Пользователи WordPress снова под ударом, да еще под каким. Эксперты по безопасности выявили массовую волну кибератак, направленных на колоссальные 1,6 миллиона веб-сайтов WordPress. Кампания все еще активна и нацелена на несколько уязвимых плагинов, которые позволяют злоумышленникам захватывать сайты.
Об угрозе предупредили исследователи Wordfence и опубликовали отчет, в котором предупреждают, что хакеры нацелены на несколько уязвимых компонентов WordPress позволяющих злоумышленникам удаленно обновлять строки кода и взламывать уязвимые веб-ресурсы.
Уязвимыми плагинами являются PublishPress Capabilities (версия 2.3 или более ранняя), плагин Kiwi Social Plugin (версия 2.0.10 или более ранняя), Pinterest Automatic (4.14.3 или более ранняя) и WordPress Automatic (3.53.2 или более ранняя).
Все четыре плагина связаны с уязвимостями обновления произвольных параметров без проверки подлинности, которые позволяют злоумышленникам регистрироваться на любом сайте в качестве администратора.
Согласно отчету, сайты с темами, основанными наали отчет, в котором претакже затронуты. Общий анализ показал, что 1,6 миллиона ресурсов на WordPress подверглись 13,7 миллионам атак за 36 часов с 16 000 IP-адресов.
В этой связи владельцам сайтов WordPress, которые используют перечисленные компоненты, настоятельно рекомендуется обновить свои плагины или темы до последней исправленной версии.
Кроме того, специалисты рекомендуют владельцам сайтов блокировать права администратора для новых пользователей по умолчанию.
Об угрозе предупредили исследователи Wordfence и опубликовали отчет, в котором предупреждают, что хакеры нацелены на несколько уязвимых компонентов WordPress позволяющих злоумышленникам удаленно обновлять строки кода и взламывать уязвимые веб-ресурсы.
Уязвимыми плагинами являются PublishPress Capabilities (версия 2.3 или более ранняя), плагин Kiwi Social Plugin (версия 2.0.10 или более ранняя), Pinterest Automatic (4.14.3 или более ранняя) и WordPress Automatic (3.53.2 или более ранняя).
Все четыре плагина связаны с уязвимостями обновления произвольных параметров без проверки подлинности, которые позволяют злоумышленникам регистрироваться на любом сайте в качестве администратора.
Согласно отчету, сайты с темами, основанными наали отчет, в котором претакже затронуты. Общий анализ показал, что 1,6 миллиона ресурсов на WordPress подверглись 13,7 миллионам атак за 36 часов с 16 000 IP-адресов.
В этой связи владельцам сайтов WordPress, которые используют перечисленные компоненты, настоятельно рекомендуется обновить свои плагины или темы до последней исправленной версии.
Кроме того, специалисты рекомендуют владельцам сайтов блокировать права администратора для новых пользователей по умолчанию.
Wordfence
1.6 Million WordPress Sites Hit With 13.7 Million Attacks In 36 Hours From 16,000 IPs
Today, on December 9, 2021, our Threat Intelligence team noticed a drastic uptick in attacks targeting vulnerabilities that make it possible for attackers to update arbitrary options on vulnerable sites. This led us into an investigation which uncovered an…
Check Point Research утверждают, что штаб-квартира ВВС Пакистана стала жертвой успешной атаки, проведенной проиндийской АРТ Sidewinder.
Ресерчеры CPR обнаружили, что в мае 2022 на Virus Total были загружены несколько образцов вредоносных программ и два зашифрованных файла.
По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.
Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.
Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.
Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.
Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.
Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.
Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.
Что уже впрочем, стало понятно также одной из жертв.
Ресерчеры CPR обнаружили, что в мае 2022 на Virus Total были загружены несколько образцов вредоносных программ и два зашифрованных файла.
По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.
Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.
Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.
Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.
Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.
Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.
Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.
Что уже впрочем, стало понятно также одной из жертв.
Forwarded from Social Engineering
📧 Почтовое текстовое мошенничество: от «нигерийских» писем до вишинга.
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
🖖🏻 Приветствую тебя user_name.• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
За последние годы Infostealer-атаки стали достаточно популярны.
Украденные с помощью такого рода вредоносного ПО конфиденциальные учетные сведения активно перепродаются и становятся подспорьем для доступа ресурсам, кражи данных, бокового перемещения и развертывания вредоносных программ, в том числе и ransomware.
Самыми популярными и продвинутыми в даркнете считаются RedLine, Raccoon и Vidar.
Однако ресерчеры KELA провели свой обзор Infostealer-рынка и отметили изменения в ландшафте угроз, включая появление новых стилеров и сервисов.
По результатам представили отчет о новом поколении вредоносных программ и ведущих игроков рынка стиллеров, таких как Redline, Racoon, AZORult, Mars, BlackGuard, META, Arkei, Vidar, Ginzo, Eternity, 7.62mm, Inno, TigersTeam, а также проект Аврора.
Рекомендуем 👇
Украденные с помощью такого рода вредоносного ПО конфиденциальные учетные сведения активно перепродаются и становятся подспорьем для доступа ресурсам, кражи данных, бокового перемещения и развертывания вредоносных программ, в том числе и ransomware.
Самыми популярными и продвинутыми в даркнете считаются RedLine, Raccoon и Vidar.
Однако ресерчеры KELA провели свой обзор Infostealer-рынка и отметили изменения в ландшафте угроз, включая появление новых стилеров и сервисов.
По результатам представили отчет о новом поколении вредоносных программ и ведущих игроков рынка стиллеров, таких как Redline, Racoon, AZORult, Mars, BlackGuard, META, Arkei, Vidar, Ginzo, Eternity, 7.62mm, Inno, TigersTeam, а также проект Аврора.
Рекомендуем 👇
kelacyber
Evolving Info-Stealers: RedLine, Raccoon & New Threats
Explore the evolving landscape of info-stealing Trojans. KELA analyzes popular malware like RedLine and Raccoon, and highlights the rise of new private stealers.
Предлагаем ознакомиться с самыми крупными и интересными проектами в Telegram в сфере информационной безопасности:
🔥 @black_triangle_tg — крупнейший ресурс посвященный движению за свободу программного обеспечения и изобличающий истинное лицо проприетарных технических гигантов.
🗞 @Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
👨🏻💻 @Social_Engineering — Один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👁 @Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.
🔥 @black_triangle_tg — крупнейший ресурс посвященный движению за свободу программного обеспечения и изобличающий истинное лицо проприетарных технических гигантов.
🗞 @Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.
👨🏻💻 @Social_Engineering — Один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👁 @Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.
͏Juniper Networks выпустила исправления для критических уязвимостей в ОС Junos и сети Contrail, некоторые из которых могут быть использованы для захвата контроля над уязвимыми системами.
Набор из 31 ошибки в ПО управления сетью Junos Space включает CVE-2021-23017 с оценкой CVSS: 9,4, которые могут привести к сбою уязвимых устройств или даже к RCE.
