Ведущий международный поставщик ICS и SCADA в области электротехники и энергетического машиностроения был успешно препарирован вымогателями Black Basta, которым удалось почти полностью парализовать всю ее операционную деятельность.
Речь идет о швейцарской транснациональной ABB Group LTD со штаб-квартирой в Цюрихе, штатом более 105 000 сотрудников и выручкой 29,4 млрд долларов за прошедший год.
Компания имеет широкий круг клиентов, среди которых Volvo, Hitachi, DS Smith, а также муниципалитеты городов Нэшвилл и Сарагоса.
В целом же в управлении АВВ более чем 40 инженерных, производственных, исследовательских и сервисных предприятий только на территории США, которые обеспечивают различные федеральные агентства, включая министерства обороны, транспорта, энергетики, правоохранительный блок и почтовую службу.
7 мая компания столкнулась с последствиями обширного ransomware-инцидента.
Хакеры добрались до корпоративного Windows Active Directory, затронув сотни устройств.
После чего ABB деактивировала все VPN-соединения с клиентами для локализации распространения программы-вымогателя в другие сети.
Журналисты удалось выяснить, что кибератака вызвала сбои в работе заводов, приостановку ряда крупных проектов и всех бизнес-процессов.
Сейчас все силы компании брошены на реализацию мер по сдерживанию инцидента.
Официальные заявления явно не соответствуют реальной обстановке. Вероятно, существует серьезный риск компрометации клиентского сегмента.
Так что будем посмотреть.
Речь идет о швейцарской транснациональной ABB Group LTD со штаб-квартирой в Цюрихе, штатом более 105 000 сотрудников и выручкой 29,4 млрд долларов за прошедший год.
Компания имеет широкий круг клиентов, среди которых Volvo, Hitachi, DS Smith, а также муниципалитеты городов Нэшвилл и Сарагоса.
В целом же в управлении АВВ более чем 40 инженерных, производственных, исследовательских и сервисных предприятий только на территории США, которые обеспечивают различные федеральные агентства, включая министерства обороны, транспорта, энергетики, правоохранительный блок и почтовую службу.
7 мая компания столкнулась с последствиями обширного ransomware-инцидента.
Хакеры добрались до корпоративного Windows Active Directory, затронув сотни устройств.
После чего ABB деактивировала все VPN-соединения с клиентами для локализации распространения программы-вымогателя в другие сети.
Журналисты удалось выяснить, что кибератака вызвала сбои в работе заводов, приостановку ряда крупных проектов и всех бизнес-процессов.
Сейчас все силы компании брошены на реализацию мер по сдерживанию инцидента.
Официальные заявления явно не соответствуют реальной обстановке. Вероятно, существует серьезный риск компрометации клиентского сегмента.
Так что будем посмотреть.
ETCISO.in
Breaking: ABB confirms cyberattack; work underway to restore operations - ET CISO
ABB still working to contain the security incident, says company spokesperson.
Киберинцидент, связанный с компрометацией всего одного почтового ящика, чуть не перерос для Польши в общенациональную угрозу.
Как сообщают CyberNews, база данных ArcGIS - картографическая платформа, которая используется во многих государствах, в том числе и в Польше для военных целей, была скомпрометирована.
Крайне критические данные, содержащие информацию, включая коды доступа и пароли, были выложены в открытой сети, что привело к серьезной угрозе безопасности целой страны.
Всему виной послужила банальная утечка электронного письма, содержащего пароль трехлетней давности, который позволил получить доступ к подробной карте военных портов, планов эвакуации Варшавы и других критических сведений.
Накосячил сотрудник ESRI местного филиала американского разработчика ПО ArcGIS, который отправил по электронной почте ссылку на презентацию и включил данные доступа, дабы получатели могли внимательно все просмотреть в облачной базе данных разработчика.
Включение учетных данных в виде открытого текста в принципе моветон.
Но журналисты польского издания OKO.press обнаружили, что вложенный в электронное письмо пароль был отправлен в 2020 году и не менялся вплоть до 5 мая 2023 года.
То есть владельцы учетных записей даже не знали, что были взломаны почти три года.
Согласно OKO.press, утечка электронного письма содержала множество чрезвычайно данных, например, список клиентов ERSI, в числе которых польские пограничники, полиция, спецназ, служба военной разведки и другие.
Любой, у кого был пароль, мог получить доступ к подробному плану военно-морского порта Гдыня с обозначениями расположенных там объектов.
Смех смехом, но инцидент в Польше в очередной раз подчеркивает важность регулярного обновления паролей, которые помимо прочего должны отвечать также требованиям надежности.
Как сообщают CyberNews, база данных ArcGIS - картографическая платформа, которая используется во многих государствах, в том числе и в Польше для военных целей, была скомпрометирована.
Крайне критические данные, содержащие информацию, включая коды доступа и пароли, были выложены в открытой сети, что привело к серьезной угрозе безопасности целой страны.
Всему виной послужила банальная утечка электронного письма, содержащего пароль трехлетней давности, который позволил получить доступ к подробной карте военных портов, планов эвакуации Варшавы и других критических сведений.
Накосячил сотрудник ESRI местного филиала американского разработчика ПО ArcGIS, который отправил по электронной почте ссылку на презентацию и включил данные доступа, дабы получатели могли внимательно все просмотреть в облачной базе данных разработчика.
Включение учетных данных в виде открытого текста в принципе моветон.
Но журналисты польского издания OKO.press обнаружили, что вложенный в электронное письмо пароль был отправлен в 2020 году и не менялся вплоть до 5 мая 2023 года.
То есть владельцы учетных записей даже не знали, что были взломаны почти три года.
Согласно OKO.press, утечка электронного письма содержала множество чрезвычайно данных, например, список клиентов ERSI, в числе которых польские пограничники, полиция, спецназ, служба военной разведки и другие.
Любой, у кого был пароль, мог получить доступ к подробному плану военно-морского порта Гдыня с обозначениями расположенных там объектов.
Смех смехом, но инцидент в Польше в очередной раз подчеркивает важность регулярного обновления паролей, которые помимо прочего должны отвечать также требованиям надежности.
oko.press
#Aferamailowa: Wyciekł mail z hasłem do konta z państwowymi danymi
Mail z hasłem, prowadzącym do konta w serwisie z danymi geograficznymi, w tym danymi rządowymi, został w piątek opublikowany przez Poufną Rozmowę
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:
😈 Лаборатория хакера - Реальные кейсы, OSINT, социальная инженерия, обзоры инструментов с github, анонимность.
🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🔥 Russian OSINT — авторский канал о кибербезопасности, хакеры, искусственный интеллект и самые горячие IT-новости.
🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.
😈 Лаборатория хакера - Реальные кейсы, OSINT, социальная инженерия, обзоры инструментов с github, анонимность.
🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🔥 Russian OSINT — авторский канал о кибербезопасности, хакеры, искусственный интеллект и самые горячие IT-новости.
🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.
