​​Буквально вчера мы писали о том, что в ближайшее время у Hive начнутся проблемы с клиентурой после публикации результатов Сеульским университетом исследования, в ходе которого были изучены уязвимости алгоритма шифрования и найден метод восстановления зашифрованных данных.

А сегодня вымогатели Hive разместили на свой DLS жертву Hyundai Samho Heavy Industries Co., Ltd в аккурат из Южной Кореи.

​​Атака ransomware привела к закрытию целой сети Expeditors International.

Базирующаяся в Сиэтле логистическая и экспедиторская компания с оборотом в 10 миллиардов долларов, 350 офисами и штатом в 18 000 сотрудников по всему миру оказывает услуги транспортировки, складирования, распределения и растоможке грузов, а в минувшие выходные подверглась мощной кибератаке.

Компания не сообщает обстоятельств инцидента, но из анонимных источников журналистам издания BleepingComputer все же удалось выяснить, что инцидентом стоят вымогатели. Официально Expeditors лишь объявили о глобальном отключении систем и прекращении логистических операций из-за целенаправленной кибератаки.

Согласно заявлению Expeditors, системы будут работать в автономном режиме до тех пор, пока не завершится восстановление данных из резервных копий. Однако пока нет даже прогнозных оценок, когда это произойдет.

В целом Expeditors характеризует инцидент как «весьма значимое событие», которое «окажет серьезное негативное влияние на бизнес, доходы, результаты операций и репутацию». Кстати все расходы на расследование кибератаки и устранение ее последствий компания намерена погасить самостоятельно, пусть даже в длительной перспективе.

Представители Expeditors International обещают раскрыть детали инцидента сразу по возвращении к нормальному функционированию бизнеса.

Как мы и ожидали, атаки ransomware буду становиться более разрушительными и дорогостоящими (как по вопросу выкупа, так и в плане ущерба).

Инциденты вокруг криптобирж набирают обороты и стоит отдать должное многие представители криптоиндустрии стали по достоинству оценивать финансовые и репутационные риски от угроз информационной безопасности.

Буквально на днях отличилась одна из крупнейших криптовалютных бирж - Coinbase, которая совершила крупнейшую за всю историю выплату вознаграждения - аж целых 250 тыс. долларов — за обнаруженную ошибку способную "подрывать" рынок из-за возможности пользователей продавать криптоактивы, которыми они не владели.

В Coinbase сообщили, что 11 февраля сторонний исследователь Tree_of_Alpha сообщил об угрозе безопасности критического уровня, что вызвало немедленную реакцию биржы на инцидент, а именно были отключил все новые сделки и осуществлен перевод платформы в режим только отмены.

Как известно, проблема крылась в новой функции Advanced Trading, которая позволила бы злоумышленнику продать BTC или любую другую монету, не владея ими, используя два аккаунта на бирже. То есть, злоумышленник мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.

В Coinbase заявили, что исправили ошибку менее чем за шесть часов и без каких-либо последствий для средств клиентов.

В принципе поощрение по bug bounty более чем достойное, учитывая вероятный уровень последствий при реализации коварного замысла.

Объявленный хакерами LeakTheAnalyst крестовый поход продолжается. Взломавшие 5 лет назад Mandiant похоже, что смогли повторить свой успех, атаковав Verint security company.

Вслед за военными данными Израиля и Великобритании, конфиденциальными сведениями Министерства иностранных дел Украины и таиландской телекоммуникационной компании AIS благодаря LeakTheAnalyst в сеть утекли душещипательные разведывательные материалы компании Verint.

Verint Systems - американская компания из Мелвилла, штат Нью-Йорк, в 2021 году имела более 9 800 клиентов в более чем 175 странах и более 4 300 сотрудников. Реализует программные и аппаратные продукты для управления взаимодействием с клиентами, анализа данных, но главное, пожалуй, для безопасности и наблюдения, в том числе предоставляет правоохранительным органам возможность отслеживать и анализировать голос, видео и данные для «огромного числа целей» во всех типах крупных и сложных компьютерных сетей.

В феврале 2021 израильская дочка Verint засветилась в скандале с продажей оборудования для слежки спецслужбам Южного Судана, который устроили Amnesty International, те самые, которые стояли у истоков кампании по дискредитации NSO Group.

