Anonymous Italy провели серию DDoS-атак на ресурсы японских организации в сфере ядерной энергетики в знак различных ядерно-энергетических организаций в Японии.

Целями стали Японское агентство по атомной энергии, Japan Atomic Power и Японское общество по атомной энергии.

Помимо этого под удар попали и различные связанные с Фукусимой сайты, включая TEPCO, Министерство экономики, торговли и промышленности и Либерально-демократическую партию.

Anonymous опубликовали список целей для атак после того, как японское правительство официально приняло решение о сбросе очищенной воды с АЭС.

По мнению Anonymous, политика японского правительства в отношении сброса очищенной воды непрозрачна, поскольку граждане не могут участвовать в процессе принятия решений, полагая положить конец «бессмысленным действиям по превращению моря в свалку ради экономической выгоды».

Местное население и жители соседних стран в определенной части поддерживает действия хакеров и выступают против сброса воды, а Китай и вовсе намерен ввести тотальное радиационное тестирование японских морепродуктов.

Популярный сервис для анонимного обмена файлами AnonFiles канул в лету, а вместе с ним и все нажитое непосильным трудом от ransomware 8Base.

В принципе, сервисом частенько злоупотребляли для всякого рода темных делишек, что в конечном итоге привело к его закрытию.

В частности, злоумышленники 8Base использовали AnonFiles как платформу для распространения различных форм украденных данных, а много кто промышлял и распространением вредоносного ПО.

Теперь админы AnonFiles активно ищут кого-то, кто купит их домен, но во время этого перехода прекращение работы приведет к тому, что многие файлы станут недоступными.

Это повлияет как на исследователей в области кибербезопасности, так и на злоумышленников, которые использовали платформу.

Ушли одни, придут другие и закрытие таких платформ неизбежно создает пространство для появления новых на их месте, а с учетом прецендента юзерам подобных сервисов придется думать о бэкапах.

͏Минутка чтения на канале SecAtor

Согласно обновленным данным британских ученых самые длинные сериалы в мире - это Путеводный свет, Главный госпиталь и Список критических 0-day в продуктах компании Ivanti, которые используются в дикой природе.

В последнем как раз следующая серия вышла!

Новая 0-day отслеживается как CVE-2023-38035 с CVSS 9,8 и была обнаружена исследователями из Mnemonic в Ivanti Sentry (ранее MobileIron Sentry).

Она позволяет неаутентифицированным злоумышленникам получить доступ к конфиденциальным API конфигурации административного портала MobileIron Configuration Service (MICS) через порт 8443.

Проблема обусловлена тем, что используется недостаточно ограничительная конфигурация Apache HTTPD.

При этом она не влияет на другие продукты или решения, такие как Ivanti EPMM, MobileIron Cloud или Ivanti Neurons для MDM.

Успешная эксплуатация позволяет изменять конфигурацию, запускать системные команды или записывать файлы в системы, работающие под управлением Ivanti Sentry версии 9.18 и более ранних.

На данный момент известно лишь об ограниченном числе клиентов, затронутых CVE-2023-38035.

Несмотря на это, Ivanti рекомендует ограничить доступ к MICS из Интернет, сначала применить срочное обновление до поддерживаемой версии, а затем разработанный поставщиком RPM-скрипт для их версии.

Национальное избирательное агентство Эквадора подтвердила иницдент, связанный с кибератакой на систему онлайн-голосования.

Проживающие за границей граждане не смогли принять участие в заочном голосовании, которое проходила в минувшее воскресенье.

По итогу около 120 000 эквадорцев, проживающих за пределами страны, прошедшие регистрацию для голосования, не смогли получить доступ к системе до самого закрытия избирательных участков.

В результате в день выборов избиратели заполонили социальные сети с критическими постами и негодованием по поводу невозможности проголосовать.

Помимо гневных публикаций эквадорцы в Мадриде вышли также на демонстрации.

Власти признали проблемы и объяснили их происками хакеров, действовавших из семи стран, однако подробности не раскрывали и заверили о полном учете всех подданных голосов с телематическаой платформы.

