя бы обозначен, то в случае с новым клиентом Outlook для Windows 11 все намного печальнее.

Как неожиданно выяснилось, все ваши данные электронной почты теперь проксируются через серверы Microsoft, включая операции входа.

Как говорится, ничего личного…

Cisco предупреждает об исправлении 0-day в NX-OS, которая активно задействовалась в апреле для развертывания ранее неизвестного вредоносного ПО с правами root на уязвимые коммутаторы.

Ошибка была обнаружена исследователями Sygnia в рамках более масштабного расследования деятельности китайской APT, отлеживаемой как Velvet Ant.

По данным исследователей, Velvet Ant на протяжении многих лет получала доступ к сети организации, взламывая устаревшие F5 BIG-IP, доступные через Интернет, и развертывая несколько инструментов для ретрансляции командно-диспетчерских сообщений С2.

При этом злоумышленники использовали уязвимость Cisco NX-OS для запуска ранее неизвестного вредоносного ПО на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения дополнительного кода.

CVE-2024-20399 позволяет локальным злоумышленникам с правами администратора выполнять произвольные команды с правами root на базовых ОС уязвимых устройств.

Ошибка обусловлена недостаточной проверкой аргументов, которые передаются определенным командам CLI конфигурации. Ей можно воспользоваться, включив специально созданные входные данные в качестве аргумента уязвимой команды CLI конфигурации.

Список затронутых устройств включает несколько коммутаторов, работающих под управлением уязвимого NX-OS: MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000, а также Nexus 9000 в автономном режиме NX-OS.

Стоит отметить, что уязвимость позволяет выполнять команды, не вызывая сообщений системного журнала, скрывая признаки компрометации взломанных устройств NX-OS.

Cisco рекомендует клиентам регулярно отслеживать и изменять учетные данные администраторов сети и vdc-admin.

Кроме того, использовать страницу Cisco Software Checker, чтобы определить, подвержены ли устройства в их сети атакам, нацеленным на уязвимость CVE-2024-20399.

PTC исправила критическую уязвимость для решения 3D-моделирования Creo Elements/Direct License Server, которая может быть использована для выполнения команд без аутентификации.

Критическую проблему отсутствия авторизации в версиях 20.7.0.0 и более ранних ранее в этом году обнаружил Томас Ридмайер из Siemens Energy.

Ошибка отслеживается как CVE-2024-6071 и ей имеет рейтинг CVSS 10.

Патч включен в версию 20.7.0.1 и более поздние версии License Server, которые доступны для таких продуктов, как Creo Elements/Direct Drafting, Model/Drawing Mgr, Modeling и WorkManager.

В ходе анализа исследователь пришел к выводу, что License Server предоставляет веб-интерфейс, который может быть использован неаутентифицированными удаленными злоумышленниками для выполнения произвольных команд ОС на базовом сервере.

Что более печально, уязвимость может привести к горизонтальному движению в промышленных организациях, а используется продукт по всему миру, в том числе в критически важном производственном секторе. 

Тем не менее в PTC отметили, что не имеют никаких указаний и не были осведомлены о том, что эта уязвимость эксплуатируется или эксплуатировалась ранее. 

Ридмайер отметил, что уязвимый License Server обычно не имеет выхода в Интернет, поэтому злоумышленнику потребуется доступ к сети целевой организации, чтобы воспользоваться уязвимостью.

В среде, где ему удалось найти уязвимость, сервер PTC был установлен на системе Windows, которую исследователь смог полностью взять под контроль, воспользовавшись уязвимостью.

Учитывая, что взломанный сервер был подключен к нескольким сетям и на нем размещались и другие сервисы, Ридмайер смог через него добраться и до критически важной информации в иных сегментах сети.

Правда успех такого мероприятия, конечно зависит от того, где развернут уязвимый License Server и какой тип доступа он реализует, что может отличаться в разных организациях. 

Оценив масштаб бедствия, PTC проделала отличную работу и выпустила исправления с рекомендациями в течение семи недель.

EVA Information Security поделилась подробностями трех уязвимостей CocoaPods, затрагивающих миллионы приложений macOS и iOS в части атак на цепочки поставок ПО.

CocoaPods - это менеджер зависимостей с открытым исходным кодом для проектов Swift и Objective-C Cocoa, имеющий более 100 000 библиотек и используемый более чем тремя миллионами приложений в экосистеме Apple.

