͏Система бронирования и онлайн-сервисы крупнейшего гостиничного оператора InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) вышли из строя после разрушительной кибератаки и взлома сети.

IHG — британская международная компания, в управлении которой находится более 6 тысяч отелей в более чем 100 странах и более 1 800 объектов находятся в стадии строительства.

Конгломерату принадлежат такие премиальные гостиничные бренды как InterContinental, Regent, Six Senses, Crowne Plaza, Holiday Inn и многие другие.

Компания признала инцидент, сделав соответствующее заявление на Лондонской фондовой бирже во вторник.

В настоящее время каналы бронирования IHG и другие приложения отключены, ведутся восстановительные работы и параллельно им расследование. API-интерфейсы также не работают и выдают ошибки HTTP 502 и 503, клиенты не могут авторизоваться в приложениях и на сайте.

Компания не раскрывает никаких подробностей об атаки, которая по всем признакам связана с ransomware. Однако Hudson Rock сообщает, что на данный момент, предварительно, данные не менее 15 сотрудников и более 4000 пользователей IHG скомпрометировано.

По всей видимости, атака может быть связана с недавним инцидентом: в прошлом месяце Lockbit заявила об атаке на один из принадлежащих IHG отелей - Holiday Inn Istanbul Kadıköy.

Будем посмотреть, конечно, но точно можно сказать - гигабайты клиентов сети уже потекли в даркнет или еще куда.

͏Если и говорить об утечках, то непременно следует отметить базу данных граждан Индонезии, которая выставлена на продажу в даркнете.

Файл объемом более 20 ГБ содержит более 105 млн. строк с указанием ФИО, места и даты рождения, пола, национального идентификационного номера и других документальных сведений.

В это же самое время одна из индонезийских компании - Teladan Prima Agro, стала жертвой вымогателей AvosLocker, которые разместили жертву на своем DLS.

Агропромышленная компания имеет плантации и заводы по производству пальмового масла, а также занимается возобновляемыми источниками энергии, имея доход почти в 1,5 млрд. долларов.

AvosLocker обещают слить в сеть солидную порцию конфиденциальных коммерческих данных объемом более 750 ГБ в случае отказа от выплаты выкупа.

Ресерчеры Unit 42 Palo Alto Network сообщают об активизации MooBot (разновидность ботнета Mirai) в рамках новой волны атак, начавшейся с прошлого месяца и нацеленной на уязвимые маршрутизаторы D-Link с использованием как старых, так и новых эксплойтов.

MooBot был обнаружен исследователями Fortinet в декабре 2021 года.

На тот момент был нацелен на уязвимости в камерах Hikvision для быстрого распространения и включения большего числа устройств для проведения DDoS-атак.

Согласно отчету Palo Alto Network, ботнет в настоящее время ориентирован на критические уязвимости в устройствах D-Link, среди которых: CVE-2015-2051 (ошибка D-Link HNAP SOAPAction, связанная с выполнением команды заголовка), CVE-2018-6530 (RCE-уязвимость интерфейса D-Link SOAP), CVE-2022-26258 и CVE-2022-28958 (уязвимости D-Link, связанные с выполнением удаленных команд).

Вендор выпустил обновления безопасности для устранения всех недостатков, но, к сожалению, не все пользователи смогли применили патчи, особенно последние два, вышедшие в марте и мае этого года.

Операторы MooBot используют уязвимости для достижения RCE на целях и доставки двоичного файла вредоносного ПО с помощью произвольных команд.

После того как вредоносное ПО декодирует жестко запрограммированный адрес из конфигурации, вновь захваченные маршрутизаторы регистрируются на C2 злоумышленника.

При этом, представленные в отчете Unit 42 адреса C2 отличаются от адресов в статье Fortinet, что указывает на обновление злоумышленником инфраструктуры.

В конечном итоге все захваченные маршрутизаторы участвуют в распределенных DDoS-атаках, инициируемых операторами MooBot в качестве возмездных услуг.

Всем проигнорировавшим последние патчи пользователям устройств D-Link следует все же обработаться этим вопросом, нежели стать невольно причастным к массированным DDoS-атакам.

Бывший менеджер Google Мередит Уиттакер назначена президентом, после учреждения Signal Foundation новой высокой должности.