В интервью CNN Диана Атамайнт, президент Национального избирательного совета, отметила, что особенно пострадали избиратели в Европе и пообещала принять все необходимые меры по ситуации, отказавших от каких-либо других комментариев.

По состоянию на полдень понедельника было подсчитано 80% голосов, кандидат от левых Луиза Гонсалес лидировала, во втором туре в октябре ей предстоит соперничать с Даниэлем Нобоа, который следует за ней по числу голосов.

Вообще же выборы на Эквадоре достаточно суровые и проходят в условиях объявления чрезвычайного положения.

Если доступ избирателей по факту заблокировали посредством DDoS-атаки, то ранее одного из кандидатов в президенты Фернандо Вильявисенсио ввели в состояние DoS тремя пулями в голову во время предвыборного мероприятия в Кито.

Малварь XLoader продолжает эволюционировать и представляет серьезную угрозу для пользователей macOS.

Теперь новый вариант вредоносного ПО маскируется под приложение для повышения производительности офиса под названием OfficeNote.

Само приложение представляет собой стандартный дисковый образ .dmg и подписан неким разработчиком под именем MAIT JAKHU.

XLoader является граббером и кейлоггером, который распространяется как услуга (MaaS).

Первый вариант вредоносного ПО для macOS появился в июле 2021 года и распространялся в виде Java-приложения в форме скомпилированного JAR-файла.

Но поскольку в Apple прекратили поставку JRE, то вредонос не мог выполняться на macOS из коробки, в то время как свежеиспеченный XLoader обходит это ограничение, переключаясь на более низкие языки программирования, такие как C и Objective C.

Подпись образа была сделана 17 июля 2023 года и Apple уже отозвала ее.

Малварь достаточно хитрая и после установки выдает сообщение об ошибке: "нельзя открыть, поскольку оригинальный элемент не может быть найден", а на самом деле, приложение в фоновом режиме устанавливает Launch Agent.

XLoader предназначен для сбора данных буфера обмена, а также информации, хранящейся в каталогах популярных веб-браузеров.

Специалисты SentinelOne обнаружили несколько различных артефактов вредоносного ПО на VirusTotal и заявили о широкомасштабной кампании.

Оно и не удивительно, поскольку на теневых площадках вредонос можно взять в аренду всего за 199 баксов в месяц, а версия XLoader для Windows вовсе за 59 долларов.

Учитывая, что последняя версия, маскируется под приложение для повышения производительности в офисе, то вероятно целями злоумышленников в большинстве своем являются пользователи рабочей среды.

В новой серии Санта-Барбары инцидента Ivanti подтвердились предположения SecAtora о том, что взломом 12 правительственных учреждений Норвегии атака с использованием 0-day в EPMM не ограничится.

Как стало известно, хакеры выкрали личные данные более чем 2800 полицейских из Берна в Швейцарии.

Взлом произошел в середине июля и, скорее всего, был осуществлен благодаря тому самому 0-day на сервере Ivanti EPMM, который также использовался в норвежских инцидентах.

Несмотря даже на то, что местный NCSC проинформировал 21 июля полицию кантона Берн об уязвимости в MobileIron, которую оперативно устранили, данные на тот момент уже были скомпрометированы.

Как сообщила пресс-секретарь кантональной полиции Берна Флюрина Шенк в интервью швейцарскому SRF, украденная конфиденциальная информация включала полные установочные данные и номера телефонов полицейских.

При этом участвующим в расследовании полицейским Берна до сих пор неизвестно, кто стоял за кражей. До настоящего времени нет информации о том, были ли эти данные были опубликованы в Интернете.

Если у норвежцев утечка вызвала большой резонанс, то в Швейцарии уже особо по этому поводу не переживают, ведь за последнее время их конкретно утюжили хакеры.

В июне после успешных атак в даркнете была опубликована база данных Федерального управления полиции (Fedpol) и Федерального управления таможенной и пограничной безопасности.

