Американская Mandiant, которая раньше была FireEye Mandiant, а еще раньше таки была опять Mandiant, выпустила комплексный отчет в отношении иранской APT 42, вкратце описав совершенные хакерской группой на протяжении последних лет атаки, частично и весьма поверхностно используемые TTPs, и странным образом привязав эту группу к распространению ransomware.
Пересказывать весь отчет нет смысла, для точного понимания надо смотреть его в оригинале. Мы же, как надоедливые инфосек насекомые, как обычно обратим внимание на его несуразности.
Во-первых, исследователи проводят связи между описываемой APT 42 и довольно известной и старой APT 35 aka Charming Kitten aka TA453 aka Phosphorus. При этом утверждается, что обе работают на иранский КСИР. Атрибуции, как обычно, нет.
Это не значит, что APT 42 не работает под контролем КСИР на самом деле. Это значит, что атрибуции нет.
Во-вторых, указав эту связь, они ссылаются на данные Microsoft, которые говорят, что UNC2448 (это еще один актор, которого отслеживает Mandiant) и Phosphorus - это одна и та же группа и она причастна, кроме всего прочего, к развертыванию ransomware. При этом делается дисклеймер, что сами Mandiant технических признаков сходства UNC2448 и APT 42 не видят, но "допускают, что последняя может также работать под контролем КСИР". Атрибуции опять ноль, только ссылки на какие-то ТГ-каналы (?).
Для чего это все делается? Для того, чтобы по новостям понеслось (уже), что КСИР развертывает ransomware. Не в первый раз, кстати.
Редакция канала SecAtor признаков слабоумия у сотрудников Mandiant не видит. Но допускает, что они функционируют под воздействием разнообразных веществ. Напишет ли Bleeping Computer статью "В Mandiant все дуют днями напролет"?
Пересказывать весь отчет нет смысла, для точного понимания надо смотреть его в оригинале. Мы же, как надоедливые инфосек насекомые, как обычно обратим внимание на его несуразности.
Во-первых, исследователи проводят связи между описываемой APT 42 и довольно известной и старой APT 35 aka Charming Kitten aka TA453 aka Phosphorus. При этом утверждается, что обе работают на иранский КСИР. Атрибуции, как обычно, нет.
Это не значит, что APT 42 не работает под контролем КСИР на самом деле. Это значит, что атрибуции нет.
Во-вторых, указав эту связь, они ссылаются на данные Microsoft, которые говорят, что UNC2448 (это еще один актор, которого отслеживает Mandiant) и Phosphorus - это одна и та же группа и она причастна, кроме всего прочего, к развертыванию ransomware. При этом делается дисклеймер, что сами Mandiant технических признаков сходства UNC2448 и APT 42 не видят, но "допускают, что последняя может также работать под контролем КСИР". Атрибуции опять ноль, только ссылки на какие-то ТГ-каналы (?).
Для чего это все делается? Для того, чтобы по новостям понеслось (уже), что КСИР развертывает ransomware. Не в первый раз, кстати.
Редакция канала SecAtor признаков слабоумия у сотрудников Mandiant не видит. Но допускает, что они функционируют под воздействием разнообразных веществ. Напишет ли Bleeping Computer статью "В Mandiant все дуют днями напролет"?
Google Cloud Blog
APT42: Crooked Charms, Cons, and Compromises | Google Cloud Blog
Wordfence обнаружили активно эксплуатируемую в дикой природе 0-day в плагине WordPress под названием BackupBuddy.
BackupBuddy предоставляет пользователям возможности создания резервных копии всей своей установки WordPress из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы.
Плагин при этом имеет около 140 000 активных установок.
Согласно Wordfence, уязвимость с оценкой CVSS: 7,5 позволяет неавторизованным злоумышленникам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию, включая WordPress wp-config.php и /etc/passwd, а также загружать любой произвольный файл на сервер.
Проблема связана с функцией копии локального каталога, которая предназначена для хранения локального образа резервных копий.
CVE-2022-31474 затрагивает все версии плагина с 8.5.8.0 по 8.7.4.1 и была устранена в версии 8.7.5, выпущенной 2 сентября 2022 года.
Подробности об уязвимости были скрыты в связи с активным злоупотреблением в дикой природе и простотой эксплуатации.
В Wordfence отметили, что активные атаки с использованием CVE-2022-31474 начались 26 августа 2022 года, и за это время было отражено почти пять миллионов попыток эксплуатации.
В большинстве инцидентов злоумышленники пытались добраться до следующих файлов: etc/passwd, /wp-config.php, my.cnf и accesshash.
Пользователям плагина BackupBuddy рекомендуется незамедлительно обновиться до последней версии, а случае компрометации сбросить пароль базы данных, заменить ключи API, хранящиеся в wp-config.php.
BackupBuddy предоставляет пользователям возможности создания резервных копии всей своей установки WordPress из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы.
Плагин при этом имеет около 140 000 активных установок.
Согласно Wordfence, уязвимость с оценкой CVSS: 7,5 позволяет неавторизованным злоумышленникам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию, включая WordPress wp-config.php и /etc/passwd, а также загружать любой произвольный файл на сервер.
Проблема связана с функцией копии локального каталога, которая предназначена для хранения локального образа резервных копий.
CVE-2022-31474 затрагивает все версии плагина с 8.5.8.0 по 8.7.4.1 и была устранена в версии 8.7.5, выпущенной 2 сентября 2022 года.
Подробности об уязвимости были скрыты в связи с активным злоупотреблением в дикой природе и простотой эксплуатации.
В Wordfence отметили, что активные атаки с использованием CVE-2022-31474 начались 26 августа 2022 года, и за это время было отражено почти пять миллионов попыток эксплуатации.
В большинстве инцидентов злоумышленники пытались добраться до следующих файлов: etc/passwd, /wp-config.php, my.cnf и accesshash.
Пользователям плагина BackupBuddy рекомендуется незамедлительно обновиться до последней версии, а случае компрометации сбросить пароль базы данных, заменить ключи API, хранящиеся в wp-config.php.
Wordfence
PSA: Nearly 5 Million Attacks Blocked Targeting 0-Day in BackupBuddy Plugin
Late evening, on September 6, 2022, the Wordfence Threat Intelligence team was alerted to the presence of a vulnerability being actively exploited in BackupBuddy, a WordPress plugin we estimate has around 140,000 active installations. This vulnerability makes…
͏«Престижное» американское образование катируется и среди вымогателей, по большей части - в качестве возможности подзаработать.
К примеру, Стратфордский университет теперь весьма выигрышно теперь смотрится на DLS банды Avos Locker, уже в третий раз став жертвой ransomware. Первыми университетскую инфраструктуру посетили REvil в апреле 2022 года, а затем в августе там же побывали и Snatch.