Не прошло и суток с момента выхода PoC-эксплойта для недавно обнаруженной XSS-уязвимости в плагине WordPress Advanced Custom Fields, как хакеры приступили к массированным атакам на сайты WordPress.
CVE-2023-30777 высокой степени серьезности позволяет злоумышленникам, не прошедшим проверку подлинности, красть конфиденциальную информацию и повышать свои привилегии на уязвимых сайтах WordPress.
Она была обнаружена Patchstack 2 мая 2023 года и раскрыта вместе с PoC уже 5 мая, буквально на следующий день после того, как поставщик плагина выпустил обновление с версией 6.1.6.
В свою очередь, исследователи Akamai Security Intelligence Group (SIG) зафиксировали высокую зловредную активность, связанную со сканированием и эксплуатацией баги, начиная с 6 мая 2023 года.
При этом злоумышленники использовали пример кода Patchstack прямо из статьи. Эксплойт работает с конфигурациями по умолчанию уязвимых версий плагинов, что увеличивает шансы злоумышленников на успех без дополнительных усилий.
Но печальнее всего то, что согласно статистике более 1,4 миллиона веб-сайтов, использующих затронутый плагин WordPress, до сих пор не обновлены до последней версии, что открывает для злоумышленников довольно большую поверхность атаки.
Администраторам сайтов WordPress с уязвимыми плагинами настоятельно рекомендуется немедленно применить доступный патч для защиты от начавшихся атак.
CVE-2023-30777 высокой степени серьезности позволяет злоумышленникам, не прошедшим проверку подлинности, красть конфиденциальную информацию и повышать свои привилегии на уязвимых сайтах WordPress.
Она была обнаружена Patchstack 2 мая 2023 года и раскрыта вместе с PoC уже 5 мая, буквально на следующий день после того, как поставщик плагина выпустил обновление с версией 6.1.6.
В свою очередь, исследователи Akamai Security Intelligence Group (SIG) зафиксировали высокую зловредную активность, связанную со сканированием и эксплуатацией баги, начиная с 6 мая 2023 года.
При этом злоумышленники использовали пример кода Patchstack прямо из статьи. Эксплойт работает с конфигурациями по умолчанию уязвимых версий плагинов, что увеличивает шансы злоумышленников на успех без дополнительных усилий.
Но печальнее всего то, что согласно статистике более 1,4 миллиона веб-сайтов, использующих затронутый плагин WordPress, до сих пор не обновлены до последней версии, что открывает для злоумышленников довольно большую поверхность атаки.
Администраторам сайтов WordPress с уязвимыми плагинами настоятельно рекомендуется немедленно применить доступный патч для защиты от начавшихся атак.
Akamai
The Race to Patch: Attackers Leverage Sample Exploit Code in WordPress Plug-in | Akamai
The time for attackers to respond to known vulnerabilities is shrinking. See an example of an attacker using sample code.
В стройный хор западных инфосек компаний, слаженно поющих про плохие APT стран КРИС (Китай-Россия-Иран-Северная Корея), пример чего мы приводили только на прошлой неделе, диссонансом вплетается голос американцев из Malwarebytes, которым, по всей видимости, методичку подвезти не успели. Или успели, но они ее на самокрутки пустили.
На прошлой неделе исследователи выпустили отчет, в котором не только привели свидетельства о принадлежности новой вскрытой APT Red Stinger к Украине, но и случайно спалили возможную причастность к созданию ее вредоносного инструментария представителей США. Дважды курва!
По сути Malwarebytes дали более развернутый обзор деятельности актора Bad Magic, которого Касперские вскрыли в конце марта и который был нацелен на Крым и ЛДНР.
Американские исследователи идентифицировали всего 5 кампаний Red Stinger, первые три из которых произошли в 2020-2021 годах, то есть до начала боевых действий, и были направлены на ЛДНР. Все атаки связаны общим вредоносным кастомным инструментарием и другими TTPs.
Из странного - в ходе киберкампании в феврале 2022 года в числе прочих были заражены две цели в Житомире и Виннице. В процессе же кампании в октябре 2022 года (про которую как раз писали Касперские) кроме организаций в Крыму и ЛДНР была зачем-то атакована винницкая библиотека. Зловещий и коварный план.
А теперь перейдем к сладкому. Malwarebytes обнаружили, что было заражено два хоста, которые, судя по всему, принадлежали самой APT и использовались в качестве тестовых. На полученных скриншотах получилось углядеть, что, во-первых, на компьютере стояла английская раскладка, что само по себе ни о чем не говорит, а во-вторых - используется температурная шкала в фаренгейтах. Нет, ну возможно это просто фанаты U.S. Customary Measurement System конечно...
По завершении исследования ресерчеры решили забить козью ногу, в результате чего нашли таки последнюю нескуренную страницу из методички, поэтому добавили в конце отчета, что приписать принадлежность APT Red Stinger конкретной стране - совершенно непростая задача. Совершенно.
На прошлой неделе исследователи выпустили отчет, в котором не только привели свидетельства о принадлежности новой вскрытой APT Red Stinger к Украине, но и случайно спалили возможную причастность к созданию ее вредоносного инструментария представителей США. Дважды курва!
По сути Malwarebytes дали более развернутый обзор деятельности актора Bad Magic, которого Касперские вскрыли в конце марта и который был нацелен на Крым и ЛДНР.
Американские исследователи идентифицировали всего 5 кампаний Red Stinger, первые три из которых произошли в 2020-2021 годах, то есть до начала боевых действий, и были направлены на ЛДНР. Все атаки связаны общим вредоносным кастомным инструментарием и другими TTPs.
Из странного - в ходе киберкампании в феврале 2022 года в числе прочих были заражены две цели в Житомире и Виннице. В процессе же кампании в октябре 2022 года (про которую как раз писали Касперские) кроме организаций в Крыму и ЛДНР была зачем-то атакована винницкая библиотека. Зловещий и коварный план.
А теперь перейдем к сладкому. Malwarebytes обнаружили, что было заражено два хоста, которые, судя по всему, принадлежали самой APT и использовались в качестве тестовых. На полученных скриншотах получилось углядеть, что, во-первых, на компьютере стояла английская раскладка, что само по себе ни о чем не говорит, а во-вторых - используется температурная шкала в фаренгейтах. Нет, ну возможно это просто фанаты U.S. Customary Measurement System конечно...
По завершении исследования ресерчеры решили забить козью ногу, в результате чего нашли таки последнюю нескуренную страницу из методички, поэтому добавили в конце отчета, что приписать принадлежность APT Red Stinger конкретной стране - совершенно непростая задача. Совершенно.
ThreatDown by Malwarebytes
Uncovering RedStinger - Undetected APT cyber operations in Eastern Europe since 2020
This blog post was authored by Malwarebytes’ Roberto Santos and Fortinet’s Hossein Jazi While the official conflict between Russia and Ukraine…
Kaspersky Container Security
Контейнеризация — один из главных трендов в разработке ПО. Но как сделать её по-настоящему безопасной на всех стадиях жизненного цикла?