Уиттакер же должна приступить к своим обязанностям президента 12 сентября. Вновь назначенный руководитель заявила, что будет работать над стратегией Signal Messenger, обеспечением ее финансовой устойчивости и улучшением связей с общественностью.

Если вкратце, Signal Messenger согласно общераспространенной легенде считается одним из самых безопасных приложений для общения с точки зрения конфиденциальности.

Он был разработан в 2014 году американским криптографом Мокси Марлинспайком, который уже с 2010 года находился под колпаком (или на) национальных спецслужб.

Четыре года спустя, в 2018 году, к нему присоединился соучредитель другого мегабезопасного мессенджера WhatsApp Брайан Актон и вместе они учредили Signal Foundation.

В начале этого года Марлинспайк ушел с поста генерального директора, а Эктон исполнял обязанности генерального директора до назначения в руководство Signal Messenger LLC человека из Google.

В общем, это все, что нужно знать о приватности Signal.

Исследователи ESET сообщают об АРТ, которая реализует шпионские кампании с 2020 года, атакуя правительства и крупные организации, используя комбинацию пользовательских и существующих вредоносных инструментов.

Группа отслеживается ESET как Workok, которые заметили ее, когда та атаковала цели в Африке и на Ближнем Востоке.

Workok нацелен на телекоммуникационные, банковские, морские и энергетические компании, а также на военные, правительственные учреждения и общественные организации.

В конце 2020 года АРТ интересовали телекоммуникационная компания в Восточной Азии, банк в Центральной Азии, судостроительную компанию в Юго-Восточной Азии, государственное учреждение на Ближнем Востоке и частную компанию на юге Африки.

Начиная с февраля 2022 года ESET связывает АРТ с новыми атаками на энергетическую компанию в Центральной Азии и организацию в госсекторе в Юго-Восточной Азии.

Несмотря на то, что группа использовала эксплойты ProxyShell для получения начального доступа к сетям своих жертв, первоначальный вектор доступа остается неизвестным для большинства ее операций.

Как правило, веб-оболочки загружались после использования этих уязвимостей, чтобы обеспечить постоянство в сети жертвы. Затем операторы использовали различные имплантаты для реализации дополнительных возможностей.

Набор вредоносных инструментов Workok включает в себя два загрузчика: загрузчик C++, известный как CLRLoad, и загрузчик C#, получивший название PNGLoad, который помогает злоумышленникам скрывать полезную нагрузку вредоносного ПО в файлах изображений PNG с помощью стеганографии.

ESET также обнаружили новый бэкдор PowerShell, получивший название PowHeartBeat, который заменил CLRLoad в инцидентах, наблюдаемых с февраля 2022 года, в качестве инструмента, предназначенного для запуска PNGLoad на скомпрометированных системах.

PowHeartBeat обладает широким спектром возможностей, включая манипулирование файлами и выполнение команд или процессов, а также загрузку или скачивание файлов на устройства жертв.

Несмотря на то, что время активности и набор инструментов указывают на возможную связь с TA428, ресерчеры все же говорят об этом низкой уверенностью.

Исследователи полагают, что более предметное представление об АРТ можно будет получить лишь путем дальнейшего наблюдения. Ведь даже некоторые из последних полезных нагрузок остаются до конца не изучеными.

Интриги и расследования вокруг киберпротивостояния Ирана и Израиля не утихают.

На днях в Министерстве юстиции Израиля сообщили, что привлекли гражданина, работавшего уборщиком в доме министра обороны Бенни Ганца к трем годам тюремного заключения за попытку шпионажа в пользу хакеров, связанных с Ираном.

Омри Горен Гороховский, 38-летний житель центрального города Лод, работал в доме Ганца в Рош-ха-Аине недалеко от Тель-Авива.

Арест подозреваемого произошел еще в ноябре прошлого года по обвинению в попытке шпионажа в пользу хакерской группировки Black Shadow путем получения и передачи хакерам информации из дома Ганца.

Источники сообщают, что Гороховский заключил сделку со следствием и признал вину.

Однако Агентство внутренней безопасности ШАБАК еще в прошлом году заявило, что Гороховский так и не получил доступа к «секретным материалам» и, следовательно, не смог успешно поделиться государственными секретами.

Более того, он был арестован всего через пару дней после того, как связался с Black Shadow.

Эпичности ситуации добавляет тот факт, что у Гороховского обширная криминальная история, в которой пять судимостей и тюремное заключение за различные преступления, включая ограбление банка, что, мягко говоря, вызывает большие вопросы о том, как его вообще наняли для работы в доме одного из высших должностных лиц Израиля.