Банда вымогателей STORMOUS разместила Министерство национального образования Алжира в качестве жертвы на своем DLS. В результате атаки было украдено 12 ГБ информации, которую акторы обещают слить в случае отказа жертвы от выплаты выкупа.
Банда Dabh сообщила об атаке на Министерство образования и науки Македонии, в результате которого, слов слов хакеров, им удалось выкрасть информацию всех учащихся и студентов страны.
Dabh потребовали от правительства Македонии разместить на сайте взломанного Министерства флаг Болгарии вместо традиционного требования выкупа в срок до 1 декабря, после чего все данные буду слиты.
В канун смерти королевы Великобритании хакеры выпотрошили правительственную сеть и выставили на продажу в даркнете финансовые сведения в отношении 37 правительственных советов, включая банковскую информацию и архив совершенных транзакций.
К примеру, Стратфордский университет теперь весьма выигрышно теперь смотрится на DLS банды Avos Locker, уже в третий раз став жертвой ransomware. Первыми университетскую инфраструктуру посетили REvil в апреле 2022 года, а затем в августе там же побывали и Snatch.
Банда вымогателей STORMOUS разместила Министерство национального образования Алжира в качестве жертвы на своем DLS. В результате атаки было украдено 12 ГБ информации, которую акторы обещают слить в случае отказа жертвы от выплаты выкупа.
Банда Dabh сообщила об атаке на Министерство образования и науки Македонии, в результате которого, слов слов хакеров, им удалось выкрасть информацию всех учащихся и студентов страны.
Dabh потребовали от правительства Македонии разместить на сайте взломанного Министерства флаг Болгарии вместо традиционного требования выкупа в срок до 1 декабря, после чего все данные буду слиты.
В канун смерти королевы Великобритании хакеры выпотрошили правительственную сеть и выставили на продажу в даркнете финансовые сведения в отношении 37 правительственных советов, включая банковскую информацию и архив совершенных транзакций.
Эпично, когда узнаешь из даркнета, что тебя обокрали и выложили на продажу добытые сведения.
Агентство Генерального штаба вооруженных сил Португалии (EMGFA) подверглось кибератаке, в результате которой были украдены секретные документы НАТО.
Причем в Агентстве осознали, что подверглись атаке только после того, когда хакеры разместили образцы украденных материалов для реализации заинтересованным лицам.
Бдительность проявила американская разведка, которая заметила продажу украденных документов и предупредила посольство США в Лиссабоне, которое, в свою очередь, сообщило в правительство Португалии об утечке данных.
В EMGFA немедленно была отправлена группа экспертов из Управления национальной безопасности и национального центра кибербезопасности Португалии для проведения полной проверки всей сети организации.
Об инциденте сообщила местная новостная площадка Diario de Noticias, которая утверждает о достоверности информации через неназванные источники близкие к текущему расследованию.
Со слов этих источников, украденные документы имеют «чрезвычайную серьезность», так как их распространение может вызвать кризис доверия к стране в военном альянсе.
На сегодняшний день португальское правительство не давало официальных заявлений по этой теме, но давление политической оппозиции с целью проведения брифинга растет после разоблачений Diario de Noticias.
Многие члены парламента уже выразили свое негодование новостями о том, что секретные военные документы продаются в Интернете, а разведывательные службы страны не смогли обнаружить столь серьезное нарушение.
Инцидент достаточно резонансный и члены парламента обратились к председателю парламентского комитета по обороне с просьбой вмешаться и назначить слушания по этому делу как можно скорее.
С нетерпением ждем продолжения банкета.
Агентство Генерального штаба вооруженных сил Португалии (EMGFA) подверглось кибератаке, в результате которой были украдены секретные документы НАТО.
Причем в Агентстве осознали, что подверглись атаке только после того, когда хакеры разместили образцы украденных материалов для реализации заинтересованным лицам.
Бдительность проявила американская разведка, которая заметила продажу украденных документов и предупредила посольство США в Лиссабоне, которое, в свою очередь, сообщило в правительство Португалии об утечке данных.
В EMGFA немедленно была отправлена группа экспертов из Управления национальной безопасности и национального центра кибербезопасности Португалии для проведения полной проверки всей сети организации.
Об инциденте сообщила местная новостная площадка Diario de Noticias, которая утверждает о достоверности информации через неназванные источники близкие к текущему расследованию.
Со слов этих источников, украденные документы имеют «чрезвычайную серьезность», так как их распространение может вызвать кризис доверия к стране в военном альянсе.
На сегодняшний день португальское правительство не давало официальных заявлений по этой теме, но давление политической оппозиции с целью проведения брифинга растет после разоблачений Diario de Noticias.
Многие члены парламента уже выразили свое негодование новостями о том, что секретные военные документы продаются в Интернете, а разведывательные службы страны не смогли обнаружить столь серьезное нарушение.
Инцидент достаточно резонансный и члены парламента обратились к председателю парламентского комитета по обороне с просьбой вмешаться и назначить слушания по этому делу как можно скорее.
С нетерпением ждем продолжения банкета.
DN
Documentos portugueses da NATO apanhados à venda na darkweb
A dimensão dos estragos ainda está a ser averiguada pelo Gabinete Nacional de Segurança, mas as suspeitas da quebra de segurança que facilitou a exfiltração de documentos secretos da NATO recaem em computadores do EMGFA, das secretas militares e do MDN.
Forwarded from Russian OSINT
Западный осинтер Cyberknow20 выложил обновленную версию своего "Cybertracker", где наглядно показано какие 🇷🇺🇺🇦🇺🇸хакерские группы сражаются между собой в киберпространстве.
👆Пророссийских хакерских групп стало больше чем украинских > 43 vs 35
👆Пророссийских хакерских групп стало больше чем украинских > 43 vs 35
Ресерчеры Team82 из Claroty обнаружили критические уязвимости в продуктах промышленной автоматизации объектов энергетики вендара MZ Automation, некоторые из которых имеют оценку CVSS V3 10 из 10.
Речь идет о библиотеке исходного кода libIEC61850, которая позволяет реализовать протоколы IEC 61850 (MMS, GOOSE, Sampled Values) в устройствах и приложениях. Базовая библиотека написана на C (совместима с C99 для обеспечения максимальной переносимости).
Отслеживаемая как CVE-2022-2970 (CVSS V3: 10) критическая уязвимость связана с переполнением буфера на основе стека. Продукт не очищает ввод до использования memcpy, что может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.
Другая CVE-2022-2972 с аналогичной оценкой и характером проблемы может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.
Две других ошибки имеют высокую оценку серьезности CVSS V3 8,6.
При этом одна CVE-2022-2971 обусловлена доступом к ресурсу с использованием несовместимого типа, а другая CVE-2022-2973 - использованием в определенных ситуациях нулевого указателя, что в обоих ситуациях может позволить злоумышленнику вывести из строя сервер, в том числе с вредоносной полезной нагрузкой.