Одна из проблем была обнаружена в распознавателе nginx и могла позволить злоумышленнику, способному подделать UDP-пакеты с DNS-сервера, вызвать перезапись 1-байтовой памяти, что, в свою очередь, вызовет к сбой рабочего процесса или может привести к другому негативному потенциальному воздействию.
Аналогичная ошибка была устранена в контроллере Northstar, в версиях 5.1.0 с пакетом обновления 6 и 6.2.2.
Другие недостатки касались Oracle Java SE, OpenSSH, Samba, менеджера пакетов RPM, Kerberos, OpenSSL, ядра Linux, curl и MySQL Server.
Кроме того, производитель сетевого оборудования предупредил о множестве проблем в CentOS 6.8, поставляемой с Junos Space Policy Enforcer до версии 22.1R1.
В качестве меры предосторожности CentOS была обновлена до 7.9.
Множественные уязвимости в стороннем ПО, используемом в Juniper Networks Contrail Networking, в совокупности отслеживаемые как CVE-2014-5044, были устранены в выпуске 21.4.0 путем обновления образа контейнера Red Hat Universal Base Image (UBI), совместимого с Open Container Initiative (OCI), с Red Hat Enterprise Linux 7 до Red Hat Enterprise Linux 8.
Ошибки могут быть использованы удаленными злоумышленниками для RCE или вызова состояния DoS.
Обратите внимание: 166 уязвимостей в Contrail Networking в совокупности получили максимальную оценку CVSS 10,0.
И несмотря на то, что Juniper SIRT не сообщает о каком-либо злонамеренном использовании вышеуказанных проблем, администраторам следует установить доступные обновления для уязвимых решений, включая Junos Space, Contrail Networking и NorthStar Controller.
Набор из 31 ошибки в ПО управления сетью Junos Space включает CVE-2021-23017 с оценкой CVSS: 9,4, которые могут привести к сбою уязвимых устройств или даже к RCE.
Одна из проблем была обнаружена в распознавателе nginx и могла позволить злоумышленнику, способному подделать UDP-пакеты с DNS-сервера, вызвать перезапись 1-байтовой памяти, что, в свою очередь, вызовет к сбой рабочего процесса или может привести к другому негативному потенциальному воздействию.
Аналогичная ошибка была устранена в контроллере Northstar, в версиях 5.1.0 с пакетом обновления 6 и 6.2.2.
Другие недостатки касались Oracle Java SE, OpenSSH, Samba, менеджера пакетов RPM, Kerberos, OpenSSL, ядра Linux, curl и MySQL Server.
Кроме того, производитель сетевого оборудования предупредил о множестве проблем в CentOS 6.8, поставляемой с Junos Space Policy Enforcer до версии 22.1R1.
В качестве меры предосторожности CentOS была обновлена до 7.9.
Множественные уязвимости в стороннем ПО, используемом в Juniper Networks Contrail Networking, в совокупности отслеживаемые как CVE-2014-5044, были устранены в выпуске 21.4.0 путем обновления образа контейнера Red Hat Universal Base Image (UBI), совместимого с Open Container Initiative (OCI), с Red Hat Enterprise Linux 7 до Red Hat Enterprise Linux 8.
Ошибки могут быть использованы удаленными злоумышленниками для RCE или вызова состояния DoS.
Обратите внимание: 166 уязвимостей в Contrail Networking в совокупности получили максимальную оценку CVSS 10,0.
И несмотря на то, что Juniper SIRT не сообщает о каком-либо злонамеренном использовании вышеуказанных проблем, администраторам следует установить доступные обновления для уязвимых решений, включая Junos Space, Contrail Networking и NorthStar Controller.
Специализирующиеся на безопасности ICS исследователи Dragos в ходе расследования инцидента с ПЛК DirectLogic от Automation Direct обнаружили, что ПО для взлома паролей для программируемых логических контроллеров (ПЛК) бонусом заражает промышленные системы вредоносным ПО Sality.
Sality — это довольно таки старая вредоносная программа, которая позволяет оператору завершать процессы, инициировать удаленные соединения, загружать дополнительные полезные нагрузки или красть данные с хоста. Малварь может внедряться в запущенные процессы и злоупотреблять автозапуском Windows.
Подобные инструменты для восстановления пароля достаточно популярны в сети и применяются для разблокировки терминалов PLC и HMI многих производителей Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, АББ и Panasonic.
В данном случае разработчик посредством софта для ПЛК заражал ICS, создавая P2P-ботнет для решения различных высокопроизводительных задач, требующих большого объема мощности распределенных вычислений, включая взлом паролей или добычу крипты.
Выявленные ресерчерами конкретный образец, по всей видимости, и был ориентирован на кражу криптовалюты посредством реализации полезной нагрузки, захватывающей содержимое буфера обмена для перехвата транзакции.
Dragos уведомили Automation Direct об своей находке, после чего производитель выпустил соответствующие меры по устранению уязвимости.
Тем не менее вредоносная кампания набирает обороты, в связи с чем администраторам ПЛК других поставщиков следует помнить о неблагонадежности ПО для взлома паролей в средах АСУ ТП.
Вне зависимости от целей его применения, исследователи категорически против породных инструментов, особенно если их источник неизвестен.
В российских реалиях эта проблема наиболее актуальна, ведь техподдержка по ряду позиций весьма затруднительна, а частные решения несут серьезные риски для безопасности ICS.
Sality — это довольно таки старая вредоносная программа, которая позволяет оператору завершать процессы, инициировать удаленные соединения, загружать дополнительные полезные нагрузки или красть данные с хоста. Малварь может внедряться в запущенные процессы и злоупотреблять автозапуском Windows.
Подобные инструменты для восстановления пароля достаточно популярны в сети и применяются для разблокировки терминалов PLC и HMI многих производителей Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, АББ и Panasonic.
В данном случае разработчик посредством софта для ПЛК заражал ICS, создавая P2P-ботнет для решения различных высокопроизводительных задач, требующих большого объема мощности распределенных вычислений, включая взлом паролей или добычу крипты.
Выявленные ресерчерами конкретный образец, по всей видимости, и был ориентирован на кражу криптовалюты посредством реализации полезной нагрузки, захватывающей содержимое буфера обмена для перехвата транзакции.
Dragos уведомили Automation Direct об своей находке, после чего производитель выпустил соответствующие меры по устранению уязвимости.
Тем не менее вредоносная кампания набирает обороты, в связи с чем администраторам ПЛК других поставщиков следует помнить о неблагонадежности ПО для взлома паролей в средах АСУ ТП.
Вне зависимости от целей его применения, исследователи категорически против породных инструментов, особенно если их источник неизвестен.
В российских реалиях эта проблема наиболее актуальна, ведь техподдержка по ряду позиций весьма затруднительна, а частные решения несут серьезные риски для безопасности ICS.
Dragos | Industrial (ICS/OT) Cyber Security
The Trojan Horse Malware & Password “Cracking” Ecosystem Targeting Industrial Operators | Dragos
Dragos's discovered an exploit introduced through password "cracking" software that targets industrial engineers and operators.
