Ресерчеры SentinelOne сообщают о ранее неизвестной хакерской группе DragonSpark, которая использует интерпретатор исходного кода Golang в ходе шпионских атак на организаций в Восточной Азии.

Как выяснили SentinelLabs, китайскоязычный злоумышленник взламывает веб-серверы и базы данных MySQL, развертывая веб-оболочки с помощью SQL-инъекций, межсайтовых сценариев или уязвимостей.

Группа использует малоизвестный инструмент с открытым исходным кодом SparkRAT, который может работать в Windows, macOS, Linux и предлагает многофункциональные функции удаленного доступа, поддерживая 26 команд.

Связь с C2 реализуется через протокол WebSocket. SparkRAT может автоматически обновляться, добавляя новый функционал.

Помимо него DragonSpark также задействует SharpToken и BadPotato для повышения привилегий и инструмент GotoHTTP для установления постоянства во взломанной среде.

Особенностью кампании является использование интерпретации исходного кода Golang для выполнения кода из сценариев Go, встроенных в двоичные файлы вредоносного ПО. В детали вдаваться не будем - метод подробно описан в отчете исследователей.

Но на самом деле примечательно другое: ТТР DragonSpark не имеет каких-либо совпадений с другими китайскоязычными хакерскими группами.

Даже несмотря на то, что операции были впервые обнаружены в сентябре 2022 года с использованием вредоносного ПО Zegost, исторически связанного с китайскими APT, ориентированными на шпионаж. Но связать с ними DragonSpark ресерчерам не удалось.

В то же время и установленная DragonSpark на скомпрометированных серверах оболочка China Chopper - широко используется злоумышленниками по всему миру. Как и все другие используемые группой инструменты с открытым исходным кодом, которые были разработаны китайскими авторами.

Все же учитывая, что злоумышленник использует скомпрометированную инфраструктуру в Китае, Тайване и Сингапуре, за активностью DragonSpark, по всей видимости, в реальности могут стоять американские или сингапурские АРТ.

Но об этом в SentinelOne точно не расскажут.

͏BREAKING: Microsoft объявила, что собирается переименовать M365 в M364

Lexmark выпустила обновление для исправления RCE-ошибки, затрагивающей 100 моделей принтеров, для которой доступен PoC.

Связанная с подделкой запроса на стороне сервера (SSRF) в функции веб-служб устройств Lexmark проблема отслеживается как CVE-2023-23560 и имеет рейтинг серьезности 9,0.

В бюллетене производителя утверждается, что ошибка может быть использована для RCE на устройстве, что может иметь более широкое влияние на организацию.

В контексте службы печати SSRF-уязвимость может дать злоумышленникам доступ к учетным данным для сети, к которой подключен принтер, и перейти к другим устройствам в сегменте со всеми вытекающими.

Несмотря на публикацию PoC-эксплойта в настоящее время в дикой природе уязвимость не эксплуатируется.

Полный список потенциально уязвимых устройств, выпуски уязвимых прошивок и обновленная версия, устраняющая проблему, доступны в бюллетене по безопасности Lexmark.

CVE-2023-23560 затрагивает широкий спектр принтеров, поэтому владельцам устройств Lexmark следует ознакомиться с рекомендациями и убедиться в использовании безопасной версии микроПО, выпущенной 18 января 2022 г. или позднее.

Для тех, кто не может установить обновление, Lexmark предлагает обходной путь отключения функции веб-служб на TCP-порту 65002, блокируя возможность злоумышленников использовать CVE-2023-23560.

Подъехали подробности инцидента с Hive.

Как выясняется, ФБР США смогли проникнуть в инфраструктуру Hive еще в июле 2022 года и отслеживали активность на протяжении полугода.

Тайная операция американских спецслужб позволила им заблаговременно получать информацию об атаках и предупреждать потенциальных жертв, а также перехватить ключи дешифрования, предотвратив выплату выкупа на сумму более 130 млн. долл.

Бюро предоставило более 300 ключей дешифрования жертвам атак Hive, а также передало еще более 1000 дополнительных ключей дешифрования предыдущим жертвам.

Американские силовики смогли идентифицировать и затем получить доступ к двум выделенным и одному виртуальному частному серверу провайдера в Калифорнии, которые были взяты в аренду с использованием адресов электронной почты, принадлежащих Hive.

