👁‍🗨 Исследователи кибербезопасности обнаружили новый ботнет, названный Zergeca, который способен проводить DDoS-атаки. Он на базе Golang и использует DNS поверх HTTPS (DoH) для связи с серверами командования и управления.

Zergeca также обладает дополнительными функциями, включая проксирование, сканирование, самообновление, сохранение, передачу файлов, обратную оболочку и сбор конфиденциальной информации об устройстве. Предполагается, что злоумышленники активно разрабатывают и обновляют вредоносное ПО для поддержки новых команд.

Атаки, организованные ботнетом, были направлены на Канаду, Германию и США в июне 2024 года. Функции Zergeca включают четыре отдельных модуля: persistence, proxy, silivaccine и zombie. Модуль zombie отвечает за передачу конфиденциальной информации на C2 и ожидает команд от сервера, поддерживая шесть типов DDoS-атак, сканирование и другие функции.

Подробнее: https://extrim-security.ru/news-ib/tpost/u7pfbonh51-novaya-botnet-set-zergeca-na-baze-golang

🦠 В Git-сервисе Gogs обнаружены четыре уязвимости безопасности, включая три критические.

Они позволяют злоумышленнику получить доступ к исходному коду, удалить его, внедрить бэкдоры и получить дополнительные привилегии.

- CVE-2024-39930 (оценка CVSS: 9,9) - внедрение аргументов во встроенный SSH-сервер;
- CVE-2024-39931 (оценка CVSS: 9,9) - удаление внутренних файлов;
- CVE-2024-39932 (оценка CVSS: 9,9) - внедрение аргументов во время предварительного просмотра изменений;
- CVE-2024-39933 (оценка CVSS: 7,7) - внедрение аргументов при пометке новых выпусков.

Использование первых трех уязвимостей может позволить злоумышленнику выполнять произвольные команды на сервере Gogs, а четвертая позволяет злоумышленникам читать произвольные файлы, такие как исходный код и секреты конфигурации.

Подробнее: https://extrim-security.ru/news-ib/tpost/0hfs1gexl1-v-gogs-open-source-git-service-obnaruzhe

👽 Группа хакеров CloudSorcerer нацелена на российские государственные структуры, используя облачные сервисы для управления и контроля и утечки данных.

CloudSorcerer также использует GitHub в качестве своего начального C2-сервера. Компонент backdoor предназначен для сбора информации о компьютере-жертве и получения инструкций по перечислению файлов и папок, выполнению команд командной строки, выполнению файловых операций и запуску дополнительных полезных нагрузок.

Модуль C2 подключается к странице GitHub, которая действует как распознаватель тайников для получения закодированной шестнадцатеричной строки, указывающей на реальный сервер, размещенный в Microsoft Graph или Yandex Cloud. Вместо подключения к GitHub, CloudSorcerer пытается получить те же данные из hxxps://my.mail.ru/.

CloudSorcerer представляет собой сложный набор инструментов, нацеленный на российские государственные структуры. Использование облачных сервисов, таких как Microsoft Graph, Yandex Cloud и Dropbox для инфраструктуры C2, наряду с GitHub для начальных коммуникаций C2, демонстрирует хорошо спланированный подход к кибершпионажу.

Подробнее: https://extrim-security.ru/news-ib/tpost/f809n6a9h1-novaya-apt-group-cloudsorcerer-natselena

👾 Исследователи кибербезопасности обнаружили уязвимость в протоколе RADIUS, позволяющую злоумышленникам получать доступ к сетевым устройствам и службам без подбора паролей.

Уязвимость получила название Blast-RADIUS и позволяет проводить MiTM-атаки. Она затрагивает все реализации RADIUS и представляет угрозу для организаций, использующих этот протокол. Рекомендуется проверять наличие исправлений и следовать рекомендациям по настройке RADIUS.

Подробнее: https://extrim-security.ru/news-ib/tpost/jgyuf59231-uyazvimost-v-serdtse-interneta-blast-rad

🤐 Специалисты обнаружили новую уязвимость в пакетах OpenSSH, входящих в состав операционной системы Red Hat Enterprise Linux 9 (RHEL 9), которая позволяет злоумышленникам выполнять код на удаленном сервере без прохождения аутентификации.