Обнаруженные проблемы в CocoaPods могли позволить злоумышленникам перехватить тысячи пакетов, выполнить команды оболочки и захватить учетные записи, что потенциально повлияло на миллионы приложений iOS и macOS.

Корни всех бед уходят в 2014 год, когда CocoaPods перешел на сервер Trunk, выступающий в качестве централизованного репозитория и платформы распространения, утратив авторство многих модулей. В результате 1866 пакетов остались бесхозными.

EVA обнаружила, что это позволяло любому злоумышленнику заявить о своем праве на тысячи невостребованных модулей и внедрить вредоносный код во многие из самых популярных приложений iOS и macOS.

Злоумышленник мог воспользоваться CVE-2024-38368 (оценка CVSS 9,9), чтобы захватить известные модули и изменить их содержимое или заменить его вредоносным кодом.

Исследователи обнаружили упоминания об утраченных модулях в документации приложений, предоставляемых Apple (Safari, AppleTV, Xcode) и Microsoft (Teams), а также в TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga и многих других. В целом - 685 модулей, которые имели явную зависимость от потерянного модуля.

Вторая уязвимость, обозначенная как CVE-2024-38366 (оценка CVSS 9,0), представляет собой RCE-ошибку уна сервере аутентификации для CocoaPods, который выполняет команду оболочки для проверки домена электронной почты, когда разработчик регистрируется в качестве владельца модуля.

Ошибку можно использовать для выполнения команды на магистральном сервере, фактически предоставляя root-доступ к серверу и инфраструктуре.

Третья CVE-2024-38367 (оценка CVSS 8,0) также связана с процессом аутентификации, позволяя злоумышленнику перехватить сеанс владельца модуля и захватить учетную запись CocoaPods.

CocoaPods аутентифицирует новые устройства, создавая сеанс, который становится действительным только после того, как владелец перейдет по ссылке, которую сервер Trunk генерирует и отправляет на адрес электронной почты, указанный клиентом при запросе сеанса.

EVA заметила, что злоумышленник может подделать заголовок X-Forwarded-Host (XFH), используемый для идентификации, и сервер будет использовать поддельный заголовок для создания URL, отправляемого по электронной почте. URL может перенаправлять пользователей на сторонние веб-сайты, которые могут красть куки их сеанса.

Как отметили ресерчеры, нисходящие зависимости могут означать, что за последние несколько лет были уязвимы тысячи приложений и миллионы устройств.

CocoaPods устранила уязвимости на стороне сервера в сентябре и октябре 2023 года, и теперь их эксплуатация невозможна.

Исследователи из Калифорнийского университета в Сан-Диего сообщили о новой высокоточной атаке по побочным каналам Branch Target Injection (BTI), которая получила название Indirector и затрагивает современные процессоры Intel, включая Raptor Lake и Alder Lake.

Indirector может использоваться для кражи конфиденциальной информации из ЦП, используя уязвимости в Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB) для манипулирования спекулятивным выполнением с целью извлечения данных.

Предиктор косвенных ветвлений предназначен для прогнозирования целевых адресов косвенных ветвлений с использованием исторической информации о выполнении, в то время как буфер целевых ветвлений прогнозирует целевые адреса прямых ветвлений с использованием структуры кэша с ассоциативными множествами.

Исследователи обнаружили, что обе системы имеют недостатки в механизмах индексации, маркировки и обмена записями и, как правило, построены на предсказуемой структуре, которая позволяет осуществлять целенаправленные высокоточные манипуляции.

Исходя из вышеизложенного, Indirector осуществляет атаки в основном с использованием трех механизмов.

- iBranch Locator: настраиваемый инструмент, который использует методы вытеснения для идентификации индексов и тегов пострадавших ветвей и точного определения записей IBP для конкретных ветвей.

- IBP/BTB injections: выполнение целевых инъекций в структуры прогнозирования для выполнения спекулятивного кода.

- ASLR bypass: прерывание рандомизации адресного пространства (ASLR) путем определения точного местоположения косвенных ветвей и их целей, что упрощает прогнозирование и манипулирование потоком управления защищенных процессов.

Наряду со спекулятивным выполнением, достигаемым с помощью целевых инъекций, злоумышленник может использовать методы сторонних каналов кэширования, такие как измерение времени доступа, чтобы сделать вывод о полученных данных.

Intel проинформировали об атаке в феврале 2024 года, также уведомили затронутых поставщиков оборудования и ПО.