После чего ориентировать коллег из Голландии, где располагались еще два резервных выделенных сервера.

Физический доступ позволил взять под контроль основной DLS, сайт переговоров и веб-панели операторов, получив помимо ключей хэш-значения файлов вредоносных программ, сведения в отношении 250 операторов Hive и их 1500 жертв, о которых ФБР сообщало еще в ноябре.

Как мы и предполагали, не запоздала и реакция Госдепа, предложившего до 10 млн. долл. за информацию о причастности Hive (или других угроз американской КИИ) с иностранным правительством по аналогии с вознаграждениями за Conti, REvil и Darkside.

Вероятно, дальше сетевых следов продвинутся не удалось, а время поджимало: пришлось сворачивать наблюдение.

Сейчас в сеть обсуждаются различные версии компрометации Hive: от использования АНБ 0-day до инсайдера внутри банды вымогателей, работающего на спецслужбы, но большинство все же склоняется к старому доброму фишингу.

Коллеги-вымогатели не остались в стороне и дали комментарии.

ALPHV заявляют, что с ними такой трюк не пройдет, ссылаясь на надежную систему безопасности, а BianLian сожалеют и прогнозируют возвращение группы под новым брендом.

Лидеры отрасли - Lockbit, порадовались устранению конкурента.

Теперь слово за Hive. Будем следить за ситуацией.

Исследователи Trend Micro раскрыли в отчете подробности в отношении нового ransomware-штамма, который задействует API Everything для повышения скорости шифрования.

Ресерчеры впервые обнаружили эту программу-вымогатель в дикой природе в июне 2022 года, отметив ее таргетуированность как на русскоязычных, так и на англоязычных пользователей.

Новая разновидность программы-вымогателя получила наименование Mimic и имеет сходство с Conti. Атаки начинаются с того, что жертва получает исполняемый файл, предположительно, по электронной почте, извлекающий четыре файла в целевой системе, включая основную полезную нагрузку, вспомогательные файлы и инструменты для отключения Защитника Windows.

Ransomware на этапе заражения использует возможности поиска Everything32.dll для идентификации конкретных имен файлов и расширений в скомпрометированной системе, предназначенных для шифрования, что позволяет избегать повреждения системных файлов, которые могут привести к невозможности загрузки системы в случае блокировки.

Everything - поисковая система, ориентированная на имениафайлов для Windows, разработанная Voidtools. Утилита легкая и быстрая, использует минимальные системные ресурсы и поддерживает обновления в реальном времени.

Mimic - универсальный штамм, поддерживающий аргументы командной строки для узкого нацеливания на файл, а также может использовать несколько потоков процессора для ускорения процесса шифрования данных.

Новое семейство программ-вымогателей, безусловно, обладает всем функционалом, характерным для современных штаммов.

Файлы, зашифрованные Mimic, получают расширение QUIETPLACE. Также сбрасывается записка с требованием выкупа, в которой сообщается о требованиях и порядке восстановления файлов после уплаты выкупа в биткойнах.

Mimic — это новый штамм с еще непроверенной активностью, но использование Conti Builder и Everything API свидетельствует о том, что его авторы, по всей видимости, достаточно компетентные разработчики ПО с четким понимаем своего дела.

Но будем посмотреть, конечно.

Политически мотивированную хакерскую группировку Moses Staff (жезл Моисея) связывают с новой АРТ из числа хактивистов под названием Abraham's Axe (топор Авраама), которая засветилась в ноябре 2022 года.

Исследователи Secureworks Counter Threat Unit (CTU) подозревают ее в причастности к атак против Израиля и Саудовской Аравии, в которых была также замешана Moses Staff. Более того, предполагают, что ними и вовсе стоят одни и те же лица.

Moses Staff, также известная как Cobalt Sapling, появилась в сентябре 2021 года и является антиизраильской и пропалестинской группой, целью которой является подрыв и преследование израильских компаний.

Считается, что группировка спонсируется иранским правительством и была связана с серией подрывных кибератак, в которых использовались такие инструменты, как StrifeWater RAT и DiskCryptor.

Согласно анализу Secureworks, Abraham's Axe работает в тандеме для атак против правительственных организаций Саудовской Аравии и что может являться ответом на ведущую роль саудитов в улучшении отношений между Израилем и арабскими странами.

