Спецы по безопасности цепочек поставок ПО Sonatype обнаружили очередные вредоносные пакеты Python PyPi, посредством которых подтягивалась конфиденциальная информация, включая учетные данные AWS.
Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.
При этом первые два пакета закамуфлированы под известные проекты на PyPI, вводя в заблуждение невнимательных или неопытных разработчиков в ходе их имплементации, последние три не имеют явного таргетинга, но все имеют сходство кода или взаимосвязи.
Как выяснили аналитики, пакеты loglib-modules и pygrata-utils изначально имели фунционал кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Пакет Pygrata хотя и не реализовывал кражу, но в качестве зависимости был функционально связан с pygrata-utils.
Перехватываемые данные хранились в формате TXT и передавались через домен PyGrata[.]com. При этом конечная точка не была защищена должным образом, в связи с чем аналитики могли ознакомиться со всем, что утекло.
После того, как ресерчеры публично разоблачили злоумышленников, доступ был закрыт. Объяснений, как и полагается, также не поступило.
Пакеты были удалены достаточно оперативно, однако pygrata все же провисела в доступе еще какое-то время.
Этично или нет поступили владельцы пакетов, даже если это было сделано из альтруистических соображений - утекшие невольных участников этого эксперимента в конечном счете были раскрыты.
В любом случае, таргет был направлен на разработчиков, заинтересованных в определенных инструменты для своих проектов, трюки с опечатками и игрой символов отпадают.
Как бы то ни было, доверяй, но проверяй - следует четко изучать историю выпусков, даты загрузки, ссылки на домашнюю страницу, описания пакетов и номера загрузок, что в совокупности помогает определить, является ли пакет Python настоящим или подсадной подделкой.
Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.
При этом первые два пакета закамуфлированы под известные проекты на PyPI, вводя в заблуждение невнимательных или неопытных разработчиков в ходе их имплементации, последние три не имеют явного таргетинга, но все имеют сходство кода или взаимосвязи.
Как выяснили аналитики, пакеты loglib-modules и pygrata-utils изначально имели фунционал кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Пакет Pygrata хотя и не реализовывал кражу, но в качестве зависимости был функционально связан с pygrata-utils.
Перехватываемые данные хранились в формате TXT и передавались через домен PyGrata[.]com. При этом конечная точка не была защищена должным образом, в связи с чем аналитики могли ознакомиться со всем, что утекло.
После того, как ресерчеры публично разоблачили злоумышленников, доступ был закрыт. Объяснений, как и полагается, также не поступило.
Пакеты были удалены достаточно оперативно, однако pygrata все же провисела в доступе еще какое-то время.
Этично или нет поступили владельцы пакетов, даже если это было сделано из альтруистических соображений - утекшие невольных участников этого эксперимента в конечном счете были раскрыты.
В любом случае, таргет был направлен на разработчиков, заинтересованных в определенных инструменты для своих проектов, трюки с опечатками и игрой символов отпадают.
Как бы то ни было, доверяй, но проверяй - следует четко изучать историю выпусков, даты загрузки, ссылки на домашнюю страницу, описания пакетов и номера загрузок, что в совокупности помогает определить, является ли пакет Python настоящим или подсадной подделкой.
Sonatype
Python packages upload your AWS keys, env vars, secrets to the web
Multiple Python packages caught by Sonatype were seen uploading secrets such as AWS keys and environment variables to a web endpoint.
Codesys объявили об исправлении более десятка уязвимостей.
Программные решения для промышленной автоматизации, предоставляемые немецкой компанией используются у крупнейших в мире производителей систем промышленного управления (ICS) и уязвимости продуктов Codesys, могут затронуть значительное количество устройств.
Причем о проблемах в продуктах немецкой компании сообщили исследователи из китайской фирмы по кибербезопасности NSFocus. Видимо не весь инофсек поднебесной по совместительству подрабатывает в APT.
В общей сложности специалистами было обнаружено 13 уязвимостей в продуктах Codesys V2, которым присвоен идентификатор CVE. Две баги были устранены Codesys еще в октябре 2021 года, а 11 были исправлены с обновлениями от 23 июня 2022 года.
Уязвимости очень просты и могут быть использованы для утечки конфиденциальной информации, перехода ПЛК в состояние критической ошибки и выполнения произвольного кода, а в сочетании с промышленными сценариями на местах эти баги могут парализовать промышленное производство и повредить оборудование.
Двум уязвимостям, связанным с неправильной защитой паролей присвоен «критический» рейтинг серьезности, а нескольким другим — «высокий». Причем более половины недостатков могут быть использованы для атак типа «отказ в обслуживании» (DoS).
В своих бюллетенях Codesys признает, что уязвимости могут быть использованы удаленным злоумышленником, но во многих случаях хакеру требуется какой-либо доступ к целевой системе.
В настоящее время пока не известно о каких-либо общедоступных эксплойтах, нацеленных на выявленные уязвимости.
Однако энтузиасты не поленились и опубликовали видео, как потенциальный злоумышленник может запустить DoS и попытаться закирпичить ПЛК ABB.
Программные решения для промышленной автоматизации, предоставляемые немецкой компанией используются у крупнейших в мире производителей систем промышленного управления (ICS) и уязвимости продуктов Codesys, могут затронуть значительное количество устройств.
Причем о проблемах в продуктах немецкой компании сообщили исследователи из китайской фирмы по кибербезопасности NSFocus. Видимо не весь инофсек поднебесной по совместительству подрабатывает в APT.
В общей сложности специалистами было обнаружено 13 уязвимостей в продуктах Codesys V2, которым присвоен идентификатор CVE. Две баги были устранены Codesys еще в октябре 2021 года, а 11 были исправлены с обновлениями от 23 июня 2022 года.
Уязвимости очень просты и могут быть использованы для утечки конфиденциальной информации, перехода ПЛК в состояние критической ошибки и выполнения произвольного кода, а в сочетании с промышленными сценариями на местах эти баги могут парализовать промышленное производство и повредить оборудование.
Двум уязвимостям, связанным с неправильной защитой паролей присвоен «критический» рейтинг серьезности, а нескольким другим — «высокий». Причем более половины недостатков могут быть использованы для атак типа «отказ в обслуживании» (DoS).
В своих бюллетенях Codesys признает, что уязвимости могут быть использованы удаленным злоумышленником, но во многих случаях хакеру требуется какой-либо доступ к целевой системе.
В настоящее время пока не известно о каких-либо общедоступных эксплойтах, нацеленных на выявленные уязвимости.
Однако энтузиасты не поленились и опубликовали видео, как потенциальный злоумышленник может запустить DoS и попытаться закирпичить ПЛК ABB.
YouTube
[CVE-2022-32137] ABB-PM564 DoS DEMO
A specially crafted 0x9C command packet sent to the controller can cause a denial of service and the controller to be in a fault state(ERR led Blinking Red). A restart is needed to restore normal operations.
Новую точку входа вымогателей обнаружили исследователи CrowdStrike в ходе расследования инцидента с ransomware. Актор использовал 0-day в устройствах Mitel VOIP, расположенных на периметре сети, применив новый эксплойт для удаленного выполнения кода и методы сокрытия своей активности.
Речь идет о критической уязвимости, исправленной Mitel без подтверждения использования и затрагивающей компонент MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA).
Ресерчеры CrowdStrike точно зафиксировали 0-day в процессе расследования предполагаемой атаки на этапе начального доступа к среде. Активность исходила со внутреннего IP-адреса устройства Mitel VOIP на базе Linux, находящегося в сетевом периметре. Устройство было переведено в автономный режим и получено изображение для дальнейшего анализа, что и привело к обнаружению новой RCE-уязвимости.
Кроме того, злоумышленник попытался стереть свою активность на устройстве Mitel после того, как Falcon Complete обнаружил их активность и предотвратил их боковое перемещение.
Эксплойт включал два GET-запроса. Первый запрос предназначался для get_url параметра файла php, заполняя параметр URL-адресом локального файла на устройстве. Это привело к тому, что второй запрос исходил от самого устройства, что привело к эксплуатации.
Как только обратная оболочка была установлена, субъект создал то, что выглядело как веб-шелл с именем pdf_import.php. После чего также загрузил инструмент Chisel на устройство VOIP, переименовав его memdump. Этот двоичный файл выступал в качестве обратного прокси-сервера, позволяющего актору проникать в окружающую среду через устройство VOIP.
CrowdStrike опубликовал техническую документацию об уязвимости (отслеживается как CVE-2022-29499) и рекомендовал пользователям Mitel VOIP установить доступные исправления поставщиков.
