Дослідники Immunity Inc. пролили світло на віддалену експлуатацію ядра через призму нещодавнього переповнення віддаленого стека (CVE-2022-0435).
CVE-2022-0435 — це віддалене переповнення стека в мережевому модулі Transparent Inter-Process Communication (TIPC) ядра Linux.
CVE-2022-0435 — це віддалене переповнення стека в мережевому модулі Transparent Inter-Process Communication (TIPC) ядра Linux.
Immunity Inc. Blog
Writing a Linux Kernel Remote in 2022
Writing a Linux Kernel Remote in 2022 In this blog, we examine what goes into remotely exploiting the Linux kernel in 2022, highlighting the main hurdles as well as the differences and similarities with local exploitation.
Overview At Appgate Threat Advisory…
Overview At Appgate Threat Advisory…
Дослідники Check Point виявили RCE вразливість в чіпах Qualcomm/MediaTek, що дозволяє зловмиснику отримати контроль над мультимедійними даними користувача, включаючи потокове передавання зображення з камери зламаної машини (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351).
Зловмисник може надіслати пісню (медіа-файл) і виконати код у привілейованому медіа-сервісі під час відтворення файлу.
Зловмисник може надіслати пісню (медіа-файл) і виконати код у привілейованому медіа-сервісі під час відтворення файлу.
Check Point Blog
Vulnerabilities In The ALAC Format - Check Point Blog
Check Point Research discovered vulnerabilities in the ALAC format that could have led an attacker to remotely get access to its media and audio conversations
Колекція гайдів із посилення безпеки, best practices, checklists, корисних інструментів та інших ресурсів (Linux, Windows, MacOs, network devices, virtualization, containers, services, NSA security best-practices).
GitHub
GitHub - decalage2/awesome-security-hardening: A collection of awesome security hardening guides, tools and other resources
A collection of awesome security hardening guides, tools and other resources - decalage2/awesome-security-hardening
Microsoft 365 Defender Research Team розкрила дві вразливості з ескалації привілеїв в операційній системі Linux.
Під загальною назвою «Nimbuspwn» вразливості можуть бути пов’язані разом, щоб отримати root-права в системах Linux, дозволяючи зловмисникам розгортати корисне навантаження, типу бекдорів, і виконувати інші шкідливі дії за допомогою довільного виконання коду.
Під загальною назвою «Nimbuspwn» вразливості можуть бути пов’язані разом, щоб отримати root-права в системах Linux, дозволяючи зловмисникам розгортати корисне навантаження, типу бекдорів, і виконувати інші шкідливі дії за допомогою довільного виконання коду.
Microsoft News
Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn
Microsoft has discovered several vulnerabilities, collectively referred to as Nimbuspwn, that could be chained together, allowing an attacker to elevate privileges to root on many Linux desktop endpoints. Leveraging Nimbuspwn as a vector for root access could…
Пов'язане з китайським урядом угрупування атакує російські системи за допомогою оновленої версії трояна віддаленого доступу під назвою PlugX.
Secureworks приписує спробу вторгнення угрупуванню, яку вона відстежує як Bronze President.
Secureworks приписує спробу вторгнення угрупуванню, яку вона відстежує як Bronze President.
Secureworks
BRONZE PRESIDENT targets Russian speakers with updated PlugX - Blog
: The threat group’s targeting shift could reflect a change in China’s intelligence collection requirements due to the war in Ukraine.
Національне управління кібербезпеки (DNSC) Румунії повідомляє, що веб-сайти уряду Румунії, міністерства оборони, прикордонної поліції, національної залізничної компанії та OTP банку були атаковані російським угрупуванням під назвою Killnet.
Угрупування Killnet приписало інцидент собі у Телеграмі і заявило, що розпочало атаку, оскільки Румунія підтримує Україну після російського вторгнення.
У румунській розвідувальній службі пояснили, що сайти не працювали протягом кількох годин після того, як атаки почалися близько 4 ранку за місцевим часом.
Угрупування Killnet приписало інцидент собі у Телеграмі і заявило, що розпочало атаку, оскільки Румунія підтримує Україну після російського вторгнення.
У румунській розвідувальній службі пояснили, що сайти не працювали протягом кількох годин після того, як атаки почалися близько 4 ранку за місцевим часом.
dnsc.ro
Comunicat de presă: Site-uri .ro afectate de un atac de tip DDoS (distributed denial of service)
На хакерських форумах зловмисники почали продавати послугу "Emergency Data Request" (EDR).
"Терміновий запит на дані" (EDR) — це запит офіцера поліції до технологічної компанії, розроблений для надзвичайних ситуацій, коли поліцейському потрібен онлайн-сервіс, щоб розкрити деякі дані користувача, щоб врятувати життя чи запобігти трагедії.
