SecAtor
29.5K subscribers
275 photos
18 videos
4 files
3.63K links
Руки-ножницы российского инфосека.

Для связи - mschniperson@mailfence.com
Download Telegram
Разработчики приложения KeePass отказываются признавать и исправлять ошибку CVE-2023-24055, о которой уже неоднократно за последний год сообщали исследователи и пользователи утилиты.

KeePass Password Safe — это бесплатный менеджер паролей с открытым исходным кодом, который хранит имена пользователей, пароли, другие поля и вложенные файлы в зашифрованном файле, защищенном любой комбинацией мастер-пароля, файла ключа и данных учетной записи в ОС.

Согласно Consumer Reports, KeePass является одним из четырех наиболее популярных менеджеров паролей (наряду с 1Password, Dashlane и LastPass).

Ресерчеры полагают, что злоумышленник, имеющий доступ к системе пользователя, может легко получить открытый текста для всех паролей, хранящихся в приложении KeePass, воспользовавшись триггером для изменения строки в XML-файле конфигурации приложения.

Таким образом, KeePass до версии 2.53 (при установке по умолчанию) позволяет злоумышленнику, имеющему доступ на запись к файлу конфигурации XML, получать пароли в открытом виде, добавляя триггер экспорта.

Предполагаемая ошибка затрагивает все версии приложения KeePass, и разногласия возникают из-за отказа команды разработчиков признать ее недостатком безопасности, не говоря уже об исправлении.

Позиция производителя заключается в том, что база данных паролей не предназначена для защиты от злоумышленника, имеющего такой уровень доступа к локальному ПК, ведь, как они утверждают «если злоумышленник контролирует вашу систему, то это уже не ваша система».

С другой стороны, ресерчеры настаивают на признании уязвимости, поскольку для экспорта паролей от владельца KeePass не требуется никаких действий (например, ввода мастер-пароля), что невозможно даже в ситуациях, когда актор получает доступ к устройству.

Ситуация, безусловно, хоть и спорная.

Но после того, как уже доступный на GitHub PoC-эксплойт для ошибки KeePass будет взят на вооружение популярными стиллерами и RAT, мнение разработчиков должно будет поменяться.
ISC выпустил исправления для устранения уязвимостей в ПО BIND DNS, которые могут привести к отказу в обслуживании.

Программное обеспечение с открытым исходным кодом BIND 9 используется крупными финансовыми организациями, национальными и международными операторами связи, поставщиками интернет-услуг, производителями, образовательными и государственными учреждениями.

Обнаруженные недостатки связаны с named - демоном BIND9, который функционирует как главный сервер имен для фиксированного набора зон DNS или как рекурсивный преобразователь для клиентов в локальной сети.

Всего закрыто четыре ошибки, и все получили оценку 7,5 по CVSS.

Первая CVE-2022-3094 связана с тем, что поток сообщений UPDATE может привести к тому, что named исчерпает всю доступную память.

Другая проблема затрагивает BIND Supported Preview Edition named, который может неожиданно завершать работу при обработке параметров ECS в повторяющихся ответах на повторяющиеся запросы (CVE-2022-3488).

Остальные обусловлены named, настроенным на ответ из устаревшего кеша и могут привести к неожиданному завершению работу при обработке запросов RRSIG (CVE-2022-3736) или при программной обработке рекурсивных клиентов (CVE-2022-3924).

Успешное использование любой из уязвимостей может привести к сбою указанной службы или исчерпанию доступной памяти на целевом сервере.

Пока нет никаких доказательств того, что какая-либо из этих уязвимостей активно эксплуатируется.

Для устранения недостатков и смягчения возможных последствий рекомендуется обновиться до BIND версии 9.16.37-S1 и выше, так как только она на данный момент устраняет все четыре дефекта безопасности.

Дополнительную информацию об исправленных недостатков можно найти в матрице уязвимостей безопасности BIND 9.
Ресерчеры из eSentire установили личность злоумышленника, стоящего за вредоносным ПО Golden Chickens.

В сети злоумышленник известен под псевдонимом badbullzvenom и занимался реализацией Golden Chickens, также известного как Venom Spider, по схеме MaaS.

Более того, как стало известно, разработчики малвари связаны и с другими хакерскими инструментами, такими как Taurus Builder (программное обеспечение для создания вредоносных документов), More_eggs (загрузчик JavaScript), VenomLNK, TerraLoader, TerraRecon, TerraStealer, TerraTV, TerraPreter и TerraCrypt.