Black Shadow обвиняют в многочисленных атаках на инфраструктуру Израиля.

Взломы уже давно рассматриваются в призме многолетнего противостояния между Израилем и Ираном, причем включая как физические атаки на корабли, так и наступательные воздействия в информационном пространстве.

HP сообщает об уязвимости в HP Support Assistant, который предустанавливается практически на все ноутбуки и настольные компьютеры HP.

HP Support Assistant используется для устранения неполадок, проведения диагностических тестов оборудования, оценки технических характеристик, управления обновлениями BIOS и драйверов на устройствах HP.

Обнаруженная исследователями из Secure D уязвимость отслеживается как CVE-2022-38395 и имеет оценку 8,2, поскольку позволяет злоумышленникам повысить свои привилегии на уязвимых системах.

В вышедшей рекомендации производитель не раскрыл подробностей проблемы безопасности, отметив, что недостаток связан с угоном DLL и срабатывает при попытке запустить HP Performance Tune-up из HP Support Assistant.

Злоумышленник может воспользоваться уязвимостью, поместив вредоносную DLL в ту же папку, что и злоупотребляемый исполняемый файл.

Благодаря логике Windows для приоритизации код, который будет выполняться при загрузке библиотеки, подучит привилегии злоупотребляемого файла, в данном случае - HP Support Assistant с привилегиями SYSTEM.

Таким образом, CVE-2022-38395 может эксплуатироваться лишь злоумышленниками, которые уже обеспечили присутствие в системе жертвы с низким уровнем привилегий.

Учитывая высокую распространённость софта и низкую сложность эксплуатации, HP рекомендует клиентам обновить Support Assistant как можно скорее.

Правда в этом случае стоит также помнить о том, что ранее в апреле 2020 года были выявлены не менее 10 критических уязвимостей в HP Support Assistant, некоторые из которых оставались неисправленными с октября 2012 года и даже после раскрытия устранялись чуть ли не год.

Кардинально решить проблему безопасности можно и другим способом: деинсталляция ПО устранит все связанные с ним риски.

Cisco не намерена исправлять вновь выявленную 0-day обхода аутентификации, затрагивающий несколько VPN-маршрутизаторов для малого бизнеса, ссылаясь на истечение срока службы устройств EoL.

CVE-2022-20923 вызвана проблемами в алгоритме проверки пароля. Успешный эксплойт может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN.

Злоумышленник может получить привилегии, которые находятся на том же уровне, что и администратор, в зависимости от используемых учетных данных.

Cisco заявляет, что ее группа реагирования на инциденты безопасности продуктов PSIRT не нашла никаких доказательств существования общедоступных эксплойтов для 0-day или эксплуатации в дикой природе.

Cisco рекомендовала пользователям уязвимых маршрутизаторов RV110W, RV130, RV130W и RV215W для устранения угроз перейти на более новые модели, ведь обновления для них выпускаться не будут.

При этом согласно объявлению на веб-сайте Cisco, маршрутизаторы были сняты с продажи не так давно - 2 декабря 2019 года.

Похоже, что Cisco подобную практику поставила на поток как часть своей маркетинговой компании по продвижению новой продукции.

Ведь CVE-2022-20923 - это не первая серьезная уязвимость безопасности, затрагивающая старые модели маршрутизаторов EoL, которые Cisco оставила без патча в последние годы.

В августе 2021 года аналогичным образом компания поступила с критической RCE-уязвимостью CVE-2021-34730 в маршрутизаторах серии RV, а в июне 2022 года - и с CVE-2022-20825.

Т - техподдерждка.

Американская Mandiant, которая раньше была FireEye Mandiant, а еще раньше таки была опять Mandiant, выпустила комплексный отчет в отношении иранской APT 42, вкратце описав совершенные хакерской группой на протяжении последних лет атаки, частично и весьма поверхностно используемые TTPs, и странным образом привязав эту группу к распространению ransomware.

Пересказывать весь отчет нет смысла, для точного понимания надо смотреть его в оригинале. Мы же, как надоедливые инфосек насекомые, как обычно обратим внимание на его несуразности.