Уязвимость также затрагивает пакеты для Fedora Linux 36 и 37. Проблема связана с состоянием гонки (Race Condition) в обработчике прерывания SIGALRM, которое возникает из-за выполнения функций, не рассчитанных на асинхронное выполнение из обработчиков сигналов. Патч, который привел к уязвимости, использовался в RHEL 9 и производных дистрибутивах на базе OpenSSH 8.7p1.

В последних версиях Fedora проблема не проявляется, так как начиная с Fedora 38 используется более новая версия OpenSSH. Для устранения уязвимости рекомендуется установить параметр LoginGraceTime в 0 в конфигурации sshd (sshd_config).

Подробнее: https://extrim-security.ru/news-ib/tpost/6fdk4yzy91-cve-2024-6409-openssh-snova-pod-udarom

Критическая уязвимость агента передачи почты Exim

Уязвимость CVE-2024-39929 с рейтингом 9,1 из 10 была обнаружена 4 июля 2024 года.

Уязвимость позволяет злоумышленникам обходить средства защиты и прикреплять к письмам вредоносные файлы, которые будут доставлены конечным пользователям.

Исследователи заявляют что при сканировании сети Интернет обнаружили более полутора миллиона серверов с уязвимой версией Exim. Большинство серверов располагаются на территории США, России и Канады.

Подробнее: https://extrim-security.ru/news-ib/tpost/v07b4rf571-kriticheskaya-uyazvimost-agenta-peredach

HardBit 4.0 - новый метод обхода СЗИ от злоумышленников

Специалисты по кибербезопасности обнаружили новую версию программы-вымогателя под названием HardBit, которая использует новые методы запутывания для затруднения анализа.

Исследователи отмечают, что в отличие от предыдущих версий, версия 4.0 программы-вымогателя HardBit защищена паролем. Парольная фраза должна быть введена во время выполнения программы, чтобы программа-вымогатель могла работать должным образом. Дополнительное запутывание затрудняет анализ вредоносной программы специалистами по безопасности.

Особенностью этой группы угроз является то, что она не управляет сайтом утечки данных, а вместо этого оказывает давление на жертв, требуя выплаты, угрожая провести дополнительные атаки в будущем.

Подробнее: https://extrim-security.ru/news-ib/tpost/tt6m92gy31-hardbit-40-novii-metod-obhoda-szi-ot-zlo

Новый бэкдор BugSleep распространяют через фишинг

За организацией фишинговых атак с использованием BugSleep стоит группа MuddyWater, которая связана с Министерством разведки и безопасности Ирана.

Основная логика BugSleep: начинается со многих вызовов к Sleep API, чтобы избежать обнаружения песочницами, а затем загружает API, которые ему нужно запустить должным образом. Затем он создает мьютекс и расшифровывает его конфигурацию которая включает в себя C&C IP-адрес и порт. Все конфигурации и строки шифруются одинаково, где каждый байт вычитается с одним и тем же жестко закодированным значением.

В одной из версий вредоносных программ разработчики реализовали пару методов уклонения от EDR-систем.

Подробнее: https://extrim-security.ru/news-ib/tpost/5hp8b592v1-novii-bekdor-bugsleep-rasprostranyayut-c

Новое вредоносное ПО BeaverTrail крадет данные через поддельный образ приложения для видеозвонков MiroTalk

Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.

Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.

При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.

Подробнее: https://extrim-security.ru/news-ib/tpost/f3jxx12a01-novoe-vredonosnoe-po-beavertrail-kradet

Уязвимость CVE-2024-20419 с оценкой в 10 баллов из 10 в Cisco Smart Software Manager

Компания Cisco обнаружила уязвимость максимального уровня безопасности в продукте Cisco Smart Software Manager On-Prem. Эта уязвимость позволяет удалённым злоумышленникам без аутентификации изменять пароли любых пользователей, включая администраторов.