Исследователи рассматривают два основных способа смягчения последствий атаки Indirector: более агрессивное использование Indirect Branch Predictor Barrier (IBPB) и усиление Branch Prediction Unit (BPU) путем включения более сложных тегов, шифрования и рандомизации.

Однако необходимо учитывать снижение производительности, особенно при использовании IBPB, поэтому реализация предлагаемого смягчения требует тонкой балансировочной работы.

Исследователи опубликовали на GitHub код и инструменты для проверки концепции атак с внедрением ветвей. Подробности атаки обещают раскрыть на предстоящем симпозиуме USENIX в августе 2024 года.

Исследователи K7 Security Labs расчехлили новый SpyMax Android RAT, нацеленный на пользователей Telegram и не требующий рутирования целевого устройства.

SpyMax RAT способен собирать личную информацию с зараженного устройства и полностью контролировать устройства жертв, заражения реализуется посредством фишинговой кампании, предлагая загрузить вредоносное приложение «ready.apk».

При этом ready.apk выдает себя за Telegram, а используемый значок полностью идентичен оригинальному. После установки RAT на предлагает пользователю включить службу специальных возможностей для приложения.

При наличии необходимых разрешений, APK действует как троян с возможностями кейлоггера. Он создает каталог «Config/sys/apps/log» во внешнем хранилище устройств, а журналы сохраняются в файле «log-yyyy-mm-dd.log» в созданном каталоге.

Помимо стандартного целевого набора вредоносная ПО собирает информацию о местоположении: высота, широта, долгота, точность, и даже скорость движения устройства.

После чего SpyMax объединяет все данные и сжимает их (используя API gZIPOutputStream) перед отправкой на сервер C2. RAT связывается с сервером C2 IP 154.213.65[.]28 через порт: 7771, маскируя соединение.

После установления соединения вредоносная ПО отправляет сжатые gzip данные на C2, который, в свою очередь, отвечает, отправляя серию сжатых данных, представляющих собой после распаковки системные команды и полезную нагрузку APK.

Исследователи из K7 Labs для защиты от подобного рода угроз рекомендуют использовать антивирусные средства, а также использовать для загрузки приложений надежные платформы (как показывает практика, не является панацеей).

Индикаторы компрометации и подробный технический разбор - в отчете.

Splunk исправила 18 уязвимостей в Splunk Enterprise и Cloud Platform, включая серьезные ошибки удаленного выполнения кода.

Три из наиболее серьезных проблем — это RCE-уязвимости, для успешной эксплуатации которых требуется аутентификация.

Первая CVE-2024-36985 может быть использована пользователем с низкими привилегиями через поиск, который ссылается на приложение splunk_archiver.

Проблема затрагивает Splunk Enterprise версий 9.2.x, 9.1.x и 9.0.x.

Splunk Enterprise 9.2.2, 9.1.5 и 9.0.10 устраняют уязвимость. Ошибку также можно нивелировать, отключив приложение splunk_archiver.

Вторая, затрагивающая Splunk Enterprise для Windows, отслеживается как CVE-2024-36984 и позволяет аутентифицированному злоумышленнику выполнить специально созданный запрос для сериализации ненадежных данных и RCE.

Эксплойт требует использования команды collect SPL, которая записывает файл в установку Splunk Enterprise.

Затем злоумышленник может использовать этот файл для отправки сериализованной полезной нагрузки, которая может привести к выполнению кода в полезной нагрузке.

Третья RCE затрагивает компонент генерации PDF-панели мониторинга в Enterprise и Cloud Platform, который использует уязвимую версию библиотеки Python ReportLab Toolkit (v3.6.1).

Splunk также исправил серьезную уязвимость внедрения команд в Enterprise и Cloud Platform, которая могла позволить аутентифицированному пользователю создать внешний поиск, вызывающий устаревшую внутреннюю функцию, и вставить код в установочный каталог платформы Splunk.

Уязвимость связана с устаревшей командой runshellscript, которую используют скриптовые действия оповещения.

Она позволяет аутентифицированному пользователю использовать эту уязвимость для выполнения команд в привилегированном контексте из экземпляра платформы Splunk.

К оставшимся ошибкам высокой степени серьезности относятся обход пути в Splunk Enterprise на Windows и отказ в обслуживании в продуктах Enterprise и Cloud Platform.

Splunk не упоминает об эксплуатации какой-либо из уязвимостей в реальных условиях.