Речь идет о библиотеке исходного кода libIEC61850, которая позволяет реализовать протоколы IEC 61850 (MMS, GOOSE, Sampled Values) в устройствах и приложениях. Базовая библиотека написана на C (совместима с C99 для обеспечения максимальной переносимости).
Отслеживаемая как CVE-2022-2970 (CVSS V3: 10) критическая уязвимость связана с переполнением буфера на основе стека. Продукт не очищает ввод до использования memcpy, что может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.
Другая CVE-2022-2972 с аналогичной оценкой и характером проблемы может позволить злоумышленнику вывести устройство из строя или удаленно выполнить произвольный код.
Две других ошибки имеют высокую оценку серьезности CVSS V3 8,6.
При этом одна CVE-2022-2971 обусловлена доступом к ресурсу с использованием несовместимого типа, а другая CVE-2022-2973 - использованием в определенных ситуациях нулевого указателя, что в обоих ситуациях может позволить злоумышленнику вывести из строя сервер, в том числе с вредоносной полезной нагрузкой.
Claroty
XIoT Vulnerability Disclosure Dashboard
Track all XIoT vulnerabilities disclosed by Team82, the industry’s best cybersecurity vulnerability and threat research team. Team82 finds software and firmware vulnerabilities before threat actors can exploit them.
Специалисты Лаборатории Касперского представили отчет с отражением ландшафта угроз для систем промышленной автоматизации за первое полугодие 2022 года.
Как отмечают ресерчеры, за прошедшие полгода вредоносные объекты блокировались на 31,8% компьютеров АСУ в мире.
Больше всего таких объектов блокировалось в Африке — 41,5%, на долю России пришлось 30,2%, в то время как США и Канада разделили 18,1%, а минимальный показатель 12,8% — в Северной Европе.
Автоматизация зданий занимает первое место в рейтинге выбранных отраслей по проценту компьютеров АСУ, на которых были заблокированы вредоносные объекты (42,2%), далее следуют «нефть и газ» (39,6%). Показатели отраслей «инжиниринг и интеграторы АСУ», «энергетика» и «производство» отличаются на десятые доли процентных пунктов.
Среди основных источников угроз в технологической инфраструктуре организаций: интернет (16,5%), съемные носители (3,5%) и электронная почта (7,0%).
В первом полугодии 2022 года защитными решениями Лаборатории на системах промышленной автоматизации было заблокировано более 102 тысяч модификаций вредоносного ПО из 7219 различных семейств.
При этом наиболее значительно увеличился процент компьютеров АСУ, на которых были заблокированы: вредоносные скрипты и фишинговые страницы (JS и HTML) — на 3,5 п.п.; вредоносные документы – на 3,0 п.п. и шпионское ПО — троянцы-шпионы, бэкдоры и кейлоггеры — на 0,5 п.п.
Процент компьютеров АСУ, на которых блокируются программы-шпионы, растет с 2020 года, а как и увеличилось за прошедшее полугодие число вредоносные программы для скрытого майнинга криптовалюты: веб майнеры, исполняемые в браузерах, – на 0,4 п.п. и майнеры — исполняемые файлы для OC Windows – на 0,2 п.п.
Зато продолжает уменьшаться доля компьютеров АСУ, на которых блокируются вирусы и черви, что свидетельствует о планомерной работе по развёртыванию защитных решений в ОТ.
Исследуемый период показал наибольшее значение процента (0,65%) компьютеров АСУ, на которых были заблокированы программы-вымогатели.
Рейтинг регионов по программам-вымогателям возглавили Восточная Азия (0,95%). Показатели атакованных ransomware компьютеров АСУ увеличились в 9 регионах мира, особенно - на Ближнем Востоке и в Латинской Америке (почти в 2,5 раза). При этом большинство атак было направлено на системы автоматизации зданий.
Результаты анализа статистических данных были получены благодаря распределенной антивирусной сети Kaspersky Security Network (KSN), которая в значительной мере не только помогает в оценке угроз, но и для обнаружения новых угроз, включая целенаправленные атаки и APT.
Как отмечают ресерчеры, за прошедшие полгода вредоносные объекты блокировались на 31,8% компьютеров АСУ в мире.
Больше всего таких объектов блокировалось в Африке — 41,5%, на долю России пришлось 30,2%, в то время как США и Канада разделили 18,1%, а минимальный показатель 12,8% — в Северной Европе.
Автоматизация зданий занимает первое место в рейтинге выбранных отраслей по проценту компьютеров АСУ, на которых были заблокированы вредоносные объекты (42,2%), далее следуют «нефть и газ» (39,6%). Показатели отраслей «инжиниринг и интеграторы АСУ», «энергетика» и «производство» отличаются на десятые доли процентных пунктов.
Среди основных источников угроз в технологической инфраструктуре организаций: интернет (16,5%), съемные носители (3,5%) и электронная почта (7,0%).
В первом полугодии 2022 года защитными решениями Лаборатории на системах промышленной автоматизации было заблокировано более 102 тысяч модификаций вредоносного ПО из 7219 различных семейств.
При этом наиболее значительно увеличился процент компьютеров АСУ, на которых были заблокированы: вредоносные скрипты и фишинговые страницы (JS и HTML) — на 3,5 п.п.; вредоносные документы – на 3,0 п.п. и шпионское ПО — троянцы-шпионы, бэкдоры и кейлоггеры — на 0,5 п.п.
Процент компьютеров АСУ, на которых блокируются программы-шпионы, растет с 2020 года, а как и увеличилось за прошедшее полугодие число вредоносные программы для скрытого майнинга криптовалюты: веб майнеры, исполняемые в браузерах, – на 0,4 п.п. и майнеры — исполняемые файлы для OC Windows – на 0,2 п.п.
Зато продолжает уменьшаться доля компьютеров АСУ, на которых блокируются вирусы и черви, что свидетельствует о планомерной работе по развёртыванию защитных решений в ОТ.
Исследуемый период показал наибольшее значение процента (0,65%) компьютеров АСУ, на которых были заблокированы программы-вымогатели.
Рейтинг регионов по программам-вымогателям возглавили Восточная Азия (0,95%). Показатели атакованных ransomware компьютеров АСУ увеличились в 9 регионах мира, особенно - на Ближнем Востоке и в Латинской Америке (почти в 2,5 раза). При этом большинство атак было направлено на системы автоматизации зданий.
Результаты анализа статистических данных были получены благодаря распределенной антивирусной сети Kaspersky Security Network (KSN), которая в значительной мере не только помогает в оценке угроз, но и для обнаружения новых угроз, включая целенаправленные атаки и APT.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
Ландшафт угроз для систем промышленной автоматизации. Cтатистика за первое полугодие 2022 | Kaspersky ICS CERT
Статистические данные, представленные в отчете, получены с защищаемых продуктами «Лаборатории Касперского» компьютеров АСУ, которые Kaspersky ICS CERT относит к технологической инфраструктуре организаций.
