​​После обнаруженной Unit 42 в марте активности в отношении устройств IoT ботнет Mirai начал новую экспансию.

Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.

Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.

Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.

Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.

Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.

Вспоминали буквально на днях, как Microsoft втайне пачтили свои же бэкдоры после шумихи, устроенной Shadow Brokers. Примерно таким же образом, Apple исправляли ошибку в Apple Wireless Direct Link, которая могла использоваться для выхода из сетей с воздушным зазором.

Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.

Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.

Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.

Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.

То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.

Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.

Владельцам популярных в России сетевых хранилищ NAS Synology стоит задуматься о своей безопасности, в частности о стойкости своего пароля к хранилищу. Тайваньский производитель предупредил клиентов,что ботнет StealthWorker ориентирован на получение доступа к устройствам хранения путем атаки brute-force и последующей эксплуатацией ransomware.

Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.

В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.

Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.

Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.

Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.

Компания по кибербезопасности Zimperium обнаружила новый троян FlyTrap для Android, которому удалось с марта заразить более 10 000 жертв в 144 странах.

Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.

Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.

Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.

В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.

Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.

FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.

Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.

​​И тут 👆у нас для вас еще более печальные новости.

Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?

Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.

Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.

Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.

Исследователи Дэн Петро и Аллан Сесил из BiShopFox Labs обнаружили критическую уязвимость в аппаратных генераторах случайных чисел (ГСЧ) миллиардов устройств Интернета вещей (IoT).

Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.

В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.

Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.

В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.

Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.

Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).

Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.

И снова хакеры украли...

Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.

Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.

Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.

Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.

Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)

Adobe выпустила большое обновление безопасности Patch Tuesday, которое закрывает более 29 критических уязвимостей, которые могут привести к выполнению произвольного кода.

При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.

Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.

А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.

Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.

Хакеры начали возвращать Poly Network часть похищенной криптовалюты

Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.

Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.

Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.

Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.

​​«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия информации, а главное - содержит как бы исправления PrintNightmare и PetitPotam.

В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.

К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.

При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.

На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.

Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.

Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.

Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.

Все бы ничего, но!

К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…

Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.

​​Цепочка загадочных событий в деле Kaseya продолжается.

После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.

А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.

После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.

И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.

​​А тем временем, наследие нашумевшей в свое время банды вымогателей Egregor продолжает преследовать ее жертв.

Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.

Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.

Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.

А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.

После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.

После чего компания решила отмалчиваться и не отказалась от комментариев.

Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.

Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.

​​Интересно наблюдать переговорный процесс крупнейшего киберстраховщика Accenture и вымогателей Lockbit.

В ходе первого раунда компания, как мы сообщали вчера, пыталась замять инцидент и продемонстрировала свою неприступность.

В ответ хакеры к таймеру обратного отчета (момент слива украденной информации) приклеили запись о вероятном источнике утечки, указав на возможного инсайдера.

Accenture предпочли не отвечать, а тем временем ажиотаж вокруг ситуации привлек внимание инфосек-аудитории и в сеть стали просачиваться последствия атаки ransomware: 6 Тб и выкуп в размере 50 млн. долларов.

А сегодня после обнуления счетчика вниманию общественности хакеры представили маркетинговые документы, которые не содержали конфиденциальной информации. Счетчик при этом начал новый отсчет.

Что ж, по ходу первый транш зашел, судьба последующих переговоров станет известна совсем скоро. Ждем.

​​Не прошло и 24 часов, как выяснилось, что Microsoft вновь облажались.

Обнародованная вчера исследователем Бенджамином Делпи уязвимость в диспетчере очереди печати Windows, по-прежнему, позволяет злоумышленникам получить системные привилегии, просто подключившись к удаленному серверу печати.

Разработчик подтвердил ошибку удаленного выполнения кода и присвоил ей CVE-2021-36958, таким образом пролонгировав эпопею PrintNightmare.

Как выяснилось, несмотря на то, что обновлением безопасности Microsoft изменила процедуру установки нового драйвера принтера, потребовав для нее права администратора, таких прав не потребуется для подключения к принтеру, если этот драйвер уже установлен. Если драйвер существует на клиенте - подключение к удаленному принтеру будет выполняться директивой CopyFile для пользователей без прав администратора.

Более того, бага позволяет скопировать DLL Делпи на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.

Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM, а затем устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.

Microsoft предложила обойти уязвимость, остановив и отключив службу диспетчера очереди печати, и, следуя логике, вообще отказаться от печати (?).

Но удивляться не стоит, это же Microsoft. Забавный квест PrintNightmare продолжается.

​​Ни что так не вразумляет злоумышленника как скомпрометированный почтовый ящик, IP-адрес и отпечатки устройства особенно, особенно если дело касается украденных 611 млн. долларов и к ним приковано внимание всего криптосообщетсва и не только.

Команда специалистов по информационной безопасности SlowMist сообщила о результатах собственного расследования громкого инцидента и смогла отследить сетевые идентификаторы хакеров, причастных к атаке на Poly Network.

После публичных обращений к хакерам и резкой консолидации криптосообщества, готового ввести свои санкции на их кошельки, Poly Network рапортовала о возвращении похищенных цифровых активов на сумму более 260 миллионов долларов.

Примечательно, что за семь минут до отправки первой транзакции, хакер создал токен под названием Хакер готов сдаться и отправил этот токен на указанный Polygon адрес возврата денег.

