Проблема Looney Tunables позволяет получить root-права в дистрибутивах Linux

🐇 Новая Linux-уязвимость, получившая название Looney Tunables (CVE-2023-4911), позволяет локальному злоумышленнику получить root-привилегии, используя переполнение буфера в динамическом загрузчике ld so библиотеки GNU C. Проблема представляет угрозу практически для всех основных дистрибутивов Linux, включая Fedora, Ubuntu, Debian и так далее.

🌐 Библиотека GNU C (glibc) присутствует в большинстве систем на базе ядра Linux. Она отвечает за основные функции, включая системные вызовы (open, malloc, printf, exit и другие), необходимые для выполнения типичных программ. В свою очередь, динамический загрузчик, входящий в состав glibc, является важнейшим компонентом и отвечает за подготовку и выполнение программ в Linux-системах, использующих glibc.

🚫 Уязвимость Looney Tunables обнаружили специалисты компании Qualys, которые сообщают, что баг появился еще в апреле 2021 года, с выходом glibc 2.34, в коммите, описанном как исправление поведения SXID_ERASE в программах setuid.

Ботнет QakBot все еще в строю. Хакеры распространяют вымогателя Ransom Knight

🛡 По информации специалистов Cisco Talos, ботнет QakBot (он же QBot, Quakbot и Pinkslipbot) все еще активен и сейчас занимается распространением программ вымогателей и бэкдоров. При этом в августе текущего года правоохранительные органы во главе с ФБР заявляли о ликвидации QakBot в результате масштабной международной операции «Утиная охота» (Duck Hunt).

❌ Напомним, что в операции Duck Hunt участвовали: Европол, правоохранительные органы Франции, Германии, Латвии, Румынии, Нидерландов, Великобритании и США. Также ФБР сотрудничало с Агентством по кибербезопасности и защите инфраструктуры США (CISA), специалистами компаний Shadowserver и Zscaler, подразделением Microsoft по борьбе с цифровыми преступлениями, Национальным альянсом по киберкриминалистике и так далее.

❌ Тогда представители Минюста США назвали эту операцию крупнейшим в истории США финансовым и техническим ударом по инфраструктуре ботнета.

🔥 Как стало известно теперь, в настоящее время операторы QakBot связаны с продолжающейся с начала августа 2023 года фишинговой кампанией по распространению вымогателя Ransom Knight (он же Cyclops) и вредоноса Remcos RAT.

Microsoft запретит активировать новые установки Windows старыми ключами

📲 Обнаружилось, что компания Microsoft прикрыла одну из излюбленных «лазеек» пользователей и запретила активировать Windows 10 или Windows 11 старыми ключами от Windows 7 и Windows 8.

🐰 Издание Neowin сообщает, что в конце сентября компания Microsoft незаметно напомнила о том, что формально предложение по бесплатному обновлению старых ОС до Windows 10 или 11 было актуально только до 29 июля 2016 года. В компании подчеркнули, что предложение давно истекло, и теперь способ бесплатного обновления закрыт.

🐰 Также в сообщении утоняется, что пользователи Windows 10 по-прежнему могут бесплатно перейти на Windows 11 (конечно, если их компьютеры соответствуют необходимым требованиям).

💬 Дело в том, что хотя предложение по бесплатному переходу на Windows 10 действовало только до 29 июля 2016 года (а после этой даты перестало показываться пользователям), быстро обнаружилось, что старые установки Windows все равно можно обновить с помощью загруженных ISO-образов и USB-накопителей, а также можно использовать старые ключи Windows для активации новых установок. И эта «лазейка» оставалась актуальной по сей день.

В сентябре 17 000 сайтов на WordPress оказались заражены Balada Injector

🪖 Специалисты Sucuri обнаружили несколько кампаний, связанных с малварью Balada Injector, в рамках которых хакеры скомпрометировали более 17 000 WordPress-сайтов. Большинство атак связано с использованием уязвимости в tagDiv Composer, популярном инструменте для тем tagDiv Newspaper и Newsmag.

🔗 Напомним, что Balada Injector был обнаружен в конце прошлого года специалистами компаний Sucuri и «Доктор Веб». Тогда эксперты предупреждали, что Linux-бэкдоры Balada Injector начали распространяться еще в 2017 году и успели заразить более миллиона сайтов под управлением WordPress, используя свыше 30 различных уязвимостей в ряде плагинов и тем оформления.