Возвращаясь к утечке, хакеры анонсировали внушительный объем документации, которая относится именно к проектам, связанным со шпионскими технологиями, включая документы в отношении проектов Octopus, Purim Spionage, Shavar, Thesseus, Reliant, OPCD, технологий Vantage-x, алгоритмов проникновения в целевую сеть (FLD,EPI,BE), тактической активной сотовой разведки, видеоаналитики (VIS Nextiva), связи и киберразведки (CIS), ситуационного управления (SMC), а также контракты на поставку шпионского ПО и железа для США, Великобритании, Германии, ОАЭ, Японии, Индии, Южной Кореи, Южной Африки.

Кстати, ранее компания уже проходила нечто подобное в 2019 году, когда ей пришлось столнуться с ransomware. Пока что Verint security company никак не комментирует инцидент, при том, что сообщество уже заполоняет твитами эфир по этому поводу.

​​Поздравляем всех подписчиков (точнее, мужскую их часть) и представителей infosec-сообщества с Праздником 23 февраля!

Желаем всего! И себе пожелаем! Удачных решений, четких атрибуций и грамотных улучшений!

Ура, товарищи!

Дорогие подписчики.

Мы пребываем в легком афиге от происходящего, также как и большинство из вас.

Но вместе с тем, те, кто давно читают наш канал, знают, что мы всегда придерживались позиции: "наши – разведчики, а их – шпионы."

Поэтому хотим обозначить сразу, что в таком ключе и будем освещать инфосек события на фоне текущей ситуации. Просим отнестись с пониманием.

Dixi.

Вымогатели DeadBolt после фиаско с атакой на сетевые хранилища NAS от производителя QNAP нацелились на устройства ASUSTOR.

Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.

В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.

ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.

До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.

Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.

При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.

Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с  дешифратором Emsisoft для DeadBolt.

Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».

Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.

Интересно, как он опенсорс блочить будет.

https://mobile.twitter.com/cyb3rops/status/1496815032738459651

Уязвимость девятилетней давности была обнаружена в программном обеспечении Horde Webmail. Ошибка затрагивает все версии с 30 ноября 2012 года.

Horde Webmail — это бесплатный, готовый к работе корпоративный браузерный коммуникационный пакет, разработанный проектом Horde. Это решение веб-почты широко используется университетами и государственными учреждениями, позволяет пользователям читать, отправлять и упорядочивать сообщения электронной почты, а также управлять календарями, контактами, задачами, заметками, файлами и закладками.

Согласно отчету Sonarsource, уязвимость XSS позволяет получить доступ к учетным записям электронной почты. Злоумышленник может создать документ OpenOffice, который при преобразовании Horde в XHTML для предварительного просмотра может выполнить вредоносную полезную нагрузку JavaScript. Уязвимость срабатывает, когда целевой пользователь просматривает прикрепленный документ OpenOffice в браузере.

Эксплуатация дает злоумышленнику доступ ко всей конфиденциальной информации, которую жертва хранит в своей почте, и может позволить им получить дополнительный доступ к внутренним службам организации. Кроме того, злоумышленник может скомпрометировать учетную запись администратора и захватить сервер веб-почты.

Sonarsource сообщил об этой уязвимости почти 6 месяцев назад, в настоящее время официального патча нет, даже несмотря на подтверждение от поставщика о признании недостатка. Исследователи настоятельно рекомендуют пользователям Horde Webmail отключить рендеринг вложений OpenOffice, отредактировав файл config/mimedrivers.php, добавив параметр конфигурации disable => true.

А теперь о прекрасном: китайские исследователи Advanced Cyber Security Research из Pangu Lab основательно расчехлили один из инструментов связанной с подразделением Tailored Access Operations АНБ США АРТ, известной как Equation Group. Причем основательно так, на 50 листах с подробным описанием вредоносного ПО для Linux.

Pangu Lab — исследовательский проект команды Pangu Team, прославившейся своими джейлбрейками для iPhone. В прошлом году эксплойт для iOS принес им 300 000 долларов на китайском хакерском конкурсе.

Бэкдор группировки Equation Group из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования получил наименование Bvp47 и был впервые обнаружен на системах под управлением Linux в 2013 году при расследовании инцидента, затрагивающего китайскую правительственную организацию.

Анализ инцидента, проведенный Pangu Lab, включал три сервера, один из которых был целью внешней атаки, а два других внутренних компьютера — сервер электронной почты и бизнес-сервер.

Интересный момент отметили исследователи, расследуя вредоносную кампанию Operation Telescreen, связанную с развертыванием Bvp47: использовался тип вредоноса, отличающийся более расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения.