Согласно отчету, киберарсенал злоумышленников использовался известными хакерскими группами, включая Cobalt Group, Evilnum, FIN6, а общий ущерб от деятельности оценивается в 1,5 млрд. долл.

Деанонимизиция прошла в рамках 16-месячного расследования и OSINT-марафона, проведенного подразделением реагирования на угрозы eSentire.

Исследователи обнаружили связь учетной записи badbullzvenom с аккаунтом пользователя Frapstar, представлявшимся неким Чаком из Монреаля.

Изучение его цифрового следа позволило специалистам собрать воедино всю личность: его настоящее имя, фотографии, адрес, родителей, друзей и многое другое.

Впервые Frapstar попал в поле зрения Trend Micro еще в 2015 году, когда в одном из отчетов злоумышленник был идентифицирован как кардер и имел несколько учетных записей на разных хакерских форумах, одна из которых - badbullzvenom.

Предполагается, что Frapstar является одним из двух злоумышленников, стоящих за использованием учетной записи badbullzvenom на хакерском форуме Exploit.in.

Личность второго хакера пока не установлена, но, как предполагают ресерчеры, он может находиться в Молдове или Румынии.

Несмотря на разоблачение, ассортимент хакеров не поубавился, а продажи набирают обороты, как показывают наблюдения eSentire.

Но будем посмотреть.
В начале прошлого года производитель QNAP можно сказать дважды кинул своих пользователей, буквально - в руки вымогателей DeadBolt и eCh0raix, которые шифровали устройства NAS с использованием 0-day, пока производитель буксовал с исправлением.

Решив все же в новом году не наступать на те же грабли, QNAP решила опередить очередную волну ransomware, призывав клиентов установить обновления для QTS и QuTS, которые устраняют критическую RCE-уязвимость.

CVE-2022-27596 оценивается как критическая с оценкой CVSS v3: 9,8 и затрагивает версии ОС QTS 5.0.1 и QuTS hero h5.0.1, позволяя удаленным злоумышленникам внедрять вредоносный код в устройства QNAP NAS.

Поставщик не раскрыл технических подробностей или информации о возможностях ее эксплуатации, но согласно NIST, ошибка описывается как уязвимость SQL-инъекции.

Кроме того, QNAP представила JSON, демонстрирующий серьезность уязвимости, указывая на то, что ее можно использовать в атаках низкой сложности удаленными злоумышленниками, не требующими вмешательства пользователя или привилегий на целевом устройстве.

В бюллетене QNAP не отметила CVE-2022-27596 как активно эксплуатируемую в дикой природе.

В силу ее серьезности пользователям рекомендуется как можно скорее установить доступные обновления: QTS 5.0.1.2234 сборка 20221201 и QuTS hero h5.0.1.2248 сборки 20221215 (или более поздние).

Но, по всей видимости, «натренированным» еще с прошлого года пользователям QNAP NAS напоминания в принципе не требуются.
Для подготовки своего нового отчета ресерчерам Лаборатории Касперского пришлось просканировать даркнет и с головой погрузиться в профсообщество современных киберпреступников.

Как и любой другой бизнес, хакерская индустрия нуждается в рекрутинге рабочей силы.

Новых членов в команды и подбор специалистов для узконаправленных задач киберпреступники ведут в даркнете. Соискателям предлагаются ежемесячная заработная плата, оплачиваемый отпуск и отпуск по болезни.

Исследователи изучили и проанализировали более 200 000 объявлений о вакансиях, размещенных на 155 теневых площадках за период с марта 2020 года по июнь 2022 года.

Материал получился объемный и достаточно репрезентативный.

Большинство работодателей даркнета предлагают полулегальную и нелегальную работу, бывают и исключения (создание учебных курсов по ИТ).

Объявлений о поиске работы было значительно меньше, чем предложений.

Резюме, размещенные на даркнет-форумах, касаются самых разных областей знаний и должностных инструкций: от модерации каналов Telegram до компрометации корпоративной инфраструктуры. 

Профессиональные хакерские команды и APT фокусируются на поиске и найме разработчиков ПО, предлагая при этом серьезные оферы для их привлечения (более 61% всех объявлений).