🔗 Как правило Balada Injector используется для перенаправления посетителей взломанных сайтов на фейковые страницы технической поддержки, фальшивые выигрыши в лотерею, скам, связанный с push-уведомлениями, и так далее.

👑 Как теперь сообщают исследователи, в последнее время операторы Balada Injector активно эксплуатируют XSS-уязвимость CVE-2023-3169 в плагине tagDiv Composer, который нужен для платных тем оформления tagDiv Newspaper и Newsmag, проданных и загруженных свыше 155 000 раз.

Valve усилит меры безопасности после взлома аккаунтов нескольких разработчиков

⛔️ Недавно аккаунты, принадлежащие нескольким разработчикам игр, были взломаны, а для их игр вышли обновления с вредоносным ПО. По данным Valve, на момент добавления малвари эти игры были установлены менее чем у 100 пользователей Steam. Однако после этого инцидента Valve добавляет в Steam обязательную двухфакторную аутентификацию (2ФА) для разработчиков.

🟠 Издание PC Gamer сообщает, что всех пострадавших пользователей уже уведомили о случившемся по электронной почте.

🟠 Одной из скомпрометированных игр была NanoWar: Cells VS Virus, разработчик которой, Бенуа Фреслон (Benoît Freslon), сообщил, что он сам стал жертвой малвари, которая похитила токены доступа из его браузера, предоставив злоумышленникам временный доступ к любому веб-сервису, в который он был залогинен на тот момент. «Я просто использовал свою учетную запись разработчика, чтобы выпустить игру за несколько часов до взлома», — писал Фреслон.

🔑 Хотя эта попытка распространить малварь среди игроков в Steam явно вышла не слишком удачной, Valve решила усилить безопасность, чтобы предотвратить повторение подобных ситуаций в будущем.

Группировка ToddyCat применяет «одноразовую» малварь против правительств и телекомов

🪖 Аналитики Check Point обнаружили вредоносную кампанию, получившую название «Stayin' Alive», активную с 2021 года. Жертвы этих атак находились в Казахстане, Узбекистане, Пакистане и Вьетнаме, и в основном это были правительственные организации и поставщики телекоммуникационных услуг.

💸 Исследователи полагают, что за этой кампанией стоит китайская хак-группа ToddyCat, которая использует против своих целей направленные фишинговые сообщения с вредоносными вложениями, таким образом распространяя загрузчики вредоносного ПО и бэкдоры.

💸 По данным Check Point, группировка использует множество различных специальных инструментов, которые по сути являются «одноразовыми», что помогает хакерам избегать обнаружения и мешает ИБ-специалистам связать эти атаки друг с другом.

🪖 Зачастую различные образцы и варианты полезных нагрузок адаптированы к конкретным целям и их региональным особенностям, включая язык, имена файлов, темы и так далее.

Десятки уязвимостей в Squid не могут исправить уже 2,5 года

🖥 Еще в 2021 году ИБ-исследователь Джошуа Роджерс (Joshua Rogers) выявил 55 уязвимостей в Squid, популярном кеширующем прокси-сервере с отрытым исходным кодом. По словам эксперта, большая часть этих проблем не исправлена до сих пор, а большинству даже не присвоены идентификаторы CVE.

🌐 Squid, поддерживающий HTTP, HTTPS, FTP и не только, широко используется интернет-провайдерами и операторами сайтов. Как пишут его разработчики: «Многие из вас используют Squid, даже не подозревая об этом! Некоторые компании встраивают Squid в домашние или офисные брандмауэры, другие используют Squid в масштабных веб-прокси для ускорения широкополосного и коммутируемого доступа в интернет. Squid часто применяется в архитектурах доставки контента для доставки статического и потокового видео и аудио пользователям по всему миру».

🚫 В феврале 2021 года Джошуа Роджерс провел аудит безопасности Squid и обнаружил в исходном коде проекта 55 различных ошибок. Как теперь сообщает эксперт, только 20 из этих уязвимостей были исправлены к настоящему времени, а для остальных 35 до сих пор нет патчей или иных способов защиты.

Более 40 000 администраторов используют «admin» и «123456» в качестве пароля

🔑 С января по сентябрь 2023 года аналитики компании Outpost24 собирали интересную статистику об аутентификационных данных. Оказалось, что ИТ-администраторы используют десятки тысяч слабых паролей, самым популярным из которых является «admin».