В реальности Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.

Неуловимый бэкдор оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования, для активации которого требуется закрытый ключ злоумышленника. В 2016 и 2017 годах хакеры The Shadow Brokers слили внушительный массив данных, предположительно украденных у Equation Group, включая множество хакерских инструментов и эксплойтов. В этих утечках исследователи Pangu Lab как раз и обнаружили обнаружили закрытый ключ, который был им необходим для полного анализа Bvp47.

Bvp47 предназначен для предоставления операторам долгосрочного контроля над скомпрометированными устройствами и включает в себя функционал: руткит, обход функций безопасности, защиту от криминалистики, самоудаление и другие возможности.

Помимо того, что Pangu Lab связывает вредоносное ПО Bvp47 с Equation Group, анализ бэкдора также показывает сходство с другим образцом того же субъекта. Согласно Kaspersky Threat Attribution Engine (KTAE), 34 из 483 строк соответствуют строкам из другого образца, связанного с Equation, для систем Solaris SPARC, который, в свою очередь, имеет 30% сходство с еще одним вредоносным ПО Equation.

Все указывает на то, что вредоносное ПО не использовалось широко, а лишь в узконаправленных атаках. По мнению исследователей, инструмент хорошо спроектирован, мощен и широко адаптирован. Его возможности в рамках сетевых атак с использованием уязвимостей нулевого дня фактически невозможно было предотвратить, а сбор данных под скрытым контролем не требовал больших усилий.

Весь цинк - в отчете Pangu Law с результатами проделанной работы, а главное атрибуцией, чем не могут последнее время похвастаться западные ресерчеры. Рекомендуем, одним словом.

Ну что же, обстановка на инфосек направлении накаляется.

Вчера последовал ряд DDoS-атак на российские государственные ресурсы и банковские структуры. Некоторые операции проходили с трудом, сами заметили.

Ближе к вечеру официальный сайт Минобороны России mil .ru перестал отвечать IP-адресам, находящимся вне СНГ. Скорее всего произошло огораживание по причине DDoS.

Сегодня о продолжении DDoS-атак заявили власти Крыма.

Anonymous сообщили, что вступают в кибервойну против российского правительства.

Но Anonymous - это фигня, куда опаснее заявление Байдена о том, что если Россия продолжит кибератаки на американские компании и инфраструктуру, то США ответят. Памятуя уровень атрибуции, который царит в последнее время в отчетах западных инфосек компаний, надо понимать, что повод может для киберопераций американцами может быть найден в любой момент. "За булочку! За SolarWinds!"

NBC News сообщает, что спецслужбы предложили Байдену в числе вариантов кибератак нарушение работы сети в России, удары по энергетическому сектору и железным дорогам. И хотя вскоре Псаки опровергла эту новость, полагаем, что такой разговор был.

Реально ли это? Мы думаем, что вполне. У американских трехбуквенных контор есть очень квалифицированные хакеры, куча закладок в аппаратной части и ПО по всему миру и десятки лет опыта проведения кибератак. В России же зачастую - "информационная безопасность за мелкий прайс", особенно в области промышленных OT сетей (хотя тут во всем мире так).

Тем не менее количество и качество российских специалистов в инфосек прекрасное, при желании и наличии политической воли все эти проблемы решаемы.

Перейдем в Telegram.

Некоторые инфосек каналы весьма однозначно "окрасили себя в те цвета, в которые они себя окрасили" (с) Ну, пусть остается на их совести. Мы лично никого люстрировать не призываем.

Другой, более важный, момент - со вчерашнего вечера в ряд российских ТГ-каналов начали массово заливать ботов.

Если кто не знает - это делается, как правило, для последующего бана канала администрацией Telegram. Саму схему расписывать не будем, но она есть.

Канал Незыгарь.Brief (https://t.me/russicabrief) ночью лишился своей короткой ссылки, пытаясь предотвратить подлив ботов (ситуация известная, не следует уводить канал в приват).

Также боты пришли и на ряд дружественных нам инфосек каналов. Поэтому если вы видите, что у вас аномально растут подписчики, то в первую очередь уведомите администрацию Telegram. А во вторую - начинайте вычищать ботов руками. Опционально - можно сообщить об этом своей аудитории.

А мы лишь вспомним свои же вангования двухлетней давности (правда мы не предполагали наличие реальных боевых действий, но все равно похоже).

Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется.