На втором месте оказались пентестеры с 16%, а на третьем — дизайнеры с 10%.

Самая высокооплачиваемая вакансия включала месячную зарплату в размере 20 000 долл., в то время как другие предложения для высококлассных спецов по таргетирванным атакам превышали планку в 15 000.

Кроме того, востребованы услуги аналитиков, разработчиков вредоносных программ и инструментов, брокеров первичного доступа, реверсинженеров, тестировщиков, веб-дизайнеров, спецов по фишингу, и админов.

Средняя з/п для IT-специалистов варьируется в диапазоне 1300 - 4000 долл. в месяц. При этом наиболее высокоплачиваемыми считаются реверсинженеры, а услуги дизайна - самыми дешевыми.

Более трети предложений предполагали кандидатам полную занятость на весь рабочий день, другая треть - гибкий график, в оставшихся 45% - удаленка.

В некоторых случаях (8% вакансий) работникам также предлагался ежегодный оплачиваемый отпуск и оплата больничного. Продумана и система мотивации: поощрения, продвижение на вышестоящие должности, стажировки и тп.

По мнению специалистов ЛК, такие плюшки и более высокий заработок делают предложения киберпреступников конкурентными легальным вакансиям на рынке IT и более привлекательными для начинающих и безработных специалистов.

Другими факторами являются отсутствие формальных требований к кандидату: образование, судимости, военная служба и тп.

Как и обычной жизни, в процессе найма рекрутеры предлагают пройти собеседование и выполнить тестовые задания для определения и подтверждения профессионального уровня соискателя.

Оценивается также резюме или портфолио.

В характерных случая, обнаруженных Лабораторией Касперского, кандидатам даже оплачивалась тестовая работа: около 300 долларов в BTC.

В другой ситуации соискатель должен был в течение 24 часов скрыть тестовую DLL от обнаружения антивирусными средствами, допуская максимум 3 незначительных сработки.

Ресерчеры полагают, что даркнет будет еще более активно задействоваться организованной киберпреступностью в качестве инструмента вербовки новых членов, предлагая стабильный доход и возможности в условиях нестабильной экономической и политической ситуации.

Однако, как отмечают в ЛК, не многие осознают, что риски по-прежнему перевешивают преимущества.

Работодатель не несет никакой ответственности, а работник всегда может остаться без зарплаты, стать участником мошеннической схемы или вовсе отправиться в места не столь отдаленные.
GitHub снова взломали и на этот раз хакеры добрались до сертификатов репозиториев Atom и GitHub Desktop.

Несанкционированный доступ обнаружили 7 декабря 2022 года.

В результате расследования стало понятно, что утечке способствовала компрометация токена личного доступа PAT.

Взлом привел к клонированию репозиториев Atom и Desktop, а также других устаревших репозиториев, принадлежащих GitHub.

В них хранилось несколько сертификатов подписи кода, которые были зашифрованы и предназначались для процедур выпуска GitHub Desktop и Atom.

Украденные сертификаты не подвергают риску существующие установки приложений Desktop и Atom.

Однако в случае расшифровки злоумышленник может подписывать этими сертификатами неофициальные приложения и делать вид, что они официально созданы GitHub.

У двух сертификатов подписи кода Digicert, используемых для Windows, истекли сроки действия, а вот сертификат Apple Developer ID еще будет действовать до 2027 года.

Но GitHub отзовет все три сертификата 2 февраля 2023 года.

Тем не менее, в ожидании отзыва сертификата разработчики GitHub совместно с Apple ведут поиск любых новых исполняемых файлов и программ, которые могли быть подписаны скомпрометированным сертификатом.

В ходе расследования специалисты сделали вывод, что GitHub и другие продукты, за исключением конкретных сертификатов, упомянутых выше, никак не пострадали, а код, включенный в эти репозитории, не подвергался каким-либо нелегитимным изменениям.

Страница выпусков была обновлена и две самые последние версии приложения Atom, 1.63.0-1.63.1, были удалены. Они перестанут работать, как только сертификат будет отозван.
Стабильность - признак мастерства! Но только не в случае инфосек вендора ESET. Там больше похоже на очень гибкий позвоночник.

Словаки опубликовали очередной отчет об активности APT за период с сентября по декабрь 2022 года. Угадайте с четырех раз - APT каких четырех стран там представлены?

