Инфостилер Agent Tesla атакует нефтегазовую промышленность
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
SecurityLab.ru
Инфостилер Agent Tesla атакует нефтегазовую промышленность
Agent Tesla известен с 2014 года, однако в атаках на нефтегазовые предприятия используется впервые.
Обзор уязвимостей за неделю: 24 апреля 2020 года
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
За последнюю неделю был обнаружен ряд уязвимостей в iOS, в решении IBM Data Risk Manager, MySQL Server, клиенте Zoom для конференций и пр.
Эксперты обнаружили две критические уязвимости, позволяющие удаленным злоумышленникам взломать iPhone и iPad через встроенное iOS-приложение «Почта». Проблемы представляют собой уязвимости удаленного выполнения кода и содержатся в MIME-библиотеке почтового приложения от Apple.
Первая уязвимость связана с ошибкой границ при обработке электронной почты в iOS MobileMail. Удаленный злоумышленник может отправить специально сформированное сообщение электронной почты, инициировать запись за пределами поля и выполнить произвольный код на целевой системе. Вторая проблема связана с переполнением кучи.
Apple исправила обе ошибки в бета-версии iOS 13.4.5. Компания также провела «тщательное расследование» в связи с публикацией недавнего отчета об уязвимостях нулевого дня в iOS и не обнаружила никаких свидетельств эксплуатации их в реальных атаках.
В решении IBM Data Risk Manager (IDRM) были обнаружены четыре опасные уязвимости, эксплуатация которых позволяет неавторизованному злоумышленнику удаленно выполнить код с правами суперпользователя. Проблемы связаны с обходом аутентификации, внедрением команд, встроенными учетными данными и произвольной загрузкой файлов. IBM устранила две из четырех уязвимостей (уязвимость внедрения команд и произвольной загрузки файлов) в версии решения 2.0.4.
В ПО баз данных MySQL Server и SQLite обнаружено множество уязвимостей, в том числе опасные проблемы, которые могут быть использованы для удаленной компрометации целевой системы. Некоторые проблемы могут позволить удаленному злоумышленнику осуществить DoS-атаки или получить доступ к конфиденциальным данным.
В плагинах Jenkins AWS SAM и Jenkins Yaml Axis содержатся две RCE-уязвимости ( CVE-2020-2180 и CVE-2020-2179 соответственно). Обе проблемы связаны с тем, что синтаксический анализатор YAML не предотвращает создание экземпляров произвольных типов, позволяя таким образом удаленно выполнить код.
В версии клиента Zoom для конференций 4.6.11 были обнаружены две уязвимости. Проблема заключается в том, что файл «airhost.exe» использует хэш SHA-256 0123425234234fsdfsdr3242 для инициализации контекста CBC OpenSSL EVP AES-256, что может использоваться удаленным злоумышленником для получения несанкционированного доступа к приложению.
В браузере Google Chrome устранены многочисленные уязвимости, наиболее серьезные из которых позволяли удаленному злоумышленнику выполнить произвольный код на системе.
Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.
В ПО Foxit PDF Reader и PhantomPDF обнаружено множество опасных уязвимостей, эксплуатация которых позволяет удаленно выполнить код. Проблемы связаны с ошибкой границ при обработке объектов U3D в PDF-файлах. Уязвимости затрагивают версии Foxit PDF Reader и PhantomPDF Reader 9.7.1.29511 и старше, а также версии 3D Plugin (Beta) 9.7.1.29511 и старше.
В системе управления контентом с открытым исходным кодом Joomla! с одержатся уязвимости, наиболее серьезная из которых может позволить удаленному неавторизованному злоумышленнику получить доступ к ограниченной функциональности или поставить под угрозу уязвимую систему.
Источник: https://www.securitylab.ru/news/507859.php
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
За последнюю неделю был обнаружен ряд уязвимостей в iOS, в решении IBM Data Risk Manager, MySQL Server, клиенте Zoom для конференций и пр.
Эксперты обнаружили две критические уязвимости, позволяющие удаленным злоумышленникам взломать iPhone и iPad через встроенное iOS-приложение «Почта». Проблемы представляют собой уязвимости удаленного выполнения кода и содержатся в MIME-библиотеке почтового приложения от Apple.
Первая уязвимость связана с ошибкой границ при обработке электронной почты в iOS MobileMail. Удаленный злоумышленник может отправить специально сформированное сообщение электронной почты, инициировать запись за пределами поля и выполнить произвольный код на целевой системе. Вторая проблема связана с переполнением кучи.
Apple исправила обе ошибки в бета-версии iOS 13.4.5. Компания также провела «тщательное расследование» в связи с публикацией недавнего отчета об уязвимостях нулевого дня в iOS и не обнаружила никаких свидетельств эксплуатации их в реальных атаках.