На этой неделе Cisco выпустили исправления для 4 уязвимостей в своих сетевых операционных системах FXOS и NX-OS, включая одну ошибку отказа в обслуживании.

Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.

Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.

Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.

Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).

Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.

Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.

Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.

Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.

Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.

Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.

​🔖 S.E.Подборка. HackTheBox CTF Cheatsheet. RU.

Единственный способ стать умнее — играть с более умным противником.

🖖🏻 Приветствую тебя user_name.

• Собрал хорошую и большую подборку прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста. Подборку разделил по уровням сложности, надеюсь будет полезно:

Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.

Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.

Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.

Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.

Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups
• Полный список #CTF площадок, можешь найти тут: https://t.me/Social_engineering/1316

Твой S.E. #Пентест #CTF

На фоне с мировыми событиями и киберпротивостояниями под гнетом шпионской деятельности оказались компании из США, да не абы какие, а подрядчики оборонно-промышленного комплекса.

Новое специальное вредоносное ПО под названием SockDetour, было обнаружено в системах, принадлежащих компаниям осуществляющих заказы в интересах американской оборонки. Малварь использовалось в качестве резервного бэкдора для обеспечения доступа к скомпрометированным сетям.

Об угрозе заявили исследователи безопасности из Unit 42, которые давно отслеживали APT-группировку TiltedTemple. Группа попала в поле зрения после использования уязвимостей в Zoho ManageEngine ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077).

Злоумышленники использовали различные методы, чтобы получить доступ к скомпрометированным системам и закрепления в них, а также успешно взломали более десятка организаций в сфере технологий, энергетики, здравоохранения, образования, финансов и обороны. При проведении более детального анализа деятельности хакеров специалисты выявили еще один сложный инструмент, используемый для поддержания устойчивости нахождения в скомпрометированных системах, который собственно и назвали SockDetour.

SockDetour предназначен для использования в качестве резервного бэкдора на случай, если основной будет удален. Его трудно обнаружить, так как он работает без файлов и сокетов на скомпрометированных серверах Windows. Один из центров управления (C2), который злоумышленник использовал для распространения вредоносного ПО, как раз содержал SockDetour вместе с другими различными инструментами для дампа памяти и нескольких других веб-оболочек. Бэкдор успешно оставался незамеченным в течение длительного времени и по мнению специалистов SockDetour существует как минимум с июля 2019 года.

Основываясь на данных телеметрии Unit 42 специалисты считают, что злоумышленник использующий SockDetour, исключительно сосредоточен на атаках американских оборонных подрядчиков, так как у исследователей есть доказательства того, что целью этой кампании стали как минимум четыре организации из этой сферы, при этом как минимум один подрядчик был скомпрометирован.

Хотя Unit 42 не связывала вредоносное ПО SockDetour с конкретной хакерской группой, но исследователи подозревают, что кампания TiltedTemple является деятельностью группы угроз, отслеживаемой как APT27, спонсируемой Китаем. Частичная атрибуция основана на тактике и вредоносных инструментах, соответствующих предыдущей деятельности APT27 и аналогичным целям на те же отрасли промышленности для кибершпионажа.

​​Уязвимости высокой степени серьезности CVE-2022-23131 и CVE-2022-23134 активно эксплуатируются в дикой природе. Речь идет о Zabbix - инструменте с открытым исходным кодом для мониторинга сетей, серверов, виртуальных машин и облачных сервисов. При этом согласно данным CISA, одна из уязвимостей имеет критическое значение 9,1 из 10.

Две уязвимости были обнаружены исследователями из SonarSource и представлены в техническом отчете почти месяц назад.

CVE-2022-23131 непосредственно связанна с Zabbix Frontend. Благодаря ей злоумышленник может обойти аутентификацию на серверах с настроенным языком разметки подтверждения безопасности SAML (открытый стандарт, обеспечивающий единую точку аутентификации (единый вход), которая обеспечивает обмен данными между поставщиком удостоверений и поставщиком услуг).

Если аутентификация SAML SSO включена (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку логин пользователя, сохраненный в сеансе, не проверяется. Это позволяет непроверенному злоумышленнику использовать эту уязвимость, чтобы получить привилегии и получить доступ администратора к интерфейсу Zabbix.

21 февраля исследователи также представили соответсвующий PoC. Кроме того, Национальный центр кибербезопасности в Нидерландах также подтверждает, что уязвимость активно эксплуатируется и позволяет удаленно выполнять код с привилегиями root.