Вывод такой, что своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным.
Крайне важно иметь несколько уровней защиты, максимально изолируя критически важные активы от устройств периметра, в частности, целесообразно ограничить доступ к хостам виртуализации или серверам управления, таким как ESXi и vCenter, насколько это возможно.
Речь идет о критической уязвимости, исправленной Mitel без подтверждения использования и затрагивающей компонент MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA).
Ресерчеры CrowdStrike точно зафиксировали 0-day в процессе расследования предполагаемой атаки на этапе начального доступа к среде. Активность исходила со внутреннего IP-адреса устройства Mitel VOIP на базе Linux, находящегося в сетевом периметре. Устройство было переведено в автономный режим и получено изображение для дальнейшего анализа, что и привело к обнаружению новой RCE-уязвимости.
Кроме того, злоумышленник попытался стереть свою активность на устройстве Mitel после того, как Falcon Complete обнаружил их активность и предотвратил их боковое перемещение.
Эксплойт включал два GET-запроса. Первый запрос предназначался для get_url параметра файла php, заполняя параметр URL-адресом локального файла на устройстве. Это привело к тому, что второй запрос исходил от самого устройства, что привело к эксплуатации.
Как только обратная оболочка была установлена, субъект создал то, что выглядело как веб-шелл с именем pdf_import.php. После чего также загрузил инструмент Chisel на устройство VOIP, переименовав его memdump. Этот двоичный файл выступал в качестве обратного прокси-сервера, позволяющего актору проникать в окружающую среду через устройство VOIP.
CrowdStrike опубликовал техническую документацию об уязвимости (отслеживается как CVE-2022-29499) и рекомендовал пользователям Mitel VOIP установить доступные исправления поставщиков.
Вывод такой, что своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным.
Крайне важно иметь несколько уровней защиты, максимально изолируя критически важные активы от устройств периметра, в частности, целесообразно ограничить доступ к хостам виртуализации или серверам управления, таким как ESXi и vCenter, насколько это возможно.
mitel
Mitel Product Security Advisory 22-0002
MiVoice Connect Data Validation Vulnerability
Одна из крупных государственных сталелитейных компаний Ирана Khuzestan Steel Co. была вынуждена остановить производство после того, как подверглась кибератаке.
Хакеры также атаковали также два других отраслевых предприятия, что в совокупности стало беспрецедентным нападением на стратегический промышленный сектор страны за последнее время.
По данным Associated Press, Khuzestan Steel Co. базируется в Ахвазе провинции Хузестан и обладает монополией на производство стали в Иране наряду с двумя названными госкомпаниями.
Правительство рассматривает сталь критическим сектором.
По данным Всемирной ассоциации производителей стали, Иран является ведущим производителем стали на Ближнем Востоке и входит в десятку крупнейших производителей стали в мире. Его железорудные рудники обеспечивают сырье для внутреннего производства и экспортируются в десятки стран, включая Италию, Китай и Объединенные Арабские Эмираты.
Ни правительство Тегерана, ни Khuzestan Steel Company не приписали нападение конкретному злоумышленнику, равно как и ни один из заводов не подтвердил каких-либо повреждений или остановки работы в результате инцидента.
Генеральный директор Khuzestan Steel Амин Эбрахими заявил, что им удалось отбить кибератаку и предотвратить ущерб производству, который мог повлиять на цепочки поставок. Местный новостной канал Jamaran отметил, что атака не состоялась, поскольку на тот период фабрика не работала из-за отключения электроэнергии.
Тем не менее Khuzestan Steel Co. пришлось приостановить работу из-за технических проблем.
Ответственность за атаку взяла на себя анонимная хакерская группа Gonjeshke Darande, заявив, что атака была направлена против трех крупнейших сталелитейных компаний Ирана и является возмездием за «агрессию Исламской Республики».
В качестве доказательств своей причастности хакеры опубликовали видеозапись с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.
Ранее эта же группа заявляла о причастности к кибератаке на иранскую систему распределения топлива, которая состоялась в октябре 2021 года и парализовала работу сети заправочных станций по всей стране.
Безусловно, не называя ни имен, ни стран, ни обстоятельств инцидента компетентные органы Ирана, вероятно, уже завершили расследование и подготовили ответные меры. Не проводя параллелей, к слову, отметим, что пару недель назад два муниципалитета Израиля становились объектом атак неизвестного актора. Жители отделались ложными сработками системы оповещения.
По всей видимости, наметившаяся кибернапряженность на Ближнем Востоке входит в терминальную фазу противостояния, последствиями которого могут стать новые более разрушительные инциденты. Но, будем посмотреть.
Хакеры также атаковали также два других отраслевых предприятия, что в совокупности стало беспрецедентным нападением на стратегический промышленный сектор страны за последнее время.
По данным Associated Press, Khuzestan Steel Co. базируется в Ахвазе провинции Хузестан и обладает монополией на производство стали в Иране наряду с двумя названными госкомпаниями.
Правительство рассматривает сталь критическим сектором.
По данным Всемирной ассоциации производителей стали, Иран является ведущим производителем стали на Ближнем Востоке и входит в десятку крупнейших производителей стали в мире. Его железорудные рудники обеспечивают сырье для внутреннего производства и экспортируются в десятки стран, включая Италию, Китай и Объединенные Арабские Эмираты.
Ни правительство Тегерана, ни Khuzestan Steel Company не приписали нападение конкретному злоумышленнику, равно как и ни один из заводов не подтвердил каких-либо повреждений или остановки работы в результате инцидента.
Генеральный директор Khuzestan Steel Амин Эбрахими заявил, что им удалось отбить кибератаку и предотвратить ущерб производству, который мог повлиять на цепочки поставок. Местный новостной канал Jamaran отметил, что атака не состоялась, поскольку на тот период фабрика не работала из-за отключения электроэнергии.
Тем не менее Khuzestan Steel Co. пришлось приостановить работу из-за технических проблем.
Ответственность за атаку взяла на себя анонимная хакерская группа Gonjeshke Darande, заявив, что атака была направлена против трех крупнейших сталелитейных компаний Ирана и является возмездием за «агрессию Исламской Республики».
В качестве доказательств своей причастности хакеры опубликовали видеозапись с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.
Ранее эта же группа заявляла о причастности к кибератаке на иранскую систему распределения топлива, которая состоялась в октябре 2021 года и парализовала работу сети заправочных станций по всей стране.
Безусловно, не называя ни имен, ни стран, ни обстоятельств инцидента компетентные органы Ирана, вероятно, уже завершили расследование и подготовили ответные меры. Не проводя параллелей, к слову, отметим, что пару недель назад два муниципалитета Израиля становились объектом атак неизвестного актора. Жители отделались ложными сработками системы оповещения.
По всей видимости, наметившаяся кибернапряженность на Ближнем Востоке входит в терминальную фазу противостояния, последствиями которого могут стать новые более разрушительные инциденты. Но, будем посмотреть.
AP News
Cyberattack forces Iran steel company to halt production
One of Iran’s major steel companies says it was forced to halt production after being hit by a cyberattack that also targeted two other plants, marking one of the biggest assaults on the country’s strategic industrial sector in recent memory.
Системы автоматизации зданий (BAS) — достаточно редкая цель для продвинутых злоумышленников, а их компрометация, как правило, носит случайный характер.
Как раз с таким актором пришлось иметь дело ресерчерам Лаборатории Касперского, по мнению которых хакеры после взлома BAS могут скомпрометировать другие части целевой инфраструктуры, включая, помимо прочего, их системы информационной безопасности. Кроме того, эти системы автоматизации могут быть ценным источником высококонфиденциальной информации.
В октябре 2021 года Kaspersky ICS CERT обнаружил ранее неизвестного китайскоязычного злоумышленника, атакующего телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.
Предположительно, волна атак началась еще в марте 2021 года, группа использовала уязвимость CVE-2021-26855 в Microsoft Exchange для развертывания вредоносного ПО ShadowPad и проникновения в системы автоматизации зданий.
Атаки имели уникальный набор TTP, что навело ресерчеров на мысль, что за ними стоит одна и та же китайскоязычная угроза. При этом актор использовал инженерные компьютеры в системах автоматизации зданий в качестве точки проникновения.
В ходе расследования исследователи обнаружили дополнительные инструменты и команды, используемые злоумышленником после первоначального заражения. Так, с марта по октябрь 2021 года бэкдор ShadowPad загружался на компьютеры жертв в виде файла mscoree.dll, который запускался AppLaunch.exe — совершенно легитимным приложением.