Китай, Иран, Северная Корея, Россия. И еще кибершпионская группа SturgeonPhisher неустановленной принадлежности. Все как Буш-младший завещал.

А ведь эти люди боролись за звание дома высокой культуры и быта возможность попасть в список российского ПО. Правильно их тогда выпнули.

- Доктор Кокс, я с этим цветом не похожа на клоуна?
- Ну что ты, Барби, нет. Ты похожа на проститутку, которая дает только клоунам
(с).
Абсолютно согласны с данным мнением!
В высокогорье Гималаев тоже есть свои таланты.

Исследователь Gtm Manoz из Непала смог найти уязвимости двухфакторной аутентификации (2FA) в продуктах Facebook Meta, признанной в России экстремистской организацией.

В сентябре 2022 года в ходе анализа страницы Центра мета-аккаунтов в Instagram он обнаружил, что в системе для подтверждения или добавления номера телефона и адреса электронной почты к учетной записи Instagram и Facebook отсутствует защита, необходимая для ограничения по скорости.

Чтобы подтвердить адрес электронной почты и номер телефона, пользователям следует ввести шестизначный код, полученный через email или по sms. Уязвимость позволяет злоумышленнику вводить методом перебора все возможные коды, пока он не получит правильный.

Таким образом, потенциальному злоумышленнику достаточно было выяснить номер телефона, привязанный пользователем к своей учетной записи Instagram и Facebook, чтобы присвоить номер телефона жертвы подконтрольной учетной записи.

Исправление было выпущено Meta в октябре 2022 года, а исследователь Manoz получил 27 200 долларов за раскрытие уязвимости по программе BugBounty.

Ни сколько не умаляя результатов и таланта исследователя из Непала, ошибки на уровне стандартной защиты при реализации 2FA - это пожалуй все, что нужно знать о разработке в Meta, которая в перспективе намерена обзавестись целой вселенной.

Зато с цензорами проблем нет: миньоны Цукерберга не дадут соврать. При том, что личные данные пользователей уже давно считаются материалом в реализации политических или коммерческих амбиций основных акционеров компании.
В контексте недавнего исправления тайваньским производителем QNAP критической SQL-уязвимости (CVE-2022-27596) с оценкой CVSS 9,8 нас тут справедливо спрашивают читатели: ну какой кретин выставляет NAS в Интернет?

Но ответ вряд ли порадует: 67 415 NAS-устройств QNAP обнаружили исследователи Censys, причем из проанализированных 30 520 хостов более 98% остаются непропатченными и уязвимыми для атак с использованием CVE-2022-27596.

Как мы уже отмечали, удаленные злоумышленники, не прошедших проверку подлинности, могут использовать эту уязвимость для внедрения вредоносного кода в атаках низкой сложности, без необходимости взаимодействия с пользователем.

К счастью, поскольку эта уязвимость еще не используется в дикой природе, а PoC еще не появился в свободном доступе, у пользователей еще есть время, чтобы исправить уязвимые устройства NAS.

Вангуем, что первые жертвы атак появятся еще до выхода PoC-эксплойта, по крайней мере DeadBolt и eCh0raix уже не раз это демонстрировали.

Помимо обновления производитель NAS призывает клиентов с устройствами, подключенными к Интернету, принять меры для защиты их от входящих атак, отключив функции переадресации портов маршрутизатора и UPnP QNAP NAS.

Кроме того, рекомендуется также отключить подключения SSH и Telnet, изменить номер системного порта, пароли устройств и включить защиту доступа к IP-адресу и учетной записи, следуя этим инструкциям.
Очередная порция ошибок в программных продуктах компании American Megatrends.

Не прошло и двух месяцев, как в AMI MegaRAC Baseboard Management Controller (BMC) было выявлено еще две уязвимости.

Софт используется системными администраторами для удалённого доступа к серверному оборудованию и в прошлый раз специалистами из Eclypsium были найдены три серьёзные баги.

В совокупности, выявленные ошибки в прошивке контроллера управления основной платой, могли дать злоумышленникам возможность удаленно скомпрометировать системы, широко используемые в ЦОДах и в облачных сервисах на серверах более 15 поставщиков, включая AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo и Nvidia.

Два новых недостатка связанны с возможностью перехвата сброса пароля через API (CVE-2022-26872 с CVSS: 8,3) и слабыми хэшами паролей для Redfish и API (CVE-2022-40258 с CVSS: 5,3).