Дополнительную информацию можно найти в рекомендациях по безопасности.

Исследователи заметили первые попытки эксплуатации критической regreSSHion, однако массовая эксплуатация маловероятна.

Приравненная к Log4Shell новая CVE-2024-6387, связанная с состоянием гонки в OpenSSH, была обнаружена исследователями Qualys, которые сразу же предупредили о возможности ее использования неавторизованным злоумышленником для RCE и может привести к полному захвату системы.

Уязвимость получила такое название, поскольку она представляет собой регресс уязвимости OpenSSH, впервые исправленной еще в 2006 году. Проблема вновь возникла в 2020 году и была непреднамеренно исправлена с выпуском 9.8p1.

К настоящему времени проблема активно обсуждается в сообществе и не зря, ведь по данным Shodan и Censys в Интернете более 14 миллионов потенциально уязвимых экземпляров OpenSSH.

Qualys предоставила лишь технические подробности, однако позже последовали PoC-эксплойты. Демонстрация производилась только в 32-разрядных системах Linux на базе glibc. Эксплуатация на 64-битных при этом также считается возможной.

В свою очередь, Palo Alto протестировала часть кода PoC и не смогла добиться RCE, отмечая отсутствие причин для паники. Несмотря на всю критичность, проблема вряд ли приведет к массовой эксплуатации.

Эксплуатация CVE-2024-6387 - достаточно непростая задача. Qualys пояснила, что в результате экспериментов потребовалось около 10 000 попыток, чтобы реализовать условия гонки, необходимые для эксплуатации, а это от нескольких часов до недели.

В свою очередь, Dazz также полагают, что эксплуатация в основном возможна в лабораторных условиях. Эксплойт статистический по своей природе, помимо этого существует довольно много препятствий, которые нужно преодолеть злоумышленникам.

Самый известный эксплойт требует более 4 часов для запуска, в лучшем случае. Тем не менее, исследователь Рагхав Растоги все же обнаружил IP-адрес, с которого, по всей видимости, были попытки использования CVE-2024-6387.

Помимо PoC в сеть запускают и инструменты с открытым исходным кодом, которые можно использовать для выявления уязвимых серверов OpenSSH.

Будем следить.

Исследователи Dr.Web выкатили отчет по результатам анализа вирусной активности за второй квартал 2024 года, а также отдельный обзор для мобильных устройств.

Согласно статистике детектирования Dr.Web, наиболее распространенными угрозами стали нежелательные рекламные ПО и трояны, а также вредоносное ПО, распространяемое в составе других троянов для затруднения их обнаружения.

В почтовом трафике чаще всего попадались вредоносные скрипты и всевозможные фишинговые документы.

Пострадавшие пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с Trojan.Encoder.3953, Trojan.Encoder.35534 и Trojan.Encoder.26996.

Что касается мобильных устройств Android, то наиболее часто замеченными угрозами стали рекламные трояны Android.HiddenAds, вредоносные ПО Android.FakeApp и шпионские трояны Android.Spy.

В то же время вирусные аналитики Dr.Web обнаружили больше угроз в Google Play.

Среди них были новые трояны Android.FakeApp, нежелательное приложение Program.FakeMoney.11, а также троян Android.Harly.87, реализующий платные подписки.

Подробная инфографика с примерами конкретных кампаний и инцидентов - в отчете Dr.Web.

Результаты исследования Sekoia показали, что FakeBat LaaS стал одним из самых распространенных в этом году штаммов вредоносных загрузчиков, распространяемых посредством атак Drive-by Download.

FakeBat, в первую очередь, нацелен на загрузку и выполнение полезной нагрузки следующего этапа, такой как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif.

Атаки Drive-by подразумевают задействование поисковой оптимизации (SEO), вредоносную рекламу и внедрение вредоносного кода во взломанные сайты, побуждая пользователей загружать фейковые установщики ПО или обновления браузера.

FakeBat, также известный как EugenLoader и PaykLoader, реализуется по модели подписки LaaS на хакерских форумах русскоязычным селлером Eugenfest (он же Payk_34) как минимум с декабря 2022 года.

Загрузчик предназначен для обхода механизмов безопасности и обеспечивает клиентам возможность создавать сборки с использованием шаблонов для троянизации легитимного ПО, а также отслеживать установки с течением времени через панель администрирования.

