🗂 Компания Microsoft обнаружила уязвимость в пакете Office, которая позволяет злоумышленникам получить доступ к защищенным данным, включая хеши NTLM.

CVE-2024-38200 затрагивает несколько версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise. Злоумышленники могут использовать специально подготовленный файл для эксплуатации уязвимости, убедив пользователя перейти по ссылке и открыть этот файл.

📌 Microsoft работает над исправлением ошибки, но дата его выпуска пока неизвестна. Временный фикс доступен через Feature Flighting 7/30/2024. Microsoft рекомендует блокировать исходящий NTLM-трафик для пользователей, которым не требуется эта технология, но это может помешать легальному доступу к серверам, использующим NTLM-аутентификацию.

Подробнее: https://extrim-security.ru/news-ib/tpost/egxf74n3h1-microsoft-office-snova-uyazvim

❗️В первой половине 2024 года количество DDoS-атак увеличилось на 46% по сравнению с аналогичным периодом прошлого года. Во втором квартале 2024 года число атак достигло 445 000, демонстрируя рост на 34% по сравнению с предыдущими шестью месяцами.

Хотя пиковая мощность атаки в первом полугодии 2024 года увеличилась незначительно (с 1,6 Тбит/с в 2023 году до 1,7 Тбит/с в 2024 году), это все же значительный рост. Для сравнения, скорость передачи данных в терабит/с (Tbps) представляет собой огромный объем данных, способный перегрузить сетевую инфраструктуру, что эквивалентно одновременной передаче более 212 000 видеопотоков высокой четкости.

Большинство DDoS-атак непродолжительны, но их частота и интенсивность могут вызывать существенные сбои в работе.

Подробнее: https://extrim-security.ru/news-ib/tpost/nd8urvrrh1-pugayuschii-rost-ddos-atak-v-2024-godu

☠️ Microsoft выпустила предупреждение о критической уязвимости TCP/IP в системах Windows с включенным IPv6.

Уязвимость CVE-2024-38063 получила оценку CVSS 9.8 и связана с целочисленным переполнением, которое может привести к выполнению произвольного кода злоумышленниками.

Атака осуществляется через многократную отправку специально сформированных IPv6-пакетов, которые активируют уязвимость до обработки брандмауэром. Все системы Windows 10, Windows 11 и Windows Server подвержены этой уязвимости.

Подробности: https://extrim-security.ru/news-ib/tpost/s1y67jd0s1-ugroza-dlya-vseh-sistem-windows-s-ipv6

💢 На прошлой неделе в блоге Совета по международным отношениям (CFR) была опубликована статья об импортозамещении в России.

Её автор, Джастин Шерман, предложил использовать разведку по открытым источникам (OSINT) для изучения защищенности операционной системы Astra Linux. Шерман призывает США и их партнёров следить за российским рынком с помощью OSINT, анализируя информацию с киберконференций и изучая государственные контракты.

Он также утверждает, что разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода из-за отсутствия широкой аудитории.

Подробнее: https://extrim-security.ru/news-ib/tpost/2z6kpo6ae1-kak-ssha-predlagayut-sledit-za-rossiei-c

🚘 🌚 Автомобильная компания Toyota вновь стала жертвой киберпреступников. Хакерская группа ZeroSevenGroup опубликовала на форуме архив с 240 ГБ данных, украденных из систем американского филиала Toyota.

В числе похищенной информации оказались данные сотрудников, клиентов, контракты, финансовая информация и сетевая инфраструктура. Хакеры использовали инструмент ADRecon для извлечения информации из сред Active Directory.

Toyota подтвердила утечку, но не раскрыла подробности.

Подробнее: https://extrim-security.ru/news-ib/tpost/3nfrcjdkz1-toyota-240-gb-dannih-utekli-v-set

📨 Xeon Sender - инструмент для проведения масштабных атак SMS-фишинга и спам-кампаний. Он использует API легитимных сервисов, таких как Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt и Twilio, для отправки SMS-сообщений.