Позже злоумышленники запускали ShadowPad с помощью перехвата DLL в легитимном приложении для просмотра объектов OLE-COM (OleView). После первоначального заражения злоумышленники сначала отправляли команды вручную, затем автоматически через интерфейс командной строки (cmd.exe).
Позже злоумышленники стали распространять вредоносный скрипт для cmd.exe по сетям атакуемых организаций. Скрипт был практически полностью идентичен (по своему содержанию и последовательности команд) обнаруженной ранее последовательности ручных действий. Он не только доставлялся по сети, но и добавлялся злоумышленниками в планировщик задач для ежедневного выполнения.
Важно отметить, что именно эта часть ТТП достаточно уникальна, и атрибутирует подобную деятельность с ранее неизвестной китаеязычной АРТ.
В числе других инструментов использовались: CobaltStrike, загружаемый на машины-жертвы с помощью утилиты certutil.exe, скомпилированных веб-оболочек aspx, инструментов procdump и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к веб-серверу), а также Nextnet (для сканирования сетевых узлов).
Для связи с C2 злоумышленники использовали домены, зарегистрированные в NameSilo, GoDaddy.com и ENOM. Большинство C2 размещались на арендованных выделенных серверах Choopa.
При анализе атак исследователи обнаружили совпадения с другой китайской APT, отслеживаемой как Hafnium, которая, как известно, также использовала эксплойты Exchange ProxyLogon. Однако представленных артефактов недостаточно, чтобы говорить о причастности HAFNUM к атакам, описанным в отчете.
Конечную цель актора ресерчерам не удалось установить, однако, по всей видимости, группа нацелена на сбор данных. Kaspersky ICS CERT полагают, что актор может иметь более широкие географические интересы и соответственно список жертв.
Как раз с таким актором пришлось иметь дело ресерчерам Лаборатории Касперского, по мнению которых хакеры после взлома BAS могут скомпрометировать другие части целевой инфраструктуры, включая, помимо прочего, их системы информационной безопасности. Кроме того, эти системы автоматизации могут быть ценным источником высококонфиденциальной информации.
В октябре 2021 года Kaspersky ICS CERT обнаружил ранее неизвестного китайскоязычного злоумышленника, атакующего телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.
Предположительно, волна атак началась еще в марте 2021 года, группа использовала уязвимость CVE-2021-26855 в Microsoft Exchange для развертывания вредоносного ПО ShadowPad и проникновения в системы автоматизации зданий.
Атаки имели уникальный набор TTP, что навело ресерчеров на мысль, что за ними стоит одна и та же китайскоязычная угроза. При этом актор использовал инженерные компьютеры в системах автоматизации зданий в качестве точки проникновения.
В ходе расследования исследователи обнаружили дополнительные инструменты и команды, используемые злоумышленником после первоначального заражения. Так, с марта по октябрь 2021 года бэкдор ShadowPad загружался на компьютеры жертв в виде файла mscoree.dll, который запускался AppLaunch.exe — совершенно легитимным приложением.
Позже злоумышленники запускали ShadowPad с помощью перехвата DLL в легитимном приложении для просмотра объектов OLE-COM (OleView). После первоначального заражения злоумышленники сначала отправляли команды вручную, затем автоматически через интерфейс командной строки (cmd.exe).
Позже злоумышленники стали распространять вредоносный скрипт для cmd.exe по сетям атакуемых организаций. Скрипт был практически полностью идентичен (по своему содержанию и последовательности команд) обнаруженной ранее последовательности ручных действий. Он не только доставлялся по сети, но и добавлялся злоумышленниками в планировщик задач для ежедневного выполнения.
Важно отметить, что именно эта часть ТТП достаточно уникальна, и атрибутирует подобную деятельность с ранее неизвестной китаеязычной АРТ.
В числе других инструментов использовались: CobaltStrike, загружаемый на машины-жертвы с помощью утилиты certutil.exe, скомпилированных веб-оболочек aspx, инструментов procdump и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к веб-серверу), а также Nextnet (для сканирования сетевых узлов).
Для связи с C2 злоумышленники использовали домены, зарегистрированные в NameSilo, GoDaddy.com и ENOM. Большинство C2 размещались на арендованных выделенных серверах Choopa.
При анализе атак исследователи обнаружили совпадения с другой китайской APT, отслеживаемой как Hafnium, которая, как известно, также использовала эксплойты Exchange ProxyLogon. Однако представленных артефактов недостаточно, чтобы говорить о причастности HAFNUM к атакам, описанным в отчете.
Конечную цель актора ресерчерам не удалось установить, однако, по всей видимости, группа нацелена на сбор данных. Kaspersky ICS CERT полагают, что актор может иметь более широкие географические интересы и соответственно список жертв.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Attacks on industrial control systems using ShadowPad | Kaspersky ICS CERT
A previously unknown Chinese-speaking threat actor attacking telecommunications, manufacturing, and transport organizations in several Asian countries. The group exploits MS Exchange vulnerability to deploy ShadowPad malware and infiltrates building automation…
Специалисты из Cyble предупреждают о кампании вредоносного ПО Matanbuchus и не просто так, а по причине того, что загрузчик активно используется и доступен на хакерских форумах.
Вполне адекватный прайс $2500 за тулзу оснащенную возможностями для запуска файлов .EXE и .DLL в памяти и выполнения произвольных команд PowerShell.
Matanbuchus, как и другие загрузчики вредоносных программ, такие как BazarLoader, Bumblebee и Colibri, разработан для загрузки и выполнения исполняемых файлов с серверов управления и контроля (C&C).
Малварь попала в поле зрения в феврале 2021 года, когда стала предоставляться как услуга и распространяться посредством фишинговых кампаний. Создатель Matanbuchus - некий господин, известный в сети как BelialDemon, а в преисподней, вероятно как падший ангел (от ивр. - «не имеющий жалости»).
В Cyble начали свое расследование после того, как наткнулись на сообщение в Твиттере от Unit 42, предупреждающего о распространении загрузчика через спам-кампании. К тому же, исследователи из Palo Alto ранее заявляли, что BelialDemon уже участвовал в разработке загрузчиков. Так, например наш "безжалостный" считается основным разработчиком TriumphLoader, загрузчика, который также был замечен на некоторых теневых площадках.
Впрочем, если получите письмо с Matanbuchus, то оно будет с вложением ZIP-файла, содержащим HTML-ку, которая при открытии декодирует содержимое Base64, встроенное в файл и загрузит вам в систему другой ZIP-файл с установщиком MSI. Далее, пока будете читать поддельное сообщение об ошибке вам на систему фоново установится файл «main.dll», действующий как загрузчик реальной DLL Matanbuchus с C&C-сервера.
Полезная нагрузка Matanbuchus устанавливает соединение с инфраструктурой C&C для получения полезных нагрузок следующего уровня например Cobalt Strike, как описали специалисты в своем отчете.
Вполне адекватный прайс $2500 за тулзу оснащенную возможностями для запуска файлов .EXE и .DLL в памяти и выполнения произвольных команд PowerShell.
Matanbuchus, как и другие загрузчики вредоносных программ, такие как BazarLoader, Bumblebee и Colibri, разработан для загрузки и выполнения исполняемых файлов с серверов управления и контроля (C&C).
Малварь попала в поле зрения в феврале 2021 года, когда стала предоставляться как услуга и распространяться посредством фишинговых кампаний. Создатель Matanbuchus - некий господин, известный в сети как BelialDemon, а в преисподней, вероятно как падший ангел (от ивр. - «не имеющий жалости»).
В Cyble начали свое расследование после того, как наткнулись на сообщение в Твиттере от Unit 42, предупреждающего о распространении загрузчика через спам-кампании. К тому же, исследователи из Palo Alto ранее заявляли, что BelialDemon уже участвовал в разработке загрузчиков. Так, например наш "безжалостный" считается основным разработчиком TriumphLoader, загрузчика, который также был замечен на некоторых теневых площадках.
Впрочем, если получите письмо с Matanbuchus, то оно будет с вложением ZIP-файла, содержащим HTML-ку, которая при открытии декодирует содержимое Base64, встроенное в файл и загрузит вам в систему другой ZIP-файл с установщиком MSI. Далее, пока будете читать поддельное сообщение об ошибке вам на систему фоново установится файл «main.dll», действующий как загрузчик реальной DLL Matanbuchus с C&C-сервера.
Полезная нагрузка Matanbuchus устанавливает соединение с инфраструктурой C&C для получения полезных нагрузок следующего уровня например Cobalt Strike, как описали специалисты в своем отчете.
