͏📥 [Вы получили инвайт на закрытую тусовку багхантеров] — такую смску вы можете получить от платформы Standoff 365 Bug Bounty, если являетесь ее активным участником (и находите много уязвимостей).
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
Google в новых майских обновлениях безопасности для Android исправила более 40 уязвимостей, включая проблему ядра, используемую в качестве 0-day поставщиками spyware.
В целом патч содержит исправления уязвимостей в компонентах framework, system, kernel, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Причем большинству ошибок был присвоен рейтинг высокой степени серьезности. Они могут быть использованы для повышения привилегий, DoS-атак и раскрытия информации.
Исправленная 0-day отслеживается как CVE-2023-0266 и описывается Google как недостаток ядра, который может быть использован для повышения локальных привилегий без взаимодействия с пользователем.
Об эксплуатации уязвимости Google впервые сообщила еще в конце марта, когда компания описала несколько уязвимостей для Android и iOS, которые использовались поставщиками spyware.
Конкретно CVE-2023-0266 задействовалась как часть цепочки эксплойтов, включающей несколько уязвимостей, в том числе влияющих на Chrome и драйвер ядра графического процессора Mali.
Злоумышленники доставляли эксплойты в виде ссылок целевому лицу через SMS.
При этом хакеры нацеливались на браузер Samsung, который основан на Chromium, но не имеет некоторых важных смягчений, присутствующих в Chrome.
Целями в кампании были пользователи в ОАЭ, которым доставлялось полнофункциональное шпионского ПО Android.
Считается, что за атаками стояли клиентом испанского поставщика шпионских ПО Variston, чья деятельность освещалась Google в ноябре 2022 года.
Вообще же, по данным Google, в этом году в атаках использовались три уязвимости Android.
Учитывая все вышесказанное, напомнить в стотысячный раз о важности своевременного обновления ПО не будет лишним.
В целом патч содержит исправления уязвимостей в компонентах framework, system, kernel, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Причем большинству ошибок был присвоен рейтинг высокой степени серьезности. Они могут быть использованы для повышения привилегий, DoS-атак и раскрытия информации.
Исправленная 0-day отслеживается как CVE-2023-0266 и описывается Google как недостаток ядра, который может быть использован для повышения локальных привилегий без взаимодействия с пользователем.
Об эксплуатации уязвимости Google впервые сообщила еще в конце марта, когда компания описала несколько уязвимостей для Android и iOS, которые использовались поставщиками spyware.
Конкретно CVE-2023-0266 задействовалась как часть цепочки эксплойтов, включающей несколько уязвимостей, в том числе влияющих на Chrome и драйвер ядра графического процессора Mali.
Злоумышленники доставляли эксплойты в виде ссылок целевому лицу через SMS.
При этом хакеры нацеливались на браузер Samsung, который основан на Chromium, но не имеет некоторых важных смягчений, присутствующих в Chrome.
Целями в кампании были пользователи в ОАЭ, которым доставлялось полнофункциональное шпионского ПО Android.
Считается, что за атаками стояли клиентом испанского поставщика шпионских ПО Variston, чья деятельность освещалась Google в ноябре 2022 года.
Вообще же, по данным Google, в этом году в атаках использовались три уязвимости Android.
Учитывая все вышесказанное, напомнить в стотысячный раз о важности своевременного обновления ПО не будет лишним.
👀Mycroft Intelligence - реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.
Майские обновления Microsoft PatchTuesday включают исправления для 40 уязвимостей, в том числе и две 0-day, которые уже активно использовались в атаках.
Одна из 0-day, CVE-2023-29336, представляет собой ошибку повышения привилегий в драйвере Win32k, успешная эксплуатация которой позволит злоумышленнику получить системные привилегии.
Этот тип повышения привилегий обычно сочетается с RCE-ошибкой для распространения вредоносного ПО.
Учитывая, что об этом сообщила Avast, это кажется наиболее вероятным сценарием. Но Microsoft традиционно сохраняет в тайне подробности об атаках с использованием этой уязвимости.
Согласно ESET и SentinelOne, другая CVE-2023-24932 связана с обходом функции безопасной загрузки и позволяет злоумышленнику с физическим доступом или административными привилегиями выполнять самозаверяющий код на уровне UEFI.
Уязвимость задействовалась буткитом BlackLotus UEFI, который впервые появился в октябре 2022 года и способен обходить механизмы защиты на уязвимых машинах.
Но стоит учитывать, что майское обновление Microsoft не содержит полного исправления, предоставляя параметры конфигурации для ручного включения защиты для обхода безопасной загрузки.
Автоматическое развертывание файлов отзыва будет добавлено в июльский PatchTuesday, а принудительно применяться - начиная с первого квартала следующего года.
По словам Microsoft, для устранения CVE-2023-24932 требуется отозвать диспетчеры загрузки, что является необратимым действием, которое может вызвать проблемы для некоторых конфигураций загрузки.
Некоторые из критических уязвимостей, исправленных Microsoft с помощью последних обновлений, включают недостатки удаленного выполнения кода в сетевой файловой системе Windows (CVE-2023-24941), Windows Pragmatic General Multicast (CVE-2023-24943) и Windows OLE (CVE-2023-29325).
Разработчик также устранил, RCE-уязвимость (CVE-2023-24955) в SharePoint Server, которая была раскрыта на Pwn2Own Vancouver 2023.
Полный перечень с описанием каждой из исправленных уязвимостей доступен здесь.