В решении IBM Data Risk Manager (IDRM) были обнаружены четыре опасные уязвимости, эксплуатация которых позволяет неавторизованному злоумышленнику удаленно выполнить код с правами суперпользователя. Проблемы связаны с обходом аутентификации, внедрением команд, встроенными учетными данными и произвольной загрузкой файлов. IBM устранила две из четырех уязвимостей (уязвимость внедрения команд и произвольной загрузки файлов) в версии решения 2.0.4.
В ПО баз данных MySQL Server и SQLite обнаружено множество уязвимостей, в том числе опасные проблемы, которые могут быть использованы для удаленной компрометации целевой системы. Некоторые проблемы могут позволить удаленному злоумышленнику осуществить DoS-атаки или получить доступ к конфиденциальным данным.
В плагинах Jenkins AWS SAM и Jenkins Yaml Axis содержатся две RCE-уязвимости ( CVE-2020-2180 и CVE-2020-2179 соответственно). Обе проблемы связаны с тем, что синтаксический анализатор YAML не предотвращает создание экземпляров произвольных типов, позволяя таким образом удаленно выполнить код.
В версии клиента Zoom для конференций 4.6.11 были обнаружены две уязвимости. Проблема заключается в том, что файл «airhost.exe» использует хэш SHA-256 0123425234234fsdfsdr3242 для инициализации контекста CBC OpenSSL EVP AES-256, что может использоваться удаленным злоумышленником для получения несанкционированного доступа к приложению.
В браузере Google Chrome устранены многочисленные уязвимости, наиболее серьезные из которых позволяли удаленному злоумышленнику выполнить произвольный код на системе.
Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.
В ПО Foxit PDF Reader и PhantomPDF обнаружено множество опасных уязвимостей, эксплуатация которых позволяет удаленно выполнить код. Проблемы связаны с ошибкой границ при обработке объектов U3D в PDF-файлах. Уязвимости затрагивают версии Foxit PDF Reader и PhantomPDF Reader 9.7.1.29511 и старше, а также версии 3D Plugin (Beta) 9.7.1.29511 и старше.
В системе управления контентом с открытым исходным кодом Joomla! с одержатся уязвимости, наиболее серьезная из которых может позволить удаленному неавторизованному злоумышленнику получить доступ к ограниченной функциональности или поставить под угрозу уязвимую систему.
Источник: https://www.securitylab.ru/news/507859.php
SecurityLab.ru
Обзор уязвимостей за неделю: 24 апреля 2020 года
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.
Обновление для библиотеки JavaScript на прошлых выходных повергло в хаос большую часть JavaScript-экосистемы, причинив головную боль разработчикам миллионов проектов. Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за крошечной JavaScript-библиотеки, состоящей всего из двух строк (так называемый one-liner).
Речь идет о пакете is-promise, позволяющем разработчикам проверять, являются ли JavaScript-объекты объектами Promise. Хотя библиотека состоит всего из двух строк кода для базовой проверки, она является одним из самых популярных в настоящее время npm-пакетов. Согласно данным GitHub, is-promise входит в 3,4 млн проектов и используется в качестве зависимости еще в 766 JavaScript-библиотеках.
На прошлых выходных is-promise была обновлена, чтобы исполнять роль ES-модуля – стандартизированной модульной системы в языке JavaScript. Тем не менее, версия is-promise 2.2.0 не соответствовала надлежащим стандартам ES-модуля. Из-за неправильной реализации поддержки ES-модуля сразу после выхода обновления проекты, использовавшие is-promise в своей цепочке сборки, начали давать сбои.
Эффект от ошибки сказался незамедлительно. Проблема затронула как кодовые базы JavaScript с закрытым исходным кодом, так и некоторые из крупнейших проектов экосистемы JavaScript. Сюда входят: Create React App (стандартный шаблон для создания приложений React) от Facebook, фреймворк Angular.js от Google, Google Firebasse-tools, Amazon AWS Serverless CLI, Nuxt.js, AVAи пр.
Ошибка не привела к сбою существующих проектов, поэтому простоев не было, но разработчики не смогли скомпилировать новые версии своих проектов.
Команда is-promise выпустила обновление, однако оно не смогло устранить проблему, и в конечном итоге от поддержки ES-модуля в версии 2.2.2 пришлось отказаться.
Источник: https://www.securitylab.ru/news/507869.php
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.
Обновление для библиотеки JavaScript на прошлых выходных повергло в хаос большую часть JavaScript-экосистемы, причинив головную боль разработчикам миллионов проектов. Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за крошечной JavaScript-библиотеки, состоящей всего из двух строк (так называемый one-liner).