В частности, CVE-2022-26872 использует HTTP API, чтобы заставить пользователя инициировать сброс пароля с помощью атак с социальной инженерией и установить пароль по выбору злоумышленника.

Во втором случае было обнаружено, что MegaRAC использует алгоритм хеширования MD5 с глобальной солью для старых устройств или SHA-512 с солью для каждого пользователя на новых устройствах, что потенциально позволяет злоумышленнику взломать пароли.

Стоит отметить, что уязвимости можно использовать только в сценариях, когда BMC подключены к Интернету, или в случаях, когда субъект угрозы уже получил первоначальный доступ к ЦОД или административной сети другими методами.

Ландшафт угроз до конца не определен, но в Eclypsium заявили, что работают с AMI и другими поставщиками, чтобы определить контуры уязвимых продуктов и услуг.

Возможные последствия от использования этих уязвимостей включают в себя удаленное управление скомпрометированными серверами, развертывание вредоносного ПО, а также возможность физического повреждения серверов и их блокировки.

Gigabyte, Hewlett Packard Enterprise, Intel и Lenovo
уже выпустили обновления для устранения недостатков безопасности в своих устройствах, а NVIDIA планирует выпустить патч в мае 2023 года.
Группа исследователей из Assetnote раскрыли технические подробности обнаруженных критических уязвимостях в платформа для управления IP-телефонией Avaya Device Services.

Для исследования службы управления телефоном AADS команда запускала ПО в облачной среде, однако большая часть анализа по-прежнему проводилась в автономном режиме.

Для работ был использован установочный двоичный файл AADS aads-8.0.0.0.268.bin, представляющий собой Makeself-архив с TAR-архивом, установочным скриптом и .rpm пакетами в одном файле.

Прочесав исходный код в декомпилированных .jar и .war файлов на предмет распространенных ошибок ресерчеры обнаружили XSS-уязвимость, позволявшая добиться отражения XSS без необходимости аутентификации.

При этом в некоторых установках Avaya Device Services эта с XSS была доступна только при выполнении атаки с обходом каталога, открывающей панель администрирования.

Изучив большую часть Java, ресерчеры обратили внимание на все установленные файлы конфигурации. По итогу проблемная реализация в /etc/httpd/conf/httpd.conf позволила им обнаружить RCE-уязвимость, позволяющую обойти единственный элемент управления безопасностью Avaya_Phone.

По итогу в Avaya заявили, что ошибки были исправлены в предыдущей версии ПО, им не присваивались идентификаторы CVE.

В документации (здесь) производителя RCE-уязвимость в Avaya Device Services отслеживаются как ACS-21519. Тем не менее за раскрытие последовавших за ней баг исследователям откатили по BugBounty более 60 тысяч долларов.
Специалисты Лаборатории Касперского расчехлили три новых версии небезизвестного вредоносного ПО Prilex, нацеленного на кредитные карты с поддержкой NFC.

Криминальная схема с каржем карт встала на ступеньку выше, ведь малварь, когда-то нацеленная на банкоматы теперь превратилось в новый модульный вредонос для PoS терминалов и на данный момент является самой сложной PoS-угрозой, с которой когда-либо сталкивались эксперты.

Прелесть Prilex заключается в том, что в он способен блокировать безопасные бесконтактные транзакции по кредитным картам с поддержкой NFC, вынуждая потребителей вставлять кредитные карты, которые затем будут украдены вредоносным ПО.

Встроенные в кредитные карты и девайсы чипы NFC предназначены для проведения платежей на близком расстоянии с помощью кредитных карт, смартфонов или даже смарт-часов и их популярность резко возросла после пандемии COVID-19, когда за 2021 год было зарегистрировано бесконтактных транзакций на рекордную сумму более 34,55 миллиардов долларов.

Использование чипов NFC в картах облегчило жизнь потребителя, но усложнило кражу информации о кредитных картах вредоносными программами в точках продаж, что побудило злоумышленников разрабатывать новые методы.

И разработали, так как ресерчеры обнаружили в дикой природе как минимум три новых варианта вредоносного ПО с номерами версий 06.03.8070, 06.03.8072 и 06.03.8080, впервые выпущенные в ноябре 2022 года.

Собственно, в них и представлена новая функция, не позволяющая платежным терминалам принимать бесконтактные транзакции, вынуждая клиентов вставлять свои карты.