Forwarded from Russian OSINT
Шифровальщик 🔐LockBit 3.0 запускает собственный "Bug Bounty"
Как заявляет Bleeping Computer, в минувшие выходные одна из самых известных групп шифровальщиков после окончания бета-тестирования в течение последних двух месяцев выпустила обновленную программу (RaaS) под названием LockBit 3.0
С выпуском LockBit 3.0 шифровальщики решили запустить свою собственную программу "bug bounty", которая предусматривает возможность для исследователей безопасности с разными цветами 🎩шляп отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
"Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за ошибки. Размер вознаграждения варьируется от 1000 до 1 миллиона долларов", - говорится на странице Lock Bit 3.0.
Подобная программа вознаграждения за ошибки немного отличается от тех, которые обычно используются легитимными компаниями, поэтому помощь группе локеров может расцениваться незаконной во многих странах, считают в Bleeping Computer.
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
Bug Bounty - программа поощрения поиска ошибок и уязвимостей в программном обеспечении. Баг баунти, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Обычно в рамках программы энтузиасты получают денежное вознаграждение за сообщение об ошибках, которые могут быть использованы злоумышленниками, но не все подобные программы предполагают материальное стимулирование участников [Энциклопедия «Касперского»].
Как заявляет Bleeping Computer, в минувшие выходные одна из самых известных групп шифровальщиков после окончания бета-тестирования в течение последних двух месяцев выпустила обновленную программу (RaaS) под названием LockBit 3.0
С выпуском LockBit 3.0 шифровальщики решили запустить свою собственную программу "bug bounty", которая предусматривает возможность для исследователей безопасности с разными цветами 🎩шляп отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
"Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за ошибки. Размер вознаграждения варьируется от 1000 до 1 миллиона долларов", - говорится на странице Lock Bit 3.0.
Подобная программа вознаграждения за ошибки немного отличается от тех, которые обычно используются легитимными компаниями, поэтому помощь группе локеров может расцениваться незаконной во многих странах, считают в Bleeping Computer.
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
Bug Bounty - программа поощрения поиска ошибок и уязвимостей в программном обеспечении. Баг баунти, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Обычно в рамках программы энтузиасты получают денежное вознаграждение за сообщение об ошибках, которые могут быть использованы злоумышленниками, но не все подобные программы предполагают материальное стимулирование участников [Энциклопедия «Касперского»].
BleepingComputer
LockBit 3.0 introduces the first ransomware bug bounty program
The LockBit ransomware operation has released 'LockBit 3.0,' introducing the first ransomware bug bounty program and leaking new extortion tactics and Zcash cryptocurrency payment options.
Исследователи из Lumen's Black Lotus Labs отследили целенаправленную кампанию, в которой использовался многоступенчатый троян удаленного доступа, получивший название ZuoRAT, старгетированный на удаленных работников через маршрутизаторы малого офиса/домашнего офиса (SOHO) в Северной Америке и Европе, начиная с 2020 года, поразив как минимум 80 целей.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.
PR Newswire
Lumen discovers new malware that targeted home-office routers for two years
/PRNewswire/ -- Black Lotus Labs, the threat intelligence arm of Lumen Technologies (NYSE: LUMN), today announced that it discovered a new remote access trojan...
Если вы не успели обновить OpenSSL, то пока торопиться не стоит ибо в новой версии 3.0.4 выпущенной 21 июня 2022 года обнаружена ошибка удаленного повреждения памяти и затрагивает системы x64 с набором инструкций AVX-512.
Уязвимость обнаружил эксперт по безопасности Гвидо Вранкен, который считает, что при помощи ошибки злоумышленник может повредить содержимое памяти процесса через отправку специально оформленных данных в момент установки TLS-соединения.
Идентификатор CVE и рейтинг критичности не назначен, так как пока не ясно, может ли эта бага привести к выполнению кода и утечке данных из памяти процесса. На данный момент ошибка ограничивается только аварийным завершением работы.
Суть уязвимости состоит в том, что из-за некорректного исправления ошибки в коде может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.
Исследователь Google Дэвид Бенджамин решил перепроверить коллегу, проанализировал уязвимость и утверждает, что ошибка не представляет угрозы безопасности. Однако проблему все же обещают решить в следующем выпуске.
Уязвимость обнаружил эксперт по безопасности Гвидо Вранкен, который считает, что при помощи ошибки злоумышленник может повредить содержимое памяти процесса через отправку специально оформленных данных в момент установки TLS-соединения.
Идентификатор CVE и рейтинг критичности не назначен, так как пока не ясно, может ли эта бага привести к выполнению кода и утечке данных из памяти процесса. На данный момент ошибка ограничивается только аварийным завершением работы.
Суть уязвимости состоит в том, что из-за некорректного исправления ошибки в коде может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.
Исследователь Google Дэвид Бенджамин решил перепроверить коллегу, проанализировал уязвимость и утверждает, что ошибка не представляет угрозы безопасности. Однако проблему все же обещают решить в следующем выпуске.
Guido Vranken
Notes on OpenSSL remote memory corruption
OpenSSL version 3.0.4, released on June 21th 2022, is susceptible to remote memory corruption which can be triggered trivially by an attacker. BoringSSL, LibreSSL and the OpenSSL 1.1.1 branch are n…
͏Производитель AMD инициировал расследование после публикации вымогателями RansomHouse сообщения о краже более 450 ГБ корпоративных данных на своем DLS.
В ходе контактов с представителями СМИ хакеры заявили, что названный инцидент произошел более года назад, а представленная на сайте утечек дата 5 января 2022 года указывает на время окончания кибератаки и выхода хакеров из периметра сети AMD.
Весь последующий период RansomHouse намеревались поторговать данными в даркнете, возможно, им это даже удалось, история умалчивает.
Злоумышленники долгое время не обращались к AMD с требованием выкупа, поскольку перепродажа данных была более приоритетной. Тем более, что обычно время ожидания решения по выплате выкупа в силу присущего таким гигантам бюрократизма - достаточно велико, по словам RansomHouse.
RansomHouse утверждают, что похищенные у AMD данные включают исследовательскую и финансовую информацию. Однако до настоящего времени злоумышленники не представили никаких доказательств, кроме нескольких файлов, содержащих информацию, предположительно полученную с домена AMD Windows.
Представленная информация включает CSV со списком из более чем 70 000 устройств, по-видимому, внутренней сети AMD, а также предполагаемый список корпоративных учетных данных пользователей с ненадежными паролями.
Один из представленных файлов all_computers.csv содержит список из более чем 77 000 устройств, по-видимому, внутренней сети AMD, а другой sample_passwords.txt - список ненадёжных учетных данных пользователей AMD со слабыми паролями.
Как известно, RansomHouse приступили к работе в декабре 2021 года, когда произошла утечка информации первой жертвы - Saskatchewan Liquor and Gaming Authority (SLGA).
Сейчас на сайте вымогателей помимо нее также размещены: AHS Aviation Handling Services GmbH, Dellner Couplers AB, Jefferson Credit Union и SHOPRITE HOLDINGS LTD. Причем последняя из них - африканская сеть супермаркетов, 10 июня подтвердила кибератаку.
А значит, инцидент с AMD сулит нам две новости: плохая - это появление новых 0-day после попадания исходников в руки предприимчивых хакеров, хорошая - АНБ придется потрудиться, чтобы попрятать свои бэкдоры и прикрыть текущие кибероперации.
В ходе контактов с представителями СМИ хакеры заявили, что названный инцидент произошел более года назад, а представленная на сайте утечек дата 5 января 2022 года указывает на время окончания кибератаки и выхода хакеров из периметра сети AMD.
Весь последующий период RansomHouse намеревались поторговать данными в даркнете, возможно, им это даже удалось, история умалчивает.
Злоумышленники долгое время не обращались к AMD с требованием выкупа, поскольку перепродажа данных была более приоритетной. Тем более, что обычно время ожидания решения по выплате выкупа в силу присущего таким гигантам бюрократизма - достаточно велико, по словам RansomHouse.
RansomHouse утверждают, что похищенные у AMD данные включают исследовательскую и финансовую информацию. Однако до настоящего времени злоумышленники не представили никаких доказательств, кроме нескольких файлов, содержащих информацию, предположительно полученную с домена AMD Windows.
Представленная информация включает CSV со списком из более чем 70 000 устройств, по-видимому, внутренней сети AMD, а также предполагаемый список корпоративных учетных данных пользователей с ненадежными паролями.
Один из представленных файлов all_computers.csv содержит список из более чем 77 000 устройств, по-видимому, внутренней сети AMD, а другой sample_passwords.txt - список ненадёжных учетных данных пользователей AMD со слабыми паролями.