Атакам также подверглись швейцарские федеральные железные дороги, СМИ, оборонный подрядчик RUAG, Международный комитет Красного Креста (МККК) и ряд сайтов федеральной администрации.

После обмена любезностями к перепалке между США и КНР по поводу обвинений в тайных кибероперациях и кибершпионаже подключилась Южная Корея.

Национальная разведывательная служба Южной Кореи (NIS) заявила об обнаружении вредоносного кода, встроенного в микросхемы приборов для измерения погоды, произведенных в Китае и используемых в работе Корейской метеорологической службы.

Представитель метеорологической службы сообщил национальной телекомпании Южной Кореи KBSKBS, что вредоносный код был обнаружен четыре месяца назад в устройстве наблюдения китайского производства, похожем на AWS.

На деле, как поясняют южнокорейцы, это шпионский чип с вредоносным кодом, способный осуществлять контроль аудиосигналов, фиксацию телефонных разговоров или взлом.

Как отмечают в NIS, в прошлом корейцам приходилось уже иметь дело с китайскими бэкдорами. Однако последний инцидент стал первым случаем обнаружения аппаратной закладки в китайском оборудовании.

Новая находка стала поводом для масштабной проверки более 10 000 единиц оборудования из КНР, используемого в госучреждениях. В NIS заявили, что планируют опубликовать результаты расследования чуть позже в этом году.

Стоит отметить, что шпионская истерия в Южной Корее начала раздуваться еще раньше, когда месяцем ранее NIS выдала аналогичные сообщения по итогам конференции по инфобезу, которым тогда не придали должного внимания.

Безусловно, такая настойчивость со стороны Кореи в продвижении инфоповода о тотальном шпионаже со стороны КНР имеет корни далеко за пределами полуострова.

А учитывая, что обстоятельства обнаружения аппаратной закладки не раскрываются, следует полагать, что информацию им по всей видимости подкинули партнеры.

В новой кампании с использованием вредоносного ПО HiatusRAT злоумышленники атаковали сервер, принадлежащий Министерству обороны США.

Как считают в Black Lotus Labs компании Lumen, атака носила разведывательный характер, ведь ранее воздействия были направлены на организации из Латинской Америки и Европы и использовались для компрометации корпоративных маршрутизаторов DrayTek Vigor VPN.

Кроме того, эксперты отметили, что разведывательные усилия кампании внезапно изменились в период с середины июня по август, поскольку была атакована система военных закупок США, а также некоторые организации, базирующиеся в Тайвани.

Образцы HiatusRAT были перекомпилированы для различных архитектур и размещены на новых VPS причем один из этих узлов использовался в операции передачи данных с сервером военного ведомства США, предназначенным для предложений и подачи заявок на контракты.

Вероятно, злоумышленники нацелены общедоступную информацию о военных требованиях или просто пытаются найти информацию об организациях, связанных с оборонно-промышленной базой США текущих и будущих военных контрактов.

Эта кампания следует за ранее проведенной серии атак, в результате которых более сотни предприятий, в основном из Европы, Северной и Южной Америки, были заражены HiatusRAT для создания скрытой прокси-сети.

Вредоносное ПО в основном используется для установки дополнительных полезных нагрузок на зараженные устройства и превращения скомпрометированных систем в прокси SOCKS5 для связи с сервером управления и контроля.

В целом, как подчеркнули в Lumen, это смещение в сборе информации и предпочтениях в отношении целей соответствует стратегическим интересам Китая.

Более 3000 серверов, по данным VulnCheck, подвергаются риску атак с использованием нового эксплойта для исправленной CVE-2023-32315.

Openfire, поддерживаемый Ignite Realtime, представляет собой кроссплатформенный сервер для совместной работы в реальном времени, написанный на Java, использующий протокол XMPP и администрирование через веб-интерфейс.

Уязвимость высокой серьезности была обнаружена в консоли администрирования Openfire и связана с обходом пути через среду настройки.

Она позволяет неаутентифицированным злоумышленникам получать доступ к ограниченным страницам в консоли администратора.