Кроме того, в сентябре 2022 года специалисты ЛК сообщали, что в Prilex добавлена генерацию криптограммы EMV (Europay, MasterCard и Visa), чтобы избежать обнаружения и выполнять «фантомные транзакции», даже если карта защищена технологией CHIP и PIN-кода.

Если новая функция Prilex включена, то она будет блокировать бесконтактные транзакции и отображать ошибку «Бесконтактная ошибка, вставьте карту» на платежном терминале и когда жертва вставит карту, собрать данный уже дело техники.

Причем малварь довольно умная и использует набор правил, чтобы определить, следует блокировать транзакцию или нет в зависимости от того, было ли обнаружено использование NFC.

Более того, новая фича, впервые появившаяся в последних вариантах Prilex позволяет фильтровать "нежелательные" карты и собирать данные только от определенных поставщиков и уровней, например Black, Infinite или Corporate с высоким лимитом транзакций, что намного привлекательнее для злоумышленников, чем стандартные кредитки с мелкими балансами и ограниченным лимитом.

Опасность точек продаж еще связана с достаточно ограниченным набором средств для защиты от вредоносных программ PoS, таких как Prilex, поскольку нет возможности узнать заражен платежный терминал или нет.

Рекомендации включают стандартные меры безопасности, связанные с отказом от оплаты на терминалах с видимыми признаками несанкционированного доступа, отказом от использования общедоступного Wi-Fi для доступа к финансовым счетам без VPN и проверки детализации транзакций до и после их завершения.

Кроме того, важно регулярно отслеживать финансовые отчеты для выявления любых потенциально мошеннических списаний, о которых следует немедленно сообщать эмитенту карты.
Forwarded from Social Engineering
📦 IntroLabs. Практические задания и руководства для ИБ специалистов.

🖖🏻 Приветствую тебя user_name.

• Как уже стало понятно из названия, ниже представлена подборка практических лабораторных заданий для изучения различных аспектов информационной безопасности и пентеста, включая инструменты, работу с логами, журналами и т.д.

• Материал будет полезен не только начинающим, но и опытным ИБ специалистам. Описание каждой лабы доступно по ссылкам ниже:

Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;

Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;

Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.

• В качестве дополнительного материала, обязательно обратите внимание на следующий материал: "S.E.Подборка. HackTheBox CTF Cheatsheet. RU.", "Hack The Box. Учимся взлому." и материал по хэштегу #ИБ, #Пентест, #Red_Team.

S.E. ▪️ S.E.Relax ▪️ infosec.work
͏Традиционный взгляд среднестатистического руководителя относительно структуры подразделения ИБ в компании 👇
Ресерчер Дэвид Дворкен обнаружил и представил PoC для уязвимостей в приложениях для управления паролями Bitwarden и DashLane, а также в функции управления паролями браузера Safari.

Ошибка высокой степени серьезности связана с автоматическим заполнением паролей на ненадежных веб-страницах и последующей компрометацией учетных данных пользователей, использующих Bitwarden v2022.10.0, Dashlane 6.2242.0 и Safari 15.6.1.

Обычно менеджеры паролей должны проверять, изолирован ли контент перед автоматическим заполнением учетных данных, используя при этом разные способы, один из которых — это проверка self.origin страницы. Если параметр имеет значение «null», то ввод учетных данных не производится.

Bitwarden
автоматически заполняет учетные данные для обоих типов изолированного контента, как только пользователь щелкает расширение Bitwarden для Chrome.

DashLane
немедленно автоматически вводит учетные данные на изолированную страницу CSP. Он отображает окно с предупреждением перед автоматическим заполнением учетных данных в изолированном iframe.

Safari
автоматически вводит учетные данные в оба типа изолированного содержимого, хотя требуется взаимодействие с пользователем.

Стоит отметить, что LastPass, 1Password, Chrome и Edge по результатам тестов таких ошибок не допустили. После сообщения об ошибке разработчики Bitwarden и DashLane в конце 2022 года выпустили соответствующие исправления.
Греческий скандал, связанный со шпионским ПО Predator, докатился и до Ирландии.

Правительство страны начало крупное расследование после того, как стало известно о двух компаниях, аффилированным с поставщиком шпионского софта Intellexa, которые зарегистрированы в Дублине и функционируют на территории страны.