Злоумышленники могут получить доступ к этим сервисам, используя украденные учетные данные или поддельные профили. Xeon Sender позволяет злоумышленникам отправлять миллионы SMS-сообщений за короткий промежуток времени, что делает их атаки очень эффективными.

Распространение Xeon Sender происходит через Telegram и хакерские форумы. Важно отметить, что активность злоумышленников не связана с уязвимостями, присущими самим сервисам, а основывается на злоупотреблении их легитимными API.

Подробнее: https://extrim-security.ru/news-ib/tpost/vv77eu7zv1-xeon-sender-stala-novoi-vozmozhnostyu-dl

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

📅 Практически каждый день в тематических новостных каналах ИБ появляются новости об утечках информации у компаний. С этой проблемой сталкиваются не только в России, наоборот, ее можно назвать проблемой мирового масштаба.

💡 В нашем четвертом выпуске мы разбираем деликатные подробности причин и последствий утечек данных. Совместно со Станиславом Юдинских, менеджером проектов команды StaffCop.

Слушать на Яндекс.Музыке, СберЗвуке и mave. Или прямо на нашем сайте

UPD: Теперь и в тг такая возможность есть)

🪟 👈🏻 Пользователи столкнулись с проблемами после августовского обновления, когда устройства с включенным Secure Boot, на которых установлены Windows и Linux, перестали работать.

Разработчики Microsoft установили Secure Boot Advanced Targeting (SBAT) для блокировки загрузчиков Linux, не защищенных от уязвимости CVE-2022-2601, чтобы повысить безопасность Windows. Однако, несмотря на заявления Microsoft, многие пользователи Linux обнаружили, что их системы перестали загружаться после установки августовских обновлений Windows.

Пользователи, пытающиеся решить проблему самостоятельно, сообщают, что удаление SBAT, удаление установки Windows и восстановление заводских настроек Secure Boot не помогают.

Подробнее: https://extrim-security.ru/news-ib/tpost/fhyvrkx0r1-avgustovskoe-obnovlenie-windows-sluchain

🌐 Разработчики Google выпустили экстренное обновление для браузера Chrome, которое исправляет несколько уязвимостей, включая 0-day баг, уже использованный в реальных атаках.

Одна из уязвимостей - CVE-2024-7971 - была обнаружена в JavaScript-движке V8 и относится к типу type confusion.

Google уже выпустила обновление Chrome 128.0.6613.84/.85 для Windows и macOS, а также версию 128.0.6613.84 для Linux, которое будет распространено среди всех пользователей Chrome в ближайшие недели.

Подробнее: https://extrim-security.ru/news-ib/tpost/631yl0hif1-chrome-devyatii-0-day-za-god-i-drugie-uy

💀 В начале 2024 года была обнаружена серьезная уязвимость в системе Microsoft 365 Copilot, которая могла использоваться для хищения данных.

Эта уязвимость, известная как "контрабанда ASCII", использовала специальные символы Unicode, визуально неотличимые от обычных символов ASCII, чтобы скрывать вредоносные гиперссылки в документах, генерируемых Copilot.

Успешная атака могла привести к потере доступа к аккаунтам, краже конфиденциальных данных, финансовым потерям и многим другим неприятным последствиям.

Подробнее: https://extrim-security.ru/news-ib/tpost/dkin6xf7b1-nevidimaya-opasnost-kak-zloumishlenniki

👾 Киберпреступники звонят директорам организаций по видеосвязи через сервисы вроде Zoom, Skype или Microsoft Teams. Во время разговора они записывают видео, которое затем используют в переписке с другими сотрудниками компании.

Видеозапись разговора с директором, особенно в знакомом офисе, создает у сотрудников ощущение подлинности и достоверности. Мошенники могут использовать запись фрагмента разговора, где директор говорит о чем-то нейтральном, чтобы вызвать у сотрудников ложное чувство безопасности.