Cisco подтвердила утечку украденных данных с вымогателями Yanluowang, которая произошла в ходе атаки на сеть компании в мое 2022 года.
Признать последствия инцидента, а равно как и подлинность анонсированных ранее на DLS данных, компании пришлось после их вчерашней публикации вымогателями.
Хотя еще из августовского отчета Cisco Security Incident Response (CSIRT) и Cisco Talos стало известно, что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.
По заявлению компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена до того, как операторы Yanluowang смогли начать шифрование.
Однако хакеры утверждали обратное, утверждая о краже тысячи файлов общим объемом 55 ГБ и содержащих внутренние документы, технические схемы и исходный код.
Cisco продолжает настаивать на том, что утечка не меняет первоначальной оценки последствий инцидента, который не повлиял на бизнес компании, включая продукты или услуги, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.
Таким образом, по ситуации ровно два вывода: Cisco взломали, данные украли.
Признать последствия инцидента, а равно как и подлинность анонсированных ранее на DLS данных, компании пришлось после их вчерашней публикации вымогателями.
Хотя еще из августовского отчета Cisco Security Incident Response (CSIRT) и Cisco Talos стало известно, что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.
По заявлению компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена до того, как операторы Yanluowang смогли начать шифрование.
Однако хакеры утверждали обратное, утверждая о краже тысячи файлов общим объемом 55 ГБ и содержащих внутренние документы, технические схемы и исходный код.
Cisco продолжает настаивать на том, что утечка не меняет первоначальной оценки последствий инцидента, который не повлиял на бизнес компании, включая продукты или услуги, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.
Таким образом, по ситуации ровно два вывода: Cisco взломали, данные украли.
Cisco Talos
Cisco Talos shares insights related to recent cyber attack on Cisco
Update History Aug. 10, 2022 Adding clarifying details on activity involving active directory. Aug. 10, 2022 Update made to the Cisco Response and Recommendations section related to MFA.
͏Хакерский наезд на правительство Индонезии продолжается.
Взявший на себя ответственность за крупнейший слив личных данных граждан страны хакер Bjorka, как стало известно, личность авторитетная в киберподполье.
В 2021 году админил поисковую систему с утечками данных под названием leaks[.]sh, располагая миллиардами конфиденциальных строк.
Пообещав после этого слить данные на Президента Республики, Bjorka сдержал слово и выложил внутреннюю переписку его администрации, включая и секретную переписку с национальной спецслужбой.
Но на этом актор не остановился и разместил также личную информацию министра связи и информационных технологий Индонезии, а также намерен продолжить свою кампанию и расчехлить индонезийскую платформу цифровых финансовых услуг MyPertamina.
Будем следить.
Взявший на себя ответственность за крупнейший слив личных данных граждан страны хакер Bjorka, как стало известно, личность авторитетная в киберподполье.
В 2021 году админил поисковую систему с утечками данных под названием leaks[.]sh, располагая миллиардами конфиденциальных строк.
Пообещав после этого слить данные на Президента Республики, Bjorka сдержал слово и выложил внутреннюю переписку его администрации, включая и секретную переписку с национальной спецслужбой.
Но на этом актор не остановился и разместил также личную информацию министра связи и информационных технологий Индонезии, а также намерен продолжить свою кампанию и расчехлить индонезийскую платформу цифровых финансовых услуг MyPertamina.
Будем следить.
Исследователи из группы Binarly выяснили, что ряд устройств HP Enterprise подвержены шести уязвимостям высокой степени серьезности, причем некоторые из них были обнаружены более года назад.
Технические детали некоторых уязвимостей специалисты раскрыли на конференции Black Hat 2022 и эти ошибки затрагивают флагманские ноутбуки HP EliteBook и несколько других продуктов HP.
Как сообщили эксперты, проблема связана с уязвимостями выполнения произвольного кода в режиме системного управления System Management Mode (SMM) унифицированного расширяемого интерфейса встроенного ПО UEFI.
SMM — это режим исполнения на процессорах x86/x86-64, при котором приостанавливается исполнение другого кода. Главным образом, режим предназначен для реализации системы управления энергопотреблением.
Когда код отправляется в SMM, операционная система приостанавливается и UEFI/BIOS выполняет различные команды в наиболее привилегированном режиме с доступом ко всем данным и оборудованию.
Все ошибки связаны с повреждением памяти SMM и выполнением произвольного кода: CVE-2022-23930, CVE-2022-31645, CVE-2022-31646 имеют рейтинг 8.2 по CVSS, а CVE-2022-31644, CVE-2022-31640, CVE-2022-31641 рейтинг 7.5.
Эти баги можно применять для обхода безопасной загрузки, что позволяет злоумышленникам использовать это при создании скрытых руткитов.
О трех уязвимостях было сообщено еще в июле 2021 года, а в апреле 2022 года — о трех других.
На какие-то ошибки выходили обновления, как например в феврале 2022 г. HP устранила проблему CVE-2022-23930, выпустив обновления безопасности HP PC BIOS.
Однако несмотря на исправления CVE-2022-31644, CVE-2022-31645, CVE-2022-31646 в августе 2022 года и CVE-2022-31640, CVE-2022-31641 в сентябре, ряд премиальных ноутбуков и рабочих станций еще не получили соответствующих обновлений.
Исходя из данных телеметрии Binarly наблюдается, что примерно 20% обновлений встроенного ПО содержат, как минимум, две или три известные ранее раскрытые уязвимости.
Технические детали некоторых уязвимостей специалисты раскрыли на конференции Black Hat 2022 и эти ошибки затрагивают флагманские ноутбуки HP EliteBook и несколько других продуктов HP.
Как сообщили эксперты, проблема связана с уязвимостями выполнения произвольного кода в режиме системного управления System Management Mode (SMM) унифицированного расширяемого интерфейса встроенного ПО UEFI.
SMM — это режим исполнения на процессорах x86/x86-64, при котором приостанавливается исполнение другого кода. Главным образом, режим предназначен для реализации системы управления энергопотреблением.
Когда код отправляется в SMM, операционная система приостанавливается и UEFI/BIOS выполняет различные команды в наиболее привилегированном режиме с доступом ко всем данным и оборудованию.
Все ошибки связаны с повреждением памяти SMM и выполнением произвольного кода: CVE-2022-23930, CVE-2022-31645, CVE-2022-31646 имеют рейтинг 8.2 по CVSS, а CVE-2022-31644, CVE-2022-31640, CVE-2022-31641 рейтинг 7.5.
Эти баги можно применять для обхода безопасной загрузки, что позволяет злоумышленникам использовать это при создании скрытых руткитов.
О трех уязвимостях было сообщено еще в июле 2021 года, а в апреле 2022 года — о трех других.
На какие-то ошибки выходили обновления, как например в феврале 2022 г. HP устранила проблему CVE-2022-23930, выпустив обновления безопасности HP PC BIOS.