Сами же Abraham's Axe утверждают, что действуют от имени ливанской шиитской исламистской политической партии «Хизбаллы Уммы».

Даже исходя из названий группировок невольно в сознании всплывает аналогия, не говоря о поразительном совпадении ТТР и использовании специализированного вредоносного ПО для шифрования данных без возможности их восстановления.

Оба актора действуют без финансового стимула и вторжения носят сугубо разрушительный характер, а сайты утечек на основе WordPress на ранних этапах вовсе размещались в одной подсети.

Исследователи Secureworks ссылаются при этом на богатый опыт Ирана в вопросах использования "прокси-хактивистов" при достижении своих региональных и международных целей.

Представители Республики при этом отрицают свою причастность к подобным атакам.

Unit42 Palo Alto Network обнаружили новую версию PlugX, которая способна заражать и распространяться через USB-устройства, потеснив ANDROMEDA и Raspberry Robin.

Вредоносные файлы скрываются с помощью новой техники, которая работает даже в самых последних ОС Windows. Пользователь не будет знать, что его USB-устройство заражено или, возможно, используется для кражи данных из их сетей.

Исследователи нашли образец PlugX во время реагирования на инцидент после атаки Black Basta на неназванную жертву.

Среди других инструментов, оказавшихся в скомпрометированной среде - загрузчик вредоносных программ Gootkit и фреймворк Brute Ratel C4 red team.

Использование Brute Ratel группой Black Basta ранее было отмечено Trend Micro в октябре 2022 года, когда ПО было доставлено в качестве полезной нагрузки второго этапа с помощью фишинговой кампании Qakbot.

По данным Quadrant Security, с тех пор цепочка атак использовалась против крупного регионального энергетического предприятия, базирующегося на юго-востоке США.

Как известно, PlugX - это троян удаленного доступа, который был разработан и первоначально использовался китайскими АРТ, но с тех пор утек и был взят на вооружение многими злоумышленниками.

Однако нет никаких доказательств того, что PlugX или Gootkit связаны с бандой Black Basta, что позволяет предположить, что он мог быть развернут другими акторами.

USB-вариант PlugX примечателен тем, что он использует особый символ Unicode, называемый неразрывным пробелом (U+00A0), чтобы скрыть файлы на USB-устройстве, подключенном к рабочей станции.

В конечном итоге файл ярлыка Windows (.LNK), созданный в корневой папке флэш-накопителя, используется для запуска вредоносного ПО из скрытого каталога. 

При этом образец PlugX не только внедряет вредоносное ПО на хост, но и копирует его на любое доступное съемное устройство, маскируя его внутри папки корзины.

Всякий раз при нажатии ярлыка файла с зараженного USB-устройства, вредоносное ПО запускает проводник Windows и передает путь к каталогу в качестве параметра, что приводит к отображению файлов на USB-устройстве из скрытых каталогов, а также заражению хоста вредоносным ПО PlugX.

Метод основан на том, что проводник Windows по умолчанию не показывает скрытые элементы. Но хитрость заключается в том, что вредоносные файлы в так называемой корзине не отображаются, если этот параметр включен.

Фактически это означает, что мошеннические файлы можно просмотреть только в Unix-подобной операционной системе.

Unit 42 также обнаружила второй вариант PlugX, который, помимо заражения USB-устройств, дополнительно копирует все файлы Adobe PDF и Microsoft Word с хоста в другую скрытую папку на USB-устройстве, созданную вредоносным ПО.

Обнаружение новых модификаций указывает на то, что разработка PlugX все ведется, оставаясь активной угрозой, теперь и для закрытых сетей.

Исследователи Horizon3 Attack Team анонсироавли выпуск RCE-эксплойта, нацеленного на цепочку уязвимостей на непропатченных устройствах VMware vRealize Log Insight.

Как мы сообщали, в прошлый вторник VMware исправила четыре уязвимости в инструменте анализа журналов, две из которых являются критическими и позволяют злоумышленникам удаленно выполнять код без аутентификации.

Обе имеют критический уровень серьезности с базовыми оценками CVSS 9,8/10 и могут быть использованы злоумышленниками в атаках низкой сложности, не требующих аутентификации.