🔥 В общей сложности исследователи изучили более 1,8 млн учетных данных администраторов, полагаясь на решение для анализа угроз Threat Compass. Подчеркивается, что все данные были получены от вредоносного ПО, которое нацелено на приложения, хранящие имена пользователей и пароли. И хотя собранные данные были представлены не открытым текстом, исследователи объясняют, что большинство паролей в списке можно было легко угадать с помощью простейшего перебора.

❔ Такие административные порталы могли предоставлять доступ к конфигурации, учетным записям и настройкам безопасности. Также через них можно, например, отслеживать клиентов и заказы, или получить доступ для выполнения CRUD-операций в БД.

Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего

🥸 Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь.

🔗 Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.

🔗 Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе.

🔍 Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass info), но с использованием символа «ķ».

Microsoft отказывается от NTLM в пользу Kerberos

🐦 Компания Microsoft анонсировала, что в будущем NTLM (New Technology LAN Manager) будет отключен в Windows 11, поскольку компания переходит на альтернативные методы аутентификации и повышения безопасности. Теперь основной упор будет сделан на усиление протокола Kerberos.

🔴 NTLM представляет собой созданное в 90-х семейство протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos, другой протокол аутентификации, много лет назад пришедший на смену NTLM, который теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Тем не менее, NTLM тоже применяется по сей день, и если по какой-либо причине работа Kerberos невозможна, вместо него будет использован NTLM.

🔴 Хотя различные NTLM-атаки – большая проблема, с которой Microsoft старается бороться, NTLM по-прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoerce, PetitPotam, RemotePotato0 и так далее.

⚠️ С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

Роскомнадзор сообщил, что учения выявили проблемы с «живучестью сетей связи»

🎙 Глава Роскомнадзора Андрей Липов рассказал, что плановые учения по безопасности и устойчивости сети связи общего пользования, проводимые в рамках закона «о суверенном рунете», обнаружили проблемы с живучестью сетей связи в условиях преднамеренного воздействия на линии и сооружения.

🛡 По его словам, учения проводились с участием операторов и экспертного сообщества, а также органов исполнительной власти.

🛡 Также Липов добавляет, что для повышения уровня безопасности сетей связи «уже разработан проект концепции правового регулирования и проект федерального закона о первичных сетях связи».

🖥 Как уточнил замглавы Роскомнадзора Олег Терляков, за четыре года ведомство провело шесть учений по устойчивости и безопасности рунета, результаты которых «легли в основу изменений в законодательство и стали основой для разработки новых инструментов безопасности наших сетей связи и систем».

Появился эксплоит для критического бага Citrix Bleed

🔥 Опубликован PoC-эксплоит для уязвимости Citrix Bleed (CVE-2023-4966), которая позволяет злоумышленникам перехватывать аутентификационные cookie сеансов с уязвимых устройств Citrix NetScaler ADC и NetScaler Gateway.

❌ Критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме.

❌ Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня.

🚫 На этой неделе Citrix выпустила новое предупреждение для администраторов устройств NetScaler ADC и Gateway, призывая их немедленно исправить уязвимость, поскольку число попыток ее эксплуатации начало расти.

Исследователи связывают группировку YoroTrooper с Казахстаном

🇰🇿 Специалисты Cisco Talos рассказали об операциях кибершпионской группировки YoroTrooper и заявили, что она связана с Казахстаном, по сути, являясь первой APT-группировкой в стране.

🔘 Впервые эта группа была замечена в марте 2023 года. Исследователи полагают, что хакеры активны как минимум с июня 2022 года и в настоящее время атакуют в основном различные государственные предприятия в странах СНГ.

🔘 Атаки YoroTrooper, как правило, основаны на направленном фишинге, который применятся для распространения разнообразной малвари, в основном предназначенной для кражи данных. Хотя также было замечено, что порой хакеры направляют своих жертв на подконтрольные им сайты для сбора учетных данных.

🧟 Отмечается, что недавнее публичное раскрытие информации о кампаниях и инструментах группировки привело к тактической реорганизации ее арсенала: от коммерческих вредоносов хакеры перешли к кастомным инструментам, написанным на Python, PowerShell, Go и Rust.