Речь идет о пакете is-promise, позволяющем разработчикам проверять, являются ли JavaScript-объекты объектами Promise. Хотя библиотека состоит всего из двух строк кода для базовой проверки, она является одним из самых популярных в настоящее время npm-пакетов. Согласно данным GitHub, is-promise входит в 3,4 млн проектов и используется в качестве зависимости еще в 766 JavaScript-библиотеках.
На прошлых выходных is-promise была обновлена, чтобы исполнять роль ES-модуля – стандартизированной модульной системы в языке JavaScript. Тем не менее, версия is-promise 2.2.0 не соответствовала надлежащим стандартам ES-модуля. Из-за неправильной реализации поддержки ES-модуля сразу после выхода обновления проекты, использовавшие is-promise в своей цепочке сборки, начали давать сбои.
Эффект от ошибки сказался незамедлительно. Проблема затронула как кодовые базы JavaScript с закрытым исходным кодом, так и некоторые из крупнейших проектов экосистемы JavaScript. Сюда входят: Create React App (стандартный шаблон для создания приложений React) от Facebook, фреймворк Angular.js от Google, Google Firebasse-tools, Amazon AWS Serverless CLI, Nuxt.js, AVAи пр.
Ошибка не привела к сбою существующих проектов, поэтому простоев не было, но разработчики не смогли скомпилировать новые версии своих проектов.
Команда is-promise выпустила обновление, однако оно не смогло устранить проблему, и в конечном итоге от поддержки ES-модуля в версии 2.2.2 пришлось отказаться.
Источник: https://www.securitylab.ru/news/507869.php
SecurityLab.ru
Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.
Хакеры рассказали о прибыльной мошеннической схеме с Facebook и PayPal
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
Представители киберпреступного сообщества рассказали изданию CyberNews о мошеннической схеме с Facebook и PayPal, приносящей $1,6 млн дохода в месяц. Отличительной чертой данной схемы является то, что жертва сама добровольно переводит деньги мошенникам.
Впервые схема начала применяться в 2016 году, и в последние годы мошенники снова вспомнили о ней. Последняя волна продолжалась в течение двух месяцев, принося злоумышленникам $53 тыс. чистого дохода в день.
У мошеннической схемы существует два варианта. Для осуществления первого варианта требуется две жертвы. Первая жертва – пользователь Facebook, чью учетную запись нужно взломать, а вторая – человек, переводящий деньги. Злоумышленник взламывает учетную запись пользователя Facebook и просит у 5-6 его друзей перевести деньги. Мошенник просит «друга» получить средства в его PayPal-кошелек, а затем отправить ту же сумму на банковский счет мошенника. Как правило, мошенник объясняет это тем, что у него возникли проблемы с PayPal-кошельком, и он не может снять деньги.
Злоумышленник действительно переводит средства на PayPal-кошелек жертвы. Жертва видит, что деньги получены, и отправляет такую же сумму на указанный банковский счет. Через день-два мошенник осуществляет возврат платежа, и жертва лишается переведенных ей денег. Злоумышленник конвертирует похищенные средства в криптовалюту и закрывает банковский счет.
Второй вариант мошеннической схемы предусматривает использование взломанного PayPal-кошелька. То есть, злоумышленник отправляет жертве средства не со своего PayPal-кошелька, а со взломанного. Когда настоящий владелец увидит несанкционированный перевод, он сам инициирует возврат платежа, и в результате жертва опять же таки лишается средств.
Для осуществления схемы злоумышленникам нужны взломанные учетные записи пользователей Facebook, PayPal-кошелек (свой или взломанный) и «одноразовый» банковский счет. Если на каком-то этапе операции мошенники сталкиваются с трудностями, они переходят к следующей жертве. Как сообщил представитель киберпреступного сообщества, нет смысла слишком стараться, поскольку количество имеющихся в их распоряжении взломанных учетных записей позволяет не зацикливаться на одной жертве.
Источник: https://www.securitylab.ru/news/507944.php
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
Представители киберпреступного сообщества рассказали изданию CyberNews о мошеннической схеме с Facebook и PayPal, приносящей $1,6 млн дохода в месяц. Отличительной чертой данной схемы является то, что жертва сама добровольно переводит деньги мошенникам.
Впервые схема начала применяться в 2016 году, и в последние годы мошенники снова вспомнили о ней. Последняя волна продолжалась в течение двух месяцев, принося злоумышленникам $53 тыс. чистого дохода в день.
У мошеннической схемы существует два варианта. Для осуществления первого варианта требуется две жертвы. Первая жертва – пользователь Facebook, чью учетную запись нужно взломать, а вторая – человек, переводящий деньги. Злоумышленник взламывает учетную запись пользователя Facebook и просит у 5-6 его друзей перевести деньги. Мошенник просит «друга» получить средства в его PayPal-кошелек, а затем отправить ту же сумму на банковский счет мошенника. Как правило, мошенник объясняет это тем, что у него возникли проблемы с PayPal-кошельком, и он не может снять деньги.