Во-первых, исследователи проводят связи между описываемой APT 42 и довольно известной и старой APT 35 aka Charming Kitten aka TA453 aka Phosphorus. При этом утверждается, что обе работают на иранский КСИР. Атрибуции, как обычно, нет.

Это не значит, что APT 42 не работает под контролем КСИР на самом деле. Это значит, что атрибуции нет.

Во-вторых, указав эту связь, они ссылаются на данные Microsoft, которые говорят, что UNC2448 (это еще один актор, которого отслеживает Mandiant) и Phosphorus - это одна и та же группа и она причастна, кроме всего прочего, к развертыванию ransomware. При этом делается дисклеймер, что сами Mandiant технических признаков сходства UNC2448 и APT 42 не видят, но "допускают, что последняя может также работать под контролем КСИР". Атрибуции опять ноль, только ссылки на какие-то ТГ-каналы (?).

Для чего это все делается? Для того, чтобы по новостям понеслось (уже), что КСИР развертывает ransomware. Не в первый раз, кстати.

Редакция канала SecAtor признаков слабоумия у сотрудников Mandiant не видит. Но допускает, что они функционируют под воздействием разнообразных веществ. Напишет ли Bleeping Computer статью "В Mandiant все дуют днями напролет"?

Wordfence обнаружили активно эксплуатируемую в дикой природе 0-day в плагине WordPress под названием BackupBuddy.

BackupBuddy предоставляет пользователям возможности создания резервных копии всей своей установки WordPress из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы.

Плагин при этом имеет около 140 000 активных установок.

Согласно Wordfence, уязвимость с оценкой CVSS: 7,5 позволяет неавторизованным злоумышленникам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию, включая WordPress wp-config.php и /etc/passwd, а также загружать любой произвольный файл на сервер.

Проблема связана с функцией копии локального каталога, которая предназначена для хранения локального образа резервных копий.

CVE-2022-31474 затрагивает все версии плагина с 8.5.8.0 по 8.7.4.1 и была устранена в версии 8.7.5, выпущенной 2 сентября 2022 года.

Подробности об уязвимости были скрыты в связи с активным злоупотреблением в дикой природе и простотой эксплуатации.

В Wordfence отметили, что активные атаки с использованием CVE-2022-31474 начались 26 августа 2022 года, и за это время было отражено почти пять миллионов попыток эксплуатации.

В большинстве инцидентов злоумышленники пытались добраться до следующих файлов: etc/passwd, /wp-config.php, my.cnf и accesshash.

Пользователям плагина BackupBuddy рекомендуется незамедлительно обновиться до последней версии, а случае компрометации сбросить пароль базы данных, заменить ключи API, хранящиеся в wp-config.php.

͏«Престижное» американское образование катируется и среди вымогателей, по большей части - в качестве возможности подзаработать.

К примеру, Стратфордский университет теперь весьма выигрышно теперь смотрится на DLS банды Avos Locker, уже в третий раз став жертвой ransomware. Первыми университетскую инфраструктуру посетили REvil в апреле 2022 года, а затем в августе там же побывали и Snatch.

Банда вымогателей STORMOUS разместила Министерство национального образования Алжира в качестве жертвы на своем DLS. В результате атаки было украдено 12 ГБ информации, которую акторы обещают слить в случае отказа жертвы от выплаты выкупа.

Банда Dabh сообщила об атаке на Министерство образования и науки Македонии, в результате которого, слов слов хакеров, им удалось выкрасть информацию всех учащихся и студентов страны.

Dabh потребовали от правительства Македонии разместить на сайте взломанного Министерства флаг Болгарии вместо традиционного требования выкупа в срок до 1 декабря, после чего все данные буду слиты.

В канун смерти королевы Великобритании хакеры выпотрошили правительственную сеть и выставили на продажу в даркнете финансовые сведения в отношении 37 правительственных советов, включая банковскую информацию и архив совершенных транзакций.

Эпично, когда узнаешь из даркнета, что тебя обокрали и выложили на продажу добытые сведения.

Агентство Генерального штаба вооруженных сил Португалии (EMGFA) подверглось кибератаке, в результате которой были украдены секретные документы НАТО.

Причем в Агентстве осознали, что подверглись атаке только после того, когда хакеры разместили образцы украденных материалов для реализации заинтересованным лицам.

Бдительность проявила американская разведка, которая заметила продажу украденных документов и предупредила посольство США в Лиссабоне, которое, в свою очередь, сообщило в правительство Португалии об утечке данных.

