💻 Исследователи выявили уязвимость Blast-RADIUS в протоколе RADIUS, позволяющую подделать ответ при аутентификации

Исследователи по ИБ из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего обнаружили уязвимость CVE-2024-3596 в популярном протоколе RADIUS, которая позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя защитные средства MFA в рамках атаки. Эта техника атаки получила название Blast-RADIUS.

Эксперты из InkBridge Networks предоставили полное техническое описание атаки Blast-RADIUS и предупредили о серьёзных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Согласно пояснению профильных специалистов, в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности, что позволяет провести атаку Blast-RADIUS с помощью уязвимости CVE-2024-3596.

Фактически злоумышленник может выполнить атаку Blast-RADIUS с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ в протоколе RADIUS на тот, который не является легитимным. Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

@linuxkalii

💻 Хакеры начали использовать хаос из-за CrowdStrike для распространения вредоноса Crowdstrike-hotfix.zip

После масштабного сбоя в работе организаций по всему миру 18 июля из-за обновления Falcon Sensor для Windows от компании CrowdStrike киберпреступники пытаются воспользоваться ситуацией.
Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2).

Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).

Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.

@linuxkalii

💻 FishXProxy — новый инструмент фишинга

В даркнете появился новый инструмент для фишинга под названием FishXProxy, который значительно упрощает задачу киберпреступникам. Этот комплект инструментов был выявлен исследователями платформы SlashNext Security.

FishXProxy предлагает хакерам мощные возможности, такие как антибот-конфигурации, интеграция с Cloudflare Turnstile, встроенный редиректор и гибкая настройка срока действия страниц. Это делает фишинг доступным даже для тех, кто имеет минимальные технические навыки.

Исследователи отмечают, что FishXProxy позволяет обходить системы безопасности и скрывать атаки. Этот комплект инструментов предназначен для создания и управления фишинговыми сайтами, что увеличивает шансы на успешное хищение учётных данных.

Отчёт исследователей SlashNext подчёркивает, что FishXProxy оснащён продвинутыми антибот-системами, которые отфильтровывают автоматические сканы, а также функцией управления трафиком, что позволяет скрывать истинные цели ссылок. Кроме того, ограниченные по сроку мошенничества могут быть настроены на отключение после определённого времени, что создаёт давление на жертв, чтобы они действовали быстро.

Также комплект включает систему cookie, которая позволяет злоумышленникам отслеживать пользователей и адаптировать свои атаки на основе предыдущих взаимодействий. Интеграция с Cloudflare обеспечивает фишинговым операторам инфраструктуру уровня предприятия, что затрудняет обнаружение и устранение этих атак.

Генеральный директор Hoxhunt, Мика Аалто, прокомментировал распространение вредоноса, отметив, что такие фишинговые комплекты снижают барьер входа для преступников с ограниченными ресурсами и навыками. Он подчеркнул важность обучения сотрудников и применения продвинутых мер безопасности для борьбы с такими угрозами.

@linuxkalii

💻 Хакер под ником emo выложил в свободный доступ базу данных пользователей сервиса управления проектами Trello (trello.com)

Известно, что информация хакером получена с помощью запросов к официальному API сервиса, а не в результате взлома.

ИБ-исследователи выяснили, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями пользователей. В итоге хакер подготовил список из 500 млн адресов электронной почты и направил их через открытый API, чтобы определить, связаны ли они с аккаунтами Trello. Злоумышленник заявил, что закупил прокси для ротации соединений и запросов через API непрерывно. После этой атаки API Trello был усилен и стал требовать аутентификации, хотя он по-прежнему доступен любому, кто создаст бесплатный аккаунт.

«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест»

В опубликованной хакером базе данных содержится 15 115 945 строк, включая:
🗄адрес эл. почты;
🗄имя/фамилия;
🗄логин;
🗄ссылку на аватар.

ИБ-специалисты считают, что информация из этой базы может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.

@linuxkalii

💻 TuDoor — новая опасная уязвимость, связанная с DNS

Исследователи обнаружили новую опасную уязвимость в системе доменных имён (DNS), с помощью которой можно проводить специальную атаку, названную исследователями «TuDoor». Эта атака может быть использована для отравления кэша DNS, вызова состояния отказа в обслуживании (DoS) и истощения ресурсов, что делает её значительной угрозой для интернет-безопасности.

Эксперименты специалистов подтвердили, что атака TuDoor возможна и имеет серьёзные последствия в реальных условиях. В общей сложности 24 популярные DNS-программы, включая BIND, PowerDNS и Microsoft DNS, уязвимы для TuDoor. Злоумышленники могут выполнить отравление кэша или DoS-атаку против уязвимых резолверов, используя всего несколько специально сформированных пакетов менее чем за одну секунду.

Для оценки масштабов проблемы исследователи протестировали 16 популярных моделей Wi-Fi маршрутизаторов, 6 операционных систем маршрутизаторов, 42 публичных DNS-сервиса и около 1,8 миллиона открытых DNS-резолверов. Результаты показали, что TuDoor может эксплуатировать 7 маршрутизаторов (и их ОС), 18 публичных DNS-сервисов и 424 652 (23,1%) открытых DNS-резолверов.

Исследователи следовали лучшим практикам ответственного раскрытия информации, уведомив всех затронутых вендоров о найденных уязвимостях. В результате 18 из них, включая BIND, Chrome, Cloudflare и Microsoft, подтвердили данные и обсудили меры по их устранению. Кроме того, были присвоены 33 идентификатора CVE для обнаруженных уязвимостей, и предложен онлайн-инструмент для их обнаружения.

@linuxkalii

💻 Хакеры украли $235 млн у крупнейшей индийской криптобиржи WazirX

ИБ-компания Cyvers сообщила о взломе крупнейшей криптобиржи в Индии WazirX. Хакеры украли с площадки почти $235 млн. Биржа подтвердила инцидент и объявила о временном прекращении вывода средств.

По данным экспертов, злоумышленники похитили с биржи средства в стейблкоине USDT, криптовалюте GALA, мемкоинах SHIB и PEPE и других криптовалютах. Как сообщает, злоумышленники пытаются вывести активы с помощью децентрализованной биржи Uniswap. Платформа управления рисками Elliptic считает, что хакеры связаны с Северной Кореей.

Как уточнили в WazirX, проблема, вероятно, связана с криптокошельком Liminal, который используется на платформе. Компания Liminal, разработчик кошелька и инфраструктуры для него, заявила, что скомпрометирован кошелёк, «созданный за пределами её экосистемы».

«Платформа Liminal не взломана, а инфраструктура, кошельки и активы Liminal остаются в безопасности», — отметил представитель компании.

Взлом платформы WazirX может стать одной из самых масштабных кибератак на криптовалютные биржи в 2024 году. В мае хакеры похитили биткоины на сумму $305 млн с японской биржи DMM Bitcoin. Владельцам биржи пришлось воспользоваться помощью партнёрских компаний для привлечения средств, чтобы компенсировать убытки пострадавшим пользователям.

@linuxkalii