⠀
18 мая в 11:00 Лаборатория Касперского ответит на этот вопрос. В программе вебинара — обсуждение важности защиты контейнерных сред и презентация нового продукта компании Kaspersky Container Security.
⠀
Перед зрителями выступят:
✔ Василий Сарычев, ведущий менеджер по продуктовому маркетингу
✔ Тимофей Титков, руководитель направления развития продуктов облачной и сетевой безопасности
✔ Пётр Богданов, ведущий менеджер по развитию продукта
⠀
Когда: 18 мая в 11:00
Регистрируйтесь по ссылке. И до встречи!
Контейнеризация — один из главных трендов в разработке ПО. Но как сделать её по-настоящему безопасной на всех стадиях жизненного цикла?
⠀
18 мая в 11:00 Лаборатория Касперского ответит на этот вопрос. В программе вебинара — обсуждение важности защиты контейнерных сред и презентация нового продукта компании Kaspersky Container Security.
⠀
Перед зрителями выступят:
✔ Василий Сарычев, ведущий менеджер по продуктовому маркетингу
✔ Тимофей Титков, руководитель направления развития продуктов облачной и сетевой безопасности
✔ Пётр Богданов, ведущий менеджер по развитию продукта
⠀
Когда: 18 мая в 11:00
Регистрируйтесь по ссылке. И до встречи!
Известная сингапурская (бггггг) инфосек компания Group-IB представила подробную информацию о Qilin (она же Agenda).
Банда вымогателей впервые была обнаружена в августе 2022 года и нацелена на компании в критических секторах с помощью ransomware, написанной на кроссплатформенных языках Rust и Golang по аналогии с не менее известными штаммами Hive, Blackcat, Luna и др.
Автор материала, коренной сингапурец Николай Кичатов, подытожил результаты анализа добытых в марте 2023 2023 года артефактов, когда команде Group-IB удалось проникнуть и детально изучить инфраструктуру Qilin.
Qilin — это Ransomware-as-a-Service, которая теперь использует программу-вымогатель на основе Rust для нападения на своих жертв, для каждой из которой атака реализуется индивидуально для максимализации воздействия.
Rust обеспечивает при этом уклонение и сложность для расшифровки, упрощает настройку вредоносного ПО для различных ОС.
Qilin имеет возможность генерировать образцы как для версий Windows, так и для ESXi.
Привлекаемым операторам предоставляется административная панель, которая позволяет более эффективного управлять атаками.
Она включает такие разделы, как «цели», «блоги», «стафферы», «новости», «платежи» и «FAQ», для организации управления и координации своей партнерской сети.
За свои труды они получают 80% от платежа, если его сумма составляет менее 3 миллионов долларов и 85% - если более.
Партнерка Qilin продвигается в даркнете, что позволяет владельцам действовать достаточно активно: в мае 2023 года DLS Qilin содержал данные на 12 компаний из Австралии, стран Южной и Северной Америки, Европы и Японии.
Нацеливание осуществляется с помощью фишинговых писем с вредоносными ссылками для закрепления в сети и эксфильтрации конфиденциальных данных.
Как только Qilin завершает первоначальный доступ, они обычно перемещаются по инфраструктуре жертвы в поисках важных данных для шифрования, в процессе которого оставляется записка с требованием выкупа в каждом зараженном каталоге.
Как отмечают исследователи, несмотря на то, что Qilin получили известность благодаря своим атакам на компании из критически важных секторов, они представляют угрозу для организаций всех вертикалей.
Партнерская программа Qilin при этом не только активно рекрутирует новых участников в свою сеть, но и вооружает их модернизированными инструментами, делится передовыми методами и оказывает всестороннюю поддержку.
Банда вымогателей впервые была обнаружена в августе 2022 года и нацелена на компании в критических секторах с помощью ransomware, написанной на кроссплатформенных языках Rust и Golang по аналогии с не менее известными штаммами Hive, Blackcat, Luna и др.
Автор материала, коренной сингапурец Николай Кичатов, подытожил результаты анализа добытых в марте 2023 2023 года артефактов, когда команде Group-IB удалось проникнуть и детально изучить инфраструктуру Qilin.
Qilin — это Ransomware-as-a-Service, которая теперь использует программу-вымогатель на основе Rust для нападения на своих жертв, для каждой из которой атака реализуется индивидуально для максимализации воздействия.
Rust обеспечивает при этом уклонение и сложность для расшифровки, упрощает настройку вредоносного ПО для различных ОС.
Qilin имеет возможность генерировать образцы как для версий Windows, так и для ESXi.
Привлекаемым операторам предоставляется административная панель, которая позволяет более эффективного управлять атаками.
Она включает такие разделы, как «цели», «блоги», «стафферы», «новости», «платежи» и «FAQ», для организации управления и координации своей партнерской сети.
За свои труды они получают 80% от платежа, если его сумма составляет менее 3 миллионов долларов и 85% - если более.
Партнерка Qilin продвигается в даркнете, что позволяет владельцам действовать достаточно активно: в мае 2023 года DLS Qilin содержал данные на 12 компаний из Австралии, стран Южной и Северной Америки, Европы и Японии.
Нацеливание осуществляется с помощью фишинговых писем с вредоносными ссылками для закрепления в сети и эксфильтрации конфиденциальных данных.
Как только Qilin завершает первоначальный доступ, они обычно перемещаются по инфраструктуре жертвы в поисках важных данных для шифрования, в процессе которого оставляется записка с требованием выкупа в каждом зараженном каталоге.
Как отмечают исследователи, несмотря на то, что Qilin получили известность благодаря своим атакам на компании из критически важных секторов, они представляют угрозу для организаций всех вертикалей.
Партнерская программа Qilin при этом не только активно рекрутирует новых участников в свою сеть, но и вооружает их модернизированными инструментами, делится передовыми методами и оказывает всестороннюю поддержку.
Group-IB
The Qilin Ransomware: Analysis and Protection Strategies
Discover how Qilin ransomware threatens cybersecurity. Learn prevention tips and stay protected. ✓ Read more now and safeguard your data!
Большинство пользователей привыкло доверять крупным солидным компаниям в вопросах безопасности персональных данных, которые те собирают, полагая, что в таких заведениях уровень информационной безопасности находится на достаточной высоте.
Х-х-х-а! - ответит редакция нашего канала.
И последняя залет Toyota Motor Corporation лишний раз подтверждает нашу правоту.
Пока кто-то управлял мечтой, выяснилось, что кто-то за ней мог активно наблюдать, ибо произошла утечка данных о местоположении автомобилей 2 150 000 клиентов за последние десять лет, с 6 ноября 2013 года по 17 апреля 2023 года, включая также сведения о номере терминала GPS и VIN.
Кроме того, как следует из второго заявления Toyota в утечку попали видеозаписи из встроенного регистратора.
Как сообщил японский автопроизводитель, данные клиентов T-Connect G-Link, G-Link Lite и G-BOOK были раскрыты из-за неправильной настройки облачной среды.