В EMGFA немедленно была отправлена группа экспертов из Управления национальной безопасности и национального центра кибербезопасности Португалии для проведения полной проверки всей сети организации.

Об инциденте сообщила местная новостная площадка Diario de Noticias, которая утверждает о достоверности информации через неназванные источники близкие к текущему расследованию.

Со слов этих источников, украденные документы имеют «чрезвычайную серьезность», так как их распространение может вызвать кризис доверия к стране в военном альянсе.

На сегодняшний день португальское правительство не давало официальных заявлений по этой теме, но давление политической оппозиции с целью проведения брифинга растет после разоблачений Diario de Noticias.

Многие члены парламента уже выразили свое негодование новостями о том, что секретные военные документы продаются в Интернете, а разведывательные службы страны не смогли обнаружить столь серьезное нарушение.

Инцидент достаточно резонансный и члены парламента обратились к председателю парламентского комитета по обороне с просьбой вмешаться и назначить слушания по этому делу как можно скорее.

С нетерпением ждем продолжения банкета.

Западный осинтер Cyberknow20 выложил обновленную версию своего "Cybertracker", где наглядно показано какие 🇷🇺🇺🇦🇺🇸хакерские группы сражаются между собой в киберпространстве.

👆Пророссийских хакерских групп стало больше чем украинских > 43 vs 35

Ресерчеры Team82 из Claroty обнаружили критические уязвимости в продуктах промышленной автоматизации объектов энергетики вендара MZ Automation, некоторые из которых имеют оценку CVSS V3 10 из 10.

Речь идет о библиотеке исходного кода libIEC61850, которая позволяет реализовать протоколы IEC 61850 (MMS, GOOSE, Sampled Values) в устройствах и приложениях. Базовая библиотека написана на C (совместима с C99 для обеспечения максимальной переносимости).

Отслеживаемая как CVE-2022-2970 (CVSS V3: 10) критическая уязвимость связана с переполнением буфера на основе стека. Продукт не очищает ввод до использования memcpy, что может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.

Другая CVE-2022-2972 с аналогичной оценкой и характером проблемы может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.

Две других ошибки имеют высокую оценку серьезности CVSS V3 8,6.

При этом одна CVE-2022-2971 обусловлена доступом к ресурсу с использованием несовместимого типа, а другая CVE-2022-2973 - использованием в определенных ситуациях нулевого указателя, что в обоих ситуациях может позволить злоумышленнику вывести из строя сервер, в том числе с вредоносной полезной нагрузкой.

Специалисты Лаборатории Касперского представили отчет с отражением ландшафта угроз для систем промышленной автоматизации за первое полугодие 2022 года.

Как отмечают ресерчеры, за прошедшие полгода вредоносные объекты блокировались на 31,8% компьютеров АСУ в мире.

Больше всего таких объектов блокировалось в Африке — 41,5%, на долю России пришлось 30,2%, в то время как США и Канада разделили 18,1%, а минимальный показатель 12,8% — в Северной Европе.

Автоматизация зданий занимает первое место в рейтинге выбранных отраслей по проценту компьютеров АСУ, на которых были заблокированы вредоносные объекты (42,2%), далее следуют «нефть и газ» (39,6%). Показатели отраслей «инжиниринг и интеграторы АСУ», «энергетика» и «производство» отличаются на десятые доли процентных пунктов.

Среди основных источников угроз в технологической инфраструктуре организаций: интернет (16,5%), съемные носители (3,5%) и электронная почта (7,0%).

В первом полугодии 2022 года защитными решениями Лаборатории на системах промышленной автоматизации было заблокировано более 102 тысяч модификаций вредоносного ПО из 7219 различных семейств.

При этом наиболее значительно увеличился процент компьютеров АСУ, на которых были заблокированы: вредоносные скрипты и фишинговые страницы (JS и HTML) — на 3,5 п.п.; вредоносные документы – на 3,0 п.п. и шпионское ПО — троянцы-шпионы, бэкдоры и кейлоггеры — на 0,5 п.п.

Процент компьютеров АСУ, на которых блокируются программы-шпионы, растет с 2020 года, а как и увеличилось за прошедшее полугодие число вредоносные программы для скрытого майнинга криптовалюты: веб майнеры, исполняемые в браузерах, – на 0,4 п.п. и майнеры — исполняемые файлы для OC Windows – на 0,2 п.п.