Как сообщает Irish Times, с этой инициативой к Объединенного комитета по правосудию Oireachtas обратился член Европарламента Барри Эндрюс, пояснив, что страна рискует стать «убежищем» для компаний, занимающихся продажей шпионского ПО.

Как выяснил сенатор, основанная бывшим офицером израильской разведки Intellexa и ее холдинговая компания Thalestris Ltd официально зарегистрированы по адресу Фоли-стрит в Дублине.

Что неудивительно, ведь даже в отчете следственных органов о деятельности NSO Group упоминалось об Ирландии как стране с благоприятным финансово-правовым климатом для разработчиков шпионского софта. Тем не менее в стране действуют нормы лицензирования технологий двойного назначения.

В своей корпоративной документации, представленной местным властям, Intellexa Ltd не скрывала свою деятельность, указав «разведывательных продуктов для правохранительных органов».

При этом по данным Департамента предпринимательства, разработчик не запрашивал никаких лицензии на продажу. Также не предоставил данных о сотрудниках в ирландском офисе.

При том консолидированные отчеты показывают общий объем продаж Intellexa только за 2021 году в размере 34 млн евро.

По итогу разбирательства комитет ответил депутату Европарламента, что рассмотрел этот вопрос на закрытом заседании 18 января и внес этот вопрос в свою рабочую программу на 2023 год.

Комитету предстоит выяснить обстоятельства возможного применения и масштабы разработки специализированного шпионского ПО ирландскими компаниями.

Об использовании Predator власти Ирландии не стали распространяться. Во всяком случае пока, но будем следить за ситуацией.
Исследователи Proofpoint сообщают о новом тренде использования документов OneNote для доставки вредоносных ПО для обхода от обнаружения.

Лавинообразный рост фиксируется в последние два месяца. Если в декабре 2022 года было выявлено 6 кампаний с использованием вложений OneNote для доставки AsyncRAT, то в январе этого года - уже более чем 50 кампаний с ARedline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK и Qbot.

Кампании нацелены на организации по всему миру, в том числе в Северной Америке и Европе.

Причем в числе последних за использованием этой техники был замечен брокер начального доступа TA577, который вернулся после месячного перерыва в работе и начал использовать OneNote для доставки Qbot.

Дело в том, что после блокировки Microsoft макросов по умолчанию в 2022 году, злоумышленники перешли к использованию ранее редко наблюдаемых типов файлов: VHD, CHM и теперь one. На момент исследования образцы вредоносных ПО OneNote практически не детектировались на VirusTotal.

Все наблюдаемые ресерчерами кампании с OneNote на канале электронной почты имели схожие характеристики. Хотя темы сообщений и отправители различались. С середины января 2023 года Proofpoint обнаружили также использание URL-адресов для доставки вложений.

Документы OneNote содержали встроенные файлы, скрытые за графикой, похожей на кнопку, при двойном нажатии всплывает предупреждение. Продолжая, файл выполняется. Это могут быть исполняемые файлы различных типов, файлы ярлыков (LNK) или файлы сценариев, такие как приложение HTML (HTA) или файл сценария Windows (WSF).

Наблюдаемое увеличение общего количества кампаний и разнообразие типов полезной нагрузки позволяет предположить, что теперь OneNote используют несколько участников разного уровня сложности.

В то время как некоторые кластеры связаны на основе C2, приманок и таргетинга, в большинстве кампаний используется различная инфраструктура, темы сообщений и приманок, а также таргетинг.

В декабрьских кампаниях сообщения содержали вложение OneNote, содержащее файл HTA, который вызывает сценарий PowerShell для загрузки исполняемого файла (например, Excel.exe) с URL-адреса. Эти сообщения были нацелены на промышленные предприяти и производства.

В других кампаниях с широким таргетингом использовались темы выставления счетов, доставки, а также рождественских подарков. Они в основном были нацелены на организации в секторе образования, среди прочих.

Январские активности включали тысячи сообщений и не были нацелены на конкретные организации или отрасли. Кампании продолжали использовать те же TTP со скрытыми встроенными файлами во вложении OneNote. В нескольких актор использовали OneNote Gem и Transfer.sh для размещения полезной нагрузки.

Примечательно, что 19 января исследователи наблюдали за кампанией по распространению бэкдора DOUBLEBACK (ранее использовался TA579). Это была первая из кампаний, в которой использовался перехват потока.