Проблема затрагивала приложение Toyota GAZOO Racing (TGR), которое реализует для пользователей функционал отслеживания местоположения своего автомобиля.
В Японии приложение TGR пользуется большой популярностью среди автолюбителей, позволяя помимо прочего просматривать данные о вождении, скорости и расходе топлива, и даже делиться своим опытом с другими участниками.
Со слов специалистов, уязвимость была вызвана отсутствием надлежащего контроля доступа в API. Это позволяло любому, кто знаком со структурой API, получить доступ к данным о местонахождении автомобиля любого пользователя TGR, просто изменив идентификатор пользователя в запросе API.
Toyota признала проблему и устранила уязвимость в течение двух месяцев. В компании также заявили, что в ходе внутреннего расследования не обнаружили доказательств несанкционированного доступа или утечки данных.
Несмотря на быструю реакцию Toyota, тот факт, что уязвимость оставалась незащищенной в течение десятилетия, вызывает большую обеспокоенность и неуверенность в выводах расследования.
И для тех, кто даже после этого продолжает строить иллюзии относительно безопасности - еще одна поучительная история от Ferrari, чей официальный веб-сайт работал с уж очень старой версией платина W3 Total Cache.
И все бы ничего, если не CVE-2019-6715, которая позволила исследователям из Char49 получить файл wp-config.php с учетными данными базы данных WordPress в открытом виде.
Х-х-х-а! - ответит редакция нашего канала.
И последняя залет Toyota Motor Corporation лишний раз подтверждает нашу правоту.
Пока кто-то управлял мечтой, выяснилось, что кто-то за ней мог активно наблюдать, ибо произошла утечка данных о местоположении автомобилей 2 150 000 клиентов за последние десять лет, с 6 ноября 2013 года по 17 апреля 2023 года, включая также сведения о номере терминала GPS и VIN.
Кроме того, как следует из второго заявления Toyota в утечку попали видеозаписи из встроенного регистратора.
Как сообщил японский автопроизводитель, данные клиентов T-Connect G-Link, G-Link Lite и G-BOOK были раскрыты из-за неправильной настройки облачной среды.
Проблема затрагивала приложение Toyota GAZOO Racing (TGR), которое реализует для пользователей функционал отслеживания местоположения своего автомобиля.
В Японии приложение TGR пользуется большой популярностью среди автолюбителей, позволяя помимо прочего просматривать данные о вождении, скорости и расходе топлива, и даже делиться своим опытом с другими участниками.
Со слов специалистов, уязвимость была вызвана отсутствием надлежащего контроля доступа в API. Это позволяло любому, кто знаком со структурой API, получить доступ к данным о местонахождении автомобиля любого пользователя TGR, просто изменив идентификатор пользователя в запросе API.
Toyota признала проблему и устранила уязвимость в течение двух месяцев. В компании также заявили, что в ходе внутреннего расследования не обнаружили доказательств несанкционированного доступа или утечки данных.
Несмотря на быструю реакцию Toyota, тот факт, что уязвимость оставалась незащищенной в течение десятилетия, вызывает большую обеспокоенность и неуверенность в выводах расследования.
И для тех, кто даже после этого продолжает строить иллюзии относительно безопасности - еще одна поучительная история от Ferrari, чей официальный веб-сайт работал с уж очень старой версией платина W3 Total Cache.
И все бы ничего, если не CVE-2019-6715, которая позволила исследователям из Char49 получить файл wp-config.php с учетными данными базы данных WordPress в открытом виде.
autoevolution
Toyota Confirms Embarrassing Data Breach, 2 Million Vehicles Exposed for 10 Years
The Japanese carmaker has recently acknowledged a data breach that lasted for no more, no less than a decade; the info of about 2 million vehicles was exposed
Forwarded from Russian OSINT
👆"Я не получил никакого ответа от Telegram на протяжении месяца, несмотря на то, что было несколько разговоров с ними и даже открывался тикет через VINCE. Поскольку прошло три месяца, я решил придать огласке эту информацию", - сообщает ресерчер.
Please open Telegram to view this post
VIEW IN TELEGRAM
Китайские исследователи выдали отчет о нападках на материковый Китай наших знакомых кибервьетконговцев из вьетнамской APT Ocean Lotus (мы про нее писали когда-то давно).
Но отчет размером в 100 страниц на китайском мы не осилили, а переводчик сломался на "троянском коне камуфляжа навыков" и "полуобщественных уязвимостях", поэтому поняли только, что там что-то про фишинг и необходимость обновлять офисные пакеты.
Но отчет размером в 100 страниц на китайском мы не осилили, а переводчик сломался на "троянском коне камуфляжа навыков" и "полуобщественных уязвимостях", поэтому поняли только, что там что-то про фишинг и необходимость обновлять офисные пакеты.
Weixin Official Accounts Platform
第62篇:越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结
本期ABC_123分享一篇关于海莲花APT组织的邮件钓鱼手法的文章,使大家对于海莲花APT组织有一个直观的认识,对大家的日常红队工作也有启发,也可以加强大家对于邮件钓鱼攻击的防范意识。
Исследователь Габриэль Ландау из Elastic раскрыл детали и опубликовал PoC для PPLFault и GoldFault, двух новых атак с использованием уязвимости в Windows Protected Process Light (PPL).
Механизм PPL защищает антивирусные ПО и критически важные службы Windows от несанкционированного доступа. Этот особый статус реализуется Windows Code Integrity (CI), которая гарантирует запуск кода процессами PPL только со специальными подписями от Microsoft или доверенных поставщиков.
Новые атаки считаются преемниками PPLDump, уязвимость в основе которой была публично раскрыта в 2018 году и исправлена Microsoft только в прошлом году.
Дело в том, что Microsoft считает PPL мерой глубокой защиты, а не формальной границей безопасности, поэтому эти ошибки не подлежат исправлению, что делает его обход особенно интересным для злоумышленников.
Недавно обнаруженные PPLFault и GoldFault могут использоваться для сброса данных процесса PPL и получения прав администратора в системе Windows соответственно.
Ландау сообщил об атаках в Microsoft еще прошлом году, однако разработчик отказалась исправлять их.
После чего исследователь решил поделиться результатами, которые поставщики решений безопасности могут использовать для смягчения последствий этого типа атак.
Кроме того, Ландау представил два инструмента.
Первый — это дампер процессов PPL в режиме пользователя, похожий на PPLdump. Второй инструмент демонстрирует, как эта уязвимость эффективно предоставляет полный доступ для чтения и записи к физической памяти.
Механизм PPL защищает антивирусные ПО и критически важные службы Windows от несанкционированного доступа. Этот особый статус реализуется Windows Code Integrity (CI), которая гарантирует запуск кода процессами PPL только со специальными подписями от Microsoft или доверенных поставщиков.
Новые атаки считаются преемниками PPLDump, уязвимость в основе которой была публично раскрыта в 2018 году и исправлена Microsoft только в прошлом году.