Английская ювелирка Graff, о которой мы писали в прошлом году таки раскошелилась и заплатила Conti, дабы не поднимать панику среди высокопоставленных клиентов в числе которых и Дональд Трамп, и Дэвид Бекхэм, и Том Хэнкс и еще много кто.
Светские ювелиры оценили влияние на конфиденциальность клиентов значительно больше, чем стоимость купленных драгоценностей, так как некоторые покупки могли продемонстрировать общественности некоторые неловкие и любовные отношения между очень важными людьми.
В итоге Graff по-тихой заплатили выкуп в размере 6 миллионов фунтов стерлингов, что около 7,5 миллиона долларов США, дабы избежать утечки данных своих клиентов, но снова влетели в ленту новостей из-за скандала со своей страховой Travelers, которая отказалась покрыть выплату хакерам.
Разборки перетекли в правовое поле, так как ювелиры подали в суд на страховую компанию за отказ покрыть этот платеж.
В общем пока власть имущие разбираются кто, кому и чего должен, хакеры Conti, вероятно, смакуют Cristal, наблюдая со стороны.
Светские ювелиры оценили влияние на конфиденциальность клиентов значительно больше, чем стоимость купленных драгоценностей, так как некоторые покупки могли продемонстрировать общественности некоторые неловкие и любовные отношения между очень важными людьми.
В итоге Graff по-тихой заплатили выкуп в размере 6 миллионов фунтов стерлингов, что около 7,5 миллиона долларов США, дабы избежать утечки данных своих клиентов, но снова влетели в ленту новостей из-за скандала со своей страховой Travelers, которая отказалась покрыть выплату хакерам.
Разборки перетекли в правовое поле, так как ювелиры подали в суд на страховую компанию за отказ покрыть этот платеж.
В общем пока власть имущие разбираются кто, кому и чего должен, хакеры Conti, вероятно, смакуют Cristal, наблюдая со стороны.
͏- Партнёрский пост -
Шестая международная конференция о безопасности платежей. О чем рассказали эксперты?
7 и 8 июля в Санкт-Петербурге прошла конференция #PAYMENTSECURITY, посвященная безопасности платежей. На мероприятии выступили двенадцать спикеров из крупных компаний – представителей платежной индустрии. Объектами всеобщего внимания стали актуальные доклады, а также круглый стол, посвященный поиску решений в эпоху дезинтеграции глобальных рынков. Практической частью мероприятия стал 12-ти часовой воркшоп Practical Security Village от пентестеров компании Deiteriy.
В этом году конференция во второй раз прошла в онлайн формате, с возможностью задать вопросы спикерам в прямом эфире, и набрала за два дня более 3500 просмотров.
Исполнительный директор компании Deiteriy Евгений Безгодов познакомил слушателей с новой версией стандарта PCI DSS 4.0, в том числе c новой идеологией стандарта и обновленными требованиями. Переход на новую версию весьма актуален для российского рынка, ведь независимо от геополитических изменений, стандарт PCI DSS остаётся обязательным требованием НСПК – платежной системы «Мир».
Изменения внешней среды стали основной темой мероприятия: уход поставщиков привычных решений, изменившийся ландшафт угроз, возросшее число кибератак и требования регуляторов. Разговор на эти темы шёл в ходе круглого стола, в котором, помимо экспертов компании Deiteriy, участвовали Ольга Маклашина (Сбербанк), Александр Лапшин (IVI), Дмитрий Кудинов (Яндекс.Облако), а также Дмитрий Чураков (Атомдата-Центр). Коллеги по цеху подробно рассказали о том, какие компенсационные решения были реализованы после ухода ряда вендоров с российского рынка и о введении запрета на закупку импортного программного обеспечения для объектов критической информационной инфраструктуры.
Александр Иванцов и Виктория Гадалова (Deiteriy), рассказали о правилах взаимодействия финансовых организаций с поставщиками услуг в рамках ГОСТ 57580 и оценке уязвимостей по ОУД 4, раскрыв тему новых требований российской банковской регуляторики.
Тему международной сертификации платежных приложений раскрыл Владимир Ковалёв – действующий аудитор по стандартам из набора PCI SSF. Он рассказал о новых правилах безопасной разработки приложений для PCI, познакомил слушателей с особенностями новых стандартов безопасности фреймворка PCI SSF: PCI SSF Secure Software Standard, применимого к платёжным приложениям, и PCI SSF Secure SLC Standard, регламентирующего процесс безопасной разработки таких приложений. Компания Deiteriy недавно обрела официальный статус аудитора по стандартам SSF. Тему сертификации по стандартам PСI SSF с практической стороны дополнили представители Сбербанка Юрий Селезнёв и Виктория Суглобова.
Параллельно докладам шёл воркшоп по информационной безопасности Practical Security Village. Пентестеры компании Deiteriy создали для воркшопа инфраструктуру с заложенными в неё уязвимостями и провели обучение по их поиску. Формат воркшопа был подобран таким образом, чтобы у каждого была возможность захватывать флаги и зарабатывать очки.
Второй день мероприятия традиционно занял семинар PCI DSS Training от Петра Шаповалова (Deiteriy). Учебный курс был обновлен в соответствии с новой версией стандарта PCI DSS 4.0.
Видеозаписи выступления спикеров можно посмотреть на сайте конференции.
Шестая международная конференция о безопасности платежей. О чем рассказали эксперты?
7 и 8 июля в Санкт-Петербурге прошла конференция #PAYMENTSECURITY, посвященная безопасности платежей. На мероприятии выступили двенадцать спикеров из крупных компаний – представителей платежной индустрии. Объектами всеобщего внимания стали актуальные доклады, а также круглый стол, посвященный поиску решений в эпоху дезинтеграции глобальных рынков. Практической частью мероприятия стал 12-ти часовой воркшоп Practical Security Village от пентестеров компании Deiteriy.
В этом году конференция во второй раз прошла в онлайн формате, с возможностью задать вопросы спикерам в прямом эфире, и набрала за два дня более 3500 просмотров.
Исполнительный директор компании Deiteriy Евгений Безгодов познакомил слушателей с новой версией стандарта PCI DSS 4.0, в том числе c новой идеологией стандарта и обновленными требованиями. Переход на новую версию весьма актуален для российского рынка, ведь независимо от геополитических изменений, стандарт PCI DSS остаётся обязательным требованием НСПК – платежной системы «Мир».
Изменения внешней среды стали основной темой мероприятия: уход поставщиков привычных решений, изменившийся ландшафт угроз, возросшее число кибератак и требования регуляторов. Разговор на эти темы шёл в ходе круглого стола, в котором, помимо экспертов компании Deiteriy, участвовали Ольга Маклашина (Сбербанк), Александр Лапшин (IVI), Дмитрий Кудинов (Яндекс.Облако), а также Дмитрий Чураков (Атомдата-Центр). Коллеги по цеху подробно рассказали о том, какие компенсационные решения были реализованы после ухода ряда вендоров с российского рынка и о введении запрета на закупку импортного программного обеспечения для объектов критической информационной инфраструктуры.