Все уязвимости можно использовать в стандартной конфигурации устройств VMware vRealize Log Insight.

Horizon3 Attack Team предупредила администраторовk Team анонсичто им удалось создать эксплойт, который связывает три из четырех ошибкой, исправленных VMware на этой неделе, для удаленного выполнения кода от имени пользователя root.

Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, открытые в Интернете), а также для горизонтального перемещения с сохраненными учетными данными.

Злоумышленники могут получить конфиденциальную информацию из журналов на узлах Log Insight, включая ключи API и токены сеанса, которые помогут взломать дополнительные системы и еще больше скомпрометировать среду.

Безусловно, учитывая функциональную роль VMware vRealize Log Insight, лишь штучные экземпляры открыты в глобальной сети (всего - 45, по метрике Shodan).

Однако это не делает их менее ценными для злоумышленников, которые с легкостью могут использовать уязвимости в уже скомпрометированных сетях.

Небольшая, но жаркая, дискуссия в редакции канала привела к тому, что мы решили написать этот пост, чтобы не дать забыть нашим подписчикам прописную истину - если у вас нет паранойи, это еще не значит, что за вами не следят. Старик Эрнест не даст соврать!

Итак, в марте 2017 года WikiLeaks опубликовали свою знаменитую утечку Vault 7, про которую мы не раз писали. Утечка была посвящена Engineering Development Group (EDG), хакерскому подразделению Центра киберразведки ЦРУ, в частности инструментарию EDG по слежке за гражданами (своими, чужими - какая ,на хрен, разница).

Так, совместно с британской MI5 была создана малварь Weeping Angel, заражающая смарт-телевизоры Samsung и позволявшая американским государственным хакерам использовать устройство для прослушки всего происходящего в помещении, в том числе в "выключенном" состоянии.

Специализированное подразделение EDG под названием Mobile Device Branch активно разрабатывало множество атак на устройства под управлением iOS и Android, чтобы, в числе прочего, перехватывать данные непосредственно перед их шифрованием такими мессенджерами как Telegram, WhatsApp, Signal, Wiebo и пр. (с Signal и WhatsApp американцы ныне переписки получают и без всяких бэкдоров, но это к слову).

Наконец, в октябре 2014 года ЦРУ активно обсуждало возможность заражения систем управления легковыми и грузовыми автомобилями, с целью взятия их под свой контроль. Сдается нам, за прошедшие 8 лет империалистические американские шпионы успели перейти от теории к практике.

Следи за собой, будь осторожен.

P.S. Неоднократно слышали мнение "А что мне американцы, мне на них пофиг, пусть читают". Дорогие друзья, когда к вам в дверь постучится неприметный человек с предложением, от которого нельзя отказаться, потому что оно подкреплено некими объективными материалами из приватной переписки, пить Боржоми будет уже поздно.

Разработчики приложения KeePass отказываются признавать и исправлять ошибку CVE-2023-24055, о которой уже неоднократно за последний год сообщали исследователи и пользователи утилиты.

KeePass Password Safe — это бесплатный менеджер паролей с открытым исходным кодом, который хранит имена пользователей, пароли, другие поля и вложенные файлы в зашифрованном файле, защищенном любой комбинацией мастер-пароля, файла ключа и данных учетной записи в ОС.

Согласно Consumer Reports, KeePass является одним из четырех наиболее популярных менеджеров паролей (наряду с 1Password, Dashlane и LastPass).

Ресерчеры полагают, что злоумышленник, имеющий доступ к системе пользователя, может легко получить открытый текста для всех паролей, хранящихся в приложении KeePass, воспользовавшись триггером для изменения строки в XML-файле конфигурации приложения.

Таким образом, KeePass до версии 2.53 (при установке по умолчанию) позволяет злоумышленнику, имеющему доступ на запись к файлу конфигурации XML, получать пароли в открытом виде, добавляя триггер экспорта.

Предполагаемая ошибка затрагивает все версии приложения KeePass, и разногласия возникают из-за отказа команды разработчиков признать ее недостатком безопасности, не говоря уже об исправлении.

Позиция производителя заключается в том, что база данных паролей не предназначена для защиты от злоумышленника, имеющего такой уровень доступа к локальному ПК, ведь, как они утверждают «если злоумышленник контролирует вашу систему, то это уже не ваша система».