Дело в том, что Microsoft считает PPL мерой глубокой защиты, а не формальной границей безопасности, поэтому эти ошибки не подлежат исправлению, что делает его обход особенно интересным для злоумышленников.
Недавно обнаруженные PPLFault и GoldFault могут использоваться для сброса данных процесса PPL и получения прав администратора в системе Windows соответственно.
Ландау сообщил об атаках в Microsoft еще прошлом году, однако разработчик отказалась исправлять их.
После чего исследователь решил поделиться результатами, которые поставщики решений безопасности могут использовать для смягчения последствий этого типа атак.
Кроме того, Ландау представил два инструмента.
Первый — это дампер процессов PPL в режиме пользователя, похожий на PPLdump. Второй инструмент демонстрирует, как эта уязвимость эффективно предоставляет полный доступ для чтения и записи к физической памяти.
Blackhat
Black Hat Asia 2023
Уязвимости, связанные с промышленными устройствами, продолжают вызывать серьезную тревогу в сфере ИБ, а недавние открытия израильской OTORIO демонстрируют новые угрозы для промышленных систем в различных отраслях экономики.
В этот раз выводы специалистов связаны с облачными платформами трех поставщиков промышленных сотовых маршрутизаторов: Sierra Wireless, Teltonika Networks и InHand Networks.
Уязвимости были раскрыты на Black Hat Asia 2023, где OTORIO продемонстрировали, как злоумышленники могут использовать эти недостатки для RCE и получения полного контроля над сотнями тысяч устройств и сетей OT.
Выявленные баги, коих в общей сложности 11 штук, были обнаружены в облачных решениях, предлагаемых затронутыми поставщиками для удаленного управления и эксплуатации устройств.
В частности, слабые механизмы регистрации активов для Sierra Wireless могут позволить злоумышленникам сканировать незарегистрированные устройства, подключенные к облаку, получить их серийные номера, регистрировать их в учетной записи, находящейся под контролем и выполнять произвольные команды.
CVE-2023-22601, CVE-2023-22600 и CVE-2023-22598 в InHand Networks реализуют RCE с правами root, выполнение команд перезагрузки и обновления прошивки.
В Teltonika Networks злоумышленники могут злоупотреблять внешними API и интерфейсами чтобы раскрыть конфиденциальную информацию об устройстве и учетных данных подключенных устройств, а также обеспечить RCE.
Шесть недостатков, влияющих на Teltonika Networks, были обнаружены после совместного исследования с Claroty и представляют значительный риск в цепочке поставок.
Компромисс одного поставщика может быть бэкдором для доступа к нескольким сетям OT одновременно, что в последствии позволяет злоумышленникам получать доступ к нескольким средам одновременно.
В этот раз выводы специалистов связаны с облачными платформами трех поставщиков промышленных сотовых маршрутизаторов: Sierra Wireless, Teltonika Networks и InHand Networks.
Уязвимости были раскрыты на Black Hat Asia 2023, где OTORIO продемонстрировали, как злоумышленники могут использовать эти недостатки для RCE и получения полного контроля над сотнями тысяч устройств и сетей OT.
Выявленные баги, коих в общей сложности 11 штук, были обнаружены в облачных решениях, предлагаемых затронутыми поставщиками для удаленного управления и эксплуатации устройств.
В частности, слабые механизмы регистрации активов для Sierra Wireless могут позволить злоумышленникам сканировать незарегистрированные устройства, подключенные к облаку, получить их серийные номера, регистрировать их в учетной записи, находящейся под контролем и выполнять произвольные команды.
CVE-2023-22601, CVE-2023-22600 и CVE-2023-22598 в InHand Networks реализуют RCE с правами root, выполнение команд перезагрузки и обновления прошивки.
В Teltonika Networks злоумышленники могут злоупотреблять внешними API и интерфейсами чтобы раскрыть конфиденциальную информацию об устройстве и учетных данных подключенных устройств, а также обеспечить RCE.
Шесть недостатков, влияющих на Teltonika Networks, были обнаружены после совместного исследования с Claroty и представляют значительный риск в цепочке поставок.
Компромисс одного поставщика может быть бэкдором для доступа к нескольким сетям OT одновременно, что в последствии позволяет злоумышленникам получать доступ к нескольким средам одновременно.
Otorio
Vulnerabilities Jeopardize Users of Major Industrial Cellular Routers Cloud Management Platforms
OTORIO research unveils vulnerabilities exposing hundreds of thousands of devices and OT networks, raising questions about connecting OT to the cloud.
В своем новом отчете Symantec сообщает о новой APT, получившей название Lancefly, которая уже более 5 лет реализует узкотаргетированные атаки с использованием бэкдора Merdoor на организации в госсекторе, авиации и телекоме Южной и Юго-Восточной Азии.
Как полагают исследователи, Lancefly сосредоточена на кибершпионаже, оставаясь в сетях своих жертв в течение длительных периодов времени.
Задетектить пользовательское вредоносное ПО Lancefly ресерчерам удалось еще в некоторых мероприятиях в 2020 и 2021 годах, а также в последней наблюдаемой кампании, которая продолжалась до первого квартала 2023 года.
Symantec не обнаружила исходного вектора заражения Lancefly. Но найденные артефакты указывают на использование фишинговых писем, подбор учетных данных SSH и эксплуатацию уязвимостей общедоступных серверов для обеспечения доступа на протяжении многих лет.
Как только злоумышленники устанавливают присутствие в системе цели, они внедряют бэкдор Merdoor с помощью боковой загрузки DLL в «perfhost.exe» или «svchost.exe», что помогают вредоносному ПО избегать обнаружения, а злоумышленникам закрепиться в системе жертвы.
Затем Merdoor устанавливает связь с C2 через HTTP, HTTPS, DNS, UDP, TCP и ожидает инструкций.
Бэкдор также может фиксировать нажатия клавиш для перехвата потенциально ценной информации, включая имена пользователей, пароли или другие секреты.
Также было замечено, что Lancefly использует функцию «Atexec» Impacket для немедленного выполнения запланированной задачи на удаленной машине через SMB.
Злоумышленники осуществляют кражу учетных данных, выгружая память процесса LSASS или похищая кусты реестра SAM и SYSTEM. Украденные файлы Lancefly шифрует с помощью WinRAR, а затем извлекает данные, скорее всего, с помощью Merdoor.
В атаках Lancefly также наблюдалось использование более новой, легкой и многофункциональной версии руткита ZXShell.
Загрузчик руткита «FormDII.dll» экспортирует функции, которые можно использовать для сброса полезной нагрузки, соответствующей архитектуре системы хоста, чтения и выполнения шелл-кода из файла, завершения процессов и др.
Руткит также использует утилиту установки и обновления, которая имеет общий код с Merdoor, что указывает на то, что Lancefly использует общую кодовую базу для своих инструментов.
Функциональность установки ZXShell поддерживает создание, перехват и запуск службы, модификацию реестра и сжатие копии собственного исполняемого файла для уклонения и устойчивости.