Как известно, RansomHouse приступили к работе в декабре 2021 года, когда произошла утечка информации первой жертвы - Saskatchewan Liquor and Gaming Authority (SLGA).
Сейчас на сайте вымогателей помимо нее также размещены: AHS Aviation Handling Services GmbH, Dellner Couplers AB, Jefferson Credit Union и SHOPRITE HOLDINGS LTD. Причем последняя из них - африканская сеть супермаркетов, 10 июня подтвердила кибератаку.
А значит, инцидент с AMD сулит нам две новости: плохая - это появление новых 0-day после попадания исходников в руки предприимчивых хакеров, хорошая - АНБ придется потрудиться, чтобы попрятать свои бэкдоры и прикрыть текущие кибероперации.
Ресерчеры Palo Alto Networks в рамках Coordinated Vulnerability Disclosure (CVD) раскрыли подробности о новой уязвимости, затрагивающей кластеры Service Fabric (SF) Linux (CVE-2022-30137) и получившей наименование FabricScape.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
Unit 42
FabricScape: Escaping Service Fabric and Taking Over the Cluster
FabricScape (CVE-2022-30137) is a privilege escalation vulnerability of important severity in Microsoft's Service Fabric, commonly used with Azure.
Forwarded from SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
Сисадмин компании Avaya долгие годы незаконно генерировал лицензии и продавал их по всему миру.
Mozilla выпустила обновленную версию Firefox 102, исправив 19 уязвимостей, включая четыре ошибки высокой степени серьезности.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Mozilla
Security Vulnerabilities fixed in Firefox 102
Исследователи SonarSource обнаружили новую уязвимость Path Traversal (CVE-2022-30333) в утилите UnRAR от RARlab, которая позволяет удаленно взламывать серверы веб-почты Zimbra.
Корпоративным решением для работы с электронной почтой пользуются более 200 000 предприятиями, в том числе в госсекторе и финансовых учреждениях.
0-day уязвимость в утилите unrar, используемой в Zimbra, в конечном итоге позволяет удаленному злоумышленнику выполнить произвольный код на уязвимом экземпляре, не требуя предварительной аутентификации
CVE-2022-30333 в бинарном файле unrar, разработанном RarLab, представляет собой уязвимость записи файла, которую можно использовать, обманом заставляя жертв извлекать злонамеренно созданные архивы RAR.
Злоумышленник может создавать файлы за пределами целевого каталога извлечения, когда приложение или пользователь извлекает ненадежный архив.
Эксперты отметили, что в случае с Zimbra злоумышленники могут использовать эту проблему для доступа ко всей электронной коррепондеции почтовом сервере.
Злоумышленник может полностью скомпрометировать сервер, установить бэкдор и использовать скомпрометированную машину в качестве опорной точки для нападения на другие системы организации.
Единственным требованием для этой атаки является наличие на сервере unrar.
Проблема связана с атакой по символической ссылке.
Злоумышленник может создать RAR-архив, содержащий символическую ссылку, содержащую прямую и обратную косую черту (например, «..\..\..\tmp/shell»), чтобы обойти текущие проверки и извлечь его за пределы целевого каталога извлечения. Это происходит благодаря функции, которая преобразует обратную косую черту в прямую косую в архивах RAR, созданных в Windows, для извлечения в системах Unix.
Уязвимость таким образом может использоваться для записи произвольных файлов в целевой файловой системе, включая запись оболочки JSP в оболочку веб-каталога в Zimbra.
Учитывая, что потенциальный злоумышленник может добиться реализации RCE различными способами, ресерчеры рекомендуют немедленно обновить unrar, даже если ваш веб-сервер и почтовый сервер не находятся на одной физической машине.
Корпоративным решением для работы с электронной почтой пользуются более 200 000 предприятиями, в том числе в госсекторе и финансовых учреждениях.
0-day уязвимость в утилите unrar, используемой в Zimbra, в конечном итоге позволяет удаленному злоумышленнику выполнить произвольный код на уязвимом экземпляре, не требуя предварительной аутентификации
CVE-2022-30333 в бинарном файле unrar, разработанном RarLab, представляет собой уязвимость записи файла, которую можно использовать, обманом заставляя жертв извлекать злонамеренно созданные архивы RAR.
Злоумышленник может создавать файлы за пределами целевого каталога извлечения, когда приложение или пользователь извлекает ненадежный архив.
Эксперты отметили, что в случае с Zimbra злоумышленники могут использовать эту проблему для доступа ко всей электронной коррепондеции почтовом сервере.
Злоумышленник может полностью скомпрометировать сервер, установить бэкдор и использовать скомпрометированную машину в качестве опорной точки для нападения на другие системы организации.
Единственным требованием для этой атаки является наличие на сервере unrar.
Проблема связана с атакой по символической ссылке.
Злоумышленник может создать RAR-архив, содержащий символическую ссылку, содержащую прямую и обратную косую черту (например, «..\..\..\tmp/shell»), чтобы обойти текущие проверки и извлечь его за пределы целевого каталога извлечения. Это происходит благодаря функции, которая преобразует обратную косую черту в прямую косую в архивах RAR, созданных в Windows, для извлечения в системах Unix.
Уязвимость таким образом может использоваться для записи произвольных файлов в целевой файловой системе, включая запись оболочки JSP в оболочку веб-каталога в Zimbra.
Учитывая, что потенциальный злоумышленник может добиться реализации RCE различными способами, ресерчеры рекомендуют немедленно обновить unrar, даже если ваш веб-сервер и почтовый сервер не находятся на одной физической машине.
Sonarsource
Unrar Path Traversal Vulnerability affects Zimbra Mail
We discovered a vulnerability in Zimbra Enterprise Email that allows an unauthenticated, remote attacker fully take over Zimbra instances via a flaw in unrar.
Если вы вдруг увлекаетесь медиаконтентом, который заливаете на ютубчик и используете в своем творческом начинании пиратский софт BS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro и Filmora, то после прочтения статьи рекомендуем хотябы перелогиниться.
Дело в том, что специалисты из Intezer поведали общественности о новом стилере YTStealer нацеленном исключительно на создателей контента YouTube для кражи пользовательских файлов cookie аутентификации видеохостинга.
Читерам и любителям игр тоже стоит обеспокоится, так как YTStealer может выдавать себя за моды Grand Theft Auto V, читы для Counter-Strike Go, Call of Duty, Valorant, Roblox.
YTStealer максимально хитрая софтина и перед развертыванием на компьютере жертвы с помощью инструмента Chacal сначала проверяет файлы браузера в поисках токенов аутентификации YouTube. Далее чекает их, запуская веб-браузер в автономном режиме и если токен валиден, то стилер собирает информацию о названии канала, статусе, подписчиках, монетизации и т.п.
Потом все это добро шифруется, причем уникальным для каждого образца ключом и отправляется вместе с идентификатором образца на C2.
Ну а после аккаунт либо "отжимается", чтоб хоть как-то монетизировать труды злоумышленников, либо просто сливается в даркнете. Стоимость разумеется зависит от размера и статуса канала.
Самое обидное, что многофакторная аутентификация тут не поможет, так как токены аутентификации могут обойти 2ФА и позволить злоумышленникам получить доступ к аккаунту.
В Intezer отметили, что YTStealer из-за своей узкой направленностью именно на YouTube делает операции по краже токенов аутентификации крайне эффективными.
Из рекомендаций можно посоветовать не использовать пиратский софт и время от времени выходить из аккаунта, чтобы сбросить токены аутентификации, которые могли быть украдены ранее.
Дело в том, что специалисты из Intezer поведали общественности о новом стилере YTStealer нацеленном исключительно на создателей контента YouTube для кражи пользовательских файлов cookie аутентификации видеохостинга.
Читерам и любителям игр тоже стоит обеспокоится, так как YTStealer может выдавать себя за моды Grand Theft Auto V, читы для Counter-Strike Go, Call of Duty, Valorant, Roblox.
YTStealer максимально хитрая софтина и перед развертыванием на компьютере жертвы с помощью инструмента Chacal сначала проверяет файлы браузера в поисках токенов аутентификации YouTube. Далее чекает их, запуская веб-браузер в автономном режиме и если токен валиден, то стилер собирает информацию о названии канала, статусе, подписчиках, монетизации и т.п.
Потом все это добро шифруется, причем уникальным для каждого образца ключом и отправляется вместе с идентификатором образца на C2.
Ну а после аккаунт либо "отжимается", чтоб хоть как-то монетизировать труды злоумышленников, либо просто сливается в даркнете. Стоимость разумеется зависит от размера и статуса канала.