Александр Иванцов и Виктория Гадалова (Deiteriy), рассказали о правилах взаимодействия финансовых организаций с поставщиками услуг в рамках ГОСТ 57580 и оценке уязвимостей по ОУД 4, раскрыв тему новых требований российской банковской регуляторики.
Тему международной сертификации платежных приложений раскрыл Владимир Ковалёв – действующий аудитор по стандартам из набора PCI SSF. Он рассказал о новых правилах безопасной разработки приложений для PCI, познакомил слушателей с особенностями новых стандартов безопасности фреймворка PCI SSF: PCI SSF Secure Software Standard, применимого к платёжным приложениям, и PCI SSF Secure SLC Standard, регламентирующего процесс безопасной разработки таких приложений. Компания Deiteriy недавно обрела официальный статус аудитора по стандартам SSF. Тему сертификации по стандартам PСI SSF с практической стороны дополнили представители Сбербанка Юрий Селезнёв и Виктория Суглобова.
Параллельно докладам шёл воркшоп по информационной безопасности Practical Security Village. Пентестеры компании Deiteriy создали для воркшопа инфраструктуру с заложенными в неё уязвимостями и провели обучение по их поиску. Формат воркшопа был подобран таким образом, чтобы у каждого была возможность захватывать флаги и зарабатывать очки.
Второй день мероприятия традиционно занял семинар PCI DSS Training от Петра Шаповалова (Deiteriy). Учебный курс был обновлен в соответствии с новой версией стандарта PCI DSS 4.0.
Видеозаписи выступления спикеров можно посмотреть на сайте конференции.
Исследователи из Palo Alto Networks Unit 42 обнаружили масштабную кампанию, нацеленную на сервера телефонии Elastix VoIP с использованием более 500 тысяч образцов вредоносного ПО, выявленных за период с конца декабря 2021 года по конец марта 2022 года.
Elastix — это серверное ПО для унифицированных коммуникаций (IP-АТС, электронная почта, обмен мгновенными сообщениями, факс), которое можно использовать с модулем телефонов Digium для FreePBX.
Злоумышленники в ходе атак эксплуатировали RCE-уязвимость CVE-2021-45461 с оценкой CVSS 9,8 в модуле Rest Phone Apps (restapps) для имплантации веб-шеллов на серверы VoIP.
По мнению ресерчеров, основная цель злоумышленников заключалась в том, чтобы внедрить веб-оболочку PHP, которая могла бы выполнять произвольные команды на скомпрометированном коммуникационном сервере.
Цепочки атак начинались с кода, извлекающего дроппер сценария оболочки с удаленного сервера, который, в свою очередь, загружал и запускал обфусцированный бэкдор PHP в нескольких местах файловой системы.
В свою очередь, бэкдор PHP создавал несколько учетных записей root-пользователей и настраивал запланированную задачу для поддержания постоянства и повторного заражения хост-системы.
Вредоносное ПО поддерживает произвольные команды через параметр запроса cmd, а также имеет дополнительный набор из восьми встроенных команд для чтения файлов, просмотра каталогов и разведки платформы АТС Asterisk с открытым исходным кодом.
Исследователям удалось отследить две атакующие группы, которые отличались начальными сценариями эксплуатации. Их IP-адреса принадлежат сегменту Нидерландов, а записи DNS содержат ссылки на несколько российских сайтов «для взрослых». В настоящее время часть инфраструктуры остается в сети и продолжает работать.
Текущая вредоносная активность во многом напоминает кампанию, о которой в 2020 году подробно сообщала Check Point Research в отчете INJ3CTOR3. Исследователи предполагают, что это может быть возрождение именно этой кампании.
Технические подробности, ТТР и список индикаторов компрометации (включая пути к локальным файла, уникальные строки, хэши для сценариев оболочки и общедоступные URL-адреса, на которых размещаются полезные нагрузки) представлены в отчете Unit42.
Elastix — это серверное ПО для унифицированных коммуникаций (IP-АТС, электронная почта, обмен мгновенными сообщениями, факс), которое можно использовать с модулем телефонов Digium для FreePBX.
Злоумышленники в ходе атак эксплуатировали RCE-уязвимость CVE-2021-45461 с оценкой CVSS 9,8 в модуле Rest Phone Apps (restapps) для имплантации веб-шеллов на серверы VoIP.
По мнению ресерчеров, основная цель злоумышленников заключалась в том, чтобы внедрить веб-оболочку PHP, которая могла бы выполнять произвольные команды на скомпрометированном коммуникационном сервере.
Цепочки атак начинались с кода, извлекающего дроппер сценария оболочки с удаленного сервера, который, в свою очередь, загружал и запускал обфусцированный бэкдор PHP в нескольких местах файловой системы.
В свою очередь, бэкдор PHP создавал несколько учетных записей root-пользователей и настраивал запланированную задачу для поддержания постоянства и повторного заражения хост-системы.
Вредоносное ПО поддерживает произвольные команды через параметр запроса cmd, а также имеет дополнительный набор из восьми встроенных команд для чтения файлов, просмотра каталогов и разведки платформы АТС Asterisk с открытым исходным кодом.
Исследователям удалось отследить две атакующие группы, которые отличались начальными сценариями эксплуатации. Их IP-адреса принадлежат сегменту Нидерландов, а записи DNS содержат ссылки на несколько российских сайтов «для взрослых». В настоящее время часть инфраструктуры остается в сети и продолжает работать.
Текущая вредоносная активность во многом напоминает кампанию, о которой в 2020 году подробно сообщала Check Point Research в отчете INJ3CTOR3. Исследователи предполагают, что это может быть возрождение именно этой кампании.
Технические подробности, ТТР и список индикаторов компрометации (включая пути к локальным файла, уникальные строки, хэши для сценариев оболочки и общедоступные URL-адреса, на которых размещаются полезные нагрузки) представлены в отчете Unit42.
Check Point Research
INJ3CTOR3 Operation – Leveraging Asterisk Servers for Monetization - Check Point Research
Research by: Ido Solomon, Ori Hamama and Omer Ventura, Network Research Intro Recently, Check Point Research encountered a series of worldwide attacks relevant to VoIP, specifically to Session initiation Protocol (SIP) servers. Based on information provided…
Trend Micro Research раскрыли технические подробности недавно исправленной RCE-уязвимости Windows NFS CVE-2022-30136, которую Microsoft исправили в июне 2022 года.
Протокол сетевой файловой системы NFS был первоначально разработан Sun Microsystems в 1984 году. Он позволяет пользователям получать доступ к удаленным файловым ресурсам таким же образом, как и к локальной файловой системе.
Протокол NFS использует удаленный вызов процедур (RPC) Open Network Computing (ONC) для обмена управляющими сообщениями. Когда сообщения ONC RPC отправляются по протоколу TCP, к ним добавляется структура заголовка Fragment для идентификаций нескольких сообщений, отправленных по одному сеансу TCP.