Проблема обусловлена отсутствием в Openfire защиты от определенной нестандартной кодировки URL-адресов для символов UTF-16, которая не поддерживается веб-сервером - поддержка была добавлена без обновления защиты.

Затронуты все версии Openfire, начиная с версии 3.10.0, выпущенной в апреле 2015 года, и заканчивая версиями 4.7.5 и 4.6.8, выпущенными в мае 2023 года для исправления уязвимости.

Уязвимость использовалась в злонамеренных атаках более двух месяцев.

Было замечено, что злоумышленники создавали новые учетные записи пользователей консоли администратора для установки плагина с удаленной веб-оболочкой, позволяющей выполнять произвольные команды и получать доступ к любым данным на сервере.

Доступные до настоящего времени эксплойты, нацеленные на CVE-2023-32315, реализуют одну и ту же схему.

Однако VulnCheck обнаружили новый вариант эксплойта, который не требует создания учетной записи администратора.

Кроме того, исследователи выявили более 6300 серверов Openfire в Интернете, причем около 50% серверов используют уязвимые версии.

Поскольку дефект безопасности позволяет неаутентифицированному злоумышленнику получить доступ к конечной точке администрирования плагина, злоумышленник может загрузить плагин напрямую, а затем получить доступ к веб-оболочке, также без аутентификации.

Такой подход не оставляет следов входа в систему в журналах аудита безопасности и предотвращает запись уведомления о загруженном плагине.

Несмотря на то, что вредоносная активность может быть видна в openfire.log, злоумышленник может использовать обход пути для удаления журнала через веб-оболочку, в результате чего только сам плагин остается единственным индикатором компрометации.

Как отмечают ресерчеры, уязвимость уже эксплуатировалась, вероятно, даже известным ботнетом, и учитывая множество доступных в сети уязвимых систем, предполагается, что эксплуатация продолжится и в будущем.

Исследовательская группа Cybernews раскрыла инцидент, связанный с обнаружением открытого экземпляра Kibana с конфиденциальной информацией в отношении Belcan, его сотрудниках и внутренней инфраструктуре, включая и доступ с правами суперадминистратора.

Допущенная ошибка могла привести к серьезной атаке на цепочку поставок. Ведь Belcan - это критически важный гособорон и аэрокосмический подрядчик, реализующий решения в области проектирования, цепочки поставок ПО, производства и цифрового инжиниринга.

Компания с доходом в 950 миллионов долларов является стратегическим партнером более чем 40 федеральных агентств США.

Kibana представляет собой панель визуализации для системы поиска и анализа данных ElasticSearch. Эти системы помогают предприятиям обрабатывать большие объемы данных.

Утечка стала возможно после проведения пентеста, результаты которого остались открытыми вместе с учетными данными администратора, хешированными с помощью bcrypt.

Данные свидетельствуют о том, что источником утечки, вероятно, была утилита, используемая Belcan для сканирования и мониторинга инфраструктуры на наличие уязвимостей.

Она содержала: электронную почту, имена пользователей, роли и пароли администраторов, адреса внутренней сети, имена хостов и IP-адреса внутренней инфраструктуры, уязвимости и действия, предпринятые для их устранения.

В совокупности доступная информация могла позволить злоумышленникам идентифицировать уязвимые системы, которые не были исправлены, а также предоставить им доступ к учетным данным с привилегированным доступом, что значительно упрощает и ускоряет потенциальную атаку на организацию.

Утечка Belcan представляет значительный риск для более широкого круга организаций из числа клиентов, включая аэрокосмические, оборонные компании и госучреждения США, которые могут потенциально стать жертвами атак со стороны АРТ или финансово-мотивированных групп.

Кроме того, исследователи также заметили в утекших данных упоминания, свидетельствующие о том, что некоторые уязвимости были обнаружены, но не исправлены компанией своевременно.

Cybernews проинформировала Belcan об обнаруженных уязвимостях, после чего компания предприняла меры для устранения проблем, какие - не стала раскрывать.