ZXShell косвенно связывает Lancefly с китайскими APT-группами, которые когда-то использовали этот инструмент в атаках, включая APT17 и APT41.
Но следует учитывать, что исходный код руткита был общедоступен в течение нескольких лет.
Имя Lancefly «formdll.dll» для загрузчика руткитов ранее упоминалось в кампании APT27, также известной как Budworm.
Однако неясно, является ли это преднамеренным выбором, направленным на то, чтобы ввести аналитиков в заблуждение и усложнить атрибуцию.
Более всего на китайское происхождение Lancefly указывает применение группой PlugX и ShadowPad RAT, которые традиционно используются несколькими китайскими APT-группами.
Как полагают исследователи, Lancefly сосредоточена на кибершпионаже, оставаясь в сетях своих жертв в течение длительных периодов времени.
Задетектить пользовательское вредоносное ПО Lancefly ресерчерам удалось еще в некоторых мероприятиях в 2020 и 2021 годах, а также в последней наблюдаемой кампании, которая продолжалась до первого квартала 2023 года.
Symantec не обнаружила исходного вектора заражения Lancefly. Но найденные артефакты указывают на использование фишинговых писем, подбор учетных данных SSH и эксплуатацию уязвимостей общедоступных серверов для обеспечения доступа на протяжении многих лет.
Как только злоумышленники устанавливают присутствие в системе цели, они внедряют бэкдор Merdoor с помощью боковой загрузки DLL в «perfhost.exe» или «svchost.exe», что помогают вредоносному ПО избегать обнаружения, а злоумышленникам закрепиться в системе жертвы.
Затем Merdoor устанавливает связь с C2 через HTTP, HTTPS, DNS, UDP, TCP и ожидает инструкций.
Бэкдор также может фиксировать нажатия клавиш для перехвата потенциально ценной информации, включая имена пользователей, пароли или другие секреты.
Также было замечено, что Lancefly использует функцию «Atexec» Impacket для немедленного выполнения запланированной задачи на удаленной машине через SMB.
Злоумышленники осуществляют кражу учетных данных, выгружая память процесса LSASS или похищая кусты реестра SAM и SYSTEM. Украденные файлы Lancefly шифрует с помощью WinRAR, а затем извлекает данные, скорее всего, с помощью Merdoor.
В атаках Lancefly также наблюдалось использование более новой, легкой и многофункциональной версии руткита ZXShell.
Загрузчик руткита «FormDII.dll» экспортирует функции, которые можно использовать для сброса полезной нагрузки, соответствующей архитектуре системы хоста, чтения и выполнения шелл-кода из файла, завершения процессов и др.
Руткит также использует утилиту установки и обновления, которая имеет общий код с Merdoor, что указывает на то, что Lancefly использует общую кодовую базу для своих инструментов.
Функциональность установки ZXShell поддерживает создание, перехват и запуск службы, модификацию реестра и сжатие копии собственного исполняемого файла для уклонения и устойчивости.
ZXShell косвенно связывает Lancefly с китайскими APT-группами, которые когда-то использовали этот инструмент в атаках, включая APT17 и APT41.
Но следует учитывать, что исходный код руткита был общедоступен в течение нескольких лет.
Имя Lancefly «formdll.dll» для загрузчика руткитов ранее упоминалось в кампании APT27, также известной как Budworm.
Однако неясно, является ли это преднамеренным выбором, направленным на то, чтобы ввести аналитиков в заблуждение и усложнить атрибуцию.
Более всего на китайское происхождение Lancefly указывает применение группой PlugX и ShadowPad RAT, которые традиционно используются несколькими китайскими APT-группами.
Security
Lancefly: Group Uses Custom Backdoor to Target Orgs in Government, Aviation, Other Sectors
Merdoor backdoor is low prevalence and used in highly targeted attacks.
Исследователи Check Point сообщают о новой волне атак с использованием специального имплантата прошивки, разработанного для маршрутизаторов TP-Link.
Израильская компания отслеживает группу в качестве Camaro Dragon, также известную как BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich.
Эта деятельность в значительной степени пересекается в инфраструктуре с деятельностью, публично раскрытой Avast и ESET, связывая ее с Mustang Panda.
Обнаружить малварь удалось в ходе расследования начавшейся с января 2023 года кампании, нацеленной на европейские внешнеполитические ведомства.
Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор Horse Shell, который позволяет злоумышленникам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового проникновения в скомпрометированных сетях.
Благодаря своей конструкции, не зависящей от прошивки, компоненты имплантата могут быть интегрированы в различные прошивки от разных поставщиков.
Horse Shell на основе C++ предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами.
Измененная прошивка также скрывает от пользователя возможность прошить другой образ через веб-интерфейс роутера.
Бэкдор, как полагают, нацелен на произвольные устройства в жилых и домашних сетях, предполагая, что скомпрометированные маршрутизаторы будут объединяться в ячеистую сеть с целью создания цепочки узлов.
При ретрансляции связи между зараженными маршрутизаторами с помощью туннелей SOCKS идея состоит в том, чтобы ввести дополнительный уровень анонимности и скрыть конечный сервер. Иными словами, эти методы скрывают источник и место назначения трафика аналогично TOR.
Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2, направляя трафик через другой узел в цепочке.
При этом точный метод, используемый для развертывания поддельных образов прошивки на зараженных маршрутизаторах, в настоящее время неизвестен.
Учитывая это, можно полагать, что первоначальный доступ мог быть получен с большой долей вероятности благодаря 0-day в TP-Link.
Израильская компания отслеживает группу в качестве Camaro Dragon, также известную как BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich.
Эта деятельность в значительной степени пересекается в инфраструктуре с деятельностью, публично раскрытой Avast и ESET, связывая ее с Mustang Panda.
Обнаружить малварь удалось в ходе расследования начавшейся с января 2023 года кампании, нацеленной на европейские внешнеполитические ведомства.
Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор Horse Shell, который позволяет злоумышленникам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового проникновения в скомпрометированных сетях.
Благодаря своей конструкции, не зависящей от прошивки, компоненты имплантата могут быть интегрированы в различные прошивки от разных поставщиков.
Horse Shell на основе C++ предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами.
Измененная прошивка также скрывает от пользователя возможность прошить другой образ через веб-интерфейс роутера.
Бэкдор, как полагают, нацелен на произвольные устройства в жилых и домашних сетях, предполагая, что скомпрометированные маршрутизаторы будут объединяться в ячеистую сеть с целью создания цепочки узлов.
При ретрансляции связи между зараженными маршрутизаторами с помощью туннелей SOCKS идея состоит в том, чтобы ввести дополнительный уровень анонимности и скрыть конечный сервер. Иными словами, эти методы скрывают источник и место назначения трафика аналогично TOR.
Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2, направляя трафик через другой узел в цепочке.
При этом точный метод, используемый для развертывания поддельных образов прошивки на зараженных маршрутизаторах, в настоящее время неизвестен.
Учитывая это, можно полагать, что первоначальный доступ мог быть получен с большой долей вероятности благодаря 0-day в TP-Link.