Только представьте уровень разочарования, когда ты владеешь состоянием, но не в силах им воспользоваться. Вероятно, оправдываешь свой поступок тем, что внес свою лепту в развитие инфосека криптоиндустрии.

По этому поводу разгорелись споры будет ли это оценено в рамках Bug Bounty. К тому же выплата вознаграждений за обнаружение ошибок в программном обеспечении - обычная практика в мире высоких технологий.

Например, Альянс разработчиков открытого исходного кода BinomialPool уже предложил вознаграждение 5-10% за реализацию таких криптохаков, а что: хакеры не попадают в тюрьму, сообщество несет приемлемые потери, код становится лучше.

Все же интересно, какую позицию примут представители Poly Network, а особенно компетентные органы с точки зрения оценки обстоятельств в юридической плоскости. Во всяком случае создан уникальный прецедент, чем он завершится поглядим.

​🧠 Социальная Инженерия и обход биометрической системы безопасности.

Социальный Инженер ожидает от своей цели подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие.

Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые жертва может задать, так что у него могут быть готовы подходящие ответы.

🖖🏻 Приветствую тебя user_name.

• Сегодня ты узнаешь, как с помощью Социальной Инженерии, девушка смогла обойти биометрическую защиту и проникла на охраняемый периметр организации. К слову, девушка, которую зовут Дженни Редклифф, отличный Социальный Инженер и востребованный подрядчик крупных #ИБ компаний, которые ищут уязвимости не только в ИТ-инфраструктуре, но и в персонале.

• Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.

• Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.

• Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил #пентест.

• Оригинал интервью и другие истории от Дженни: https://darknetdiaries.com/transcript/90/
• Перевод на RU: https://habr.com/ru/company/searchinform/blog/571024/

‼️ Данная история еще раз доказывает, что основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Советую обратить внимание на другие истории и методы применяемые Социальными Инженерами на практике. Найти нужный материал ты можешь по хештегу #СИ. Твой S.E.

​​А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.

Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:

- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.

- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.

- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.

Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.

По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.

Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.

В то время пока весь инфосек по очередно с Microsoft выпиливает все новые и новые дыры PrintNightmare (группа ошибок CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958), хакерская индустрия успешно перенимает передовой опыт коллег, добавляя в свой арсенал соответствующие эксплойты для взлома серверов Windows.

Злоумышленники используют эти недостатки безопасности при локальном повышении привилегий (LPE) для распространения вредоносного ПО в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.

На днях Crowdstrike уличили в этом банду вымогателей Magniber, которая теперь использует эксплойты PrintNightmare для развертывания полезных нагрузок в ходе атак на южнокорейских жертв. Установлено, что после компрометации серверов, на которых не установлено исправление, Magniber удаляет запутанный загрузчик DLL, который сначала вводится в процесс, а затем распаковывается для выполнения локального обхода файлов и шифрования файлов на скомпрометированном устройстве.

Magniber активна с октября 2017 года, первоначально распространялась с помощью вредоносной рекламы с использованием комплекта Magnitude Exploit Kit (EK) в качестве преемника программы-вымогателя Cerber, сейчас доставляется через Magnitude EK на устройства под управлением Internet Explorer с непропатченной CVE-2020-0968. Группировка сосредоточена на Южную Корею, Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие. И в последние 30 дней стала особенно активна, теперь понятно почему.

К атакам PrintNightmare присоседились и ransomware Vice Society (связанные с HelloKitty), используя уязвимости для бокового перемещения по сетям своих жертв. Активность банды попала под прицел Cisco Talos, которые увидели, как Vice Society развертывают вредоносную библиотеку динамической компоновки (DLL) для использования двух ошибок CVE-2021-1675 и CVE-2021-34527.

Как известно, Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA) и нацелена на маленьких или средних жертв, практикует двойное вымогательство, при этом особое внимание уделяется образовательным учреждениям. TTP включает удаление резервных копий для предотвращения восстановления зашифрованных систем жертвами и обход средств защиты Windows для кражи учетных данных и повышения привилегий.

Кроме того, к новичкам ленты совсем недавно также присоединились и Conti, компрометируя сервера Windows посредством излюбленной PrintNightmare.

Да и вообще этот список будет расти достаточно быстро, равно как и список их жертв. Тенденция, как говорится, на лицо.

​​Японский разработчик Trend Micro предупреждает о начале эксплуатации Zero-Day в продукте Apex One, предназначенного для мониторинга сети и исследования угроз. Уязвимы как локальные, так и облачные версии Apex One.

CVE-2021-36741 и CVE-2021-36742 (загрузка произвольных файлов и  локальное повышение привилегий) уже использовались в цепочке эксплоитов для загрузки на платформу Apex One вредоноса с целью повышения привилегий и дальнейшего захвата контроля над системой.

Вспоминая инцидент когда злоумышленники похакали уязвимости в продукте Trend Micro OfficeScan у производителя электроники Mitsubishi Electric и украли личную и корпоративную информацию, отнестись к рекомендациям Trend Micro обновить свои системы Apex One до последних версий следует ответственно.

Конечно, Trend Micro не предоставила никакой информации об уже состоявшихся инцидентах, видите ли политика конфиденциальности, и все дела. Но, вангуем, скоро жертвы нарисуются.

А мы не ждём, исправляемся.