Но будем посмотреть.

Ресерчеры из Group-IB раскрыли подробности кампании с использованием 0-day в WinRAR, в рамках которой киберпреступники  с апреля 2023 года нацеливались на трейдеров.

Общее количество зараженных устройств, как и сумма возможного финансового ущерба остаются неизвестными, при этом до 130 устройств все еще заражены.

10 июля 2023 года в ходе исследования инцидентов с вредоносным ПО DarkMe исследователи Group-IB обнаружили ранее неизвестную уязвимость при обработке файла формата ZIP программой WinRAR.

Воспользовавшись ей, злоумышленники смогли создать ZIP-архивы, которые служили носителями различных семейств вредоносных ПО, включая DarkMe, GuLoader и Remcos RAT, и распространялись на тренерских форумах.

Она позволяла им подделывать расширения файлов, а это означает, что они могли скрыть запуск вредоносного скрипта внутри архива, маскирующегося под файлы jpg, txt или любой другой формат.

После извлечения и запуска вредоносное ПО позволяет злоумышленникам снимать деньги со счетов брокеров. 

Причем киберпреступники использовали 0-day для доставки того же инструмента, который использовался в кампании DarkCasino, описанной NSFOCUS (Часть 1, Часть 2).

Обнаружив ошибку обработки при открытии файла в ZIP-архиве, которая была использована злоумышленниками как неуказанный вредоносный функционал, и оценив выявленную уязвимость безопасности, Group-IB немедленно уведомила RARLAB о своих выводах.

Позже 15 августа MITRE присвоила этой уязвимости идентификатор CVE-2023-38831.

Команда RARLAB оперативно отреагировала на поступивший запрос и в кратчайшие сроки устранила уязвимость.

Бета-версия патча вышла уже 20 июля 2023 года, а последняя обновленная версия WinRAR (версия 6.23) была выпущена 2 августа.

Несмотря на то, что исследователи смогли идентифицировать троянца DarkMe, который предположительно связан с EvilNum и распространяется вместе с широко используемым инструментом удаленного доступа, окончательно связать кампанию с этой финансово мотивированной группой не удается.

Но тем не менее, наблюдение за кампанией продолжается и Group-IB обещает делиться результатами по мере расследования.

Специалисты Symantec Threat Hunter обнаружили новый метод атаки на цепочку поставок программного обеспечения, направленный против организаций, преимущественно расположенных в Гонконге и других регионах Азии.

Серии кибератак и методу присвоили название Carderbee, в ходе которой киберпреступники использовали троянизированную версию легитимного программного обеспечения EsafeNet Cobra DocGuard Client для внедрения в сетях жертв популярного бэкдора PlugX.

Кроме того, злоумышленники использовали вредоносное ПО, подписанное легитимным сертификатом Microsoft.

Ранее подобная тактика уже была замечена ESET, которая сообщала о взломе неизвестной игорной компании в Гонконге в сентябре 2022 года.

Тогда предполагалось, что за атакой стояла китайская группа угроз Lucky Mouse.

Однако последняя кампания, которую Symantec обнаружила уже в апреле 2023 года, не позволяет с уверенностью связать ее с вышеупомянутым актором поскольку использование PlugX различными китайскими хакерскими группами затрудняет атрибуцию.

Как сообщают специалисты, в ходе последних атак было заражено около 100 компьютеров, хотя приложение Cobra DocGuard Client было установлено примерно на 2000 конечных точках, что указывает на таргетированный характер воздействия злоумышленников и ориентацию на цели более высокой ценности.

В одном из таких случаев злоумышленники использовали уязвимость для развертывания загрузчика с цифровым сертификатом от Microsoft, который затем использовался для извлечения и установки PlugX с удаленного сервера.

Пока неясно, где базируется Carderbee, каковы его конечные цели и есть ли у него связи с Lucky Mouse. Большинство деталей об этой группе остаются неизвестными.

Впрочем, и на связь с Китаем пока указывает только использование злоумышленниками PlugX.