В то время как в более ранних версиях для сборок вредоносного ПО использовался формат MSI, в последних итерациях, наблюдаемых с сентября 2023 года, используется формат MSIX и добавлена цифровая подпись в установщик с действительным сертификатом для обхода защиты Microsoft SmartScreen.

Вредоносное ПО доступно по цене за 1000 долларов в неделю и 2500 долларов в месяц за MSI, за 1500 долларов в неделю и 4000 долларов в месяц за формат MSIX и за 1800 долларов в неделю и 5000 долларов в месяц за комбинированный пакет MSI и сигнатур.

Sekoia обнаружила различные кластеры активности, распространяющие FakeBat тремя основными способами, соответствующие кампаниям, вероятно, связанным с FIN7, Nitrogen и BATLOADER.

Среди основных методов: продвижение в качестве популярного ПО с помощью вредоносной рекламы Google, фейковые обновления браузера через взломанные сайты, а также схемы социнженерии через соцсетях.

В дополнение к размещению полезных нагрузок С2-серверы FakeBat с большой вероятностью фильтруют трафик на основе таких характеристик, как значение User-Agent, IP-адрес и местоположение, что позволяет распространять вредоносное ПО по определенным целям.

FakeBat IoC и технические подробности доступны в репозитории Sekoia на GitHub, почти также и правила YARA.

Позитивы поделились аналитикой по результатам подведения ежегодных итогов пентестов за 2023 год, охватывающей 28 реализованных проектов, при этом 39% из протестированных организаций состояли в рейтинге RAEX-600.

Подробно на цифрах, трендовых уязвимостях и проблемах останавливаться не будем, рекомендуем с ними ознакомиться в расширенном исследовании, где есть и соответствующие им рекомендации, а сфокусируемся на ключевых показателях.

В целом, результаты оказались традиционно неутешительными, пентесты показали в подавляющем большинстве достаточно низкий уровень защищенности в протестированных организациях.

Из основного:

- Как и в 2022 году в 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. В тех, где был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100%.

- Самое быстрое проникновение в локальную внутреннюю сеть организации было реализовано в первый же день с момента начала работ. В среднем специалистам на это потребовалось 10 дней.

- Во всех организациях удалось установить полный контроль над ИТ-инфраструктурой.

- В 63% протестированных компаний злоумышленник с низкой квалификацией сможет проникнуть в корпоративную сеть извне.

- В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации, а в 96% - учетные данные сотрудников. 

- В 21% проектах были обнаружены следы компрометации. Иными словами, реальные злоумышленники ранее взламывали ИТ-инфраструктуру этих организаций.

- В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений.

- 19% организаций были подвержены критически опасным уязвимостям парольной политики.

- В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.

Без комментариев.

͏Twilio подтвердила недавний инцидент с утечкой базы данных с номерами телефонов миллионов пользователей приложения Authy.

Authy - это мобильное приложение, которое обеспечивает генерацию кодов MFa на сайтах, где эта функция подключена. 

В конце июня небезызвестный ShinyHunters выставил на продажу в даркнете текстовый CSV с телефонными номерами, зарегистрированными в сервисе Authy.

Файл включает 33 420 546 строк, каждая из которых содержит идентификатор учетной записи, номер телефона, столбец over_the_top, статус учетной записи и количество устройств.

Twilio пояснила, что злоумышленники спарсили список, используя неаутентифицированную конечную точку API, как случае с аналогичными утечками через API Twitter и Facebook (признана экстремистской в России).

Украденные данные потенциально позволяет верифицировать номера телефонов миллионов пользователей Authy и делает их уязвимыми для фишинга через SMS и атак с подменой SIM-карт.

При этом разработчики не обнаружили никаких доказательств того, что злоумышленники получили доступ к системам Twilio или другим конфиденциальным данным.

В качестве мер предосторожности Twilio выпустила обновления безопасности и рекомендует пользователям обновиться до Authy Android (v25.1.0) и iOS App (v26.1.0), призывая сохранять бдительность в отношении фишинговых и смишинговых атак.

Конечно, неясно, как эти обновления помогут защитить пользователей от злоумышленников, использующихутекшие данные в атаках.

Возможно, это связано с другим инцидентом, в который также угодила Twilio, когда незащищенный контейнер AWS S3 стороннего поставщика раскрыл данные, связанные с отправляемыми SMS-сообщениями.

Как-то мы уже были свидетелями того, как логи инфостиллеров помогали выйти на самих злоумышленников, но оказывается могут быть задействованы и по другим направлениям.