Вторая уязвимость CVE-2022-23134 средней степени серьезности представляет собой проблему ненадлежащего контроля доступа, которая позволяет злоумышленникам изменить файл конфигурации (скрипт setup.php) и получить доступ к панели управления с повышенными привилегиями.

Разработчики Zabbix выпустили обновления (версии 5.4.9, 5.0.9 и 4.0.37), которые решают обе проблемы, в связи с чем, настоятельно рекомендуем установить их, особенно в контексте активной эксплуатации. Сами оцените насколько простой она может быть

​​На фоне происходящих геополитических событий, аналогичных по масштабу которым не было, пожалуй, со времен развала Советского Союза, мы немного дезориентированы с точки зрения информационной повестки нашего канала. Будем стараться не забывать про традиционные инфосек новости и события.

А пока про конфликт. Если кратко - жара продолжается. К сожалению, не про все, что видим, можем написать.

Ботов в каналы продолжают подливать, ресурсы продолжают DDoS-ить.

Коллеги из Утечек информации разоблачили фейковый слив за авторством Anonymous, в котором якобы содержалась база контактных данных сотрудников Министерства обороны России. Самих Anonymous кто-то ушатал DDoS-ом с использованием ботнета KILLNET.

Весь инфосек-сегмент Twitter заполнен желто-синими флажками, худи, пледами, чехлами для iPhone и прочими Ukraine-тян. Вспоминается бессмертное "Я запостила веточку сакуры в свой бложик. Япония - мы с тобой!"

Администрация RAID заявила, что будет блокировать пользователей с российскими IP. Что это было - не до конца понятно. Во-первых, кто на RAID будет ходить из под своих IP?! Во-вторых, опять же неясно связано ли это с недавним взломом форума или таки это признание администрации в своем украинском происхождении?

Интересные вещи происходят с вымогателями. LockBit, например, сообщили о политическом нейтралитете.

Коленца выдала самая крупная на сегодняшний день по объему атак банда Conti. Сначала они разместили на своем DLS сообщение о том, что поддерживают Россию и планируют отвечать на кибератаки в ее адрес. Однако через некоторое время вымогатели смягчили позицию и сказали, что они вообще-то не на стороне какого-либо правительства и осуждают конфликт, но будут отвечать на атаки на российские и русскоязычные гражданские ресурсы и критическую инфраструктуру.

Эта оговорка, тем не менее, не помешала возмущенному таким отступлением от европейских ценностей члену группы украинского происхождения слить в паблик сотни JSON файлов внутренней переписки Conti. Западные инфосек журналисты упорно называют его "украинским инфосек исследователем". Раньше в США за такие "исследования" он получили бы лет 20 крытой.

Украина же фактически легализовала свои кибератаки, официально объявив о создании с этой целью "IT-армии". При этом и тут накосячили, назвав соответствующий ТГ-канал "itarmyofurraine". Ну вы поняли, urraine, ага.

Продолжаем наблюдать.

⚡️Хакеры Anonymous произвели дефейс сайтов российских СМИ, среди которых: ТАСС, «Коммерсант», «Известия» и уральский портал «Е1».

Надо признать, что с информационной безопасностью в России ситуация стабильная - она стабильно хреновая.

​​Война войной, а ransomware по расписанию.

Nvidia стала жертвой атаки вымогателей, которая вывела из строя некоторые из его систем на несколько дней. Как позже выяснилось, Lapsus$ похитили из сети Nvidia более 1 ТБ данных. В качестве доказательств вымогатели слили хэши паролей всех сотрудников компании.

Сам производитель не делится подробностями, заявляя лишь, что ведет расследование инцидента и не располагает дополнительной информацией, которой можно было бы поделиться, а деловая и коммерческая деятельность продолжается непрерывно.

Закрытие сети McDonald's на Украине сразу после начала военной операции ВС РФ ознаменовалось также и отключением части их информационных систем в результате атаки вымогателей Snatch. Теперь их 500 ГБ уже висят на DLS в ожидании свободной кассы.

NHS Digital предупреждает об RCE в Windows-клиенте для платформы управления аутентификацией Okta Advanced Server Access.

Решение обеспечивает управление идентификацией и доступом Zero Trust для облачной и локальной инфраструктуры, его используют тысячи компаний по всему миру.

Уязвимость удаленного выполнения кода CVE-2022-24295 и характерна всем версиям ПО до 1.57.0 включительно. Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданный URL-адрес.