Зато продолжает уменьшаться доля компьютеров АСУ, на которых блокируются вирусы и черви, что свидетельствует о планомерной работе по развёртыванию защитных решений в ОТ.

Исследуемый период показал наибольшее значение процента (0,65%) компьютеров АСУ, на которых были заблокированы программы-вымогатели.

Рейтинг регионов по программам-вымогателям возглавили Восточная Азия (0,95%). Показатели атакованных ransomware компьютеров АСУ увеличились в 9 регионах мира, особенно - на Ближнем Востоке и в Латинской Америке (почти в 2,5 раза). При этом большинство атак было направлено на системы автоматизации зданий.

Результаты анализа статистических данных были получены благодаря распределенной антивирусной сети Kaspersky Security Network (KSN), которая в значительной мере не только помогает в оценке угроз, но и для обнаружения новых угроз, включая целенаправленные атаки и APT.

Cisco подтвердила утечку украденных данных с вымогателями Yanluowang, которая произошла в ходе атаки на сеть компании в мое 2022 года.

Признать последствия инцидента, а равно как и подлинность анонсированных ранее на DLS данных, компании пришлось после их вчерашней публикации вымогателями.

Хотя еще из августовского отчета Cisco Security Incident Response (CSIRT) и Cisco Talos стало известно, что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.

По заявлению компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена до того, как операторы Yanluowang смогли начать шифрование.

Однако хакеры утверждали обратное, утверждая о краже тысячи файлов общим объемом 55 ГБ и содержащих внутренние документы, технические схемы и исходный код.

Cisco продолжает настаивать на том, что утечка не меняет первоначальной оценки последствий инцидента, который не повлиял на бизнес компании, включая продукты или услуги, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.

Таким образом, по ситуации ровно два вывода: Cisco взломали, данные украли.

͏Хакерский наезд на правительство Индонезии продолжается.

Взявший на себя ответственность за крупнейший слив личных данных граждан страны хакер Bjorka, как стало известно, личность авторитетная в киберподполье.

В 2021 году админил поисковую систему с утечками данных под названием leaks[.]sh, располагая миллиардами конфиденциальных строк.

Пообещав после этого слить данные на Президента Республики, Bjorka сдержал слово и выложил внутреннюю переписку его администрации, включая и секретную переписку с национальной спецслужбой.

Но на этом актор не остановился и разместил также личную информацию министра связи и информационных технологий Индонезии, а также намерен продолжить свою кампанию и расчехлить индонезийскую платформу цифровых финансовых услуг MyPertamina.

Будем следить.

Исследователи из группы Binarly выяснили, что ряд устройств HP Enterprise подвержены шести уязвимостям высокой степени серьезности, причем некоторые из них были обнаружены более года назад.

Технические детали некоторых уязвимостей специалисты раскрыли на конференции Black Hat 2022 и эти ошибки затрагивают флагманские ноутбуки HP EliteBook и несколько других продуктов HP.

Как сообщили эксперты, проблема связана с уязвимостями выполнения произвольного кода в режиме системного управления System Management Mode (SMM) унифицированного расширяемого интерфейса встроенного ПО UEFI.

SMM — это режим исполнения на процессорах x86/x86-64, при котором приостанавливается исполнение другого кода. Главным образом, режим предназначен для реализации системы управления энергопотреблением.

Когда код отправляется в SMM, операционная система приостанавливается и UEFI/BIOS выполняет различные команды в наиболее привилегированном режиме с доступом ко всем данным и оборудованию.

Все ошибки связаны с повреждением памяти SMM и выполнением произвольного кода: CVE-2022-23930, CVE-2022-31645, CVE-2022-31646 имеют рейтинг 8.2 по CVSS, а CVE-2022-31644, CVE-2022-31640, CVE-2022-31641 рейтинг 7.5.

Эти баги можно применять для обхода безопасной загрузки, что позволяет злоумышленникам использовать это при создании скрытых руткитов.

О трех уязвимостях было сообщено еще в июле 2021 года, а в апреле 2022 года — о трех других.

На какие-то ошибки выходили обновления, как например в феврале 2022 г. HP устранила проблему CVE-2022-23930, выпустив обновления безопасности HP PC BIOS.