Один из примеров такой схемы – когда мошенник от имени директора сообщает жертве о предложении предоставить конфиденциальные сведения о другой организации, предлагая обсудить это в чате и требуя сохранить беседу в тайне.

Подробнее: https://extrim-security.ru/news-ib/tpost/xis2p80u71-zloumishlenniki-ispolzuyut-videosvyaz-dl

👁 Вышла интересная статья о том, что было замечено, что злоумышленники, стоящие за группой программ-вымогателей BlackByte, вероятно, используют недавно исправленную уязвимость в системе безопасности, влияющую на гипервизоры VMware ESXi, а также используют различные уязвимые драйверы для отключения средств защиты.

Краткие факты об этой новости:

Злоумышленники, стоящие за BlackByte, используют недавно исправленный недостаток безопасности в VMware ESXi и уязвимые драйверы для отключения защиты.

Использование CVE-2024-37085 является признаком отказа группы от устоявшихся подходов.

BlackByte дебютировал во второй половине 2021 года и является одним из вариантов программы-вымогателя, появившихся перед закрытием Conti.

Существует множество вариантов программы-вымогателя на C, .NET и Go.

Trustwave выпустила дешифратор для BlackByte в октябре 2021 года, но группа продолжает совершенствовать методы работы.

Cisco Talos заявила, что проникновение, вероятно, было облегчено использованием действительных учетных данных для доступа к VPN-сети организации-жертвы.

Подробнее: https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html

Интересная короткая заметка как обнаружить своими силами один из возможных векторов атак от злоумышленников

Обращаем внимание на ссылки в посте! Они ведут на полезную информацию, которая раскрывает тему в полном объеме :)

В прошлом посте описывали пробив через уязвимость WinRAR, который используется многими атакующими в этом году. Например, хакерская группировка Head Mare часто применяет такую технику для компрометации своих жертв.

С деталями работы этой группировки, атакующей компании в России и Беларуси, можно ознакомиться в отдельном отчёте наших коллег. А здесь мы сконцентрируемся на таком интересном вопросе: какой самый дешёвый способ обнаружить атаку Head Mare до этапа влияния?

На этапе разведки (при включённом журналировании командных строк или EDRе) мы увидим вот такие команды:

cmd /c “echo %USERDOMAIN%”
arp -a
cmd /c “cd /d $selfpath && whoami”
cmd /c “cd /d $appdata && powershell Get-ScheduledTask -TaskName “WindowsCore””

Чтобы установить, насколько критичны подобные события и как далеко продвинулся атакующий в инциденте, необходимо посмотреть:
– привилегии пользователя, от которого запускали команды,
– что потенциально могло утечь из памяти (lsass) и/или hive-ов реестра с кредами.

Если есть привилегированные пользователи домена, то оперативность и размах реагирования должны быть масштабными: например, не просто саспенды и смена паролей пользователям, а отключение сетевой связности. И самое главное – необходимо сразу начинать восстанавливать хронологию атаки до первоначального пробива.

Безусловно, это не весь арсенал команд из разведки – пример большого списка смотрите здесь. Но мы отметили самые распространённые команды, которые будут использованы для первого получения доступа.

🤕 Белый хакер Алон Левиев представил на конференции Black Hat инструмент под названием Windows Downdate, позволяющий откатить систему Windows до ранних версий с серьезными уязвимостями.

Этот инструмент использует технические уловки для отката ключевых компонентов операционной системы, включая виртуализацию Hyper-V, ядро системы и драйверы NTFS. Таким образом, он возвращает системе уязвимости, уже исправленные в более новых версиях, что позволяет злоумышленникам использовать известные эксплойты для получения полного контроля над компьютером.

Левиев выложил Windows Downdate в открытый доступ на GitHub, заявив, что его цель - привлечь внимание к проблеме безопасности и побудить разработчиков к действию.

Новость: https://extrim-security.ru/news-ib/tpost/k393l72dt1-teper-lyuboi-mozhet-vzlomat-kompyuter-da

🕹 Злоумышленники используют поддельные пакеты npm для атаки на разработчиков. Один из примеров - кампания с использованием поддельных пакетов "noblox.js". Создаются десятки пакетов, имитирующих легитимные библиотеки.