С другой стороны, ресерчеры настаивают на признании уязвимости, поскольку для экспорта паролей от владельца KeePass не требуется никаких действий (например, ввода мастер-пароля), что невозможно даже в ситуациях, когда актор получает доступ к устройству.

Ситуация, безусловно, хоть и спорная.

Но после того, как уже доступный на GitHub PoC-эксплойт для ошибки KeePass будет взят на вооружение популярными стиллерами и RAT, мнение разработчиков должно будет поменяться.

ISC выпустил исправления для устранения уязвимостей в ПО BIND DNS, которые могут привести к отказу в обслуживании.

Программное обеспечение с открытым исходным кодом BIND 9 используется крупными финансовыми организациями, национальными и международными операторами связи, поставщиками интернет-услуг, производителями, образовательными и государственными учреждениями.

Обнаруженные недостатки связаны с named - демоном BIND9, который функционирует как главный сервер имен для фиксированного набора зон DNS или как рекурсивный преобразователь для клиентов в локальной сети.

Всего закрыто четыре ошибки, и все получили оценку 7,5 по CVSS.

Первая CVE-2022-3094 связана с тем, что поток сообщений UPDATE может привести к тому, что named исчерпает всю доступную память.

Другая проблема затрагивает BIND Supported Preview Edition named, который может неожиданно завершать работу при обработке параметров ECS в повторяющихся ответах на повторяющиеся запросы (CVE-2022-3488).

Остальные обусловлены named, настроенным на ответ из устаревшего кеша и могут привести к неожиданному завершению работу при обработке запросов RRSIG (CVE-2022-3736) или при программной обработке рекурсивных клиентов (CVE-2022-3924).

Успешное использование любой из уязвимостей может привести к сбою указанной службы или исчерпанию доступной памяти на целевом сервере.

Пока нет никаких доказательств того, что какая-либо из этих уязвимостей активно эксплуатируется.

Для устранения недостатков и смягчения возможных последствий рекомендуется обновиться до BIND версии 9.16.37-S1 и выше, так как только она на данный момент устраняет все четыре дефекта безопасности.

Дополнительную информацию об исправленных недостатков можно найти в матрице уязвимостей безопасности BIND 9.

Ресерчеры из eSentire установили личность злоумышленника, стоящего за вредоносным ПО Golden Chickens.

В сети злоумышленник известен под псевдонимом badbullzvenom и занимался реализацией Golden Chickens, также известного как Venom Spider, по схеме MaaS.

Более того, как стало известно, разработчики малвари связаны и с другими хакерскими инструментами, такими как Taurus Builder (программное обеспечение для создания вредоносных документов), More_eggs (загрузчик JavaScript), VenomLNK, TerraLoader, TerraRecon, TerraStealer, TerraTV, TerraPreter и TerraCrypt.

Согласно отчету, киберарсенал злоумышленников использовался известными хакерскими группами, включая Cobalt Group, Evilnum, FIN6, а общий ущерб от деятельности оценивается в 1,5 млрд. долл.

Деанонимизиция прошла в рамках 16-месячного расследования и OSINT-марафона, проведенного подразделением реагирования на угрозы eSentire.

Исследователи обнаружили связь учетной записи badbullzvenom с аккаунтом пользователя Frapstar, представлявшимся неким Чаком из Монреаля.

Изучение его цифрового следа позволило специалистам собрать воедино всю личность: его настоящее имя, фотографии, адрес, родителей, друзей и многое другое.

Впервые Frapstar попал в поле зрения Trend Micro еще в 2015 году, когда в одном из отчетов злоумышленник был идентифицирован как кардер и имел несколько учетных записей на разных хакерских форумах, одна из которых - badbullzvenom.

Предполагается, что Frapstar является одним из двух злоумышленников, стоящих за использованием учетной записи badbullzvenom на хакерском форуме Exploit.in.

Личность второго хакера пока не установлена, но, как предполагают ресерчеры, он может находиться в Молдове или Румынии.

Несмотря на разоблачение, ассортимент хакеров не поубавился, а продажи набирают обороты, как показывают наблюдения eSentire.

Но будем посмотреть.