Cisco Smart Software Manager On-Prem — это программное обеспечение, которое находится на территории клиента и предоставляет ему панель управления лицензиями для всех используемых устройств Cisco. Продукт предназначен для клиентов, которые не могут или не хотят управлять лицензиями в облаке.

Подробнее: https://extrim-security.ru/news-ib/tpost/olxkoik4a1-uyazvimost-v-cisco-smart-software-manage

Новая волна фишинга на российские компании

Представители российских компаний получают фишинговые письма от имени различных ведомств. В этих письмах содержится вложение — электронный документ на бланке несуществующей организации. В документе говорится, что сотрудники ведомства планируют провести консультации с работниками компании по вопросам информационной безопасности и защиты персональных данных.

В «документе» указано, что содержание консультаций является конфиденциальным и не подлежит разглашению. Руководителю организации, получившему письмо, предлагается предупредить своих подчинённых о предстоящем звонке.

После этого сотрудникам компании звонят злоумышленники, выдающие себя за специалистов по информационной безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/io4k3ya8v1-novaya-volna-fishinga-na-rossiiskie-komp

🖇 Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play, предназначенный для атак на среды VMware ESXi. Это событие показывает, что группа расширяет свои атаки на Linux, что увеличивает количество потенциальных жертв и повышает эффективность переговоров о выкупе.

Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования.
Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - основные отрасли пострадавший компаний.

Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, содержащем другие инструменты, использованные в предыдущих атаках. Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, для помощи в избежании обнаружения при распространении вредоносного ПО.

Подробнее: https://extrim-security.ru/news-ib/tpost/zf16ep7vd1-novii-linux-variant-play-ransomware-nats

💢 Сервис для сокращения ссылок goo.gl от Google прекратит работу в 2025 году.

В 2018 году сервис был закрыт для пользователей и разработчиков из-за появления множества аналогов и изменений в интернете. В 2019 году Google отключил создание новых ссылок, аналитику и управление в сервисе.

С 23 августа 2024 года для части ссылок будет отображаться промежуточная страница с уведомлением о скором прекращении работы.

А после 25 августа 2025 года все адреса goo.gl перестанут работать окончательно и будут возвращать только ошибку 404.

Подробнее: https://extrim-security.ru/news-ib/tpost/ft13jx6ax1-google-zakrivaet-svoi-servis-dlya-sokras

🪐✨ Исследователи разработали метод обнаружения дипфейков, с помощью анализа отражения света в глазах. Методика основана на астрономии и адаптирует инструменты изучения галактик для изучения отражения световых вспышек в глазах людей.

Разница заключается в том, что во время настоящей съемки, при освещении одним и тем же источником света, блики в глазах будут практически одинаковые. В то же время, при искусственной генерации изображения, блики будут отличаться. 👀

Используя способ астрономов изучать последовательность распределения света со снимков телескопов, можно автоматически сравнить сходства между левым и правым глазом.

Подробнее: https://extrim-security.ru/news-ib/tpost/mtigc4h8o1-astronomi-otkrili-metod-obnaruzheniya-po

☠️ Уязвимость нулевого дня в приложении Telegram для Android, известная как "EvilVideo", позволяет злоумышленникам отправлять вредоносные данные в формате Android APK, маскируя их под видеофайлы.

Продажа эксплойта началась 6 июня 2024 года, и уязвимость была исправлена в версии 10.14.5. Эксплойт использует API Telegram для создания сообщений, которые выглядят как видео. Пользователи, у которых отключена автоматическая загрузка, могут получить вредоносный файл, просто нажав на предварительный просмотр видео. Чтобы установить его, жертве необходимо разрешить установку неизвестных приложений.

Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файлы в предварительном просмотре, предотвращая обман пользователей. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности.

Подробности: https://extrim-security.ru/news-ib/tpost/tm4jrkbl61-proklyatie-lenti-ispolzovanie-uyazvimost

🦠 В январе на Львов обрушилась кибератака, оставив жителей без отопления на два дня. Атака была направлена на системы управления технологическими процессами (ICS) с использованием нового вируса FrostyGoop.

