💻 В TeamViewer сообщили о хакерской атаке на корпоративную среду компании

Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.

Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.

Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.

О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.

Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.

@linuxkalii

💻 Фантомные гиперссылки как инструмент хакера

Опубликованное на конференции Web Conference 2024 исследование показывает, что киберугрозы в интернете могут использоваться на гораздо большем уровне, чем предполагалось ранее. Особо тревожным является то, что уязвимые ссылки обнаружены на сайтах крупных компаний, религиозных организаций, финансовых фирм и даже правительственных структур. Эти гиперссылки могут быть перехвачены без каких-либо предупреждений.

Перехватываемые гиперссылки возникают, когда программисты допускают ошибки в адресах веб-сайтов в своем коде. Это может привести пользователей на домены, которые никогда не были зарегистрированы, так называемые фантомные домены. Например, вместо правильного kali.org может быть написано kaIi.org. Если такой домен не был зарегистрирован, его может приобрести злоумышленник и направить на него входящий трафик.

Эти ошибки могут привести пользователей не только на фишинговые сайты, но и на ресурсы с вредоносными скриптами, дезинформацией, вирусами и другими угрозами.

Используя высокопроизводительные вычислительные кластеры, исследователи проанализировали весь доступный для просмотра интернет, обработав данные с более чем 10000 жестких дисков. В результате было выявлено более 572000 фантомных доменов. Перехватываемые гиперссылки, ведущие на них, найдены на многих надежных сайтах, включая веб-приложения, предназначенные для обеспечения конфиденциальности.

🗄 Подробнее

@linuxkalii

💻 Свежая уязвимость CVE-2024-6387 в компоненте OpenSSH

Разработчики OpenSSH устранили критическую уязвимость, которая может привести к удаленному выполнению кода с root-привилегиями в системах Linux на базе glibc. Ошибку обнаружили специалисты компании Qualys.

Уязвимость CVE-2024-6387 типа Race Condition находится в серверном компоненте OpenSSH, также известном как sshd, который предназначен для прослушивания соединений от любого клиентского приложения.

OpenSSH — это набор программных инструментов, обеспечивающих безопасный удалённый доступ с использованием протокола шифрования SSH. Набор включён во все системы Linux, основанные на glibc, что означает практически все крупные дистрибутивы (кроме Alpine Linux, который использует libc). Системы BSD не подвержены данной уязвимости. Qualys пока не знает, насколько могут быть затронуты операционные системы macOS или Windows.

Qualys выявила не менее 14 миллионов потенциально уязвимых экземпляров серверов OpenSSH, доступных через Интернет. Отмечается, что обнаруженная ошибка, получившая название «regreSSHion» является регрессией уже исправленной 18-летней уязвимости (CVE-2006-5051, оценка CVSS: 8.1).

Успешная эксплуатация уязвимости была продемонстрирована на 32-битных системах Linux/glibc с рандомизацией адресного пространства (ASLR). В лабораторных условиях атака требует в среднем 6-8 часов непрерывных подключений до максимума, который может принять сервер. Не отмечается, были ли замечены случаи эксплуатации regreSSHion в реальных условиях.

Qualys объясняет, что если клиент не проходит аутентификацию в течение 120 секунд (настройка, определяемая LoginGraceTime), то обработчик sshd SIGALRM вызывается асинхронно способом, который не является безопасным для async-signal.

🗄 Подробнее

@linuxkalii

💻 LockBit заявила о взломе Федерального резерва США

Хакерская группировка LockBit заявила о взломе Федеральной резервной системы (ФРС) США. LockBit утверждает, что похитила 33 терабайта конфиденциальных данных. По словам хакеров, они проникли в инфраструктуру ФРС и изъяли конфиденциальную информацию о банковской деятельности в США.

С LockBit сначала вёл переговоры один сотрудник от Федерального резерва, но после того как хакгруппе была назначена цена в $50 тысяч за непубликацию информации, хакеры дали ФРС 48 часов, чтобы нанять нового переговорщика и уволить текущего.

Эксперты в сфере ИБ оценивают возможные последствия от проникновения как очень серьёзные. Полученный доступ к обширному объёму чувствительной информации может нанести ущерб индивидуальной конфиденциальности, финансовой стабильности и национальной безопасности США.

Федеральная резервная система США отвечает за проведение денежно-кредитной политики, регулирование банков и поддержание финансовой стабильности, а также представляет собой один из ключевых элементов финансовой инфраструктуры США. ФРС пока официально не подтвердила факт взлома и не предоставила информацию о принимаемых мерах из-за произошедшего инцидента. Однако федеральные агентства (например, CISA и ФБР) уже активно занимаются информацией о возможном взломе.