Они получают видимость легитимности, используя такие названия, как "noblox.js-async", "noblox.js-thread", "noblox.js-threads" и "noblox.js-api". Разработчики, не подозревая о подделке, устанавливают вредоносные пакеты, что приводит к компрометации их систем.

Злоумышленники могут использовать эти пакеты для кражи токенов доступа, паролей и другой ценной информации. Поддельные пакеты также могут использоваться для установки вредоносного ПО, которое может повредить систему или получить полный контроль над компьютером.

Подробнее: https://extrim-security.ru/news-ib/tpost/katmy1p191-nobloxjs-lovushka-dlya-razrabotchikov-ro

🖇 Вредоносная кампания "Волдеморт" использует Google Таблицы для заманивания жертв. Злоумышленники, маскирующиеся под налоговые органы, рассылают фишинговые письма с информацией о налогах. Кампания началась 5 августа 2024 года и атаковала более 70 организаций.

При переходе по ссылке из письма, получатель попадает на лендинг, который проверяет User Agent браузера. Если это Windows, то он перенаправляется на URI TryCloudflare, что является признаком бэкдора "Волдеморт".

Этот бэкдор предназначен для сбора информации и доставки дополнительных полезных нагрузок, что позволяет атакующим получить доступ к данным с устройства жертвы и даже получить полный контроль над системой.

Подробнее: https://extrim-security.ru/news-ib/tpost/oc2uttkjy1-novaya-vredonosnaya-kampaniya-voldemort

🐉 Традиционные антивирусы оказываются бессильными перед новыми, изощренными атаками, такими как использование уязвимости CVE-2023-22527 в продуктах Atlassian Confluence Data Center и Confluence Server для внедрения бэкдора Godzilla.

Ошибка CVE-2023-22527 позволяет злоумышленникам выполнять произвольный код на уязвимых серверах Atlassian, получая полный контроль над системой. Godzilla - это веб-шелл, разработанный китайским хакером «BeichenDream», который использует AES-шифрование для маскировки своих действий.

Атака начинается с внедрения вредоносного кода через уязвимость CVE-2023-22527, затем хакеры используют сложные многоэтапные действия, включая инъекцию кода в оперативную память сервера. Godzilla работает в оперативной памяти, не оставляя следов на жестком диске, делая его практически невидимым для традиционных антивирусных программ.

Подробнее: https://extrim-security.ru/news-ib/tpost/zvrc4fi6c1-godzilla-nanosit-udar

Надеемся, не жиза 🤪

🌐 ФСТЭК России предупредила о критической уязвимости в веб-сервере Apache, получившей идентификатор CVE-2024-38474 и оценку CVSS 9.8.

Уязвимость затрагивает версии 2.4.60 и 2.4.61 и позволяет удаленному злоумышленнику выполнять произвольный код на сервере. Проблема связана с функцией mod_rewrite веб-сервера Apache HTTP Server.

Уязвимость касается только Apache HTTP Server под Windows. Злоумышленник может использовать уязвимость для утечки NTLM-хэшей и компрометации учетных записей пользователей, что приводит к захвату контроля над сервером.

Подробнее: https://extrim-security.ru/news-ib/tpost/xclhddvf61-apache-pod-ugrozoi-sereznaya-uyazvimost

Аналитики компании McAfee выявили наличие вредоносного ПО SpyAgent в 280 различных приложениях для платформы Android.

Это вредоносное ПО использует технологию оптического распознавания символов (OCR) для похищения seed-фраз, то есть фраз восстановления, которые служат резервным ключом для криптовалютных кошельков. Фразы восстановления обычно представляют собой последовательность из 12-24 слов и используются для восстановления доступа к криптокошелькам.

Подробнее: https://extrim-security.ru/news-ib/tpost/f8j23ojm91-280-android-prilozhenii-zarazheni-spyage