Самое обидное, что многофакторная аутентификация тут не поможет, так как токены аутентификации могут обойти 2ФА и позволить злоумышленникам получить доступ к аккаунту.
В Intezer отметили, что YTStealer из-за своей узкой направленностью именно на YouTube делает операции по краже токенов аутентификации крайне эффективными.
Из рекомендаций можно посоветовать не использовать пиратский софт и время от времени выходить из аккаунта, чтобы сбросить токены аутентификации, которые могли быть украдены ранее.
Intezer
YTStealer Malware: “YouTube Cookies! Om Nom Nom Nom”
The Stage: The Dark Web Market for YouTube Account Access In 2006, the term “data is the new oil” was coined. Ever since then, the value of data has just increased. We live in a world where many corporations collect data on users in an attempt to monetize…
Стали известны подробности произошедшей в выходные разрушительной кибератаки на стратегические объекты металлургии Ирана - Hormozgan Steel, Khouzestan Steel и Mobarakeh Steel, ответственность за которую вязала на себя группа Gonjeshke Darande.
Ресерчерам Check Point удалось обнаружить файлы, связанные с атакой, первоначальный анализ которых указывает, что вредоносное ПО, получившее наименование Chaplin, непосредственным образом также связано с прошлогодними атаками на Иранские железные дороги.
Исполняемый файл Chaplin.exe представляет собой вариант Meteor - вайпера, замеченного в атаках на железные дороги и правительство Ирана. Оба имеют общую кодовую базу, но у Chaplin, в отличие от Meteor и его предыдущих вариантов - Stardust и Comet, отсутствует функция очистки.
Кроме того, Chaplin не содержит журналов отладки, но включает важную информацию о RTTI. Он начинает свое выполнение с отключения сетевых адаптеров, выхода пользователя из системы и выполнения двоичного файла в новом потоке Screen.exe.
Файл принудительно включает дисплей, блокирует взаимодействие пользователя с компьютером и воспроизводит video.wmv с использованием COM-объекта Filter Graph Manager и удаляет раздел реестра "Lsa", препятствуя правильной загрузке системы.
Однокадровое видео совпадает с фотографией загруженной хакерами в соцсети, отображая логотипы жертв Predatory Sparrow: Khouzestan Steel Company (KSC), Иранскую нефтяную компанию, Министерство дорог и городского развития, Иранские железные дороги.
Как и в предыдущих инцидентах, хакеры оставили для связи номер телефона, принадлежащий офису верховного лидера Ирана.
В настоящее время неясно, есть ли у Chaplin какие-либо модули, которые позволяли бы ей взаимодействовать с промышленным оборудованием в сети OT компании Khouzestan Steel.
Исследователи Certfa Labs, судя по представленному хакерами видео, предполагают, что взаимодействие с промышленным оборудованием завода могло происходить по другому каналу - через панель управления, принадлежащую Irisa, которая предоставляет сетевые услуги и обеспечивает промышленную инфраструктуру для иранских компаний.
Специалисты при этом не исключают, что Gonjeshke Darande, по-прежнему, могут иметь доступ к сетям других организаций.
Ресерчерам Check Point удалось обнаружить файлы, связанные с атакой, первоначальный анализ которых указывает, что вредоносное ПО, получившее наименование Chaplin, непосредственным образом также связано с прошлогодними атаками на Иранские железные дороги.
Исполняемый файл Chaplin.exe представляет собой вариант Meteor - вайпера, замеченного в атаках на железные дороги и правительство Ирана. Оба имеют общую кодовую базу, но у Chaplin, в отличие от Meteor и его предыдущих вариантов - Stardust и Comet, отсутствует функция очистки.
Кроме того, Chaplin не содержит журналов отладки, но включает важную информацию о RTTI. Он начинает свое выполнение с отключения сетевых адаптеров, выхода пользователя из системы и выполнения двоичного файла в новом потоке Screen.exe.
Файл принудительно включает дисплей, блокирует взаимодействие пользователя с компьютером и воспроизводит video.wmv с использованием COM-объекта Filter Graph Manager и удаляет раздел реестра "Lsa", препятствуя правильной загрузке системы.
Однокадровое видео совпадает с фотографией загруженной хакерами в соцсети, отображая логотипы жертв Predatory Sparrow: Khouzestan Steel Company (KSC), Иранскую нефтяную компанию, Министерство дорог и городского развития, Иранские железные дороги.
Как и в предыдущих инцидентах, хакеры оставили для связи номер телефона, принадлежащий офису верховного лидера Ирана.
В настоящее время неясно, есть ли у Chaplin какие-либо модули, которые позволяли бы ей взаимодействовать с промышленным оборудованием в сети OT компании Khouzestan Steel.
Исследователи Certfa Labs, судя по представленному хакерами видео, предполагают, что взаимодействие с промышленным оборудованием завода могло происходить по другому каналу - через панель управления, принадлежащую Irisa, которая предоставляет сетевые услуги и обеспечивает промышленную инфраструктуру для иранских компаний.
Специалисты при этом не исключают, что Gonjeshke Darande, по-прежнему, могут иметь доступ к сетям других организаций.
X (formerly Twitter)
Check Point Research (@_CPResearch_) on X
#BREAKING We found files related to the attack against the Steel Industry in Iran.
Initial analysis shows that the malware is connected to the attacks against Iran Railways last year, an attack that was thoroughly described in our previous research.
Here's…
Initial analysis shows that the malware is connected to the attacks against Iran Railways last year, an attack that was thoroughly described in our previous research.
Here's…
В деле кражи криптоактивов на 100 миллионов долларов у Harmony Horizon Bridge появился подозреваемый, которого вы уже давно прекрасно знаете - Lazarus Group, ответственные за аналогичную атаку на Ronin Bridge в марте 2022 году.
Напомним, что инцидент, о котором мы сообщали ранее, произошел 23 июня, когда хакерам удалось извлечь токены, хранящиеся в мосту, и впоследствии похитить криптовалюту Ether (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) и BNB.
Аналитическая компания Elliptic смогла отследить движение украденных средств.
Сразу после вывода активов злоумышленники немедленно воспользовались децентрализованной биржей Uniswap (DEX) для конвертации большей части этих активов в общую сумму 85 837 ETH.
Несколько дней спустя, 27 июня, преступники приступили к выводу средства на сумму 39 миллионов долларов через микшер Tornado Cash, однако Elliptic удалось «разделить» транзакции и отследить украденные средства, направленные через сервис на ряд новых кошельков Ethereum.
При этом время совершения транзакций с Tornado cash соответствовало временному поясу Азиатско-Тихоокеанского региона.
В ходе расследования инцидента стало понятно, что кража была совершена путем компрометации криптографических ключей кошелька с мультиподписью — вероятно, посредством социальной инженерии на членов команды Harmony.
Атрибуция атаки к Lazarus Group, по большей части, строится на косвенных совпадениях с прошлыми атаками и таргетингом АРТ, а также совпадении механизма легализации украденных средств.
Тем не менее, Harmony подключила все криптосообщество и силовой блок, а также назначила награду в 10 миллионов долларов за любую информацию, которая приведет к возврату активов. Злоумышленникам на эксклюзивных условиях предложено вернуть похищенные средства до 4 июля 2022 года за минусом 10 процентов от суммы.
Полагаем, что к этому времени ситуация вряд ли разрешится, по крайней мере, на условиях Harmony. Но будем посмотреть.
Напомним, что инцидент, о котором мы сообщали ранее, произошел 23 июня, когда хакерам удалось извлечь токены, хранящиеся в мосту, и впоследствии похитить криптовалюту Ether (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) и BNB.
Аналитическая компания Elliptic смогла отследить движение украденных средств.
Сразу после вывода активов злоумышленники немедленно воспользовались децентрализованной биржей Uniswap (DEX) для конвертации большей части этих активов в общую сумму 85 837 ETH.
Несколько дней спустя, 27 июня, преступники приступили к выводу средства на сумму 39 миллионов долларов через микшер Tornado Cash, однако Elliptic удалось «разделить» транзакции и отследить украденные средства, направленные через сервис на ряд новых кошельков Ethereum.
При этом время совершения транзакций с Tornado cash соответствовало временному поясу Азиатско-Тихоокеанского региона.
В ходе расследования инцидента стало понятно, что кража была совершена путем компрометации криптографических ключей кошелька с мультиподписью — вероятно, посредством социальной инженерии на членов команды Harmony.
Атрибуция атаки к Lazarus Group, по большей части, строится на косвенных совпадениях с прошлыми атаками и таргетингом АРТ, а также совпадении механизма легализации украденных средств.