Одна из 0-day, CVE-2023-29336, представляет собой ошибку повышения привилегий в драйвере Win32k, успешная эксплуатация которой позволит злоумышленнику получить системные привилегии.
Этот тип повышения привилегий обычно сочетается с RCE-ошибкой для распространения вредоносного ПО.
Учитывая, что об этом сообщила Avast, это кажется наиболее вероятным сценарием. Но Microsoft традиционно сохраняет в тайне подробности об атаках с использованием этой уязвимости.
Согласно ESET и SentinelOne, другая CVE-2023-24932 связана с обходом функции безопасной загрузки и позволяет злоумышленнику с физическим доступом или административными привилегиями выполнять самозаверяющий код на уровне UEFI.
Уязвимость задействовалась буткитом BlackLotus UEFI, который впервые появился в октябре 2022 года и способен обходить механизмы защиты на уязвимых машинах.
Но стоит учитывать, что майское обновление Microsoft не содержит полного исправления, предоставляя параметры конфигурации для ручного включения защиты для обхода безопасной загрузки.
Автоматическое развертывание файлов отзыва будет добавлено в июльский PatchTuesday, а принудительно применяться - начиная с первого квартала следующего года.
По словам Microsoft, для устранения CVE-2023-24932 требуется отозвать диспетчеры загрузки, что является необратимым действием, которое может вызвать проблемы для некоторых конфигураций загрузки.
Некоторые из критических уязвимостей, исправленных Microsoft с помощью последних обновлений, включают недостатки удаленного выполнения кода в сетевой файловой системе Windows (CVE-2023-24941), Windows Pragmatic General Multicast (CVE-2023-24943) и Windows OLE (CVE-2023-29325).
Разработчик также устранил, RCE-уязвимость (CVE-2023-24955) в SharePoint Server, которая была раскрыта на Pwn2Own Vancouver 2023.
Полный перечень с описанием каждой из исправленных уязвимостей доступен здесь.
Fortinet сообщает о новой версии AndoryuBot, который впервые появился в дикой природе в феврале 2023 года, а с апреля - нацелен на серьезную уязвимость в устройствах Ruckus Wireless для задействования их в DDoS-атаках.
Критическая уязвимость отслеживается как CVE-2023-25717 и затрагивает панели администрирования Ruckus Wireless Admin версии 10.4 и старше, позволяя удаленным злоумышленникам выполнять код, отправляя неаутентифицированные HTTP-запросы GET на уязвимые устройства.
Недостаток был обнаружен и оперативно исправлен еще 8 февраля 2023 года, однако до настоящего времени не многие владельцы поспешили их применить, а некоторые EOL-модели вовсе не получат исправления.
Заражая уязвимые устройства, AndoryuBot загружает дополнительный скрипт с жестко заданного URL-адреса для дальнейшего распространения.
После чего устанавливает связь с C2 по SOCKS для скрытности и обхода брандмауэров и ожидает поступления команд с указанием типа DDoS, целевого IP-адреса и номера порта для атаки.
Проанализированный Fortinet образец был адаптирован под множество системных архитектур, включая x86, arm, spc, m68k, mips, sh4 и mpsl и поддерживал 12 режимов DDoS-атак.
Как и многие другие, операторы ПО реализуют функционал ботнета для проведения DDoS на заказ, принимая платежи в крипте (XMR, BTC, ETH, USDT, CashApp).
За свои услуги просят от 20 до 115 долларов за недельный лаг в зависимости от продолжительности и объема атаки.
Продвигается Andoryu на YouTube, где его операторы красочно демонстрируют возможности ботнета.
Для защиты от заражения владельцам рекомендуется применить обновления прошивки, использовать надежные пароли админа устройства и отключить удаленный доступ к панели администратора, если он не особо нужен.
Критическая уязвимость отслеживается как CVE-2023-25717 и затрагивает панели администрирования Ruckus Wireless Admin версии 10.4 и старше, позволяя удаленным злоумышленникам выполнять код, отправляя неаутентифицированные HTTP-запросы GET на уязвимые устройства.
Недостаток был обнаружен и оперативно исправлен еще 8 февраля 2023 года, однако до настоящего времени не многие владельцы поспешили их применить, а некоторые EOL-модели вовсе не получат исправления.
Заражая уязвимые устройства, AndoryuBot загружает дополнительный скрипт с жестко заданного URL-адреса для дальнейшего распространения.
После чего устанавливает связь с C2 по SOCKS для скрытности и обхода брандмауэров и ожидает поступления команд с указанием типа DDoS, целевого IP-адреса и номера порта для атаки.
Проанализированный Fortinet образец был адаптирован под множество системных архитектур, включая x86, arm, spc, m68k, mips, sh4 и mpsl и поддерживал 12 режимов DDoS-атак.
Как и многие другие, операторы ПО реализуют функционал ботнета для проведения DDoS на заказ, принимая платежи в крипте (XMR, BTC, ETH, USDT, CashApp).
За свои услуги просят от 20 до 115 долларов за недельный лаг в зависимости от продолжительности и объема атаки.
Продвигается Andoryu на YouTube, где его операторы красочно демонстрируют возможности ботнета.
Для защиты от заражения владельцам рекомендуется применить обновления прошивки, использовать надежные пароли админа устройства и отключить удаленный доступ к панели администратора, если он не особо нужен.
Fortinet Blog
AndoryuBot – New Botnet Campaign Targets Ruckus Wireless Admin Remote Code Execution Vulnerability (CVE-2023-25717)
FortiGuard Labs details how a unique botnet leverages a Ruckus vulnerability and examines its behavior once inside an infected device. Learn more.…
А у нас тем временем вышла новая серия увлекательного сериала "APT-отчеты" от компании ESET, за которым мы с интересом наблюдаем.