Исследователи нашли 58 0-day уязвимостей на Pwn2Own и четырежды взломали Samsung Galaxy S23

🖥 В минувшие выходные в Торонто завершилось хакерское соревнование Pwn2Own, организованное Trend Micro Zero Day Initiative (ZDI). На этот раз ИБ-исследователи заработали 1 038 500 долларов и продемонстрировали 58 эксплоитов для уязвимостей нулевого дня в различных потребительских гаджетах.

🏃‍♂️ В рамках Pwn2Own Toronto 2023 исследователи атаковали всевозможные мобильные устройства и IoT-девайсы. Так, этот список включал мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, NAS, хабы для умных домов, системы видеонаблюдения, умные колонки, а также устройства Google Pixel Watch и Chromecast, причем все они были настроены по умолчанию и имели последние обновления безопасности.

🖥 Самые высокие награды были предусмотрены за ошибки нулевого дня в категории мобильных телефонов: денежные призы в размере до 300 000 долларов полагались за взлом iPhone 14 и 250 000 долларов за взлом Pixel 7. Бонусы в в размере 50 000 долларов полагались за успешную эксплуатация устройств Google и Apple, если полезная нагрузка эксплоита будет выполнена с привилегиями ядра. Общий размер призового фонда в этом году составил более 1 000 000 долларов.

Разработано Android-приложение для рассылки Bluetooth-спама

💀 Недавно энтузиасты добавили в альтернативную прошивку Xtreme для Flipper Zero функцию для проведения Bluetooth-атак на устройства под управлением Android и Windows. Теперь эту функциональность выделили в отдельное Android-приложение, и для организации Bluetooth-спама больше не нужен Flipper.

🐰 Напомним, что все началось в сентябре 2023 года, когда ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

🐰 Идея Techryptic так понравилась энтузиастам, что вскоре разработчики Xtreme расширили функциональность для проведения Bluetooth-атак на устройства под управлением Android и Windows.

🐊 Как теперь сообщает издание Bleeping Computer, вдохновившись предыдущими исследованиями на эту тему и решениями для Flipper Zero, нацеленными на iOS, Android и Windows, разработчик Саймон Данкельманн (Simon Dankelmann) создал отдельное приложение для Android, способное осуществлять аналогичный Bluetooth-спам.

Обнаружен подпольный сервис для сокращения URL

💣 Группировка Prolific Puma на протяжении как минимум четырех последних лет предоставляет услугу по сокращению ссылок другим злоумышленникам. Только за последние полтора года хакеры зарегистрировали до 75 000 уникальных доменных имен, в основном злоупотребляя API регистратора NameSilo.

📨 Аналитики компании Infoblox, специализирующейся на DNS-угрозах, сообщают, что Prolific Puma создает доменные имена, используя RDGA (Registered Domain Generation Algorithm) и использует эти домены для предоставления услуг по сокращению ссылок другим злоумышленникам, «тем самым помогая им избежать обнаружения при распространении фишинговых, мошеннических и вредоносных программ».

🐱 Как известно, хакеры часто используют укорачиватели ссылок для фишинговых атак, поэтому Prolific Puma играет важную роль в хакерской цепочке поставок. Исследователи подсчитали, что только за период апреля 2022 года по настоящее время злоумышленники зарегистрировали от 35 000 до 75 000 уникальных доменных имен (до 800 доменов в день).

Flipper Zero приспособили для Bluetooth-спама на устройства под управлением Android и Windows

🆒 В альтернативной прошивке Xtreme для Flipper Zero появилась функция для проведения Bluetooth-атак на устройства под управлением Android и Windows. Ранее подобный Bluetooth-спам на iOS-девайсы демонстрировал ИБ-исследователь, который и вдохновил энтузиастов на эксперименты с другими платформами.

💸 Напомним, что в сентябре 2023 года ИБ-специалист под ником Techryptic показал, что затруднить работу iPhone можно при помощи Flipper Zero и множества фальшивых сообщений о подключении Bluetooth-девайсов.

💸 Дело в том, что устройства Apple, поддерживающие технологию Bluetooth Low Energy (BLE), используют рекламные пакеты (ADV-пакеты) для оповещения других устройств о своем присутствии. Пакеты ADV широко используются в экосистеме Apple для обмена данными по протоколу AirDrop, подключения Apple Watch или AppleTV, активации функции Handoff и во многих других сценариях.