Однако несмотря на исправления CVE-2022-31644, CVE-2022-31645, CVE-2022-31646 в августе 2022 года и CVE-2022-31640, CVE-2022-31641 в сентябре, ряд премиальных ноутбуков и рабочих станций еще не получили соответствующих обновлений.
Исходя из данных телеметрии Binarly наблюдается, что примерно 20% обновлений встроенного ПО содержат, как минимум, две или три известные ранее раскрытые уязвимости.
www.binarly.io
Binarly Finds Six High Severity Firmware Vulnerabilities in HP Enterprise Devices
Discover how BINARLY uncovered 6 critical firmware vulnerabilities in HP Enterprise devices. Insights on the latest security findings await you.
Forwarded from Social Engineering
💸 S.E. Заметка. Продавцы воздуха в онлайн-магазинах.
• Суть в том, что фишеры публикуют товар в различных маркетплейсах. Это может быть все, что угодно: от бассейна до смартфона. Страницы товаров не вызывают подозрения, так как в них присутствует правдоподобная информация: артикул, логотип производителя, фото товара, сроки доставки и возврата. В описании товара фишеры указывают номер телефона и просят перед оформлением заказа обязательно написать менеджеру.
• Если потенциальный покупатель пишет по номеру в описании на сайте, ему предлагают прислать полное имя покупателя, адрес ближайшего пункта выдачи заказов, номер телефона и другую информацию. Финалом переписки становится ссылка на «страницу оформления заказа». Кликнув по ссылке, жертва якобы возвращается на сайт маркетплейса для оформления покупки, но на самом деле это мошеннический ресурс, созданных злоумышленниками. Если жертва оплатит товар через поддельный сайт, мошенники получат деньги и личные данные жертвы.
🧷 Более подробная информация описана тут: https://www.kaspersky.ru/blog/marketplace-scam-russia/33931/
Твой S.E. #СИ #Фишинг
🖖🏻 Приветствую тебя user_name.• В блоге Касперского описана интересная, но относительно "старая" схема обмана пользователей различных маркетплейсов с помощью поддельных страниц оплаты товара.
• Суть в том, что фишеры публикуют товар в различных маркетплейсах. Это может быть все, что угодно: от бассейна до смартфона. Страницы товаров не вызывают подозрения, так как в них присутствует правдоподобная информация: артикул, логотип производителя, фото товара, сроки доставки и возврата. В описании товара фишеры указывают номер телефона и просят перед оформлением заказа обязательно написать менеджеру.
• Если потенциальный покупатель пишет по номеру в описании на сайте, ему предлагают прислать полное имя покупателя, адрес ближайшего пункта выдачи заказов, номер телефона и другую информацию. Финалом переписки становится ссылка на «страницу оформления заказа». Кликнув по ссылке, жертва якобы возвращается на сайт маркетплейса для оформления покупки, но на самом деле это мошеннический ресурс, созданных злоумышленниками. Если жертва оплатит товар через поддельный сайт, мошенники получат деньги и личные данные жертвы.
🧷 Более подробная информация описана тут: https://www.kaspersky.ru/blog/marketplace-scam-russia/33931/
Твой S.E. #СИ #Фишинг
Министерство финансов США в пятницу объявило о санкциях против Министерства разведки и безопасности Ирана (MOIS) и министра Эсмаила Хатиба.
Поводом послужили выводы Microsoft, которые в результате расследования состоявшейся 15 июля 2022 года атаки на государственные онлайн-сервисы и правительственные веб-сайты Албании заявили о причастности к киберинциденту четырех иранских АРТ.
По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группы. Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства.
Так, DEV-0133 (также известный как Lyceum или Siamese Kitten) исследовал инфраструктуру жертвы, DEV-0842 развернул программу-вымогатель и вредоносное ПО для очистки данных. В то время как DEV-0861 получил первоначальный доступ и удалил данные, а DEV-0166 (ака IntrudingDivisor) эксфильтровал данные.
Сообщается, что первоначальный доступ к сети жертвы албанского правительства произошел еще в мае 2021 года благодаря успешному использованию уязвимости удаленного выполнения кода SharePoint (CVE-2019-0604) с последующей утечкой электронной почты из скомпрометированной сети в октябре 2021 и январе 2022 г.
Ресерчеры полагают, что участвующие в получении первоначального доступа и краже данных были связаны с Europium (ака APT34, Cobalt Gypsy, Helix Kitten или OilRig).
Вторая параллельная волна наблюдалась в период с ноября 2021 года по май 2022 года, вероятно, с помощью инструмента под названием Jason.
Кроме того, вторжения повлекли за собой развертывание ransomware под названием ROADSWEEP и распространение вредоносного ПО для удаления данных, называемого ZeroCleare.
Злоумышленники, ответственные за вторжение и кражу данных, использовали инструменты, ранее использовавшиеся другими известными иранскими злоумышленниками. Причастные к эксфильтарции акторы были нацелены и на другие секторы и страны, которые соответствуют интересам Ирана.
Microsoft полагают, что атаки последовали после серии кибератак на Иран, в том числе организованных иранской группой хактивистов, связанной с «Муджахедин-э-Халк» (MEK), в первую неделю июля 2022 года.
MEK, также известная как Народная организация моджахедов Ирана (PMOI), представляет собой иранскую диссидентскую группу, базирующуюся в Албании.
Министерство иностранных дел Ирана отвергло обвинения в причастности к атакам на Албанию, назвав их безосновательными, а также осудило санкции, обвинив США в поддержке «террористической секты» МЕК.
И не зря, ведь ангажированная атрибуция Microsoft, как известно, обусловлена скорее сотрудничеством с спецслужбами и конвейером подрядов со стороны Минобороны США, нежели результатом объективных наблюдений и глубокого анализа.
Поводом послужили выводы Microsoft, которые в результате расследования состоявшейся 15 июля 2022 года атаки на государственные онлайн-сервисы и правительственные веб-сайты Албании заявили о причастности к киберинциденту четырех иранских АРТ.
По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группы. Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства.
Так, DEV-0133 (также известный как Lyceum или Siamese Kitten) исследовал инфраструктуру жертвы, DEV-0842 развернул программу-вымогатель и вредоносное ПО для очистки данных. В то время как DEV-0861 получил первоначальный доступ и удалил данные, а DEV-0166 (ака IntrudingDivisor) эксфильтровал данные.
Сообщается, что первоначальный доступ к сети жертвы албанского правительства произошел еще в мае 2021 года благодаря успешному использованию уязвимости удаленного выполнения кода SharePoint (CVE-2019-0604) с последующей утечкой электронной почты из скомпрометированной сети в октябре 2021 и январе 2022 г.
Ресерчеры полагают, что участвующие в получении первоначального доступа и краже данных были связаны с Europium (ака APT34, Cobalt Gypsy, Helix Kitten или OilRig).