Ошибка затрагивает сетевую файловую систему Windows и связана с неправильной обработкой запросов NFSv4. В реализации NFS для Windows существует проблема переполнения буфера. Проблема связана с некорректным расчетом размера ответных сообщений.
Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные вызовы RPC на целевой сервер для выполнения произвольного кода в контексте SYSTEM. Эксперты указали, что неудачная эксплуатация этой проблемы может привести к сбою целевой системы.
Она имеет оценку по CVSS 9.8 и схожа на CVE-2022-26937 - ошибкой NFS, также исправленной в прошлом месяце.
На первый взгляд, единственная разница между исправлениями заключается в том, что обновление этого месяца исправляет ошибку в NFSV4.1, тогда как ошибка прошлого месяца затронула только версии NSFV2.0 и NSFV3.0. Причем до конца еще неясно, является ли результатом неудачного патча или совершенно новой проблемой.
В своем отчете ресерчеры рассматривают возможность отключения NFSv4.1 в качестве метода смягчения атак. Однако это может привести к потере функциональности.
Microsoft отмечает, что патч для устранения ошибки не следует применять, если не установлено исправление для CVE-2022-26937: лишь последовательное обновление способно устранить уязвимости.
Протокол сетевой файловой системы NFS был первоначально разработан Sun Microsystems в 1984 году. Он позволяет пользователям получать доступ к удаленным файловым ресурсам таким же образом, как и к локальной файловой системе.
Протокол NFS использует удаленный вызов процедур (RPC) Open Network Computing (ONC) для обмена управляющими сообщениями. Когда сообщения ONC RPC отправляются по протоколу TCP, к ним добавляется структура заголовка Fragment для идентификаций нескольких сообщений, отправленных по одному сеансу TCP.
Ошибка затрагивает сетевую файловую систему Windows и связана с неправильной обработкой запросов NFSv4. В реализации NFS для Windows существует проблема переполнения буфера. Проблема связана с некорректным расчетом размера ответных сообщений.
Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные вызовы RPC на целевой сервер для выполнения произвольного кода в контексте SYSTEM. Эксперты указали, что неудачная эксплуатация этой проблемы может привести к сбою целевой системы.
Она имеет оценку по CVSS 9.8 и схожа на CVE-2022-26937 - ошибкой NFS, также исправленной в прошлом месяце.
На первый взгляд, единственная разница между исправлениями заключается в том, что обновление этого месяца исправляет ошибку в NFSV4.1, тогда как ошибка прошлого месяца затронула только версии NSFV2.0 и NSFV3.0. Причем до конца еще неясно, является ли результатом неудачного патча или совершенно новой проблемой.
В своем отчете ресерчеры рассматривают возможность отключения NFSv4.1 в качестве метода смягчения атак. Однако это может привести к потере функциональности.
Microsoft отмечает, что патч для устранения ошибки не следует применять, если не установлено исправление для CVE-2022-26937: лишь последовательное обновление способно устранить уязвимости.
Zero Day Initiative
Zero Day Initiative — The June 2022 Security Update Review
It’s once again Patch Tuesday, which means the latest security updates from Adobe and Microsoft have arrived. Take a break from your regularly scheduled activities and join us as we review the details of their latest security offerings. Adobe Patches for…
Когда не знаешь как защититься от массированной кибератаки порой shutdown или, как говорят в народе "вилка из розетки», единственный способ.
Правительство Албании так и поступило, после того как на выходных подверглось массированной атаке и пришлось отключить все правительственные системы.
Как заявили уполномоченные лица, атака поразила сервера Национального агентства информационного общества (AKSHI) - института правительства Албании, который находится под прямым контролем канцелярии премьер-министра и замыкает на себе многие государственные службы.
Собственно, все государственные службы, онлайн-сервисы, другие правительственные веб-сайты и были отключены в понедельник после инцидента.
Неутолимое желание все объединять сыграло злую шутку, о чем публично заявил бывший премьер-министр и нынешний лидер оппозиции Сали Бериша, раскритиковавший правительство за бестолковое указание почти всех важных государственных сервисов агреггировать через один сайт, особенно в отсутствие профессиональной и эффективной работы против киберпругроз.
Сейчас над проблемой работают специалисты из команды Microsoft Jones Group International, которые помогают AKSHI смягчить последствия атаки и восстановить инфраструктуру.
В декабре 2021 года премьер-министр Албании Эди Рама уже извинялся за массовую утечку личных сведений из правительственной базы данных государства. Тогда в сеть утекли сведения о личных удостоверениях личности, информация о занятости и заработной плате примерно на 637 000 человек.
В аккурат перед парламентскими выборами Албании в апреле того же года из-за аналогичного инцидента опубликовали сведения о личных документах из государственной базы данных.
Подробности текущего инцидента не разглашаются, но будем посмотреть.
Правительство Албании так и поступило, после того как на выходных подверглось массированной атаке и пришлось отключить все правительственные системы.
Как заявили уполномоченные лица, атака поразила сервера Национального агентства информационного общества (AKSHI) - института правительства Албании, который находится под прямым контролем канцелярии премьер-министра и замыкает на себе многие государственные службы.
Собственно, все государственные службы, онлайн-сервисы, другие правительственные веб-сайты и были отключены в понедельник после инцидента.
Неутолимое желание все объединять сыграло злую шутку, о чем публично заявил бывший премьер-министр и нынешний лидер оппозиции Сали Бериша, раскритиковавший правительство за бестолковое указание почти всех важных государственных сервисов агреггировать через один сайт, особенно в отсутствие профессиональной и эффективной работы против киберпругроз.
Сейчас над проблемой работают специалисты из команды Microsoft Jones Group International, которые помогают AKSHI смягчить последствия атаки и восстановить инфраструктуру.
В декабре 2021 года премьер-министр Албании Эди Рама уже извинялся за массовую утечку личных сведений из правительственной базы данных государства. Тогда в сеть утекли сведения о личных удостоверениях личности, информация о занятости и заработной плате примерно на 637 000 человек.
В аккурат перед парламентскими выборами Албании в апреле того же года из-за аналогичного инцидента опубликовали сведения о личных документах из государственной базы данных.
Подробности текущего инцидента не разглашаются, но будем посмотреть.
Balkan Insight
Albania Blames ‘Massive Cyber Attack’ as Govt Servers go Down
Albanians were unable to use scores of government services on Monday as the main servers went down, following what the authorities called 'a synchronised criminal attack from abroad'.
Как мы и прогнозировали, ситуация с NSO Group будет и дальше разыгрываться для достижения высоких стратегических целей, связанных с переделом рынка коммерческого кибершпионажа.
Так и случилось вновь, в понедельник исследователи Citizen Lab выпустили очередной отчет с разоблачением очередных атак на очередных жертв шпионского ПО Pegasus.
Объединенная коалиция в составе представителей Citizen Lab, iLaw и Digital Reach назвали по меньшей мере 30 человек, которые стали объектом наблюдения со стороны неназванного госоргана или организации.