Check Point Research
The Dragon Who Sold His Camaro: Analyzing Custom Router Implant - Check Point Research
Check Point Research (CPR) exposes a malicious firmware implant for TP-Link routers allowed attackers to gain full control of infected devices and access compromised networks while evading detection. CPR attributes the attacks to a Chinese state-sponsored…
Злоумышленник, известный как SideWinder (ака APT-C-17, APT-Q-39, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger и T-APT4), нацелен на государственные предприятия Пакистана в рамках кампании, которая стартовала в конце ноября 2022 года.
SideWinder находится в поле зрения исследователей как минимум с 2012 года, и, по мнению исследователей, сосредоточена на организациях в Пакистане, Афганистане, Бутане, Китае, Мьянме, Непале и Шри-Ланке.
Но, как заметили канадские специалисты по кибербезопасности, в начале марта 2023 года Турция также попала под прицел APT.
Обычно последовательность атак, реализуемая APT, предполагает тщательно разработанные приманки по электронной почте и процедуры загрузки фасетов DLL, чтобы незаметно использовать вредоносное ПО для получения удаленного доступа к целевым системам.
Методы достаточно изощрённые, как и цепочки атак, о которой сообщили исследователи Group-IB, обнаружившие ранее недокументированную инфраструктуру, используемую для атак на организации в Пакистане и Китае.
Кампания также отличается тем, что злоумышленники стали использовать технику серверного полиморфизма в качестве способа обхода от обнаружения средствами защиты.
Как сообщается в совместном отчете Group-IB и Bridewell, она включает в себя сеть из 55 доменов и IP-адресов, используемых субъектом угрозы.
Идентифицированные фишинговые домены имитируют различные организации в новостном, правительственном, телекоммуникационном и финансовом секторах Пакистана, Китая и Индии.
Причем отличаются использованием одинаковых значений в записях WHOIS и схожей регистрационной информацией.
На некоторых из этих доменов размещены документы-приманки на правительственную тематику, предназначенные для загрузки неизвестной ранее полезной нагрузки в виде файлов Microsoft Word, файлов LNK для запуска HTML-приложения (HTA) и вредоносных APK для Android, имитирующих приложения Ludo Game и Secure VPN.
Как и многие другие APT, SideWinder полагается на целевой фишинг в качестве начального вектора, поэтому для организаций крайне важно развертывать решения для защиты деловой электронной почты, а для упреждающей защиты весьма кстати представленные в отчете сетевые индикаторы.
SideWinder находится в поле зрения исследователей как минимум с 2012 года, и, по мнению исследователей, сосредоточена на организациях в Пакистане, Афганистане, Бутане, Китае, Мьянме, Непале и Шри-Ланке.
Но, как заметили канадские специалисты по кибербезопасности, в начале марта 2023 года Турция также попала под прицел APT.
Обычно последовательность атак, реализуемая APT, предполагает тщательно разработанные приманки по электронной почте и процедуры загрузки фасетов DLL, чтобы незаметно использовать вредоносное ПО для получения удаленного доступа к целевым системам.
Методы достаточно изощрённые, как и цепочки атак, о которой сообщили исследователи Group-IB, обнаружившие ранее недокументированную инфраструктуру, используемую для атак на организации в Пакистане и Китае.
Кампания также отличается тем, что злоумышленники стали использовать технику серверного полиморфизма в качестве способа обхода от обнаружения средствами защиты.
Как сообщается в совместном отчете Group-IB и Bridewell, она включает в себя сеть из 55 доменов и IP-адресов, используемых субъектом угрозы.
Идентифицированные фишинговые домены имитируют различные организации в новостном, правительственном, телекоммуникационном и финансовом секторах Пакистана, Китая и Индии.
Причем отличаются использованием одинаковых значений в записях WHOIS и схожей регистрационной информацией.
На некоторых из этих доменов размещены документы-приманки на правительственную тематику, предназначенные для загрузки неизвестной ранее полезной нагрузки в виде файлов Microsoft Word, файлов LNK для запуска HTML-приложения (HTA) и вредоносных APK для Android, имитирующих приложения Ludo Game и Secure VPN.
Как и многие другие APT, SideWinder полагается на целевой фишинг в качестве начального вектора, поэтому для организаций крайне важно развертывать решения для защиты деловой электронной почты, а для упреждающей защиты весьма кстати представленные в отчете сетевые индикаторы.
Group-IB
The distinctive rattle of APT SideWinder
Bridewell and Group-IB Threat Intelligence team expose SideWinder's (the APT group) unknown infrastructure
Наши друзья, сообщество ИБ специалистов проводят розыгрыш билетов на Positive Hack Days 12, переходите на пост - https://xn--r1a.website/RuSecJobs/2099, принимайте участие и выигрывайте билеты!
На их ресурсах вы найдете вакансии, которых нет в паблике, сможете оставить свое резюме, а также узнать инсайдерские отзывы и новости о компаниях.
На их ресурсах вы найдете вакансии, которых нет в паблике, сможете оставить свое резюме, а также узнать инсайдерские отзывы и новости о компаниях.
Telegram
RuSecJobs Channel
Привет, друзья! У нас для вас отличные новости - мы рады объявить о розыгрыше 3 билетов на мероприятие Positive Hack Days 12!
Условия участия просты:
1. Оставьте один комментарий под этим постом.
2. Будьте подписаны на канал https://xn--r1a.website/RuSecJobs и сообщество…
Условия участия просты:
1. Оставьте один комментарий под этим постом.
2. Будьте подписаны на канал https://xn--r1a.website/RuSecJobs и сообщество…
Помните винрарный анекдот про Кая, который никак не мог составить слово "ВЕЧНОСТЬ" из букв Ж, О, П и А. Оказывается, аналогичная шутка есть и про Интернет вещей - the "S" in "IoT" stands for Security.
А теперь к новостям.
В популярных смарт-розетках Wemo Mini Smart Plug второго поколения от Belkin обнаружена уязвимость переполнения буфера, которая может быть использована злоумышленником для удаленного ввода произвольных команд.
Wemo Mini Smart Plug V2 (F7C063) обеспечивает удобное дистанционное управление, позволяющее пользователям включать и выключать электронные устройства с помощью сопутствующего приложения, установленного на смартфоне или планшете.
Проблема, получившая идентификатор CVE-2023-27217, была найдена и раскрыта 9 января 2023 года израильской Sternum, специализирующейся на безопасности IoT, исследователи которой в результате реинжиниринга устройства смогли получить доступ к прошивке.
Суть проблемы заключается в функции, позволяющей изменять назначенное имя по умолчанию — «Wemo mini 6E9». Длина имени ограничена 30 символами или меньше, но это правило применяется только самим приложением.
В результате обход ограничения символов с помощью модуля Python с именем pyWeMo может привести к состоянию переполнения буфера, которое затем может быть использовано для сбоя устройства или выполнения вредоносных команд.