В этом произведении словацкого искусства сюжет прямой как извилина в голове мамкиного хакера: китайцы, русские, иранцы и северокорейцы плохие, а ESET хорошие. Конец серии.
Но в новом сезоне, видимо, привлекли сторонних сценаристов, потому что появились еще одни плохиши - Индия. А конкретнее из APT- Donot Team, NewsPenguin и SideWinder. Мы про всех них писали у себя на канале.
В остальном - на манеже рожи те же. Любопытно, что в списке атакуемых APT стран нет России. Даже Намибия есть, а России нет. Ну просто потому, что в ином случае придется хотя бы упомянуть тех, кто атакует российские ресурсы, а это APT кого надо APT.
Ждем продолжения с нетерпением (нет).
В этом произведении словацкого искусства сюжет прямой как извилина в голове мамкиного хакера: китайцы, русские, иранцы и северокорейцы плохие, а ESET хорошие. Конец серии.
Но в новом сезоне, видимо, привлекли сторонних сценаристов, потому что появились еще одни плохиши - Индия. А конкретнее из APT- Donot Team, NewsPenguin и SideWinder. Мы про всех них писали у себя на канале.
В остальном - на манеже рожи те же. Любопытно, что в списке атакуемых APT стран нет России. Даже Намибия есть, а России нет. Ну просто потому, что в ином случае придется хотя бы упомянуть тех, кто атакует российские ресурсы, а это APT кого надо APT.
Ждем продолжения с нетерпением (нет).
WeLiveSecurity
ESET APT Activity Report Q4 2022–Q1 2023
This issue of the ESET APT Activity Report features an overview of the activities of selected APT groups as analyzed by ESET Research in Q4 2022 and Q1 2023.
Известные недостатки в стандарте для автоматизации зданий KNX снова на прицеле у хакеров.
KNX — широко используемый открытый стандарт для автоматизации коммерческих и жилых зданий. Он обеспечивает управление безопасностью, освещением, ОВКВ, энергопотреблением и другими системами умного здания.
Устройства системы управления, находящиеся в открытом доступе в Интернете, были уже избитой проблемой, на которую эксперты по безопасности указывали уже десятилетие.
В 2021 году разработчики KNX предупреждали, что установки умных зданий все чаще становятся объектами атак.
В ходе одной из них на немецкую инженерную компанию, хакеры получили контроль над доступными в Интернете устройствами автоматизации зданий и по непонятным причинам заблокировали доступ во все системы.
В прошлом месяце Schneider Electric обнаружила общедоступный эксплойт, нацеленный на системы автоматизации дома и здания KNX, предупредив своих клиентов о потенциальных рисках в бюллетене по безопасности.
Эксплойт был нацелен на продукты компании SpaceLynk и Wiser для KNX (ранее HomeLynk), позже стало известно и о том, что продукты французской FellerLynk также затронуты.
PoC базируется на двух известных уязвимостях: одна была устранена поставщиком в феврале 2022 года (CVE-2022-22809), а другая — в августе 2020 года (CVE-2020-7525).
Злоумышленники могут использовать их для получения доступа к функциям администрирования без пароля путем обхода каталога или доступа к панели администрирования с помощью брута.
Больше опасений вызывает еще и то, что автор эксплойта не так давно также представил PoC, нацеленные на топливные системы.
Поэтому, несмотря на отсутствие новых упоминаний об инцидентах с KNX в дикой природе, администраторам умных систем следует обратить внимание к рекомендуемым мерам по смягчению последствий.
Особенно тем, которые, как сообщает Schneider, продолжают использовать старые непропатченные версии продуктов, открытые в глобальную сеть.
KNX — широко используемый открытый стандарт для автоматизации коммерческих и жилых зданий. Он обеспечивает управление безопасностью, освещением, ОВКВ, энергопотреблением и другими системами умного здания.
Устройства системы управления, находящиеся в открытом доступе в Интернете, были уже избитой проблемой, на которую эксперты по безопасности указывали уже десятилетие.
В 2021 году разработчики KNX предупреждали, что установки умных зданий все чаще становятся объектами атак.
В ходе одной из них на немецкую инженерную компанию, хакеры получили контроль над доступными в Интернете устройствами автоматизации зданий и по непонятным причинам заблокировали доступ во все системы.
В прошлом месяце Schneider Electric обнаружила общедоступный эксплойт, нацеленный на системы автоматизации дома и здания KNX, предупредив своих клиентов о потенциальных рисках в бюллетене по безопасности.
Эксплойт был нацелен на продукты компании SpaceLynk и Wiser для KNX (ранее HomeLynk), позже стало известно и о том, что продукты французской FellerLynk также затронуты.
PoC базируется на двух известных уязвимостях: одна была устранена поставщиком в феврале 2022 года (CVE-2022-22809), а другая — в августе 2020 года (CVE-2020-7525).
Злоумышленники могут использовать их для получения доступа к функциям администрирования без пароля путем обхода каталога или доступа к панели администрирования с помощью брута.
Больше опасений вызывает еще и то, что автор эксплойта не так давно также представил PoC, нацеленные на топливные системы.
Поэтому, несмотря на отсутствие новых упоминаний об инцидентах с KNX в дикой природе, администраторам умных систем следует обратить внимание к рекомендуемым мерам по смягчению последствий.