Успешная эксплуатация уязвимости может привести к полному захвату системы. Поставщик пока не предоставил технических подробностей ошибки, пытаясь избежать ее злонамеренного использования в дикой природе.

NHS Digital рекомендует поскорее установить исправления и отмечает отсутствие обходных путей для вновь выявленной уязвимости. Кроме того, вновь вышедший бюллетень NHS Digital также содержит обновленные рекомендации относительно уязвимостей Log4Shell (CVE-2021-45105, CVE-2021-45046 и CVE-2021-44228) в Okta.

Шум вокруг NSO Group, а также череда скандалов и разоблачений после публикаций израильской деловой газетой Calcalist о неправомерности использования шпионского ПО приобретает новый оборот. Из позиции постоянно оправдывающихся мальчиков для битья в компании решили ответить и подать иск на газету за клевету.

Израильская технологическая компания внимательно изучила опубликованные израильской газетой серию взрывных статей, в которых утверждалось, что израильская полиция незаконно использовала шпионское ПО в отношении десятков общественных деятелей и таки нашла некоторые не состыковки, а точнее откровенную ложь.

Иск NSO нацелен на конкретную статью, в которой говорится, что компания разрешила клиентам удалять следы использования ими шпионского ПО. Кроме того с учетом растущей негативной реакцией на свой продукт, компания вовсе поставила под сомнение общую достоверность отчетов, назвав серию статей «односторонней, предвзятой и ложной» и что "не каждое журналистское расследование с сенсационным заголовком об NSO действительно основано на фактах".

За свое оклеветание NSO потребовала возмещения ущерба в размере 1 миллиона шекелей (310 000 долларов), которое, как заявили в компании будет направлено на благотворительность.

Мы ранее писали о публикациях Calcalist в которых утверждается, что полиция шпионила за политиками, протестующими и даже членами ближайшего окружения бывшего премьер-министра Биньямина Нетаньяху, включая одного из его сыновей еще и без судебного ордера. Но расследование, проведенное заместителем генерального прокурора Израиля, не нашло доказательств в поддержку этих утверждений.

NSO по прежнему заявляет, что продает продукт исключительным государственным организациям для борьбы с преступностью и терроризмом, при этом все продажи регулируются правительством Израиля. Кроме того, компания не идентифицирует своих клиентов и говорит, что не знает, кто является мишенью.

Так что вполне вероятно, что за громкие заголовки газеты Calcalist таки придется рассчитаться.

В результате киберинцидента крупнейший японский автопроизводитель Toyota Motors был вынужден остановить производство. Дочерние компании автопроизводителя Daihatsu Motors и Hino Motors также прекращают работу.

Атаке подвергся ее поставщик - Kojima Industries, японский производитель пластиковых компонентов, которые имеют решающее значение для производства автомобилей.

Toyota заявила, что приостановлена работа 28 производственных линий на 14 заводах в Японии, начиная с 1 марта 2022 года. Прогнозируемый ущерб — снижение ежемесячного производства Toyota в Японии на 5%, что составляет примерно 13 000 единиц.

Подробностей инцидента не сообщается, все признаки указывают на ransomware. На руку хакерам сыграл также главный производственный принцип Toyota - just in time (JIT), поставивший технологический процесс в жёсткую систему поставок, главное звено которого как раз и было нарушено.

И даже в этой казалось сугубо инфосековской истории, западные ресерчеры и журналисты, первым делом, пытаются увязать инцидент ответными мерами Москвы на санкции Японии. Отвечая на вопросы прессы, премьер-министр Фумио Кисида заявил по этому поводу, что на данный момент подтверждений связи с Россией нет.

С сожалением констатируем, что еще задолго до известных событий на Украине, стало возникать все больше вопросов к западному инфосек-сообществу, напрочь позабывшему такое понятие как атрибуция.

Но после начала военной операции ВС РФ все стало еще печальнее, ведь те самые исследователи, призванные бороться с киберугрозами и стоять на страже информационной безопасности, стали и вовсе поощрять атаки и прочие киберпровокации, которые развернула украинская сторона. Отличный пример двуличия показал небезызвестный Кребс, публично поддержавший кибератаки украинских хакеров в отношении объектов государственного и коммерческого сектора РФ.

К еще большему сожалению, вынуждены признать, что этические и профессиональные принципы отрасли, по всей видимости, также утратили какое-либо значение для западных коллег.