Тем не менее, Harmony подключила все криптосообщество и силовой блок, а также назначила награду в 10 миллионов долларов за любую информацию, которая приведет к возврату активов. Злоумышленникам на эксклюзивных условиях предложено вернуть похищенные средства до 4 июля 2022 года за минусом 10 процентов от суммы.
Полагаем, что к этому времени ситуация вряд ли разрешится, по крайней мере, на условиях Harmony. Но будем посмотреть.
www.elliptic.co
The $100 million Horizon hack: following the trail through Tornado Cash to North Korea
There are strong indications that North Korea’s Lazarus Group may be responsible for the Horizon hack, according to Elliptic research.
Amazon незаметно пофиксили полгода назад серьезную уязвимость, затрагивающую Android-приложение Amazon Photos. При этом Amazon Photos для Android было загружено более 50 миллионов раз в Google Play, прежде чем был выпущен патч.
Amazon Photos — это приложение для хранения изображений и видео, которое позволяет пользователям беспрепятственно делиться своими снимками с пятью членами семьи, предлагая мощные функции управления и организации.
Исследователи Checkmarx сообщили о найденной проблеме через программу исследования уязвимостей Amazon 7 ноября 2021 года, на следующий день компания подтвердила ошибку, классифицировав ее как уязвимость высокой степени серьезности.
18 декабря 2021 года Amazon уведомила ресерчеров о закрытии недостатка, однако пользователи приложения до настоящего времени не были проинформированы.
Эксплуатация ошибки позволяло вредоносному приложению, установленному на том же устройстве, украсть токены доступа Amazon, используемые для аутентификации Amazon API.
Многие из API содержат личные данные, такие как имена, адреса электронной почты, адреса и многое другое. Некоторые, например Amazon Drive API, предоставляют хакеру полный доступ к файлам человека.
Недостаток, обнаруженный исследователями Checkmarx, заключается в неправильной настройке компонента приложения - com.amazon.gallery.thor.app.activity.ThorViewActivity, в результате чего его файл манифеста становится доступным извне без аутентификации.
При запуске компонент инициирует HTTP-запрос, содержащий заголовок с токеном пользователя. Исследователи Checkmarx обнаружили, что внешнее приложение может легко запустить уязвимую активность и инициировать запрос по желанию, отправив токен на сервер, контролируемый субъектом.
Аналитики апробировали различные сценарии использования полученного токена, такие как выполнение действий с файлами в облачном хранилище Amazon Drive жертвы, стирание истории, чтобы удаленные данные нельзя было восстановить, и многое другое.
Сценарий ransomware был самым вероятным вектором атаки: злоумышленнику необходимо лишь прочитать, зашифровать и перезаписать файлы клиента, стерев их историю.
Тот же токен может использоваться другими API-интерфейсами Amazon, такими как Prime Video, Alexa, Kindle и др, поэтому потенциал эксплуатации уязвимости был достаточно велик.
Вместе с тем, Amazon заявляет, что у компании нет доказательств того, что в результате этой проблемы была раскрыта конфиденциальная информация о клиентах. Ещё бы.
Amazon Photos — это приложение для хранения изображений и видео, которое позволяет пользователям беспрепятственно делиться своими снимками с пятью членами семьи, предлагая мощные функции управления и организации.
Исследователи Checkmarx сообщили о найденной проблеме через программу исследования уязвимостей Amazon 7 ноября 2021 года, на следующий день компания подтвердила ошибку, классифицировав ее как уязвимость высокой степени серьезности.
18 декабря 2021 года Amazon уведомила ресерчеров о закрытии недостатка, однако пользователи приложения до настоящего времени не были проинформированы.
Эксплуатация ошибки позволяло вредоносному приложению, установленному на том же устройстве, украсть токены доступа Amazon, используемые для аутентификации Amazon API.
Многие из API содержат личные данные, такие как имена, адреса электронной почты, адреса и многое другое. Некоторые, например Amazon Drive API, предоставляют хакеру полный доступ к файлам человека.
Недостаток, обнаруженный исследователями Checkmarx, заключается в неправильной настройке компонента приложения - com.amazon.gallery.thor.app.activity.ThorViewActivity, в результате чего его файл манифеста становится доступным извне без аутентификации.
При запуске компонент инициирует HTTP-запрос, содержащий заголовок с токеном пользователя. Исследователи Checkmarx обнаружили, что внешнее приложение может легко запустить уязвимую активность и инициировать запрос по желанию, отправив токен на сервер, контролируемый субъектом.
Аналитики апробировали различные сценарии использования полученного токена, такие как выполнение действий с файлами в облачном хранилище Amazon Drive жертвы, стирание истории, чтобы удаленные данные нельзя было восстановить, и многое другое.
Сценарий ransomware был самым вероятным вектором атаки: злоумышленнику необходимо лишь прочитать, зашифровать и перезаписать файлы клиента, стерев их историю.
Тот же токен может использоваться другими API-интерфейсами Amazon, такими как Prime Video, Alexa, Kindle и др, поэтому потенциал эксплуатации уязвимости был достаточно велик.
Вместе с тем, Amazon заявляет, что у компании нет доказательств того, что в результате этой проблемы была раскрыта конфиденциальная информация о клиентах. Ещё бы.
Vimeo
Amazon Photo Vulnerability video.mp4
Demonstration of an Amazon Photo Vulnerability discovered by Checkmarx
͏Вымогатели Yanluowang заявили об атаке на американского ритейлера Walmart, зашифровав тысячи хостов.
В начале недели новоиспеченная банда Yanluowang опубликовала запись на своем сайте DLS с информацией о шифровании от 40 000 до 50 000 устройств в сети Walmart. Хакеры пояснили, что провели атаку более месяца назад и смогли зашифровать устройства, эксфильтрацию при этом им не удалось завершить.
В свою очередь, руководство компании не подтверждает инцидент, уверяя, что их команда ИБ бдит за системами 24/7.
Тем не менее, в качестве доказательств вымогатели опубликовали файлы, которые якобы содержат информацию с домена Windows Walmart, включая сертификат безопасности, список пользователей домена и результаты kerberoasting.
Сумма выкупа составила 55 миллионов долларов, однако официально ритейлер отказался от переговорного процесса.
Собственно, для владельца активов стоимостью более 300 млрд. долларов и не менее внушительным оборотом почти в 500 млрд., сумма выкупа выглядит смешной.
А, учитывая подлинность представленных пруффов, позиция Walmart вряд ли соответствует официально заявленной.
Если Walmart и удалось по-легкому отскочить от атаки с использованием ransomware, то издательскому гиганту Macmillan на этой неделе пришлось отключить всю сеть и закрыть офисы после произошедшего 25 июня киберинцидента, который связан с шифрованием определенных файлов в корпоративной сети.
Сотрудники утратили доступ к своим системам, электронной почте и файлам, о чем уведомили своих контрагентов и клиентов. К настоящему времени Macmillan удалось восстановить часть инфраструктуры, ведутся работы по возобновлению работы офисов.
Кто стоит за нападением и какую информацию удалось выкрасть хакерам пока неизвестно, но виновник не заставит себя ждать. Так что будем посмотреть.
В начале недели новоиспеченная банда Yanluowang опубликовала запись на своем сайте DLS с информацией о шифровании от 40 000 до 50 000 устройств в сети Walmart. Хакеры пояснили, что провели атаку более месяца назад и смогли зашифровать устройства, эксфильтрацию при этом им не удалось завершить.
В свою очередь, руководство компании не подтверждает инцидент, уверяя, что их команда ИБ бдит за системами 24/7.
Тем не менее, в качестве доказательств вымогатели опубликовали файлы, которые якобы содержат информацию с домена Windows Walmart, включая сертификат безопасности, список пользователей домена и результаты kerberoasting.
Сумма выкупа составила 55 миллионов долларов, однако официально ритейлер отказался от переговорного процесса.
Собственно, для владельца активов стоимостью более 300 млрд. долларов и не менее внушительным оборотом почти в 500 млрд., сумма выкупа выглядит смешной.
А, учитывая подлинность представленных пруффов, позиция Walmart вряд ли соответствует официально заявленной.
Если Walmart и удалось по-легкому отскочить от атаки с использованием ransomware, то издательскому гиганту Macmillan на этой неделе пришлось отключить всю сеть и закрыть офисы после произошедшего 25 июня киберинцидента, который связан с шифрованием определенных файлов в корпоративной сети.
Сотрудники утратили доступ к своим системам, электронной почте и файлам, о чем уведомили своих контрагентов и клиентов. К настоящему времени Macmillan удалось восстановить часть инфраструктуры, ведутся работы по возобновлению работы офисов.