На этот раз пострадали тайские активисты, участвовавшие в демократических протестах в стране, а также их адвокаты. Атаки происходили с октября 2020 г. по ноябрь 2021 г., что было весьма актуально с учетом острых политических событий, а один из операторов Pegasus и вовсе продолжает работать по настоящий день.
Несмотря на опровержения, исследователи Citizen Lab отметили, что располагают доказательствами давнего присутствия Pegasus в Таиланде, указывающими на то, что правительство, вероятно, имело отношение к выявленным атакам.
Изюминкой на торте стало заявление правозащитной группы Amnesty International, которая призвала к глобальному мораторию на продажу шпионского ПО. Исключение, конечно же, будут - но только по лицензии Минфина США, что, собственно, уже и происходит с NSO Group.
Так и случилось вновь, в понедельник исследователи Citizen Lab выпустили очередной отчет с разоблачением очередных атак на очередных жертв шпионского ПО Pegasus.
Объединенная коалиция в составе представителей Citizen Lab, iLaw и Digital Reach назвали по меньшей мере 30 человек, которые стали объектом наблюдения со стороны неназванного госоргана или организации.
На этот раз пострадали тайские активисты, участвовавшие в демократических протестах в стране, а также их адвокаты. Атаки происходили с октября 2020 г. по ноябрь 2021 г., что было весьма актуально с учетом острых политических событий, а один из операторов Pegasus и вовсе продолжает работать по настоящий день.
Несмотря на опровержения, исследователи Citizen Lab отметили, что располагают доказательствами давнего присутствия Pegasus в Таиланде, указывающими на то, что правительство, вероятно, имело отношение к выявленным атакам.
Изюминкой на торте стало заявление правозащитной группы Amnesty International, которая призвала к глобальному мораторию на продажу шпионского ПО. Исключение, конечно же, будут - но только по лицензии Минфина США, что, собственно, уже и происходит с NSO Group.
The Citizen Lab
GeckoSpy
Uncovering an extensive espionage operation infecting dozens of Thai pro-democracy campaigners with NSO Group's Pegasus spyware.
Forwarded from SecurityLab.ru
Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости #68 | 12+
Хонду можно открыть и завести, используя уязвимость в системе доступа без ключа, вредонос OrBit дает удаленный доступ к Linux-системам и позволяет похищать учетные данные, сложная фишинговая атака угрожает даже тем, кто использует многофакторку, а оскорбленный хакер отомстил Диснейленду, взломав аккаунт парка.
Decentral Bank исправил баг в смарт-контракте, который привел к созданию токенов на $10 трлн, Crema Finance пришлось выплатить $1,76 млн хакеру, похитившему криптовалюту на $9 млн, а Microsoft без предупреждения вернула запуск макросов по умолчанию. В Канаде крупный сбой связи нарушил работу всех финансовых институтов, а в Китае армия через посредников закупает современные чипы Intel, AMD и Nvidia.
В России дропперам может грозить срок от 4 до 7 лет лишения свободы, Минцифры РФ поручено разработать механизм оценки перехода госсектора на отечественное офисное ПО, а интернет-шатдауны обошлись стране в 2022 году в $8,77 млрд.
В шестьдесят восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
https://www.youtube.com/watch?v=3y5zhMY7574
Хонду можно открыть и завести, используя уязвимость в системе доступа без ключа, вредонос OrBit дает удаленный доступ к Linux-системам и позволяет похищать учетные данные, сложная фишинговая атака угрожает даже тем, кто использует многофакторку, а оскорбленный хакер отомстил Диснейленду, взломав аккаунт парка.
Decentral Bank исправил баг в смарт-контракте, который привел к созданию токенов на $10 трлн, Crema Finance пришлось выплатить $1,76 млн хакеру, похитившему криптовалюту на $9 млн, а Microsoft без предупреждения вернула запуск макросов по умолчанию. В Канаде крупный сбой связи нарушил работу всех финансовых институтов, а в Китае армия через посредников закупает современные чипы Intel, AMD и Nvidia.
В России дропперам может грозить срок от 4 до 7 лет лишения свободы, Минцифры РФ поручено разработать механизм оценки перехода госсектора на отечественное офисное ПО, а интернет-шатдауны обошлись стране в 2022 году в $8,77 млрд.
В шестьдесят восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
https://www.youtube.com/watch?v=3y5zhMY7574
YouTube
Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости #68 | 12+
👉 Новости об инвестициях в кибербезопасность: https://xn--r1a.website/positive_investing
0:00 Security-новости
0:55 Хакеры угоняют машины, пока Honda пытается скрыть уязвимость в своих электронных ключах https://www.securitylab.ru/news/532738.php
2:48 Специалисты…
0:00 Security-новости
0:55 Хакеры угоняют машины, пока Honda пытается скрыть уязвимость в своих электронных ключах https://www.securitylab.ru/news/532738.php
2:48 Специалисты…
Команда Wordfence констатирует рост атак, направленных на неисправленную уязвимость в надстройке Kaswara для плагина WordPress WPBakery Page Builder.
Раскрытая в апреле 2021 года критическая CVE-2021-24284 с оценкой CVSS 10 позволяет злоумышленнику, не прошедшему проверку подлинности, загружать вредоносные файлы PHP на уязвимый сайт, потенциально обеспечивая удаленное выполнение кода.
Согласно Wordfence, злоумышленник может использовать уязвимость, чтобы внедрить вредоносный код JavaScript в любой файл установки WordPress и полностью захватить уязвимый сайт.
После обнаружения Wordfence сообщали о прекращении поддержки плагина без исправления критической баги, рекомендовав удалить его. И несмотря на то, что с момента раскрытия 0-day прошло больше года, более 8000 сайтов продолжают использовать плагин.
В течение последних двух недель Wordfence фиксировали резкий всплеск атак с использованием уязвимости плагина - в среднем до 440 000 попыток эксплуатации в день с 10 215 атакующих IP-адресов. В целом злоумышленникам удалось чекнуть более более 1,5 миллиона сайтов WordPress на наличие уязвимого плагина.
Большинство зафиксированных атак реализованы с помощью запроса POST на /wp-admin/admin-ajax.php с использованием AJAX uploadFontIcon для загрузки файла на уязвимый веб-сайт.
Актор пытался грузить ZIP-архив с вредоносным файлом PHP, который извлекается в каталог /wp-content/uploads/kaswara/icons/ и позволяет развертывать дополнительные полезные нагрузки.
Кроме того, в некоторых из этих атак использовался троян NDSW, который позволял внедрять код в законные файлы JavaScript и мог использоваться для перенаправления пользователей на вредоносные домены.
Нерасторопным администраторам рекомендуется услышать Wordfence и удалить уязвимый плагин Kaswara Modern WPBakery Page Builder Addons со своего сайта WordPress.
Раскрытая в апреле 2021 года критическая CVE-2021-24284 с оценкой CVSS 10 позволяет злоумышленнику, не прошедшему проверку подлинности, загружать вредоносные файлы PHP на уязвимый сайт, потенциально обеспечивая удаленное выполнение кода.