Особенно тем, которые, как сообщает Schneider, продолжают использовать старые непропатченные версии продуктов, открытые в глобальную сеть.
www.knx.org
Smart Buildings are the subject of cyber attacks – KNX Association [Official website]
RECENTLY SMART BUILDING INSTALLATIONS - INCLUDING ONES BASED ON KNX - ARE INCREASINGLY THE SUBJEC...
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• 21 век заставляет тебя заботиться о том, о чем следовало начать заботиться еще на заре развития сетей — о сохранении приватности, анонимности и защищенности коммуникаций!• На прошлой неделе sector035 опубликовал полезную ссылку на руководство, которое содержит 160 страниц информации по защите личности в сети на различных ресурсах и приложениях. Ссылка на первоисточник: https://sector035.nl/articles/2023-17
• Скачать руководство можно тут: https://xn--r1a.website/S_E_Reborn/750 или по ссылке выше.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Новая уязвимость ядра Linux NetFilter позволяет непривилегированным локальным пользователям повышать привилегии до суперпользователя.
Отслеживаемая как CVE-2023-32233 возникает из-за того, что Netfilter nf_tables принимает недопустимые обновления своей конфигурации, допуская определенные сценарии, в которых недопустимые пакетные запросы приводят к повреждению внутреннего состояния подсистемы.
Оценка серьезности еще не определена.
Netfilter — это инфраструктура фильтрации пакетов и трансляции сетевых адресов (NAT), встроенная в ядро Linux, которая управляется с помощью интерфейсных утилит, таких как IPtables и UFW.
Повреждение внутреннего состояния системы приводит к уязвимости использования после освобождения, которую можно использовать для выполнения произвольных операций чтения и записи в памяти ядра.
Со слов обнаруживших багу исследователей Патрика Сондея и Петра Крысюка, для демонстрации процесса эксплуатации CVE-2023-32233 был разработан PoC, который позволяет непривилегированным локальным пользователям запускать корневую оболочку на затронутых системах.
Согласно политике списка дистрибутивов linux, исходный код эксплойта будет опубликован 15 мая 2023 года вместе с полной информацией о методах эксплуатации.
Ошибка влияет на несколько выпусков ядра Linux, включая текущую версию v6.3.1. Однако для использования уязвимости сначала требуется локальный доступ к устройству.
Для решения проблемы инженер Пабло Нейра Аюсо представил коммит исходного кода ядра Linux.
Отслеживаемая как CVE-2023-32233 возникает из-за того, что Netfilter nf_tables принимает недопустимые обновления своей конфигурации, допуская определенные сценарии, в которых недопустимые пакетные запросы приводят к повреждению внутреннего состояния подсистемы.
Оценка серьезности еще не определена.
Netfilter — это инфраструктура фильтрации пакетов и трансляции сетевых адресов (NAT), встроенная в ядро Linux, которая управляется с помощью интерфейсных утилит, таких как IPtables и UFW.
Повреждение внутреннего состояния системы приводит к уязвимости использования после освобождения, которую можно использовать для выполнения произвольных операций чтения и записи в памяти ядра.
Со слов обнаруживших багу исследователей Патрика Сондея и Петра Крысюка, для демонстрации процесса эксплуатации CVE-2023-32233 был разработан PoC, который позволяет непривилегированным локальным пользователям запускать корневую оболочку на затронутых системах.
Согласно политике списка дистрибутивов linux, исходный код эксплойта будет опубликован 15 мая 2023 года вместе с полной информацией о методах эксплуатации.
Ошибка влияет на несколько выпусков ядра Linux, включая текущую версию v6.3.1. Однако для использования уязвимости сначала требуется локальный доступ к устройству.
Для решения проблемы инженер Пабло Нейра Аюсо представил коммит исходного кода ядра Linux.
Но на этом головная боль пользователей Linux не заканчивается.
Если для вышеупомянутой ошибки повышения привилегий (CVE-2023-32233) эксплойт выйдет 15 мая, то для другой уязвимости (CVE-2023-0386) в подсистеме OverlayFS ядра Linux PoC-эксплойт уже опубликован.
И на этом фоне еще больший диссонанс вызвала Deep Instinct, исследователи которой рассказали о ранее недокументированном штамме вредоносного ПО для Linux под названием BPFdoor.
Этот пассивный бэкдор предназначен для обеспечения постоянства во взломанных сетях и средах в течение длительного периода времени.
Вредоносное ПО получило такое название благодаря использованию Berkley Packet Filter — довольно уникального способа уклонения от обнаружения, который позволяет обойти ограничения брандмауэра на входящий трафик.
Исследователи полагают, что за BPFdoor может стоять китайская Red Menshen (ака Red Dev 18).
Группа отметилась тем, что с 2021 года проводила атаки на организации государственном, образовательном, телекоммуникационном и логистическом секторах на Ближнем Востоке и Азии.
Если для вышеупомянутой ошибки повышения привилегий (CVE-2023-32233) эксплойт выйдет 15 мая, то для другой уязвимости (CVE-2023-0386) в подсистеме OverlayFS ядра Linux PoC-эксплойт уже опубликован.
И на этом фоне еще больший диссонанс вызвала Deep Instinct, исследователи которой рассказали о ранее недокументированном штамме вредоносного ПО для Linux под названием BPFdoor.
Этот пассивный бэкдор предназначен для обеспечения постоянства во взломанных сетях и средах в течение длительного периода времени.
Вредоносное ПО получило такое название благодаря использованию Berkley Packet Filter — довольно уникального способа уклонения от обнаружения, который позволяет обойти ограничения брандмауэра на входящий трафик.