Новый подход успешно, как заявляется, обкатали исследователи Insikt Group из Recorded Future, которые в своем отчете рассказали, как им удалось вычислить 3324 уникальных аккаунта, связанных с распространением CSAM (сексуальное насилие над детьми).

Поскольку этот тип вредоносного ПО обычно распространяется через пиратское ПО, вредоносную рекламу и фейковые обновления, стиллеры могут в течение длительного времени красть данные из зараженных систем, причем жертва даже не подозревает об этом.

К ним в числе прочих относятся и пользователи CSAM, которые раскрывают все креды своих счетов, электронную почту и другие личные данные, включая и учетные данные, используемые для доступа к CSAM-ресурсам с регистрацией.

Используя другие украденные у цели данные, аналитики Insikt могли отследить учетные записи по именам пользователей на различных платформах, получить их IP-адреса и в некоторых случаях системную информацию.

Insikt использовала логи, собранные с февраля 2021 года по февраль 2024 года, для идентификации CSAM путем сопоставления украденных учетных данных с двадцатью известными доменами CSAM.

После чего сопоставили реквизиты с собственными OSINT-массивами.

Как правило, украденные с помощью стиллеров учетные данные задействуется для взлома других аккаунтов, проведения целевых атак или продажи их в даркнете другим заинтересованным хакерам.

Собранные же Insikt сведения, добытые с Redline, Raccoon и Vidar через даркнет, ушли в ином направлении, а именно переданы силовикам для оперативной разработки и привлечения к ответственности.

Метод хорош, конечно, однако конкретные источники получения логов исследователи не приводят, что наводит на мысли о возможной легализации представленных данных.

Впрочем, вестник вашингтонского обкома особо никогда не скрывал своей аффилированности.

Microsoft обнаружила и раскрыла подробности критических ошибок в Rockwell Automation PanelView Plus.

RCE- уязвимость CVE-2023-2071 (оценка CVSS: 9,8) связана с неправильной проверков входных данных в PanelView Plus и включает в себя два пользовательских класса, которые можно использовать для загрузки вредоносной DLL на устройство с помощью специально созданных вредоносных пакетов.

DoS-проблема CVE-2023-29464 (оценка CVSS: 8,2) использует тот же пользовательский класс и позволяет неаутентифицированному актору считывать данные из памяти с помощью специально созданных вредоносных пакетов и приводить к DoS путем отправки пакета, размер которого превышает размер буфера.

Успешная эксплуатация этих двух уязвимостей позволяет злоумышленнику удаленно выполнить код, привести к раскрытию информации или состоянию DoS.

В то время как CVE-2023-2071 влияет на FactoryTalk View Machine Edition (версии 13.0, 12.0 и более ранние), CVE-2023-29464 затрагивает FactoryTalk Linx (версии 6.30, 6.20 и более ранние).

Предупреждения об уязвимостях были выпущены Rockwell Automation еще 12 сентября 2023 года и 12 октября 2023 года соответственно.

Как работает Лаборатория Касперского?
Люди/Бизнес/Технологии

- Истории успеха сотрудников Лаборатории Касперского
- Самые скилловые реверсеры в мире?
- Западные медиа атаки и их влияние на бизнес

Проект ITRussia рассказывает о крупнейших Tech компаниях России и о молодых стартапах!

Подписывайтесь, участвуйте в розыгрышах и будьте в тренде tech рынка России!

Обзор Лаборатории Касперского: https://youtu.be/eo-RwPrgRDs?si=xNCUcMGxVFENwmOp

Google выкатила исправления для 25 уязвимостей в Android, включая критическую ошибку повышения привилегий.

Самая серьезная из этих проблем CVE-2024-31320 затрагивает версии Android 12 и 12L и связана с компонентом Framework.

Как поясняет Google, она может привести к локальному повышению привилегий без необходимости дополнительных привилегий выполнения.

Дефект был устранен в рамках исправления безопасности 2024-07-01, которое также устраняет семь других проблем высокой степени серьезности, включая три EoP-ошибки в Framework, еще три таких же и одну уязвимость раскрытия информации в System.

Вторая часть обновления безопасности Android за июль 2024 года поступает на устройства как уровень исправления безопасности 2024-07-05 и устраняет 17 уязвимостей в компонентах Kernel, Arm, Imagination Technologies, MediaTek и Qualcomm.

Устройства с уровнем безопасности 2024-07-05 содержат исправления для всех 25 ошибок.