Злоумышленник действительно переводит средства на PayPal-кошелек жертвы. Жертва видит, что деньги получены, и отправляет такую же сумму на указанный банковский счет. Через день-два мошенник осуществляет возврат платежа, и жертва лишается переведенных ей денег. Злоумышленник конвертирует похищенные средства в криптовалюту и закрывает банковский счет.
Второй вариант мошеннической схемы предусматривает использование взломанного PayPal-кошелька. То есть, злоумышленник отправляет жертве средства не со своего PayPal-кошелька, а со взломанного. Когда настоящий владелец увидит несанкционированный перевод, он сам инициирует возврат платежа, и в результате жертва опять же таки лишается средств.
Для осуществления схемы злоумышленникам нужны взломанные учетные записи пользователей Facebook, PayPal-кошелек (свой или взломанный) и «одноразовый» банковский счет. Если на каком-то этапе операции мошенники сталкиваются с трудностями, они переходят к следующей жертве. Как сообщил представитель киберпреступного сообщества, нет смысла слишком стараться, поскольку количество имеющихся в их распоряжении взломанных учетных записей позволяет не зацикливаться на одной жертве.
Источник: https://www.securitylab.ru/news/507944.php
SecurityLab.ru
Хакеры рассказали о прибыльной мошеннической схеме с Facebook и PayPal
Последняя волна мошенничества продолжалась два месяца, принося злоумышленникам $53 тыс. в день.
«Правительственные» хакеры взломали почту высокопоставленных лиц Эстонии
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.
Финансируемые правительством хакеры проэксплуатировали уязвимость нулевого дня в эстонском сервисе электронной почты Mail.ee и взломали учетные записи ряда высокопоставленных лиц.
Как сообщается в опубликованном недавно отчете Полиции безопасности Эстонии (Kaitsepolitseiamet, KaPo), инцидент имел место в прошлом году, и с тех пор уязвимость была исправлена. «Уязвимость эксплуатировалась для взлома лишь небольшого количества электронных ящиков, принадлежащих лицам, которые представляют интерес для иностранного государства», - говорится в отчете. Широкому кругу пользователей сервиса беспокоиться не о чем, уверяет KaPo.
Согласно отчету, атака была осуществлена с помощью электронных писем с вредоносным кодом, выполнявшимся, когда получатель открывал письмо на портале Mail.ee. Достаточно было лишь, чтобы жертва открыла письмо, никаких других действий с ее стороны не требовалось.
Вредоносный код автоматизировал ряд действий и настраивал переадресацию писем. «С момента открытия электронного письма с вредоносным кодом все получаемые жертвой письма переадресовывались на учетную запись, подконтрольную атакующему», - сообщила KaPo.
Помимо взлома Mail.ee в отчете также сообщается о других кибератаках на компании и частных лиц в Эстонии. В частности, говорится об операциях с использованием целенаправленного фишинга, проводимых другими финансируемыми правительствами группировками, такими как Gamaredon и Silent Librarian.
Источник: https://www.securitylab.ru/news/507989.php
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.
Финансируемые правительством хакеры проэксплуатировали уязвимость нулевого дня в эстонском сервисе электронной почты Mail.ee и взломали учетные записи ряда высокопоставленных лиц.
Как сообщается в опубликованном недавно отчете Полиции безопасности Эстонии (Kaitsepolitseiamet, KaPo), инцидент имел место в прошлом году, и с тех пор уязвимость была исправлена. «Уязвимость эксплуатировалась для взлома лишь небольшого количества электронных ящиков, принадлежащих лицам, которые представляют интерес для иностранного государства», - говорится в отчете. Широкому кругу пользователей сервиса беспокоиться не о чем, уверяет KaPo.
Согласно отчету, атака была осуществлена с помощью электронных писем с вредоносным кодом, выполнявшимся, когда получатель открывал письмо на портале Mail.ee. Достаточно было лишь, чтобы жертва открыла письмо, никаких других действий с ее стороны не требовалось.
Вредоносный код автоматизировал ряд действий и настраивал переадресацию писем. «С момента открытия электронного письма с вредоносным кодом все получаемые жертвой письма переадресовывались на учетную запись, подконтрольную атакующему», - сообщила KaPo.
Помимо взлома Mail.ee в отчете также сообщается о других кибератаках на компании и частных лиц в Эстонии. В частности, говорится об операциях с использованием целенаправленного фишинга, проводимых другими финансируемыми правительствами группировками, такими как Gamaredon и Silent Librarian.
Источник: https://www.securitylab.ru/news/507989.php
SecurityLab.ru
«Правительственные» хакеры взломали почту высокопоставленных лиц Эстонии
Для взлома было достаточно, чтобы жертва открыла вредоносное письмо, других действий с ее стороны не требовалось.