Исследователи полагают, что за BPFdoor может стоять китайская Red Menshen (ака Red Dev 18).
Группа отметилась тем, что с 2021 года проводила атаки на организации государственном, образовательном, телекоммуникационном и логистическом секторах на Ближнем Востоке и Азии.
GitHub
GitHub - xkaneiki/CVE-2023-0386: CVE-2023-0386在ubuntu22.04上的提权
CVE-2023-0386在ubuntu22.04上的提权. Contribute to xkaneiki/CVE-2023-0386 development by creating an account on GitHub.
͏Shit Happens в последние месяцы происходит все чаще с ведущими поставщиками услуг и решений ИБ, которые сами оказываются в роли жертв.
Если в случае с британской DarkTrace - все лишь оказалось провокацией со стороны вымогателей, нацелившихся на их коллег DarkTracer, то тем же Бизонам и ГрИБам все же пришлось познакомиться в разной степени с представителями хакерского подполья.
На этот раз постучались в Dragos, которая поделилась подробностями произошедшего 8 мая инцидента, связанного с ransomeware.
Компания заявляет, что злоумышленникам этого не удалось, но они все же получили добрались до облачного сервиса SharePoint и системы управления контрактами компании.
Началось все с того, что хакеры получили первичный доступ, скомпрометировав личный адрес электронки нового сотрудника по продажам до начала того, как он даже приступил к работе, что позволило злоумышленникам выдать себя за персонал Dragos.
Взломав облачную платформу Dragos SharePoint злоумышленники выгрузили все данные общего пользования, включая 25 отчетов по результатам исследований, которые были доступны только клиентам.
Как рассказывают представители Dragos, в течение последующих 16 часов пока у вымогателей имелся доступ они безуспешно пытались скомпрометировать ряд корпоративных систем, включая сервис обмена сообщениями, службу поддержки, финансовый и маркетинговый сегмент, а также RFP.
Не добившись очевидного успеха, по версии Dragos, хакеры направили письмо с требованиями выплаты выкупа за неразглашение инцидента. После того, как через 5 часов сообщение было прочитано скомпрометированную учетную запись залочили.
В Dragos заявляют, что многоуровневые средства контроля безопасности смогли предотвратить запуск ransomware, ограничив боковое перемещение и повышение привилегий, в целом - попытки модификации инфраструктуры.
Все бы ничего, но есть нюанс, как в известном анекдоте. Не совсем соотносятся эффективные меры безопасности с уведомлением об атаке от атакующих, не говоря уже о пятичасовом интервале реагирования.
Согласно предварительно обнаруженным артефактам, за атакой, вероятнее всего, стоит BlackBasta, а учитывая бэкграунд банды, слабо верится, что им ничего не удалось внутри периметра.
Но как обычно - много «но», будем посмотреть.
Если в случае с британской DarkTrace - все лишь оказалось провокацией со стороны вымогателей, нацелившихся на их коллег DarkTracer, то тем же Бизонам и ГрИБам все же пришлось познакомиться в разной степени с представителями хакерского подполья.
На этот раз постучались в Dragos, которая поделилась подробностями произошедшего 8 мая инцидента, связанного с ransomeware.
Компания заявляет, что злоумышленникам этого не удалось, но они все же получили добрались до облачного сервиса SharePoint и системы управления контрактами компании.
Началось все с того, что хакеры получили первичный доступ, скомпрометировав личный адрес электронки нового сотрудника по продажам до начала того, как он даже приступил к работе, что позволило злоумышленникам выдать себя за персонал Dragos.
Взломав облачную платформу Dragos SharePoint злоумышленники выгрузили все данные общего пользования, включая 25 отчетов по результатам исследований, которые были доступны только клиентам.
Как рассказывают представители Dragos, в течение последующих 16 часов пока у вымогателей имелся доступ они безуспешно пытались скомпрометировать ряд корпоративных систем, включая сервис обмена сообщениями, службу поддержки, финансовый и маркетинговый сегмент, а также RFP.
Не добившись очевидного успеха, по версии Dragos, хакеры направили письмо с требованиями выплаты выкупа за неразглашение инцидента. После того, как через 5 часов сообщение было прочитано скомпрометированную учетную запись залочили.
В Dragos заявляют, что многоуровневые средства контроля безопасности смогли предотвратить запуск ransomware, ограничив боковое перемещение и повышение привилегий, в целом - попытки модификации инфраструктуры.
Все бы ничего, но есть нюанс, как в известном анекдоте. Не совсем соотносятся эффективные меры безопасности с уведомлением об атаке от атакующих, не говоря уже о пятичасовом интервале реагирования.
Согласно предварительно обнаруженным артефактам, за атакой, вероятнее всего, стоит BlackBasta, а учитывая бэкграунд банды, слабо верится, что им ничего не удалось внутри периметра.
Но как обычно - много «но», будем посмотреть.
Достаточно основательно ресерчеры команды Unit42 из PAN расчехлили Royal ransomware, которая активна с сентября 2022 года.
Вдаваться подробно в отчет смысла особого не видим, но один из главных выводов следует все же отметить.
Исследователи Unit42 считают, что программой-вымогателем управляет группа бывших участников Conti, которая известна как Team One (ранее также участвовавшая в Ryuk).
В отличие от других крупных групп вымогателей, таких как LockBit 3.0, Royal не практикуют модель RaaS и действуют как частная группа, тайно «за закрытыми дверьми».
Вдаваться подробно в отчет смысла особого не видим, но один из главных выводов следует все же отметить.