Согласно Wordfence, злоумышленник может использовать уязвимость, чтобы внедрить вредоносный код JavaScript в любой файл установки WordPress и полностью захватить уязвимый сайт.
После обнаружения Wordfence сообщали о прекращении поддержки плагина без исправления критической баги, рекомендовав удалить его. И несмотря на то, что с момента раскрытия 0-day прошло больше года, более 8000 сайтов продолжают использовать плагин.
В течение последних двух недель Wordfence фиксировали резкий всплеск атак с использованием уязвимости плагина - в среднем до 440 000 попыток эксплуатации в день с 10 215 атакующих IP-адресов. В целом злоумышленникам удалось чекнуть более более 1,5 миллиона сайтов WordPress на наличие уязвимого плагина.
Большинство зафиксированных атак реализованы с помощью запроса POST на /wp-admin/admin-ajax.php с использованием AJAX uploadFontIcon для загрузки файла на уязвимый веб-сайт.
Актор пытался грузить ZIP-архив с вредоносным файлом PHP, который извлекается в каталог /wp-content/uploads/kaswara/icons/ и позволяет развертывать дополнительные полезные нагрузки.
Кроме того, в некоторых из этих атак использовался троян NDSW, который позволял внедрять код в законные файлы JavaScript и мог использоваться для перенаправления пользователей на вредоносные домены.
Нерасторопным администраторам рекомендуется услышать Wordfence и удалить уязвимый плагин Kaswara Modern WPBakery Page Builder Addons со своего сайта WordPress.
Wordfence
PSA: Sudden Increase In Attacks On Modern WPBakery Page Builder Addons Vulnerability
The Wordfence Threat Intelligence team has been monitoring a sudden increase in attack attempts targeting Kaswara Modern WPBakery Page Builder Addons. This ongoing campaign is attempting to take advantage of an arbitrary file upload vulnerability, tracked…
͏Оказывающая услуги ИБ для клиентов из Fortune 500, компания Resecurity Inc. обнаружила обновление MLNK Builder - одного из самых популярных инструментов, используемых хакерами для генерации вредоносных ярлыков (LNK) с улучшенным Powershell и VBS Obfuscator.
MLNK Builder теперь представлен в Dark Web в новой версии 4.2 и обновленным набором функций, ориентированным на сокрытие от антивирусных средств и маскировку с помощью ярлыков известных приложений и файлов.
Вредоносные ярлыки в последнее время все чаще используются для доставки вредоносной полезной нагрузки и представляют серьезную проблему с точки зрения ransomware или быстрорастущих ботнетов.
Всплеск крупных кампаний с использованием LNK, проводимых как APT и скиллованными киберпреступниками, был замечен в период с апреля по май этого года - как в случае с Bumblebee Loader и UAC-0010 (Armageddon).
Ресерчеры сообщают о кампании, которая доставляла Bumblebee через контактные формы на веб-сайте цели. В сообщениях утверждалось, что веб-сайт использовал украденные изображения и содержал ссылку, которая в конечном итоге доставляла файл ISO, содержащий вредоносное ПО.
Resecurity приписала эту кампанию к TA578, начиная с мая 2020 года. Актор реализует кампании по электронной почте для доставки Ursnif, IcedID, KPOT Stealer, Buer Loader и BazaLoader, а также Cobalt Strike.
По мнению экспертов Resecurity, текущие клиенты MLNK Builder получают обновление бесплатно, но авторы также выпустили и приватную версию для узкого круга привилегированных операторов, с дополнительной лицензией по цене 125 долларов за сборку.
Обновленный инструмент предоставляет богатый арсенал для создания вредоносных файлов, замаскированных под Microsoft Word, Adobe PDF, ZIP, JPG/.PNG, MP3 и даже AVI, а также более продвинутые функции для сокрытия вредоносной полезной нагрузки.
Злоумышленники применили творческий подход для обмана механизмов обнаружения и доставки вредоносной нагрузки, используя комбинацию расширений и различных форматов файлов, а также бинарные файлы Living Off the Land (LOLbins).
Среди наиболее активно поддерживающих LNK штаммов вредоносного ПО Resecurity выделяют TA570 Qakbot (Qbot), IcedID, AsyncRAT и Emotet. При этом последняя кампания по распространению Qakbot также включала и вредоносные документы Word с CVE-2022-30190 (Follina).
MLNK Builder теперь представлен в Dark Web в новой версии 4.2 и обновленным набором функций, ориентированным на сокрытие от антивирусных средств и маскировку с помощью ярлыков известных приложений и файлов.
Вредоносные ярлыки в последнее время все чаще используются для доставки вредоносной полезной нагрузки и представляют серьезную проблему с точки зрения ransomware или быстрорастущих ботнетов.
Всплеск крупных кампаний с использованием LNK, проводимых как APT и скиллованными киберпреступниками, был замечен в период с апреля по май этого года - как в случае с Bumblebee Loader и UAC-0010 (Armageddon).
Ресерчеры сообщают о кампании, которая доставляла Bumblebee через контактные формы на веб-сайте цели. В сообщениях утверждалось, что веб-сайт использовал украденные изображения и содержал ссылку, которая в конечном итоге доставляла файл ISO, содержащий вредоносное ПО.
Resecurity приписала эту кампанию к TA578, начиная с мая 2020 года. Актор реализует кампании по электронной почте для доставки Ursnif, IcedID, KPOT Stealer, Buer Loader и BazaLoader, а также Cobalt Strike.
По мнению экспертов Resecurity, текущие клиенты MLNK Builder получают обновление бесплатно, но авторы также выпустили и приватную версию для узкого круга привилегированных операторов, с дополнительной лицензией по цене 125 долларов за сборку.
Обновленный инструмент предоставляет богатый арсенал для создания вредоносных файлов, замаскированных под Microsoft Word, Adobe PDF, ZIP, JPG/.PNG, MP3 и даже AVI, а также более продвинутые функции для сокрытия вредоносной полезной нагрузки.
Злоумышленники применили творческий подход для обмана механизмов обнаружения и доставки вредоносной нагрузки, используя комбинацию расширений и различных форматов файлов, а также бинарные файлы Living Off the Land (LOLbins).
Среди наиболее активно поддерживающих LNK штаммов вредоносного ПО Resecurity выделяют TA570 Qakbot (Qbot), IcedID, AsyncRAT и Emotet. При этом последняя кампания по распространению Qakbot также включала и вредоносные документы Word с CVE-2022-30190 (Follina).
BitSight раскрыли критические уязвимости в автомобильных GPS-трекерах производителя Micodus.
Исследователи обнаружили проблемы еще в прошлом году и с сентября 2021 года ожидает ответа от китайского поставщика, который настойчиво продолжает игнорировать результаты исследований, в связи с чем баги остаются незакрытыми.
Уязвимости CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 и CVE-2022-33944 затрагивают GPS-трекер Micodus MV720 (стоимостью в 20 долларов), но есть предположение, что другие продукты Micodus также уязвимы.