В начале прошлого года производитель QNAP можно сказать дважды кинул своих пользователей, буквально - в руки вымогателей DeadBolt и eCh0raix, которые шифровали устройства NAS с использованием 0-day, пока производитель буксовал с исправлением.

Решив все же в новом году не наступать на те же грабли, QNAP решила опередить очередную волну ransomware, призывав клиентов установить обновления для QTS и QuTS, которые устраняют критическую RCE-уязвимость.

CVE-2022-27596 оценивается как критическая с оценкой CVSS v3: 9,8 и затрагивает версии ОС QTS 5.0.1 и QuTS hero h5.0.1, позволяя удаленным злоумышленникам внедрять вредоносный код в устройства QNAP NAS.

Поставщик не раскрыл технических подробностей или информации о возможностях ее эксплуатации, но согласно NIST, ошибка описывается как уязвимость SQL-инъекции.

Кроме того, QNAP представила JSON, демонстрирующий серьезность уязвимости, указывая на то, что ее можно использовать в атаках низкой сложности удаленными злоумышленниками, не требующими вмешательства пользователя или привилегий на целевом устройстве.

В бюллетене QNAP не отметила CVE-2022-27596 как активно эксплуатируемую в дикой природе.

В силу ее серьезности пользователям рекомендуется как можно скорее установить доступные обновления: QTS 5.0.1.2234 сборка 20221201 и QuTS hero h5.0.1.2248 сборки 20221215 (или более поздние).

Но, по всей видимости, «натренированным» еще с прошлого года пользователям QNAP NAS напоминания в принципе не требуются.

Для подготовки своего нового отчета ресерчерам Лаборатории Касперского пришлось просканировать даркнет и с головой погрузиться в профсообщество современных киберпреступников.

Как и любой другой бизнес, хакерская индустрия нуждается в рекрутинге рабочей силы.

Новых членов в команды и подбор специалистов для узконаправленных задач киберпреступники ведут в даркнете. Соискателям предлагаются ежемесячная заработная плата, оплачиваемый отпуск и отпуск по болезни.

Исследователи изучили и проанализировали более 200 000 объявлений о вакансиях, размещенных на 155 теневых площадках за период с марта 2020 года по июнь 2022 года.

Материал получился объемный и достаточно репрезентативный.

Большинство работодателей даркнета предлагают полулегальную и нелегальную работу, бывают и исключения (создание учебных курсов по ИТ).

Объявлений о поиске работы было значительно меньше, чем предложений.

Резюме, размещенные на даркнет-форумах, касаются самых разных областей знаний и должностных инструкций: от модерации каналов Telegram до компрометации корпоративной инфраструктуры. 

Профессиональные хакерские команды и APT фокусируются на поиске и найме разработчиков ПО, предлагая при этом серьезные оферы для их привлечения (более 61% всех объявлений).

На втором месте оказались пентестеры с 16%, а на третьем — дизайнеры с 10%.

Самая высокооплачиваемая вакансия включала месячную зарплату в размере 20 000 долл., в то время как другие предложения для высококлассных спецов по таргетирванным атакам превышали планку в 15 000.

Кроме того, востребованы услуги аналитиков, разработчиков вредоносных программ и инструментов, брокеров первичного доступа, реверсинженеров, тестировщиков, веб-дизайнеров, спецов по фишингу, и админов.

Средняя з/п для IT-специалистов варьируется в диапазоне 1300 - 4000 долл. в месяц. При этом наиболее высокоплачиваемыми считаются реверсинженеры, а услуги дизайна - самыми дешевыми.

Более трети предложений предполагали кандидатам полную занятость на весь рабочий день, другая треть - гибкий график, в оставшихся 45% - удаленка.

В некоторых случаях (8% вакансий) работникам также предлагался ежегодный оплачиваемый отпуск и оплата больничного. Продумана и система мотивации: поощрения, продвижение на вышестоящие должности, стажировки и тп.

По мнению специалистов ЛК, такие плюшки и более высокий заработок делают предложения киберпреступников конкурентными легальным вакансиям на рынке IT и более привлекательными для начинающих и безработных специалистов.

Другими факторами являются отсутствие формальных требований к кандидату: образование, судимости, военная служба и тп.