Исследователи Unit42 считают, что программой-вымогателем управляет группа бывших участников Conti, которая известна как Team One (ранее также участвовавшая в Ryuk).
В отличие от других крупных групп вымогателей, таких как LockBit 3.0, Royal не практикуют модель RaaS и действуют как частная группа, тайно «за закрытыми дверьми».
Unit 42
Threat Assessment: Royal Ransomware
Royal ransomware has made notable attacks against sectors such as healthcare and infrastructure. Our overview includes victimology and functionality.
Forwarded from Russian OSINT
🕷В Даркнете предлагают услуги по созданию 🎭 дипфейк-видео от $300 до $20 000 за 1 минуту
Эксперты «Лаборатории Касперского» проанализировали на нескольких форумах в даркнете (русскоязычные и международные) объявления с предложениями услуг по созданию дипфейк-видео. Согласно сообщениям, можно предположить, что стоимость создания одной минуты такого видео составляет от $300 до $20 000.
"В значительном количестве проанализированных объявлений предлагают услуги по созданию дипфейков для криптофрода. Речь идёт о так называемых💴 криптостримах или фальшивых розыгрышах криптовалют. Это популярная скам-схема, в рамках которой злоумышленники побуждают зрителей переводить им криптовалюту. Мошенники используют для этого фейковые видео со 😎 знаменитостями или соединяют старые записи, чтобы запустить прямые трансляции на платформах социальных сетей. Обычно они обещают удвоить отправленный им платёж. Если человек поверит злоумышленнику, то рискует потерять крупную сумму денег", - предупреждают эксперты.
Отчёт: https://www.kaspersky.ru/about/press-releases/2023_v-darknete-predlagayut-uslugi-po-sozdaniyu-dipfejk-video-za-20-tysyach-dollarov
👆«Сами по себе дипфейк-технологии не являются ни плохими, ни хорошими. Важно то, как и с какой целью их используют люди", - очень правильная мысль от экспертов.
✋ @Russian_OSINT
Эксперты «Лаборатории Касперского» проанализировали на нескольких форумах в даркнете (русскоязычные и международные) объявления с предложениями услуг по созданию дипфейк-видео. Согласно сообщениям, можно предположить, что стоимость создания одной минуты такого видео составляет от $300 до $20 000.
"В значительном количестве проанализированных объявлений предлагают услуги по созданию дипфейков для криптофрода. Речь идёт о так называемых
Отчёт: https://www.kaspersky.ru/about/press-releases/2023_v-darknete-predlagayut-uslugi-po-sozdaniyu-dipfejk-video-za-20-tysyach-dollarov
👆«Сами по себе дипфейк-технологии не являются ни плохими, ни хорошими. Важно то, как и с какой целью их используют люди", - очень правильная мысль от экспертов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи CyberArk разработали и представили новый дешифратор White Phoenix, который позволяет частично восстанавливать файлы, зашифрованные штаммами ransomware с прерывистым шифрованием.
Как еще отмечала в сентябре 2022 года Sentinel Labs, прерывистое шифрование набирает обороты в сфере программ-вымогателей, и все крупные RaaS предлагают его по крайней мере в качестве опции для своих операторов.
Этот метод позволяет шифровать попеременно фрагменты данных, ускоряя сам процесс и оставляя данные непригодными для использования жертвой.
Как выяснили в CyberArk, такой подход имеет слабые места в шифровании, поскольку оставшиеся незашифрованные части исходных файлов дают возможность для восстановления данных.
После успешного восстановления PDF с помощью своего инструмента CyberArk обнаружила аналогичные возможности для восстановления файлов других форматов, в том числе файлов на основе ZIP-архивов, включая Word, Excel и PowerPoint.
Восстановление этих типов файлов достигается с помощью 7zip и шестнадцатеричного редактора для извлечения незашифрованных XML-файлов затронутых документов и выполнения замены данных.
White Phoenix автоматизирует все вышеперечисленные шаги для поддерживаемых типов файлов, хотя в некоторых случаях может потребоваться ручная доработка.
После обкатки White Phoenix исследователи гарантируют его эффективность в отношении следующих штаммов программ-вымогателей: BlackCat, Play ransomware, Qilin, BianLian и DarkBit.
Но на практике, конечно же, есть ограничения.
Например, если была зашифрована большая часть файла, включая его важные компоненты, восстановленные данные могут быть неполными или бесполезными, поскольку эффективность инструмента напрямую связана со степенью повреждения файла.
Для случаев, когда текст хранится как объекты CMAP в PDF-файлах, восстановление возможно только в том случае, если ни текст, ни объекты CMAP не зашифрованы.
Для правильной работы White Phoenix форматы Zip/Office должны содержать строку «PK\x03\x04» в файле.
Кроме того, для частичного восстановления PDF-файлы должны содержать строки «0 obj» и «endobj».
Инструмент доступен в общедоступном репозитории. на GitHub.
Как еще отмечала в сентябре 2022 года Sentinel Labs, прерывистое шифрование набирает обороты в сфере программ-вымогателей, и все крупные RaaS предлагают его по крайней мере в качестве опции для своих операторов.
Этот метод позволяет шифровать попеременно фрагменты данных, ускоряя сам процесс и оставляя данные непригодными для использования жертвой.
Как выяснили в CyberArk, такой подход имеет слабые места в шифровании, поскольку оставшиеся незашифрованные части исходных файлов дают возможность для восстановления данных.
После успешного восстановления PDF с помощью своего инструмента CyberArk обнаружила аналогичные возможности для восстановления файлов других форматов, в том числе файлов на основе ZIP-архивов, включая Word, Excel и PowerPoint.