Як тільки шахраї проникають на сервер електронної пошти поліції (нещодавний приклад LAPSUS$), вони можуть надсилати власні EDR до онлайн-сервісів, які будуть сумлінно зливати дані своїх користувачів.
https://pluralistic.net/2022/03/30/lawful-interception/#edrs
"Терміновий запит на дані" (EDR) — це запит офіцера поліції до технологічної компанії, розроблений для надзвичайних ситуацій, коли поліцейському потрібен онлайн-сервіс, щоб розкрити деякі дані користувача, щоб врятувати життя чи запобігти трагедії.
Як тільки шахраї проникають на сервер електронної пошти поліції (нещодавний приклад LAPSUS$), вони можуть надсилати власні EDR до онлайн-сервісів, які будуть сумлінно зливати дані своїх користувачів.
https://pluralistic.net/2022/03/30/lawful-interception/#edrs
NCC Group описали техніки взлому якими користувались хакери LAPSUS$ при нещодавніх інцидентах.
Протягом останніх 5 місяців LAPSUS$ отримав велику популярність завдяки успішним взломам великих компаній, включаючи Microsoft, Nvidia, Okta і Samsung. При цьому на відмінну від інших зловмисників учасники угрупування використовували тільки загальновідомі інструменти, не розробляючи власного шкідливого програмного забезпечення для взлому.
Протягом останніх 5 місяців LAPSUS$ отримав велику популярність завдяки успішним взломам великих компаній, включаючи Microsoft, Nvidia, Okta і Samsung. При цьому на відмінну від інших зловмисників учасники угрупування використовували тільки загальновідомі інструменти, не розробляючи власного шкідливого програмного забезпечення для взлому.
Новий проект PyScript дозволяє вставляти скрипти Python безпосередньо в HTML сторінки і виконувати їх у браузері без використання серверу.
Проект був анонсований в ці вихідні на PyCon US 2022 і діє як обгортка навколо проекту Pyodide, який завантажує інтерпретатор CPython як модуль браузера WebAssembly.
Проект був анонсований в ці вихідні на PyCon US 2022 і діє як обгортка навколо проекту Pyodide, який завантажує інтерпретатор CPython як модуль браузера WebAssembly.
Anaconda
Anaconda | New from Anaconda: Python in the Browser
pyscript.net Supporting open source and creating tools that enable people to do more with less are why I joined Anaconda almost eight years ago. Today, at PyCon US 2022, I'm happy to unveil a new project that we’ve been working on here at Anaconda. We have…
Які нові вразливості з'явились у вільному доступі? Якими інструментами користуються хакери? Які компанії були взломані хакерськими угрупуваннями останнім часом?
Про це та інші новини у сфері кібербезпеки в Україні та світі читайте в телеграм каналі The Hackest Ever.
Про це та інші новини у сфері кібербезпеки в Україні та світі читайте в телеграм каналі The Hackest Ever.
Китайські хакери були помічені у експлуатації популярних антивірусних продуктів для атаки на телекомунікаційний сектор.
Фірма з кібербезпеки SentinelOne пов’язала вторгнення з угрупуванням, якого вона відстежує під ім’ям «Moshen Dragon» (він же RedFoxtrot).
Тактика Moshen Dragon передбачає експлуатацію легітимного антивірусного програмного забезпечення, що належить BitDefender, Kaspersky, McAfee, Symantec і Trend Micro, щоб завантажити ShadowPad і Talisman на зламані системи за допомогою техніки, яка називається DLL search order hijacking.
Фірма з кібербезпеки SentinelOne пов’язала вторгнення з угрупуванням, якого вона відстежує під ім’ям «Moshen Dragon» (він же RedFoxtrot).
Тактика Moshen Dragon передбачає експлуатацію легітимного антивірусного програмного забезпечення, що належить BitDefender, Kaspersky, McAfee, Symantec і Trend Micro, щоб завантажити ShadowPad і Talisman на зламані системи за допомогою техніки, яка називається DLL search order hijacking.
SentinelOne
Moshen Dragon’s Triad-and-Error Approach | Abusing Security Software to Sideload PlugX and ShadowPad
Chinese-aligned APT group Moshen Dragon caught sideloading malware through multiple AV products to infect telecoms sector.
"Урядові хакери з Китаю, Ірану, Північної Кореї та Росії, а також різні не атрибутовані угрупування використовують різні теми, пов'язані з війною в Україні для своїх фішингових кампаній", - повідомляє у звіті Google Threat Analysis Group (TAG).
Кібер-угрупування намагаються викрасти облікові дані та отримати доступ до організацій в Україні, Литві, Центральній Азії, країнах Балтії та навіть самій Росії.
Кібер-угрупування намагаються викрасти облікові дані та отримати доступ до організацій в Україні, Литві, Центральній Азії, країнах Балтії та навіть самій Росії.