Проанализированный девайс выполняет задачи GPS-слежения, защиты от кражи, отключение топливоподачи и поддерживает удаленное управление через команды, передаваемые посредством SMS, мобильное или веб-приложение.
На текущий момент поставщиком реализовано более 1,5 млн. устройств в 169 странах и используются в госсекторе, вооруженных силах, правоохранительных структурах, аэрокосмической, машиностроительной, судоходной, производственной и других отраслях.
В результате анализа собранной BitSight телеметрии установлено более 2,3 млн. подключений к серверу Micodus, в том числе 90 000 подключений по порту веб-интерфейса.
При этом наибольшее число пользователей приходится на такие страны, как Россия, Мексика, Чили, Бразилия, Испания, Польша, Украина, Южная Африка и Марокко.
При этом в их числе идентифицированы: национальные вооруженные силы в Южной Америке и Восточной Европе, правоохранительные и правительственные организации в Западной Европе и правительственное министерство в Северной Америке.
Основные выявленные проблемы связаны с жестко заданным и дефолтным паролями, нарушенной проверкой подлинности, XSS и небезопасной прямой ссылкой IDOR. Злоумышленник может реализовать различные векторы атак: MitM, обход аутентификации и перепрограммирование трекера для включения подконтрольного IP-адреса в качестве сервера API.
При любом сценарии удаленный злоумышленник может получить полный контроль над GPS-трекером - отмечают BitSight. В качестве примера атаки: киберпреступники могут вывести из строя машину или весь автопарк компании, потребовав выкуп, а также вывести авто из строя во время движения.
BitSight предоставил технические подробности всех ошибок, посоветовав клиентам Micodus прекратить использование уязвимого трекера до тех пор, пока не будет выпущено исправление. Обходные пути также недоступны.
Исследователи обнаружили проблемы еще в прошлом году и с сентября 2021 года ожидает ответа от китайского поставщика, который настойчиво продолжает игнорировать результаты исследований, в связи с чем баги остаются незакрытыми.
Уязвимости CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 и CVE-2022-33944 затрагивают GPS-трекер Micodus MV720 (стоимостью в 20 долларов), но есть предположение, что другие продукты Micodus также уязвимы.
Проанализированный девайс выполняет задачи GPS-слежения, защиты от кражи, отключение топливоподачи и поддерживает удаленное управление через команды, передаваемые посредством SMS, мобильное или веб-приложение.
На текущий момент поставщиком реализовано более 1,5 млн. устройств в 169 странах и используются в госсекторе, вооруженных силах, правоохранительных структурах, аэрокосмической, машиностроительной, судоходной, производственной и других отраслях.
В результате анализа собранной BitSight телеметрии установлено более 2,3 млн. подключений к серверу Micodus, в том числе 90 000 подключений по порту веб-интерфейса.
При этом наибольшее число пользователей приходится на такие страны, как Россия, Мексика, Чили, Бразилия, Испания, Польша, Украина, Южная Африка и Марокко.
При этом в их числе идентифицированы: национальные вооруженные силы в Южной Америке и Восточной Европе, правоохранительные и правительственные организации в Западной Европе и правительственное министерство в Северной Америке.
Основные выявленные проблемы связаны с жестко заданным и дефолтным паролями, нарушенной проверкой подлинности, XSS и небезопасной прямой ссылкой IDOR. Злоумышленник может реализовать различные векторы атак: MitM, обход аутентификации и перепрограммирование трекера для включения подконтрольного IP-адреса в качестве сервера API.
При любом сценарии удаленный злоумышленник может получить полный контроль над GPS-трекером - отмечают BitSight. В качестве примера атаки: киберпреступники могут вывести из строя машину или весь автопарк компании, потребовав выкуп, а также вывести авто из строя во время движения.
BitSight предоставил технические подробности всех ошибок, посоветовав клиентам Micodus прекратить использование уязвимого трекера до тех пор, пока не будет выпущено исправление. Обходные пути также недоступны.
Ресерчеры Лаборатории Касперского благодаря системе активного мониторинга Darknet Threat Intelligence расчехлили новую ransomware.
Новый штамм, получивший название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких ОС, включая системы Windows, Linux и ESXi.
Обнаруженная исследователями через рекламу в даркнете, Luna адаптирована для русскоязычных операторов. При этом записка о выкупе, жестко запрограммированная внутри двоичного файла, содержит орфографические ошибки. Исходя зз-за этого ресерчеры со средней степенью уверенности предполагают, что акторы говорят по-русски.
Как видно из рекламы, вредоносное ПО написано на Rust и все еще находится в стадии разработки, имея ограниченные возможности, основанные на доступных параметрах командной строки.
Судя по доступным параметрам командной строки, Luna довольно проста. Однако используемая им схема шифрования не так типична, так как включает x25519 и AES, комбинацию, которая не часто встречается в схемах вымогателей.
Образцы для Linux и ESXi Luna скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows.
Как отмечают исследователи, кроссплатформенность ransomware позволяет переносить его на несколько платформ с очень небольшими изменениями в исходном коде, а также уклоняться от автоматизированного статического анализа кода.
Luna подтверждает тенденцию к кроссплатформенным программам-вымогателям: современные банды программ-вымогателей в значительной степени полагаются на такие языки, как Golang и Rust. Ярким примером являются BlackCat и Hive.
Поскольку Luna - недавно обнаруженная группа, данных о ее виктимологии пока мало, но в Лаборатории обещают проследить за активностью вымогателей.
Новый штамм, получивший название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких ОС, включая системы Windows, Linux и ESXi.
Обнаруженная исследователями через рекламу в даркнете, Luna адаптирована для русскоязычных операторов. При этом записка о выкупе, жестко запрограммированная внутри двоичного файла, содержит орфографические ошибки. Исходя зз-за этого ресерчеры со средней степенью уверенности предполагают, что акторы говорят по-русски.
Как видно из рекламы, вредоносное ПО написано на Rust и все еще находится в стадии разработки, имея ограниченные возможности, основанные на доступных параметрах командной строки.
Судя по доступным параметрам командной строки, Luna довольно проста. Однако используемая им схема шифрования не так типична, так как включает x25519 и AES, комбинацию, которая не часто встречается в схемах вымогателей.
Образцы для Linux и ESXi Luna скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows.
Как отмечают исследователи, кроссплатформенность ransomware позволяет переносить его на несколько платформ с очень небольшими изменениями в исходном коде, а также уклоняться от автоматизированного статического анализа кода.
Luna подтверждает тенденцию к кроссплатформенным программам-вымогателям: современные банды программ-вымогателей в значительной степени полагаются на такие языки, как Golang и Rust. Ярким примером являются BlackCat и Hive.
Поскольку Luna - недавно обнаруженная группа, данных о ее виктимологии пока мало, но в Лаборатории обещают проследить за активностью вымогателей.
Securelist
Kaspersky report on Luna and Black Basta ransomware
This report discusses new ransomware, that targets Windows, Linux and ESXi systems: Luna written in Rust and Black Basta.