Восстановление этих типов файлов достигается с помощью 7zip и шестнадцатеричного редактора для извлечения незашифрованных XML-файлов затронутых документов и выполнения замены данных.
White Phoenix автоматизирует все вышеперечисленные шаги для поддерживаемых типов файлов, хотя в некоторых случаях может потребоваться ручная доработка.
После обкатки White Phoenix исследователи гарантируют его эффективность в отношении следующих штаммов программ-вымогателей: BlackCat, Play ransomware, Qilin, BianLian и DarkBit.
Но на практике, конечно же, есть ограничения.
Например, если была зашифрована большая часть файла, включая его важные компоненты, восстановленные данные могут быть неполными или бесполезными, поскольку эффективность инструмента напрямую связана со степенью повреждения файла.
Для случаев, когда текст хранится как объекты CMAP в PDF-файлах, восстановление возможно только в том случае, если ни текст, ни объекты CMAP не зашифрованы.
Для правильной работы White Phoenix форматы Zip/Office должны содержать строку «PK\x03\x04» в файле.
Кроме того, для частичного восстановления PDF-файлы должны содержать строки «0 obj» и «endobj».
Инструмент доступен в общедоступном репозитории. на GitHub.
Cyberark
White Phoenix: Beating Intermittent Encryption
Recently, a new trend has emerged in the world of ransomware: intermittent encryption, the partial encryption of targeted files. Many ransomware groups, such as BlackCat and Play, have adopted...
Claroty раскрыла подробности о цепочке эксплойтов, нацеленных на 5 уязвимостей и позволяющих злоумышленникам, не прошедшим проверку подлинности, взламывать маршрутизаторы Netgear.
Уязвимости были впервые раскрыты на Pwn2Own в Торонто в 2022 году, где эксплойт Claroty, нацеленный на маршрутизатор Netgear Nighthawk RAX30 SOHO, принес исследователям компании 2500 долларов.
Отслеживаемые как CVE-2023-27357, CVE-2023-27367, CVE-2023-27368, CVE-2023-27369 и CVE-2023-27370 были исправлены Netgear с выпуском прошивки версии 1.0.10.94 в начале апреля.
Трем уязвимостям был присвоен высокий уровень серьезности, и их эксплуатация может привести к RCE, обходу аутентификации и внедрению команд, а объединение всех баг может оказать еще более серьезное влияние.
Успешные эксплойты могут позволить злоумышленникам отслеживать активность пользователей в Интернете, перенаправлять трафик на вредоносные веб-сайты или внедрять вредоносное ПО.
Злоумышленники также могут использовать ошибки для обеспечения доступа к управлению сетевыми интеллектуальными устройствами, изменять настройки маршрутизатора, включая учетные данные или настройки DNS, а также использовать скомпрометированную сеть для запуска атак на другие устройства или сети.
Одним из смягчающих факторов является то, что для использования эксплойта злоумышленнику требуется пароль WiFi или Ethernet-соединение с целевой сетью.
Уязвимости были впервые раскрыты на Pwn2Own в Торонто в 2022 году, где эксплойт Claroty, нацеленный на маршрутизатор Netgear Nighthawk RAX30 SOHO, принес исследователям компании 2500 долларов.
Отслеживаемые как CVE-2023-27357, CVE-2023-27367, CVE-2023-27368, CVE-2023-27369 и CVE-2023-27370 были исправлены Netgear с выпуском прошивки версии 1.0.10.94 в начале апреля.
Трем уязвимостям был присвоен высокий уровень серьезности, и их эксплуатация может привести к RCE, обходу аутентификации и внедрению команд, а объединение всех баг может оказать еще более серьезное влияние.
Успешные эксплойты могут позволить злоумышленникам отслеживать активность пользователей в Интернете, перенаправлять трафик на вредоносные веб-сайты или внедрять вредоносное ПО.
Злоумышленники также могут использовать ошибки для обеспечения доступа к управлению сетевыми интеллектуальными устройствами, изменять настройки маршрутизатора, включая учетные данные или настройки DNS, а также использовать скомпрометированную сеть для запуска атак на другие устройства или сети.
Одним из смягчающих факторов является то, что для использования эксплойта злоумышленнику требуется пароль WiFi или Ethernet-соединение с целевой сетью.
Claroty
Pwn2Own Toronto 22: Exploit Netgear Nighthawk RAX30 Routers
Unveiling IoT Vulnerabilities: A Deep Dive into Netgear RAX30 Router Research from Pwn2Own Competition | Discover the insights gained from our investigation into the security weaknesses of IoT devices, as we analyze the Netgear RAX30 router in the renowned…
Ведущий международный поставщик ICS и SCADA в области электротехники и энергетического машиностроения был успешно препарирован вымогателями Black Basta, которым удалось почти полностью парализовать всю ее операционную деятельность.
Речь идет о швейцарской транснациональной ABB Group LTD со штаб-квартирой в Цюрихе, штатом более 105 000 сотрудников и выручкой 29,4 млрд долларов за прошедший год.
Компания имеет широкий круг клиентов, среди которых Volvo, Hitachi, DS Smith, а также муниципалитеты городов Нэшвилл и Сарагоса.
В целом же в управлении АВВ более чем 40 инженерных, производственных, исследовательских и сервисных предприятий только на территории США, которые обеспечивают различные федеральные агентства, включая министерства обороны, транспорта, энергетики, правоохранительный блок и почтовую службу.
7 мая компания столкнулась с последствиями обширного ransomware-инцидента.