Сообщения содержали URL-адреса, которые приводили к загрузке ZIP-файла, который содержал OneNote с тем же именем, который приводил к запуску VBS, встроенного за кнопкой. Далее VBS загрузил сценарий PowerShell для запуска DOUBLEBACK.

Ресерчеры прогнозируют, что все больше злоумышленников будут использовать вложения OneNote для доставки вредоносного ПО, но успешность атак все же зависит от взаимодействия получателя с вложением.

В своем отчете исследователи Proofpoint также представили примеры индикаторов компрометации.
Forwarded from Russian OSINT
🇪🇺😁Закон ЕС может запретить все операционные системы с открытым исходным кодом и свободные приложения F-Droid

"В настоящее время ЕС находится в процессе принятия закона о контроле чатов, который захватит 🧠тоталитарный контроль над всем частным общением. Его критикуют за создание централизованной системы массового наблюдения и цензуры в масштабах всего ЕС, а также за возможность правительственного прослушивания всех частных коммуникаций"

"Но одним из мало обсуждаемых последствий предлагаемого закона является то, что он делает практически все существующие операционные системы с открытым исходным кодом незаконными, включая все основные дистрибутивы Linux. Он также фактически запрещает архив приложений для Android с открытым исходным кодом
📱F-Droid."

Cообщает 🇸🇪шведский Mullvad VPN на своём сайте.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
В киберпространстве в прямом и переносном смысле появился новый игрок.

Ранее неизвестная группировка атаковала компании, занимающиеся азартными и онлайн-играми, с помощью также неизвестного бэкдора, который исследователи назвали IceBreaker.

Метод компрометации основан на том, что сотрудников службы поддержки клиентов обманным путем заставляют открывать вредоносные скриншоты, которые злоумышленник отправляет под видом проблем, с которой сталкивается пользователь.

Первые атаки зафиксированы в сентябре 2022 года специалистами из компании Security Joes по реагированию на инциденты, которые считают, что бэкдор IceBreaker — это работа нового продвинутого злоумышленника, использующего новую и очень специфическую тактику социальной инженерии.

Анализ техники в перспективе может дать более четкое представление о том, кто они такие. Во всяком случае проанализировав данные сентябрьского инцидента, Security Joes смогли отреагировать на три другие атаки, прежде чем хакеры смогли скомпрометировать свои цели.

Единственным публичным доказательством существования злоумышленника IceBreaker, которое удалось найти специалистам - это октябрьский твит от MalwareHunterTeam.

Чтобы доставить бэкдор, злоумышленник обращается в службу поддержки целевой компании, притворяясь пользователем, у которого возникают проблемы со входом в систему или регистрацией в онлайн-сервисе.

Хакеры убеждают сотрудника поддержки загрузить изображение, которое описывает проблему лучше, чем они могут объяснить.

Специалисты говорят, что изображение обычно размещается на поддельном веб-сайте, который выдает себя за легитимный сервис, дабы убедить жертву, что оно было доставлено из хранилища Dropbox.

Ссылки, доставленные таким образом, ведут к ZIP-архиву, содержащему вредоносный LNK-файл, который собственно и загружает бэкдор IceBreaker, или скрипт Visual Basic, загружающий Houdini RAT, используемый злоумышленниками как минимум с 2013 года.

Специалисты отметили, что загруженное вредоносное ПО является очень сложным скомпилированным файлом JavaScript, который может обнаруживать запущенные процессы, красть пароли, файлы cookie, открывать обратный туннель через прокси, а также запускать сценарии, полученные с сервера управления.

Вредоносный LNK является основной полезной нагрузкой первого уровня, доставляющего вредоносное ПО IceBreaker, а файл VBS используется в качестве резервной копии на случай, если оператор службы поддержки не сможет запустить ярлык.

Страновую принадлежность нового актора еще не идентифицировали, однако Security Joes заявили, что диалоги, которые они изучили между злоумышленником и сотрудниками поддержки, показывают, что актор не является носителем английского языка и намеренно просит перевести разговор на испаноговорящего специалиста.

Также было замечено, что они говорят и на других языках.

Представителям игровой индустрии, да и не только, стоит держать ушки на макушки, так как хакерами используется очень эффективный вектор атаки и новый арсенал вредоносного ПО.