Как и обычной жизни, в процессе найма рекрутеры предлагают пройти собеседование и выполнить тестовые задания для определения и подтверждения профессионального уровня соискателя.

Оценивается также резюме или портфолио.

В характерных случая, обнаруженных Лабораторией Касперского, кандидатам даже оплачивалась тестовая работа: около 300 долларов в BTC.

В другой ситуации соискатель должен был в течение 24 часов скрыть тестовую DLL от обнаружения антивирусными средствами, допуская максимум 3 незначительных сработки.

Ресерчеры полагают, что даркнет будет еще более активно задействоваться организованной киберпреступностью в качестве инструмента вербовки новых членов, предлагая стабильный доход и возможности в условиях нестабильной экономической и политической ситуации.

Однако, как отмечают в ЛК, не многие осознают, что риски по-прежнему перевешивают преимущества.

Работодатель не несет никакой ответственности, а работник всегда может остаться без зарплаты, стать участником мошеннической схемы или вовсе отправиться в места не столь отдаленные.

GitHub снова взломали и на этот раз хакеры добрались до сертификатов репозиториев Atom и GitHub Desktop.

Несанкционированный доступ обнаружили 7 декабря 2022 года.

В результате расследования стало понятно, что утечке способствовала компрометация токена личного доступа PAT.

Взлом привел к клонированию репозиториев Atom и Desktop, а также других устаревших репозиториев, принадлежащих GitHub.

В них хранилось несколько сертификатов подписи кода, которые были зашифрованы и предназначались для процедур выпуска GitHub Desktop и Atom.

Украденные сертификаты не подвергают риску существующие установки приложений Desktop и Atom.

Однако в случае расшифровки злоумышленник может подписывать этими сертификатами неофициальные приложения и делать вид, что они официально созданы GitHub.

У двух сертификатов подписи кода Digicert, используемых для Windows, истекли сроки действия, а вот сертификат Apple Developer ID еще будет действовать до 2027 года.

Но GitHub отзовет все три сертификата 2 февраля 2023 года.

Тем не менее, в ожидании отзыва сертификата разработчики GitHub совместно с Apple ведут поиск любых новых исполняемых файлов и программ, которые могли быть подписаны скомпрометированным сертификатом.

В ходе расследования специалисты сделали вывод, что GitHub и другие продукты, за исключением конкретных сертификатов, упомянутых выше, никак не пострадали, а код, включенный в эти репозитории, не подвергался каким-либо нелегитимным изменениям.

Страница выпусков была обновлена и две самые последние версии приложения Atom, 1.63.0-1.63.1, были удалены. Они перестанут работать, как только сертификат будет отозван.

Стабильность - признак мастерства! Но только не в случае инфосек вендора ESET. Там больше похоже на очень гибкий позвоночник.

Словаки опубликовали очередной отчет об активности APT за период с сентября по декабрь 2022 года. Угадайте с четырех раз - APT каких четырех стран там представлены?

Китай, Иран, Северная Корея, Россия. И еще кибершпионская группа SturgeonPhisher неустановленной принадлежности. Все как Буш-младший завещал.

А ведь эти люди боролись за звание дома высокой культуры и быта возможность попасть в список российского ПО. Правильно их тогда выпнули.

- Доктор Кокс, я с этим цветом не похожа на клоуна?
- Ну что ты, Барби, нет. Ты похожа на проститутку, которая дает только клоунам (с).

Абсолютно согласны с данным мнением!

В высокогорье Гималаев тоже есть свои таланты.

Исследователь Gtm Manoz из Непала смог найти уязвимости двухфакторной аутентификации (2FA) в продуктах Facebook Meta, признанной в России экстремистской организацией.

В сентябре 2022 года в ходе анализа страницы Центра мета-аккаунтов в Instagram он обнаружил, что в системе для подтверждения или добавления номера телефона и адреса электронной почты к учетной записи Instagram и Facebook отсутствует защита, необходимая для ограничения по скорости.

Чтобы подтвердить адрес электронной почты и номер телефона, пользователям следует ввести шестизначный код, полученный через email или по sms. Уязвимость позволяет злоумышленнику вводить методом перебора все возможные коды, пока он не получит правильный.

Таким образом, потенциальному злоумышленнику достаточно было выяснить номер телефона, привязанный пользователем к своей учетной записи Instagram и Facebook, чтобы присвоить номер телефона жертвы подконтрольной учетной записи.