Хакеры добрались до корпоративного Windows Active Directory, затронув сотни устройств.
После чего ABB деактивировала все VPN-соединения с клиентами для локализации распространения программы-вымогателя в другие сети.
Журналисты удалось выяснить, что кибератака вызвала сбои в работе заводов, приостановку ряда крупных проектов и всех бизнес-процессов.
Сейчас все силы компании брошены на реализацию мер по сдерживанию инцидента.
Официальные заявления явно не соответствуют реальной обстановке. Вероятно, существует серьезный риск компрометации клиентского сегмента.
Так что будем посмотреть.
Речь идет о швейцарской транснациональной ABB Group LTD со штаб-квартирой в Цюрихе, штатом более 105 000 сотрудников и выручкой 29,4 млрд долларов за прошедший год.
Компания имеет широкий круг клиентов, среди которых Volvo, Hitachi, DS Smith, а также муниципалитеты городов Нэшвилл и Сарагоса.
В целом же в управлении АВВ более чем 40 инженерных, производственных, исследовательских и сервисных предприятий только на территории США, которые обеспечивают различные федеральные агентства, включая министерства обороны, транспорта, энергетики, правоохранительный блок и почтовую службу.
7 мая компания столкнулась с последствиями обширного ransomware-инцидента.
Хакеры добрались до корпоративного Windows Active Directory, затронув сотни устройств.
После чего ABB деактивировала все VPN-соединения с клиентами для локализации распространения программы-вымогателя в другие сети.
Журналисты удалось выяснить, что кибератака вызвала сбои в работе заводов, приостановку ряда крупных проектов и всех бизнес-процессов.
Сейчас все силы компании брошены на реализацию мер по сдерживанию инцидента.
Официальные заявления явно не соответствуют реальной обстановке. Вероятно, существует серьезный риск компрометации клиентского сегмента.
Так что будем посмотреть.
ETCISO.in
Breaking: ABB confirms cyberattack; work underway to restore operations - ET CISO
ABB still working to contain the security incident, says company spokesperson.
Киберинцидент, связанный с компрометацией всего одного почтового ящика, чуть не перерос для Польши в общенациональную угрозу.
Как сообщают CyberNews, база данных ArcGIS - картографическая платформа, которая используется во многих государствах, в том числе и в Польше для военных целей, была скомпрометирована.
Крайне критические данные, содержащие информацию, включая коды доступа и пароли, были выложены в открытой сети, что привело к серьезной угрозе безопасности целой страны.
Всему виной послужила банальная утечка электронного письма, содержащего пароль трехлетней давности, который позволил получить доступ к подробной карте военных портов, планов эвакуации Варшавы и других критических сведений.
Накосячил сотрудник ESRI местного филиала американского разработчика ПО ArcGIS, который отправил по электронной почте ссылку на презентацию и включил данные доступа, дабы получатели могли внимательно все просмотреть в облачной базе данных разработчика.
Включение учетных данных в виде открытого текста в принципе моветон.
Но журналисты польского издания OKO.press обнаружили, что вложенный в электронное письмо пароль был отправлен в 2020 году и не менялся вплоть до 5 мая 2023 года.
То есть владельцы учетных записей даже не знали, что были взломаны почти три года.
Согласно OKO.press, утечка электронного письма содержала множество чрезвычайно данных, например, список клиентов ERSI, в числе которых польские пограничники, полиция, спецназ, служба военной разведки и другие.
Любой, у кого был пароль, мог получить доступ к подробному плану военно-морского порта Гдыня с обозначениями расположенных там объектов.
Смех смехом, но инцидент в Польше в очередной раз подчеркивает важность регулярного обновления паролей, которые помимо прочего должны отвечать также требованиям надежности.
Как сообщают CyberNews, база данных ArcGIS - картографическая платформа, которая используется во многих государствах, в том числе и в Польше для военных целей, была скомпрометирована.
Крайне критические данные, содержащие информацию, включая коды доступа и пароли, были выложены в открытой сети, что привело к серьезной угрозе безопасности целой страны.
Всему виной послужила банальная утечка электронного письма, содержащего пароль трехлетней давности, который позволил получить доступ к подробной карте военных портов, планов эвакуации Варшавы и других критических сведений.
Накосячил сотрудник ESRI местного филиала американского разработчика ПО ArcGIS, который отправил по электронной почте ссылку на презентацию и включил данные доступа, дабы получатели могли внимательно все просмотреть в облачной базе данных разработчика.
Включение учетных данных в виде открытого текста в принципе моветон.
Но журналисты польского издания OKO.press обнаружили, что вложенный в электронное письмо пароль был отправлен в 2020 году и не менялся вплоть до 5 мая 2023 года.
То есть владельцы учетных записей даже не знали, что были взломаны почти три года.
Согласно OKO.press, утечка электронного письма содержала множество чрезвычайно данных, например, список клиентов ERSI, в числе которых польские пограничники, полиция, спецназ, служба военной разведки и другие.
Любой, у кого был пароль, мог получить доступ к подробному плану военно-морского порта Гдыня с обозначениями расположенных там объектов.
Смех смехом, но инцидент в Польше в очередной раз подчеркивает важность регулярного обновления паролей, которые помимо прочего должны отвечать также требованиям надежности.
oko.press
#Aferamailowa: Wyciekł mail z hasłem do konta z państwowymi danymi
Mail z hasłem, prowadzącym do konta w serwisie z danymi geograficznymi, w tym danymi rządowymi, został w piątek opublikowany przez Poufną Rozmowę