Вторая параллельная волна наблюдалась в период с ноября 2021 года по май 2022 года, вероятно, с помощью инструмента под названием Jason.
Кроме того, вторжения повлекли за собой развертывание ransomware под названием ROADSWEEP и распространение вредоносного ПО для удаления данных, называемого ZeroCleare.
Злоумышленники, ответственные за вторжение и кражу данных, использовали инструменты, ранее использовавшиеся другими известными иранскими злоумышленниками. Причастные к эксфильтарции акторы были нацелены и на другие секторы и страны, которые соответствуют интересам Ирана.
Microsoft полагают, что атаки последовали после серии кибератак на Иран, в том числе организованных иранской группой хактивистов, связанной с «Муджахедин-э-Халк» (MEK), в первую неделю июля 2022 года.
MEK, также известная как Народная организация моджахедов Ирана (PMOI), представляет собой иранскую диссидентскую группу, базирующуюся в Албании.
Министерство иностранных дел Ирана отвергло обвинения в причастности к атакам на Албанию, назвав их безосновательными, а также осудило санкции, обвинив США в поддержке «террористической секты» МЕК.
И не зря, ведь ангажированная атрибуция Microsoft, как известно, обусловлена скорее сотрудничеством с спецслужбами и конвейером подрядов со стороны Минобороны США, нежели результатом объективных наблюдений и глубокого анализа.
U.S. Department of the Treasury
Treasury Sanctions Iranian Ministry of Intelligence and Minister for Malign Cyber Activities
WASHINGTON — Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) is designating Iran’s Ministry of Intelligence and Security (MOIS) and its Minister of Intelligence for engaging in cyber-enabled activities against the United…
Прослеживается отрицательная динамика в безопасности продуктов гиганта из Купертино.
В этом году Apple устранила уже восьмой 0-Day, который активно используется в атаках на iPhone и Mac.
Ошибка тслеживается как CVE-2022-32917 и может позволить злоумышленникам использовать ошибку, создавая вредоносные приложения для выполнения RCE с привилегиями ядра.
Об этом недостатке сообщил анонимный исследователь и самое интересное Apple подтвердила, что ей было известно об ошибке и она могла активно использоваться. Странное заявление, но такое уже не впервые.
В понедельник было выпущено экстренное обновление для линейки продуктов Apple.
Бага затрагивает iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, а также iPod touch (7-го поколения и Mac под управлением macOS Big Sur 11.7 и macOS Monterey 12.6).
Apple решила проблему, выпустив версии iOS 15.7 и iPadOS 15.7, macOS Monterey 12.6 и macOS Big Sur 11.7 .
По классике жанра Apple не раскрывает технических подробностей атак, которые использовали эту уязвимость в дикой природе, дабы клиенты смогли установить исправления безопасности.
Apple настоятельно рекомендует владельцам затронутых устройств загрузить исправление как можно скорее.
Отдельно ИТ-гигант напомнил пользователям, что после того, как они установили обновления для tvOS, watchOS, iPadOS и iOS, откатиться до более ранней версии будет нельзя и это относится ко всем ее операционным системам.
В этом году Apple устранила уже восьмой 0-Day, который активно используется в атаках на iPhone и Mac.
Ошибка тслеживается как CVE-2022-32917 и может позволить злоумышленникам использовать ошибку, создавая вредоносные приложения для выполнения RCE с привилегиями ядра.
Об этом недостатке сообщил анонимный исследователь и самое интересное Apple подтвердила, что ей было известно об ошибке и она могла активно использоваться. Странное заявление, но такое уже не впервые.
В понедельник было выпущено экстренное обновление для линейки продуктов Apple.
Бага затрагивает iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, а также iPod touch (7-го поколения и Mac под управлением macOS Big Sur 11.7 и macOS Monterey 12.6).
Apple решила проблему, выпустив версии iOS 15.7 и iPadOS 15.7, macOS Monterey 12.6 и macOS Big Sur 11.7 .
По классике жанра Apple не раскрывает технических подробностей атак, которые использовали эту уязвимость в дикой природе, дабы клиенты смогли установить исправления безопасности.
Apple настоятельно рекомендует владельцам затронутых устройств загрузить исправление как можно скорее.
Отдельно ИТ-гигант напомнил пользователям, что после того, как они установили обновления для tvOS, watchOS, iPadOS и iOS, откатиться до более ранней версии будет нельзя и это относится ко всем ее операционным системам.
Apple Support
About the security content of iOS 15.7 and iPadOS 15.7
This document describes the security content of iOS 15.7 and iPadOS 15.7.
͏Ресерчеры китайской Qihoo 360 провели мощный анализ и представили диаграмму APT в зависимости от сложности их тактик и уровня активности.
Наименования APT соответствуют их собственной атрибуции, соответствие общеизвестным обозначениям групп раскрыто в отдельном перечне.
В целом, выводы Qihoo 360 соответствуют нашим наблюдениям: по части Equation вполне закономерно, учитывая изощренность атак и более чем 20-летнюю историю активностей.
Наименования APT соответствуют их собственной атрибуции, соответствие общеизвестным обозначениям групп раскрыто в отдельном перечне.
В целом, выводы Qihoo 360 соответствуют нашим наблюдениям: по части Equation вполне закономерно, учитывая изощренность атак и более чем 20-летнюю историю активностей.
Ресерчеры Arctic Wolf Labs выяснили, что вымогатели Lorenz приступили к активной эксплуатации критической уязвимости CVE-2022-29499 в устройствах Mitel MiVoice VOIP для получения первоначального доступа к корпоративным сетям предприятий.
Новая тактика была замечена после совпадения TTP исследованных атак Lorenz, с результатами июньского отчета Crowdstrike в отношении потенциальных угроз Mitel MiVoice VOIP, о которых мы также ранее сообщали.
Согласно отчету Arctic Wolf Labs, первоначальная вредоносная активность исходила от устройства, расположенного на сетевом периметре и была связана с использованием RCE-баги в компоненте Mitel Service Appliance MiVoice Connect.
После внедрения обратной оболочки, злоумышленник использовал Chisel в качестве инструмента туннелирования для перехода в среду.
Lorenz нацелена на корпоративные организации по всему миру с декабря 2020 года, требуя выкуп в сотни тысяч долларов от каждой жертвы и применяя тот шифратор, что и предыдущей операции ThunderCrypt.
Группа также известна тем, что продает данные, украденные до шифрования своим коллегам вместе с доступом к внутренним сетям своих жертв. В случае отказа жертвы от выкупа организуется утечка краденных данных в виде защищенных паролем архивов RAR и публикацией к ним пароля.
Послужной список впечатляет и включает, к примеру немецкого военного подрядчика Hensoldt и главного канадского оператора Canada Post.
Впрочем, удивляться не стоит. Даже несмотря на то, что Mitel устранил уязвимость, выпустив исправления в начале июня 2022 года для всех уязвимых версий MiVoice Connect, до настоящего времени более 19 000 устройств остаются уязвимыми.