Google
Update on cyber activity in Eastern Europe
An update on cyber activity in eastern Europe.
CERT-UA розкрила подробиці DDoS атак, спрямованих на урядові та новинні портали шляхом впровадження шкідливого JavaScript коду (під назвою «BrownFlood») в зламані сайти.
Зловмисники розміщують шкідливий JavaScript-код (BrownFlood) у структурі веб-сторінок та файлах зламаних сайтів (переважно, під управлінням WordPress), в результаті чого обчислювальні ресурси комп'ютерів відвідувачів таких сайтів використовуються для генерації аномальної кількості запитів до об'єктів атаки, URL-адреси яких статично визначено в шкідливому JavaScript-коді.
Зловмисники розміщують шкідливий JavaScript-код (BrownFlood) у структурі веб-сторінок та файлах зламаних сайтів (переважно, під управлінням WordPress), в результаті чого обчислювальні ресурси комп'ютерів відвідувачів таких сайтів використовуються для генерації аномальної кількості запитів до об'єктів атаки, URL-адреси яких статично визначено в шкідливому JavaScript-коді.
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
Аналізуючи штами ransomware, дослідник безпеки hyp3rlinx в рамках проекту Malvuln (що спеціалізується на пошуку вразливостей у різних шкідливих програмах) з'ясував, що зразки хакерського ПЗ вразливі для захоплення DLL - методу, який зазвичай використовується зловмисниками для впровадження шкідливого коду. Помилки були виявлені в програмах відомих хакерських угрупувань: Conti, REvil, Black Basta, LockBit та AvosLocker.
Malvuln
Malvuln - Malware security vulnerabilty research and exploits targeting malware, worms and viruses. Malvuln is a unique source…
Malvuln.com is the first website ever dedicated exclusively to Malware security vulnerability research. Malvuln was created by security researcher John Page (aka hyp3rlinx) and includes postings of 0day exploits targeting malware, worms and viruses. Malvuln…
Дослідники SentinelOne виявили 10-річні вразливості в антивірусах Avast і AVG.
Ці вразливості дозволяють зловмисникам підвищувати привілегії, дозволяючи відключати продукти безпеки, перезаписувати системні компоненти, пошкоджувати операційну систему або безперешкодно виконувати шкідливі операції.
Помічені як CVE-2022-26522 і CVE-2022-26523, вразливості містяться в легітимному драйвері ядра антируткіта під назвою aswArPot.sys і були ще у версії Avast 12.1, яка була випущена в червні 2016 року.
Ці вразливості дозволяють зловмисникам підвищувати привілегії, дозволяючи відключати продукти безпеки, перезаписувати системні компоненти, пошкоджувати операційну систему або безперешкодно виконувати шкідливі операції.
Помічені як CVE-2022-26522 і CVE-2022-26523, вразливості містяться в легітимному драйвері ядра антируткіта під назвою aswArPot.sys і були ще у версії Avast 12.1, яка була випущена в червні 2016 року.
SentinelOne
Vulnerabilities in Avast And AVG Put Millions At Risk
Two high-severity flaws in popular end user security tools allow attackers to elevate privileges and compromise devices.
Дослідники з Cybereason нещодавно повідомили про операцію CuckooBees, у якій китайські хакери, спонсоровані державою, намагаються викрасти таємну інформацію у десятка глобальних оборонних, енергетичних, біотехнологічних, аерокосмічних і фармацевтичних компаній.
Організації, які постраждали, не були названі, але нібито включають деякі з найбільших компаній Північної Америки, Європи та Азії. Cybereason пов’язав кампанію з Winnti Group, також відомою як APT 41.
Протягом 12-місячного розслідування Cybereason виявили, що зловмисники заволоділи інтелектуальною власністю та конфіденційною інформацією, включаючи формули, вихідний код, науково-дослідні документи та креслення, а також діаграми винищувачів, гелікоптерів, ракет тощо.
Організації, які постраждали, не були названі, але нібито включають деякі з найбільших компаній Північної Америки, Європи та Азії. Cybereason пов’язав кампанію з Winnti Group, також відомою як APT 41.
Протягом 12-місячного розслідування Cybereason виявили, що зловмисники заволоділи інтелектуальною власністю та конфіденційною інформацією, включаючи формули, вихідний код, науково-дослідні документи та креслення, а також діаграми винищувачів, гелікоптерів, ракет тощо.
Cybereason
Operation CuckooBees: Cybereason Uncovers Massive Chinese Intellectual Property Theft Operation
Cybereason recently an attack assessed to be the work of Chinese APT Winnti that operated undetected, siphoning intellectual property and sensitive data - the two companion reports examine the tactics and techniques of the overall campaign as well as more…