@linuxkalii

💻 Обнаружена новая версия вайпера BiBi

Новая версия мавлари BiBi стирает таблицу разделов диска, что дополнительно затрудняет восстановление данных и увеличивает время простоя атакованных компьютеров.

Впервые BiBi Wiper был обнаружен специалистами компании SecurityJoes в октябре 2023 года. Они писали, что вредонос, скорее всего, был развернут хакерами поддерживающими ХАМАС, с целью вызвать необратимые повреждения данных. Вскоре после этого израильский CERT предупредил, что атаки на израильские компьютеры с целью уничтожения данных становятся все более частыми, а BiBi используется в атаках против критически важных организаций в стране.

Как теперь сообщают эксперты Check Point, атаки вайпера на Израиль и Албанию связаны с поддерживаемой Ираном хак-группой Void Manticore (Storm-842). Также в отчете отмечается сходство операций Void Manticore с другой иранской группировкой Scarred Manticore, что позволяет сделать предположение о сотрудничестве между ними.

Кроме того, исследователи сообщают, что обнаружили не только новые варианты вайпера BiBi, но и два других кастомных вайпера, используемых той же группировкой, — Cl Wiper и Partition Wiper.

Аналитики CheckPoint полагают, что Void Manticore маскируется под группу Karma в Telegram, которая появилась после атаки ХАМАС на Израиль в октябре прошлого года. К настоящему времени Karma заявила об атаках на 40 израильских организаций, публикуя в Telegram украденные данные или свидетельства об уничтоженных дисках.

Интересно, что в некоторых случаях Void Manticore получала контроль над инфраструктурой жертв от уже упомянутой группы Scarred Manticore. Эта группа фокусируется на получении первоначального доступа, в основном эксплуатируя уязвимость CVE-2019-0604 в Microsoft Sharepoint, а затем выполняет боковое перемещение через SMB и собирая электронные письма. Далее взломанные организации передавались Void Manticore, которая внедряла полезные нагрузки, осуществляла боковое перемещение по сети и разворачивала в системах жертв вайпер.

🗄 Подробнее

@linuxkalii

😂 Хакеры опубликовали крупнейшую базу с паролями — почти 10 миллиардов слитых паролей!

На хакерском форуме появился файл rockyou2024.txt с 9,94 миллиардами уникальных паролей. Cybernews отметили, что это крупнейшая из известных баз паролей. Файл опубликовал пользователь под ником ObamaCare, указав, что он включает недавно утекшие пароли. Cybernews предупреждает, что злоумышленники могут использовать базу для кибератак методом брутфорса. Эксперты советуют сменить пароли и использовать дополнительные методы защиты. Предыдущая утечка содержала 8,5 миллиарда записей.

🔒 Самое время сменить пароли и включить двухфакторную аутентификацию!

https://uproger.com/hakery-opublikovali-krupnejshuyu-bazu-s-parolyami-pochti-10-milliardov/

@linuxkalii

🖥 Xeno RAT опубликован на GitHub

⏩Недавно на GitHub был опубликован новый продвинутый инструмент для удалённого доступа (RAT) под названием Xeno RAT. Этот троян, написанный на языке программирования C# и совместимый с операционными системами Windows 10 и Windows 11, предоставляет «обширный набор функций для удалённого управления системой», согласно заявлениям разработчика под псевдонимом moom825.
В функционал Xeno RAT входит обратный прокси-сервер SOCKS5, возможность записи аудио в реальном времени, а также интеграция модуля скрытого виртуального сетевого вычисления (hVNC), подобного DarkVNC, который позволяет злоумышленникам получать удалённый доступ к заражённому компьютеру.

⏩Разработчик отдельно отметил «весёлые» функции своего инструмента, такие как «синий экран смерти» по запросу, отключение монитора удалённого хоста, открытие/закрытие лотка для компакт-дисков и т.п.
Разработчик утверждает, что Xeno RAT был разработан исключительно в образовательных целях.

А что, неплохая идея для пет-проекта на C# ¯\_(ツ)_/¯
🖥 GitHub

@linuxkalii

🖥 100 команд Linux!

Краткая база для всех, кто работает с Linux.