Кроме того, как известно, злоумышленники продолжают использовать и более старые ошибки (CVE-2022-26143) Mitel для проведения DDoS-атак с усилением.
Новая тактика была замечена после совпадения TTP исследованных атак Lorenz, с результатами июньского отчета Crowdstrike в отношении потенциальных угроз Mitel MiVoice VOIP, о которых мы также ранее сообщали.
Согласно отчету Arctic Wolf Labs, первоначальная вредоносная активность исходила от устройства, расположенного на сетевом периметре и была связана с использованием RCE-баги в компоненте Mitel Service Appliance MiVoice Connect.
После внедрения обратной оболочки, злоумышленник использовал Chisel в качестве инструмента туннелирования для перехода в среду.
Lorenz нацелена на корпоративные организации по всему миру с декабря 2020 года, требуя выкуп в сотни тысяч долларов от каждой жертвы и применяя тот шифратор, что и предыдущей операции ThunderCrypt.
Группа также известна тем, что продает данные, украденные до шифрования своим коллегам вместе с доступом к внутренним сетям своих жертв. В случае отказа жертвы от выкупа организуется утечка краденных данных в виде защищенных паролем архивов RAR и публикацией к ним пароля.
Послужной список впечатляет и включает, к примеру немецкого военного подрядчика Hensoldt и главного канадского оператора Canada Post.
Впрочем, удивляться не стоит. Даже несмотря на то, что Mitel устранил уязвимость, выпустив исправления в начале июня 2022 года для всех уязвимых версий MiVoice Connect, до настоящего времени более 19 000 устройств остаются уязвимыми.
Кроме того, как известно, злоумышленники продолжают использовать и более старые ошибки (CVE-2022-26143) Mitel для проведения DDoS-атак с усилением.
Telegram
SecAtor
Новую точку входа вымогателей обнаружили исследователи CrowdStrike в ходе расследования инцидента с ransomware. Актор использовал 0-day в устройствах Mitel VOIP, расположенных на периметре сети, применив новый эксплойт для удаленного выполнения кода и методы…
Отношения между ЕС и Грецией продолжают накаляться в связи с недавним скандалом, когда в адрес правительства Афин поступили обвинения в использовании шпионского ПО для наблюдения за политическим соперником и членом парламента ЕС.
В конце июля депутат Европарламента и президент второй по величине оппозиционной партии Греции (ПАСОК) Никос Андрулакис подал жалобу в прокуратуру Верховного суда страны, утверждая, что его устройство было заражено шпионским ПО Predator, разработанным северомакедонской Cytrox.
Позже выяснилось также, что киберслежка проводилась и в отношении финансового журналиста Танасиса Кукакиса, которого об этом уведомили ресерчеры CitizenLab.
С тех пор, скандал в Греции не утихает обороты, несмотря на попытки премьер-министра Кириакоса Мицотакиса замять инцидент, а на днях и вовсе получил новое продолжение после обнаружения нового эпизода.
Греческие репортеры из DocumentNews заявили, что обнаружили третью жертву ПО Predator, которой стал Христос Спиртзис, член греческого парламента от имени СИРИЗА, крупнейшей оппозиционной партии Греции.
Похоже, что греческий кейс плавно сменяет израильскую NSO Group, которая уже фактически перешла в американскую юрисдикцию и руки ее спецслужб. Вероятно, Cytrox ожидает та же дорога, как и весь рынок коммерческого шпионажа.
Но в любом случае, будем посмотреть.
В конце июля депутат Европарламента и президент второй по величине оппозиционной партии Греции (ПАСОК) Никос Андрулакис подал жалобу в прокуратуру Верховного суда страны, утверждая, что его устройство было заражено шпионским ПО Predator, разработанным северомакедонской Cytrox.
Позже выяснилось также, что киберслежка проводилась и в отношении финансового журналиста Танасиса Кукакиса, которого об этом уведомили ресерчеры CitizenLab.
С тех пор, скандал в Греции не утихает обороты, несмотря на попытки премьер-министра Кириакоса Мицотакиса замять инцидент, а на днях и вовсе получил новое продолжение после обнаружения нового эпизода.
Греческие репортеры из DocumentNews заявили, что обнаружили третью жертву ПО Predator, которой стал Христос Спиртзис, член греческого парламента от имени СИРИЗА, крупнейшей оппозиционной партии Греции.
Похоже, что греческий кейс плавно сменяет израильскую NSO Group, которая уже фактически перешла в американскую юрисдикцию и руки ее спецслужб. Вероятно, Cytrox ожидает та же дорога, как и весь рынок коммерческого шпионажа.
Но в любом случае, будем посмотреть.
Η ΚΑΘΗΜΕΡΙΝΗ
Νίκος Ανδρουλάκης: Καταγγελία για απόπειρα παρακολούθησης του κινητού του – Κατέθεσε μηνυτήρια αναφορά στον Άρειο Πάγο
Μηνυτήρια αναφορά στην Εισαγγελία του Αρείου Πάγου κατέθεσε την Τρίτη ο πρόεδρος του ΠΑΣΟΚ, Νίκος Ανδρουλάκης. Η καταγγελία, σύμφωνα με πληροφορίες από τη Χαρ. Τρικούπη, αφορά απόπειρα παγίδευσης του κινητού του τηλεφώνου, η οποία συνδέεται με το παράνομο…
Команда хактивистов GhostSec заявили о взломе 55 ПЛК Berghof, используемых израильскими организациями в рамках кампании «Свободная Палестина».
Подробности компрометации впервые стали известны 4 сентября после того, как GhostSec поделились видео на своем канале в Telegram с демонстрацией успешной авторизации в панели администратора ПЛК, а также скриншотами экрана HMI, показывающими некоторые этапы атаки, включая блокировку ПЛК.
При этом дампы системы и скриншоты были экспортированы непосредственно из панели администратора после несанкционированного доступа к контроллерам через их общедоступные IP-адреса.
GhostSec (ака Ghost Security) впервые идентифицирована в 2015 году и известна как группа линчевателей, которая изначально была сформирована для борьбы с ИГИЛ. С конца июня хакеры принимают участие в кампании OpIsrael, направленной против израильских организаций и предприятий, после непрерывных атак Израиля на палестинцев.
Они осуществили ряд атак, в том числе направленных на открытые в Интернете интерфейсы Bezeq International и ELNet, расположенные в научно-промышленном центре Matam.
Как позже отметили в Cyberint, группа начала атаковать несколько израильских компаний, предположительно получив доступ к различным интерфейсам IoT и системам ICS/SCADA, что привело к сбоям.
Инцидент с ПЛК Berghof изучили и подтвердили ресерчеры OTORIO, которые пришли к выводу о том, что компрометация стала возможной благодаря доступности ПЛК через Интернет и легко угадываемым учетным данным.