Пользователям рекомендуется обновить свои устройства, как только оно станет доступным.

В этом месяце Google не представила новых исправлений в рамках обновления безопасности Android Automotive, но отметила, что обновление содержит все исправления, которые содержатся в исправлении безопасности уровня 2024-07-05.

По Pixel бюллетень безопасности с подробным описанием патчей еще не вышел.

Исследователи AhnLab ASEC сообщают об атаках на серверы HTTP File Server (HFS) от Rejett с использованием критической CVE-2024-23692, обнаруженной в августе 2023 года и публично раскрытой в мае этого года.

Уязвимость внедрения шаблона позволяет неаутентифицированным удаленным злоумышленникам отправлять специально созданный HTTP-запрос для выполнения произвольных команд в уязвимой системе, затрагивая версии до 2.3m включительно.

При этом Rejetto предупреждает пользователей, что версии с 2.3m по 2.4 опасны и не должны больше использоваться из-за ошибки, которая позволяет злоумышленникам полностью скомпрометировать системы, а исправления отсутствует.

Несмотря на это, HFS 2.3m по-прежнему пользуется большой популярностью среди пользователей, небольших групп, образовательных учреждений и разработчиков, и, как обнаружили AhnLab, также востребована хакерами.

PoC-эксплойты и модуль Metasploit стали доступны сразу вскоре после раскрытия и, по данным ASEC, тогда же и началась эксплуатация в дикой природе.

В ходе наблюдаемых атак хакеры ведут сбор системной информации, устанавливают бэкдоры и различные штаммы вредоносного ПО.

Злоумышленники выполняют команды типа whoami и arp для сбора информации о системе и текущем пользователе, обнаружения подключенных устройств и общего планирования последующих действий.

Во многих случаях злоумышленники завершают процесс HFS после добавления нового пользователя в группу администраторов, чтобы воспрепятствовать другим попыткам использовать его.

На следующих этапах атак ASEC наблюдала установку XMRig для майнинга Monero, одна из которых была приписана группе LemonDuck.

Среди других полезных нагрузок, доставленных на взломанные компьютеры: XenoRAT (вместе с XMRig), Gh0stRAT (для удаленного управления и кражи данных), PlugX (бэкдор для постоянного доступа), а также GoThief (инфостллер).

Рекомендуемый безопасный вариант продукта - 0.52.x, который, несмотря на более низкую версию, в настоящее время является последним релизом HFS от разработчика.

Он веб-ориентирован, требует минимальной настройки, поставляется с поддержкой HTTPS, динамического DNS и аутентификации для административной панели.

В отчете AhnLab представлен набор IoC, в том числе хэши вредоносного ПО, IP-адреса C2, а также URL-адреса для загрузки вредоносного ПО, используемого в атаках.

͏Влед за MOAB («Мать всех утечек») с 12 ТБ и 26 млрд. записей подкатила еще одна грандиозная утечка RockYou2024, включающая 10 млрд. паролей, став крупнейшей подборкой в своем роде.

Подборку с ошеломляющими 9 948 575 739 уникальными текстовыми паролями обнаружили исследователи Cybernews 4 июля на популярном хакерском форуме ObamaCare.

Ресерчеры сравнили пароли из утечки RockYou2024 с данными Leaked Password Checker от Cybernews, результаты показали, что они были получены как из старых, так и новых утечек данных.

По сути, RockYou2024 представляет собой подборку реальных паролей, используемых людьми по всему миру, максимализируя риски атак с подстановкой учетных данных, как в случае с Snowflake, Santander, Ticketmaster, Advance Auto Parts, QuoteWizard и др.

Причем, как выяснили исследователи, в основу новой RockYou2024 легла трехгодичная подборка RockYou2021, которая в свое время также была крупнейшей, включала 8,4 млрд. паролей в виде обычного текста и являлась расширением аналогичной от 2009 года.

Автор RockYou2024 по факту обогатил предыдущую, добавив еще 1,5 миллиарда паролей с 2021 по 2024 год из новых утечек и увеличив тем самым набор данных на 15 процентов.

Таким образом, последняя версия RockYou содержит информацию, собранную из более чем 4000 баз данных за более чем два десятилетия.

Cybernews полагает, что в сочетании с наводнившими даркнет утечками, которые, например, содержат адреса электронной почты и другие учетные данные, RockYou2024 может способствовать каскаду таких утечек и сопутствующих целевых атак.