Belkin в ответ на отчет ресерчеров заявила, что не планирует устранять недостаток из-за того, что устройство подходит к концу срока службы (EoL) и заменено более новыми моделями.
Учитывая, что эта уязвимость может быть запущена через облачный интерфейс (то есть без прямого подключения к устройству), пользователям Wemo Mini Smart Plug V2 рекомендуется избегать прямого доступа к Интернету и обеспечивать выполнение мер сегментации в конфиденциальных сетях.
А теперь к новостям.
В популярных смарт-розетках Wemo Mini Smart Plug второго поколения от Belkin обнаружена уязвимость переполнения буфера, которая может быть использована злоумышленником для удаленного ввода произвольных команд.
Wemo Mini Smart Plug V2 (F7C063) обеспечивает удобное дистанционное управление, позволяющее пользователям включать и выключать электронные устройства с помощью сопутствующего приложения, установленного на смартфоне или планшете.
Проблема, получившая идентификатор CVE-2023-27217, была найдена и раскрыта 9 января 2023 года израильской Sternum, специализирующейся на безопасности IoT, исследователи которой в результате реинжиниринга устройства смогли получить доступ к прошивке.
Суть проблемы заключается в функции, позволяющей изменять назначенное имя по умолчанию — «Wemo mini 6E9». Длина имени ограничена 30 символами или меньше, но это правило применяется только самим приложением.
В результате обход ограничения символов с помощью модуля Python с именем pyWeMo может привести к состоянию переполнения буфера, которое затем может быть использовано для сбоя устройства или выполнения вредоносных команд.
Belkin в ответ на отчет ресерчеров заявила, что не планирует устранять недостаток из-за того, что устройство подходит к концу срока службы (EoL) и заменено более новыми моделями.
Учитывая, что эта уязвимость может быть запущена через облачный интерфейс (то есть без прямого подключения к устройству), пользователям Wemo Mini Smart Plug V2 рекомендуется избегать прямого доступа к Интернету и обеспечивать выполнение мер сегментации в конфиденциальных сетях.
Sternum IoT
‘FriendlyName’ Buffer Overflow Vulnerability in Wemo Smart Plug V2 | Sternum IoT
Manufacturer chooses not to patch the Sternum-identified buffer overflow vulnerability (CVE-2023-27217) in the Wemo Mini Smart Plug V2.
Лаборатория Касперского выпустила отчет по киберинцидентам за 2022 год. Что можем по этому поводу сказать?
Во-первых, HR ЛК необходимо срочно ввести в программу повышения квалификации сотрудников такой предмет как арифметика. Потому что при сложении 5 четных чисел у них получается число нечетное, ага.
Во-вторых. Почти в 43% инцидентов, отработанных Касперскими, первичным вектором атаки была эксплуатация уязвимостей в публично доступных приложениях. А из них - в 67% случаев использовались 10 наиболее популярных уязвимостей, из которых только 1 (sic!) обнаружена в 2022 году. Ну вы понели (с).
Таким образом, применив хитрую науку арифметику, можно сделать вывод, что как минимум в 30% киберинцидентов (а скорее всего больше) причиной проникновения стали не низкая зарплата CISO и не недостаточный штат SOC, а отсутствие внятной политики обновления используемого ПО либо ее невыполнение.
А в-третьих, компот. Потому что нам пишут, что мы делаем слишком длинные посты.
Во-первых, HR ЛК необходимо срочно ввести в программу повышения квалификации сотрудников такой предмет как арифметика. Потому что при сложении 5 четных чисел у них получается число нечетное, ага.
Во-вторых. Почти в 43% инцидентов, отработанных Касперскими, первичным вектором атаки была эксплуатация уязвимостей в публично доступных приложениях. А из них - в 67% случаев использовались 10 наиболее популярных уязвимостей, из которых только 1 (sic!) обнаружена в 2022 году. Ну вы понели (с).
Таким образом, применив хитрую науку арифметику, можно сделать вывод, что как минимум в 30% киберинцидентов (а скорее всего больше) причиной проникновения стали не низкая зарплата CISO и не недостаточный штат SOC, а отсутствие внятной политики обновления используемого ПО либо ее невыполнение.
А в-третьих, компот. Потому что нам пишут, что мы делаем слишком длинные посты.
securelist.ru
Отчет по реагированию на инциденты за 2022 год
Отчет сервиса «Лаборатории Касперского» по реагированию на инциденты информационной безопасности за 2022 год: статистика по реальным инцидентам, основные тренды и выводы, рекомендации экспертов.
Ресерчеры BIZONE расчехлили группу украинских хактивистов Leak Wolf, которая провела уже более 40 резонансных атак на российские компании, в том числе в сферах розничной торговли, образования и IT, действуя «тише воды, ниже травы».
Как отмечают исследователи, за прошедший год ландшафт угроз, связанных с утечками данных, претерпел значительные в силу известных обстоятельств: на первый план вышли хактивисты.
У них нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае с АРТ.
Leak Wolf — один из характерных примеров этого типа злоумышленников.
Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе ТГ-канале были размещены данные нескольких жертв.
Характерная черта Leak Wolf заключается в том, что преступники в своих кампаниях полагались, прежде всего, на человеческие ошибки, практически не применяя в атаках вредоносное ПО.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки.
По данным управления киберразведки BIZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков.
Подобная тактика позволяла злоумышленникам оставаться незамеченными вплоть до слива украденных данных на ТГ-канале.
Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN.
Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в ТГ-канале.
Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз.
Познакомиться с TTPs Leak Wolf можно в исследовании.
Кстати, прочитав в отчете про компрометацию IT-провайдеров, как один первоначальный векторов атаки, вспомнили мы почему-то стихотворение, присланное нам анонимом. И дело тут совершенно не в Бизонах...
Как отмечают исследователи, за прошедший год ландшафт угроз, связанных с утечками данных, претерпел значительные в силу известных обстоятельств: на первый план вышли хактивисты.
У них нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае с АРТ.
Leak Wolf — один из характерных примеров этого типа злоумышленников.
Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе ТГ-канале были размещены данные нескольких жертв.
Характерная черта Leak Wolf заключается в том, что преступники в своих кампаниях полагались, прежде всего, на человеческие ошибки, практически не применяя в атаках вредоносное ПО.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки.
По данным управления киберразведки BIZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков.
Подобная тактика позволяла злоумышленникам оставаться незамеченными вплоть до слива украденных данных на ТГ-канале.
Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN.
Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в ТГ-канале.
Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз.
Познакомиться с TTPs Leak Wolf можно в исследовании.
Кстати, прочитав в отчете про компрометацию IT-провайдеров, как один первоначальный векторов атаки, вспомнили мы почему-то стихотворение, присланное нам анонимом. И дело тут совершенно не в Бизонах...
BI.ZONE
BI.ZONE выяснила подробности хищения данных у 40 российских компаний
Группировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм-канале. При этом хактивисты не применяют вредоносное ПО. Они маскируются под реальных сотрудников организаций и ускользают от служб кибербезопасности