Однако несмотря на исправления CVE-2022-31644, CVE-2022-31645, CVE-2022-31646 в августе 2022 года и CVE-2022-31640, CVE-2022-31641 в сентябре, ряд премиальных ноутбуков и рабочих станций еще не получили соответствующих обновлений.

Исходя из данных телеметрии Binarly наблюдается, что примерно 20% обновлений встроенного ПО содержат, как минимум, две или три известные ранее раскрытые уязвимости.

💸 S.E. Заметка. Продавцы воздуха в онлайн-магазинах.

🖖🏻 Приветствую тебя user_name.

• В блоге Касперского описана интересная, но относительно "старая" схема обмана пользователей различных маркетплейсов с помощью поддельных страниц оплаты товара.

• Суть в том, что фишеры публикуют товар в различных маркетплейсах. Это может быть все, что угодно: от бассейна до смартфона. Страницы товаров не вызывают подозрения, так как в них присутствует правдоподобная информация: артикул, логотип производителя, фото товара, сроки доставки и возврата. В описании товара фишеры указывают номер телефона и просят перед оформлением заказа обязательно написать менеджеру.

• Если потенциальный покупатель пишет по номеру в описании на сайте, ему предлагают прислать полное имя покупателя, адрес ближайшего пункта выдачи заказов, номер телефона и другую информацию. Финалом переписки становится ссылка на «страницу оформления заказа». Кликнув по ссылке, жертва якобы возвращается на сайт маркетплейса для оформления покупки, но на самом деле это мошеннический ресурс, созданных злоумышленниками. Если жертва оплатит товар через поддельный сайт, мошенники получат деньги и личные данные жертвы.

🧷 Более подробная информация описана тут: https://www.kaspersky.ru/blog/marketplace-scam-russia/33931/

Твой S.E. #СИ #Фишинг

Министерство финансов США в пятницу объявило о санкциях против Министерства разведки и безопасности Ирана (MOIS) и министра Эсмаила Хатиба.

Поводом послужили выводы Microsoft, которые в результате расследования состоявшейся 15 июля 2022 года атаки на государственные онлайн-сервисы и правительственные веб-сайты Албании заявили о причастности к киберинциденту четырех иранских АРТ.

По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группы. Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства.

Так, DEV-0133 (также известный как Lyceum или Siamese Kitten) исследовал инфраструктуру жертвы, DEV-0842 развернул программу-вымогатель и вредоносное ПО для очистки данных. В то время как DEV-0861 получил первоначальный доступ и удалил данные, а DEV-0166 (ака IntrudingDivisor) эксфильтровал данные.

Сообщается, что первоначальный доступ к сети жертвы албанского правительства произошел еще в мае 2021 года благодаря успешному использованию уязвимости удаленного выполнения кода SharePoint (CVE-2019-0604) с последующей утечкой электронной почты из скомпрометированной сети в октябре 2021 и январе 2022 г.

Ресерчеры полагают, что участвующие в получении первоначального доступа и краже данных были связаны с Europium (ака APT34, Cobalt Gypsy, Helix Kitten или OilRig).

Вторая параллельная волна наблюдалась в период с ноября 2021 года по май 2022 года, вероятно, с помощью инструмента под названием Jason.

Кроме того, вторжения повлекли за собой развертывание ransomware под названием ROADSWEEP и распространение вредоносного ПО для удаления данных, называемого ZeroCleare.

Злоумышленники, ответственные за вторжение и кражу данных, использовали инструменты, ранее использовавшиеся другими известными иранскими злоумышленниками. Причастные к эксфильтарции акторы были нацелены и на другие секторы и страны, которые соответствуют интересам Ирана.

Microsoft полагают, что атаки последовали после серии кибератак на Иран, в том числе организованных иранской группой хактивистов, связанной с «Муджахедин-э-Халк» (MEK), в первую неделю июля 2022 года.

MEK, также известная как Народная организация моджахедов Ирана (PMOI), представляет собой иранскую диссидентскую группу, базирующуюся в Албании.

Министерство иностранных дел Ирана отвергло обвинения в причастности к атакам на Албанию, назвав их безосновательными, а также осудило санкции, обвинив США в поддержке «террористической секты» МЕК.

И не зря, ведь ангажированная атрибуция Microsoft, как известно, обусловлена скорее сотрудничеством с спецслужбами и конвейером подрядов со стороны Минобороны США, нежели результатом объективных наблюдений и глубокого анализа.