В этом видео мы разыгрываем 3 крутые книги по Linux:

- Внутреннее устройство Linux. 3-е изд. | Кетов Дмитрий
- Unix и Linux: руководство системного администратора | Хейн Трент Р., Макин Дэн
- Командная строка Linux. Полное руководство. 2-е межд. изд. | Шоттс Уильям

Подписывайтесь на канал, оставляйте осмысленный комментарий под видео и выигрывайте эти крутые книги!

https://www.youtube.com/watch?v=FP8UwvEe3Cs

@linuxkalii

💻 SquidLoader — вредонос, маскирующийся под документы MS Word

Исследователи в области кибербезопасности обнаружили новый вредоносный загрузчик SquidLoader, распространяющийся через фишинговые кампании, нацеленные на китайские организации.

По данным специалистов LevelBlue Labs, впервые зафиксировавших этот вредоносный код в конце апреля 2024 года, SquidLoader использует методы, позволяющие избежать статического и динамического анализа и, в конечном счёте, обнаружения.

Цепочки атак используют фишинговые электронные письма с вложениями, которые маскируются под документы Microsoft Word, но на самом деле являются бинарными файлами, запускающими выполнение вредоносного кода. Этот код используется для загрузки второго этапа вредоносного ПО с удалённого сервера, включая Cobalt Strike.

Исследователь безопасности Фернандо Домингес отмечает, что загрузчики обладают сложными механизмами уклонения и создания ложных целей, что помогает им оставаться незамеченными и затрудняет анализ. Поставляемый шелл-код загружается в тот же процесс, чтобы избежать записи вредоносного ПО на диск и тем самым не попасть под обнаружение.

SquidLoader применяет различные техники уклонения, такие как использование зашифрованных сегментов кода, ненужного кода, который остаётся неиспользованным, обфускация графа управления потоком (CFG), обнаружение отладчиков и выполнение прямых системных вызовов вместо вызовов API Windows NT.

🗄 Подробнее

@linuxkalii

💻 Релиз Wireshark 4.2.6

Вчера вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.6 .

В Wireshark 4.2.6 разработчики исправили баги и ошибки (уязвимости), обнаруженные в ходе тестирования, а также внесли изменения и дополнения в код проекта, включая обновления в поддержке протоколов DHCP, E.212, MySQL, NAS-5GS, PKT CCC, ProtoBuf, RADIUS, RLC-LTE, RTP, SIP, SPRT, Thrift и Wi-SUN, а также доработали поддержку пакетов log3gpp.

🗄 Страничка Wireshark

@linuxkalii

🖥 Последние уязвимости в Linux и VMware

Компания Positive Technologies опубликовала список нескольких наиболее опасных уязвимостей, обнаруженных в продуктах Microsoft, VMware, Linux, VPN-шлюзе от Check Point Software Technologies и в программном обеспечении Veeam Backup Enterprise Manager. И вот ниже часть уязвимостей, связанных с Linux

🗄CVE-2024-1086: Ошибка в подсистеме межсетевого экрана netfilter ядра Linux позволяет злоумышленнику повысить привилегии до уровня root. Это может привести к серьезным последствиям для безопасности системы. CVSS-оценка: 7.8. Рекомендовано следовать инструкции на официальной странице kernel.org. VMware также оказался под ударом.

🗄CVE-2024-37080 и CVE-2024-37079: Уязвимости в VMware vCenter, связанные с удаленным выполнением кода. Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter и получить полный контроль над системой с целью дальнейшего развития атаки. Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC). CVSS-оценка: 9.8. Рекомендуется скачать обновление на официальной странице VMware.

@linuxkalii

💻 Уязвимость в HackerOne

Анонимный хакер с киберпреступного форума недавно заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne, известной своими программами поощрения за обнаружение уязвимостей. Сообщение об этом появилось в официальном X-аккаунте компании ThreatMon, специализирующейся на ИБ-информировании.

Судя по заявлению злоумышленника, он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Платформа известна своими надёжными мерами безопасности, поэтому заявление о наличии уязвимости является особенно тревожным. Эксперты предполагают, что подтверждение этой бреши может иметь серьёзные последствия для пользователей платформы и сообщества киберспециалистов в целом.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA, что окутывает ситуацию дополнительной пеленой интриги.

ИБ-сообщество отреагировало на эту новость сочетанием скептицизма и беспокойства. Одни ждут официального заявления и подробностей от HackerOne, в то время как другие уже обсуждают потенциальные последствия такой уязвимости.

@linuxkalii

💻 SnailLoad — новый метод атаки по сторонним каналам

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

🗄 Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

@linuxkalii