Исправление было выпущено Meta в октябре 2022 года, а исследователь Manoz получил 27 200 долларов за раскрытие уязвимости по программе BugBounty.

Ни сколько не умаляя результатов и таланта исследователя из Непала, ошибки на уровне стандартной защиты при реализации 2FA - это пожалуй все, что нужно знать о разработке в Meta, которая в перспективе намерена обзавестись целой вселенной.

Зато с цензорами проблем нет: миньоны Цукерберга не дадут соврать. При том, что личные данные пользователей уже давно считаются материалом в реализации политических или коммерческих амбиций основных акционеров компании.

В контексте недавнего исправления тайваньским производителем QNAP критической SQL-уязвимости (CVE-2022-27596) с оценкой CVSS 9,8 нас тут справедливо спрашивают читатели: ну какой кретин выставляет NAS в Интернет?

Но ответ вряд ли порадует: 67 415 NAS-устройств QNAP обнаружили исследователи Censys, причем из проанализированных 30 520 хостов более 98% остаются непропатченными и уязвимыми для атак с использованием CVE-2022-27596.

Как мы уже отмечали, удаленные злоумышленники, не прошедших проверку подлинности, могут использовать эту уязвимость для внедрения вредоносного кода в атаках низкой сложности, без необходимости взаимодействия с пользователем.

К счастью, поскольку эта уязвимость еще не используется в дикой природе, а PoC еще не появился в свободном доступе, у пользователей еще есть время, чтобы исправить уязвимые устройства NAS.

Вангуем, что первые жертвы атак появятся еще до выхода PoC-эксплойта, по крайней мере DeadBolt и eCh0raix уже не раз это демонстрировали.

Помимо обновления производитель NAS призывает клиентов с устройствами, подключенными к Интернету, принять меры для защиты их от входящих атак, отключив функции переадресации портов маршрутизатора и UPnP QNAP NAS.

Кроме того, рекомендуется также отключить подключения SSH и Telnet, изменить номер системного порта, пароли устройств и включить защиту доступа к IP-адресу и учетной записи, следуя этим инструкциям.

Очередная порция ошибок в программных продуктах компании American Megatrends.

Не прошло и двух месяцев, как в AMI MegaRAC Baseboard Management Controller (BMC) было выявлено еще две уязвимости.

Софт используется системными администраторами для удалённого доступа к серверному оборудованию и в прошлый раз специалистами из Eclypsium были найдены три серьёзные баги.

В совокупности, выявленные ошибки в прошивке контроллера управления основной платой, могли дать злоумышленникам возможность удаленно скомпрометировать системы, широко используемые в ЦОДах и в облачных сервисах на серверах более 15 поставщиков, включая AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo и Nvidia.

Два новых недостатка связанны с возможностью перехвата сброса пароля через API (CVE-2022-26872 с CVSS: 8,3) и слабыми хэшами паролей для Redfish и API (CVE-2022-40258 с CVSS: 5,3).

В частности, CVE-2022-26872 использует HTTP API, чтобы заставить пользователя инициировать сброс пароля с помощью атак с социальной инженерией и установить пароль по выбору злоумышленника.

Во втором случае было обнаружено, что MegaRAC использует алгоритм хеширования MD5 с глобальной солью для старых устройств или SHA-512 с солью для каждого пользователя на новых устройствах, что потенциально позволяет злоумышленнику взломать пароли.

Стоит отметить, что уязвимости можно использовать только в сценариях, когда BMC подключены к Интернету, или в случаях, когда субъект угрозы уже получил первоначальный доступ к ЦОД или административной сети другими методами.

Ландшафт угроз до конца не определен, но в Eclypsium заявили, что работают с AMI и другими поставщиками, чтобы определить контуры уязвимых продуктов и услуг.

Возможные последствия от использования этих уязвимостей включают в себя удаленное управление скомпрометированными серверами, развертывание вредоносного ПО, а также возможность физического повреждения серверов и их блокировки.

Gigabyte, Hewlett Packard Enterprise, Intel и Lenovo уже выпустили обновления для устранения недостатков безопасности в своих устройствах, а NVIDIA планирует выпустить патч в мае 2023 года.