Атака затронула муниципальную компанию, обслуживающую более 600 жилых зданий, и привела к отключению горячей воды. Последствия кибератаки устраняли почти два дня. Специалисты Dragos, изучив вирус, отметили его уникальность: FrostyGoop стал первым вирусом, использующим протокол Modbus TCP для атак на сети операционных технологий.

Подробнее: https://extrim-security.ru/news-ib/tpost/ice1su3gb1-frostygoop-hakeri-otklyuchili-otoplenie

☁️ Исследователи кибербезопасности обнаружили уязвимость в Google Cloud Platform, позволяющую злоумышленникам повышать привилегии и получать доступ к конфиденциальным данным.

Уязвимость, названная ConfusedFunction, может использоваться для доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Учетная запись службы облачной сборки, создаваемая в фоновом режиме, может стать причиной вредоносной деятельности из-за своих чрезмерных разрешений.

После ответственного раскрытия Google обновил поведение по умолчанию, но изменения не распространяются на существующие экземпляры.

Подробнее: https://extrim-security.ru/news-ib/tpost/t84u7kc891-issledovateli-viyavili-uyazvimost-confus

🤡 На прошлой неделе стало известно о целых пяти инцидентах со взломом компаний, которые занимаются информационной безопасностью! Алексей Лукацкий выпустил краткий обзор на все пять случаев.

- Fractal ID стала жертвой утечки данных через API, 0,5% пользовательской базы было скомпрометировано.

- Leidos столкнулась с утечкой внутренних документов из-за взлома подрядчика Diligent.

- KnowBe4 наняла северокорейского хакера, который загрузил вредоносный код на ноутбук.

- CrowdStrike стала жертвой кражи списка индикаторов компрометации из своей инфраструктуры.

- Аванпост подтвердил взлом, но детали пока неизвестны.

Читать статью полностью

🦾 Специалисты из F.A.C.C.T. Threat Intelligence обнаружили новые киберугрозы от группировки XDSpy, направленные на российские компании.

Злоумышленники используют фишинговые письма с предложением скачать RAR-архив, содержащий легитимный исполняемый файл с расширением .exe и вредоносную динамически подключаемую библиотеку msi.dll.

Эта библиотека служит загрузчиком, отвечающим за запуск файла полезной нагрузки, который классифицируется как XDSpy.DSDownloader.

Подробнее: https://extrim-security.ru/news-ib/tpost/dhh96outd1-obnaruzheni-ataki-gruppi-xdspy-s-ispolzo

📨 Субъект угрозы SideWinder, предположительно связанный с Индией, начал новую кампанию кибершпионажа, нацеленную на порты и морские объекты в Индийском океане и Средиземном море.

SideWinder использует фишинг-рассылку для доставки вредоносных полезных данных, которые запускают цепочки атак. После открытия файла-приманки он использует известную брешь в системе безопасности CVE-2017-0199 для установления контакта с вредоносным доменом, который маскируется под Генеральное управление портов и судоходства Пакистана "reports.dgps-govtpk.com", чтобы извлечь RTF-файл.

Документ RTF загружает документ, который использует CVE-2017-11882, еще одну многолетнюю уязвимость в редакторе Microsoft Office Equation Editor, с целью выполнения шелл-кода, отвечающего за запуск кода JavaScript.

Подробнее: https://extrim-security.ru/news-ib/tpost/9mdx9eliz1-novie-kiberataki-sidewinder-natseleni-na

📲 Специалисты по мобильной безопасности из компании Zimperium обнаружили более 107 000 уникальных образцов вредоносного ПО для перехвата одноразовых паролей (ОТР) на устройствах Android.

Злоумышленники используют различные методы для распространения вредоносного ПО, включая обманчивую рекламу, ботов Telegram и фишинговые письма.

После установки вредоносного приложения, оно запрашивает разрешение на доступ к входящим SMS-сообщениям, перехватывает их и отправляет информацию на сервер командования и контроля.

Подробнее: https://extrim-security.ru/news-ib/tpost/dd5vn5i581-mobilnaya-ugroza-krazha-sms-soobschenii