Кто стоит за нападением и какую информацию удалось выкрасть хакерам пока неизвестно, но виновник не заставит себя ждать. Так что будем посмотреть.
Broadcom сообщила об уязвимостях в ПО своей дочерней компании Brocade, специализирующейся на сетевом хранении данных. Выявленные уязвимости, в свою очередь, также могут повлиять на решения для хранения данных других крупных компаний.
Речь идет о приложении управления сетью хранения данных (SAN) Brocade SANnav, в котором было обнаружено девять ошибок.
Шесть из них влияют на сторонние компоненты, такие как OpenSSL, Oracle Java и NGINX, им был присвоен рейтинг средней и низкой серьезности. Использование этих недостатков может позволить злоумышленнику, не прошедшему проверку подлинности, манипулировать данными, расшифровывать данные и вызывать состояние отказа в обслуживании (DoS).
Три другие уязвимости в Brocade SANnav получили высокий уровень серьезности, поскольку позволяют злоумышленнику получить пароли коммутатора, сервера из файлов журнала, а также перехватить потенциально конфиденциальную информацию благодаря шифрованию со статическим ключом.
CVE-2022-28167 , CVE-2022-28168 и CVE-2022-28166 были обнаружены специалистами самой компании, конечно же, никаких доказательств их использования в дикой природе нет, а сами баги уже давно исправлены.
Однако зависимые от ПО Brocade решения для хранения данных компаний могут быть также подвержены этим уязвимостям.
На этой неделе HPE проинформировала клиентов о том , что портал управления SANnav серии B содержит названные ошибки, посоветовав установить последние обновления. По мнению производителя, уязвимости могут использоваться локально и удаленно для раскрытия конфиденциальной информации, осуществления несанкционированного доступа и изменения данных, а также для частичного отказа в обслуживании.
NetApp, другой партнер Brocade, опубликовал отдельные рекомендации по специфическим уязвимостям Brocade SANnav. Собственные продукты NetApp, похоже, не затронуты.
Помимо указанных Brocade также имеет партнерские отношения с Dell, Fujitsu, Huawei, IBM и Lenovo. К настоящему времени ни один из OEM-партнеров Brocade, не опубликовал рекомендации по уязвимостям SANnav, поэтому еще неясно, какое ПО также можно считать уязвимым.
Речь идет о приложении управления сетью хранения данных (SAN) Brocade SANnav, в котором было обнаружено девять ошибок.
Шесть из них влияют на сторонние компоненты, такие как OpenSSL, Oracle Java и NGINX, им был присвоен рейтинг средней и низкой серьезности. Использование этих недостатков может позволить злоумышленнику, не прошедшему проверку подлинности, манипулировать данными, расшифровывать данные и вызывать состояние отказа в обслуживании (DoS).
Три другие уязвимости в Brocade SANnav получили высокий уровень серьезности, поскольку позволяют злоумышленнику получить пароли коммутатора, сервера из файлов журнала, а также перехватить потенциально конфиденциальную информацию благодаря шифрованию со статическим ключом.
CVE-2022-28167 , CVE-2022-28168 и CVE-2022-28166 были обнаружены специалистами самой компании, конечно же, никаких доказательств их использования в дикой природе нет, а сами баги уже давно исправлены.
Однако зависимые от ПО Brocade решения для хранения данных компаний могут быть также подвержены этим уязвимостям.
На этой неделе HPE проинформировала клиентов о том , что портал управления SANnav серии B содержит названные ошибки, посоветовав установить последние обновления. По мнению производителя, уязвимости могут использоваться локально и удаленно для раскрытия конфиденциальной информации, осуществления несанкционированного доступа и изменения данных, а также для частичного отказа в обслуживании.
NetApp, другой партнер Brocade, опубликовал отдельные рекомендации по специфическим уязвимостям Brocade SANnav. Собственные продукты NetApp, похоже, не затронуты.
Помимо указанных Brocade также имеет партнерские отношения с Dell, Fujitsu, Huawei, IBM и Lenovo. К настоящему времени ни один из OEM-партнеров Brocade, не опубликовал рекомендации по уязвимостям SANnav, поэтому еще неясно, какое ПО также можно считать уязвимым.
Hpe
Document Display | HPE Support Center
͏У потерпевших от программы-вымогателя Hive сегодня праздник, так как южнокорейское агентство кибербезопасности KISA выпустило бесплатный дешифратор для версий от v1 до v4.
KISA распространяет интегрированный инструмент восстановления Hive Ransomware, который поможет расшифровать данные, о чем говорится в сообщении, опубликованном агентством.
Инструмент включает в себя исполняемый файл вместе с руководством пользователя, в котором содержится пошаговая инструкции по бесплатному восстановлению зашифрованных данных.
Борьба с вымогателями Hive осуществляется с июня 2021 года и мы не раз писали о "подвигах" группировки. Отягчает обстоятельство то, что банда предоставляет программу-вымогатель как услугу и использует модель двойного вымогательства с угрозой публикации данных, украденных у жертв, на их сайте HiveLeaks.
Еще в апреле 2021 года ФБР выпустило экстренное предупреждение Hive, которое включало технические подробности и индикаторы компрометации, связанные с действиями банды.
И по скромным подсчётам компании Chainalysis, программа-вымогатель Hive входит в десятку самых популярных штаммов программ-вымогателей по доходам за 2021 год. Группа использовала различные методы атак, включая кампании по спам-рассылкам, уязвимым RDP-серверам и скомпрометированным учетным данных VPN.
Хорошая новость не была бы реальностью если бы в феврале группа исследователей из Университета Кукмин (Южная Корея) не обнаружила уязвимость в алгоритме шифрования, используемом вымогателем Hive.
Уязвимость позволила специалистам расшифровывать данные, не зная закрытого ключа, используемого злоумышленниками для шифрования файлов.
Весь цинус был в том, что Hive использует гибридную схему шифрования, но использует собственный симметричный шифр для шифрования файлов. Специалистам удалось восстановить мастер-ключ для создания ключа шифрования файла без личного ключа злоумышленника, используя криптографическую уязвимость, обнаруженную в ходе анализа.
В результате экспериментов зашифрованные файлы были успешно расшифрованы с помощью восстановленного мастер-ключа на основе разработанного механизма.
Низкий поклон исследователям из Университета, так как это первая успешная попытка расшифровки ransomware Hive.
Эксперимент показал, что более 95% ключей, используемых для шифрования, могут быть восстановлены с помощью предложенного метода.
KISA распространяет интегрированный инструмент восстановления Hive Ransomware, который поможет расшифровать данные, о чем говорится в сообщении, опубликованном агентством.
Инструмент включает в себя исполняемый файл вместе с руководством пользователя, в котором содержится пошаговая инструкции по бесплатному восстановлению зашифрованных данных.
Борьба с вымогателями Hive осуществляется с июня 2021 года и мы не раз писали о "подвигах" группировки. Отягчает обстоятельство то, что банда предоставляет программу-вымогатель как услугу и использует модель двойного вымогательства с угрозой публикации данных, украденных у жертв, на их сайте HiveLeaks.
Еще в апреле 2021 года ФБР выпустило экстренное предупреждение Hive, которое включало технические подробности и индикаторы компрометации, связанные с действиями банды.
И по скромным подсчётам компании Chainalysis, программа-вымогатель Hive входит в десятку самых популярных штаммов программ-вымогателей по доходам за 2021 год. Группа использовала различные методы атак, включая кампании по спам-рассылкам, уязвимым RDP-серверам и скомпрометированным учетным данных VPN.
Хорошая новость не была бы реальностью если бы в феврале группа исследователей из Университета Кукмин (Южная Корея) не обнаружила уязвимость в алгоритме шифрования, используемом вымогателем Hive.
Уязвимость позволила специалистам расшифровывать данные, не зная закрытого ключа, используемого злоумышленниками для шифрования файлов.
Весь цинус был в том, что Hive использует гибридную схему шифрования, но использует собственный симметричный шифр для шифрования файлов. Специалистам удалось восстановить мастер-ключ для создания ключа шифрования файла без личного ключа злоумышленника, используя криптографическую уязвимость, обнаруженную в ходе анализа.
В результате экспериментов зашифрованные файлы были успешно расшифрованы с помощью восстановленного мастер-ключа на основе разработанного механизма.
Низкий поклон исследователям из Университета, так как это первая успешная попытка расшифровки ransomware Hive.
Эксперимент показал, что более 95% ключей, используемых для шифрования, могут быть восстановлены с помощью предложенного метода.