🛡 Flipper Zero способен подделывать такие ADV-пакеты и передавать их через BLE. В итоге устройства с поддержкой BLE, находящиеся в неподалеку, будут воспринимать эти пакеты как запросы на подключение. То есть эту особенность можно использовать для отправки жертве множества фальшивых запросов, затрудняя распознавание настоящих устройств, имитируя доверенные устройства для проведения фишинговых атак и так далее.

Ботнет Socks5Systemz заразил более 10 000 устройств, превращая их в прокси

💀 Аналитики из компании BitSight обнаружили прокси-ботнет Socks5Systemz, который заражает компьютеры по всему миру через загрузчики PrivateLoader и Amadey, и в настоящее время насчитывает более 10 000 скомпрометированных устройств.

🔴 Согласно отчету BitSight, этот ботнет существует с 2016 года, но до недавнего времени оставался незамеченным. Малварь заражает компьютеры жертв и превращает их в прокси-серверы, которые используются для перенаправления вредоносного, незаконного и анонимного трафика. Доступ к Socks5Systemz продается другим преступникам, которые платят от 1 до 140 долларов в день в криптовалюте за использование мощностей ботнета.

🔴 Упомянутые PrivateLoader и Amadey распространяются самыми разными способами: посредством фишинга, наборов эксплоитов, вредоносной рекламы, троянизированных исполняемых файлов, загруженных из P2P-сетей и так далее.

🆕 Образцы, изученные исследователями, назывались previewer.exe, и их задача заключалась во внедрении прокси-бота в память хоста и закреплении в зараженной системе через службу Windows под названием ContentDWSvc.

Вредоносная реклама имитирует новостной сайт и распространяет троянизированный CPU-Z

💯 Злоумышленники снова злоупотребляют платформой Google Ads для распространения вредоносной рекламы. На этот раз в объявлениях рекламировалась троянизированная версия инструмента CPU-Z, содержащая инфостилер Redline.

📌 Новые мошеннические объявления были обнаружены специалистами Malwarebytes, которые считают, что эта активность является частью замеченной ранее вредоносной кампании. Тогда злоумышленники использовали для доставки малвари фейковую рекламу Notepad++.

☄️ На этот раз контекстная реклама в Google предлагала пользователям зараженную трояном версию популярной программы CPU-Z. При этом вредонос размещался на сайте-клоне реально существующего новостного сайта WindowsReport.

Австралийские порты пострадали от кибератаки «национального масштаба»

💳 На прошлой неделе крупнейший портовый оператор Австралии, компания DP World, приостановил работу в нескольких портах страны после кибератаки. В результате почти 30 000 транспортных контейнеров с потребительскими товарами (включая электронику, одежда и продукты питания), застряли в портах Австралии в минувшие выходные.

✅ Из-за хакерской атаки австралийский филиал дубайской логистической компании DP World был вынужден приостановить работу контейнерных терминалов в нескольких городах, включая Сидней, Мельбурн, Брисбен и Фримантл.

🐈‍⬛ Так как после обнаружения атаки компания отключила свои системы от интернета, корабли могли осуществлять разгрузку, однако грузы не могли покинуть порт. И хотя в настоящее время работа портов уже восстанавливается, согласно заявлениям компании, инцидент пока не исчерпан до конца.

Правоохранители ликвидировали ботнет IPStorm. Его создатель признал себя виновным

⚡️ Министерство юстиции США сообщает, что ФБР ликвидировало сеть и инфраструктуру прокси-ботнета IPStorm. Ранее его создатель, Сергей Макинин, гражданин России и Молдовы, признал себя виновным по трем пунктам обвинения, и теперь ему грозит наказание в виде 10 лет лишения свободы по каждому из них.

🌐 Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который вредонос использовал для связи с зараженными системами и передачи команд.

⚡️ Позже IPStorm эволюционировал и научился атаковать устройства под управлением Android, macOS и Linux, включая IoT-девайсы. В итоге ботнет позволял хакерам и мошенникам анонимно пропускать вредоносный трафик через зараженные устройства по всему миру. Как пишут теперь правоохранители, жертвы IPStorm невольно становились соучастниками действий киберпреступников и рисковали получить более опасную полезную нагрузку в любой момент.