Отметив, что доступ к панели администратора обеспечивает полный контроль над некоторыми функциями ПЛК, однако не позволяет операторам напрямую контролировать производственный процесс.
В свою очередь, GhostSec представили дополнительные скрины с отображением доступа к другой панели управления, которую можно использовать для изменения уровня хлора и pH в воде.
Однако активисты GhostSec не стали развивать атаку и более глубоко погружаться в домен OT, а использовали демонстрацию потенциальных возможностей для популяризации своей деятельности.
И им это определенно удалось.
Подробности компрометации впервые стали известны 4 сентября после того, как GhostSec поделились видео на своем канале в Telegram с демонстрацией успешной авторизации в панели администратора ПЛК, а также скриншотами экрана HMI, показывающими некоторые этапы атаки, включая блокировку ПЛК.
При этом дампы системы и скриншоты были экспортированы непосредственно из панели администратора после несанкционированного доступа к контроллерам через их общедоступные IP-адреса.
GhostSec (ака Ghost Security) впервые идентифицирована в 2015 году и известна как группа линчевателей, которая изначально была сформирована для борьбы с ИГИЛ. С конца июня хакеры принимают участие в кампании OpIsrael, направленной против израильских организаций и предприятий, после непрерывных атак Израиля на палестинцев.
Они осуществили ряд атак, в том числе направленных на открытые в Интернете интерфейсы Bezeq International и ELNet, расположенные в научно-промышленном центре Matam.
Как позже отметили в Cyberint, группа начала атаковать несколько израильских компаний, предположительно получив доступ к различным интерфейсам IoT и системам ICS/SCADA, что привело к сбоям.
Инцидент с ПЛК Berghof изучили и подтвердили ресерчеры OTORIO, которые пришли к выводу о том, что компрометация стала возможной благодаря доступности ПЛК через Интернет и легко угадываемым учетным данным.
Отметив, что доступ к панели администратора обеспечивает полный контроль над некоторыми функциями ПЛК, однако не позволяет операторам напрямую контролировать производственный процесс.
В свою очередь, GhostSec представили дополнительные скрины с отображением доступа к другой панели управления, которую можно использовать для изменения уровня хлора и pH в воде.
Однако активисты GhostSec не стали развивать атаку и более глубоко погружаться в домен OT, а использовали демонстрацию потенциальных возможностей для популяризации своей деятельности.
И им это определенно удалось.
Outpost24
Threat Actor of the Month - GhostSec | Outpost24 blog
This month we’re introducing you to GhostSec, a hacktivist group with ties to the Anonymous collective
Подкатил сентябрьский PatchTuesday от Microsoft, в котором исправлены 2 активно эксплуатируемый 0-day, а также еще 63 уязвимости в широком спектре компонентов Windows, включая Dynamics CRM, SharePoint, Office и Office, Защитнике Windows и Microsoft Edge.
Среди них: 18 - повышения привилегий, 1 - обход уязвимостей безопасности, 30 - RCE, 7 - раскрытие информации, 7 - DoS и 16 в Edge (уязвимости Chromium). 5 из 63 классифицируются как «критические» и допускают RCE.
Одна из 0-day отслеживается как CVE-2022-37969, имеет оценку CVSS 7,8 из 10 и связана с уязвимостью драйвера Common Log File System (CLFS). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.
Об уязвимости сообщили практически одновременно ресерчеры DBAPPSecurity, Mandiant, CrowdStrike и Zscaler, предполагая, что она использовалась в цепочке эксплойтов, связанных с ограниченными целевыми атаками.
При этом Mandiant обнаружил ошибку в ходе поиска эксплойтов Offensive Task Force. Эксплойт для CLFS является автономным, а не частью цепочки (например, браузер + EOP).
В свою очередь, Microsoft не стала публиковать никаких технических подробностей об ошибке или каких-либо индикаторов компрометации (IOC).
Другая публично раскрытая уязвимость Cache Speculation Restriction Vulnerable отслеживается как CVE-2022-23960.
Полный список исправленных уязвимостей представлен в отчете (здесь).
Среди них: 18 - повышения привилегий, 1 - обход уязвимостей безопасности, 30 - RCE, 7 - раскрытие информации, 7 - DoS и 16 в Edge (уязвимости Chromium). 5 из 63 классифицируются как «критические» и допускают RCE.
Одна из 0-day отслеживается как CVE-2022-37969, имеет оценку CVSS 7,8 из 10 и связана с уязвимостью драйвера Common Log File System (CLFS). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.
Об уязвимости сообщили практически одновременно ресерчеры DBAPPSecurity, Mandiant, CrowdStrike и Zscaler, предполагая, что она использовалась в цепочке эксплойтов, связанных с ограниченными целевыми атаками.
При этом Mandiant обнаружил ошибку в ходе поиска эксплойтов Offensive Task Force. Эксплойт для CLFS является автономным, а не частью цепочки (например, браузер + EOP).
В свою очередь, Microsoft не стала публиковать никаких технических подробностей об ошибке или каких-либо индикаторов компрометации (IOC).
Другая публично раскрытая уязвимость Cache Speculation Restriction Vulnerable отслеживается как CVE-2022-23960.
Полный список исправленных уязвимостей представлен в отчете (здесь).
͏Trend Micro объявила об исправлении нескольких уязвимостей, включая 0-day, в своем решении для защиты конечных точек Apex One.
Эксплуатируемая уязвимость отслеживается как CVE-2022-40139 и связана с неправильной проверкой функции отката продукта. Ошибка может быть использована злоумышленником, авторизованным в в консоле администратора.
Согласно бюллетеню Trend Micro, злоумышленник может добиться RCE в случае загрузки клиентами непроверенного пакета отката.
В дополнение к 0-day исправления Apex One также закрыли и три другие проблемы с высокой степенью серьезности и две проблемы со средней степенью серьезности.
Самая проблемная из них — CVE-2022-40144, которая может позволить злоумышленнику обойти аутентификацию с помощью специально созданных запросов.
Теоретически ее можно связать с вышеупомянутым 0-day для преодоления аутентификации, но об этом Trend Micro не распространяется, равно как и упоминает об использовании CVE-2022-40144 в реальных атаках.
Другие уязвимости, исправленные Trend Micro, могут использоваться для повышения привилегий, DoS-атак и получения информации о целевом сервере.
Информация об атаках с использованием CVE-2022-40139 Trend Micro также не представлена. Но как мы знаем, злоумышленники нередко нацеливаются на уязвимости в продуктах компании.
За последние несколько лет хакерами эксплуатировались восемь таких недостатков, большинство из них как раз затрагивали продукты Apex. Баги в основном применялись в целенаправленных атаках.
Эксплуатируемая уязвимость отслеживается как CVE-2022-40139 и связана с неправильной проверкой функции отката продукта. Ошибка может быть использована злоумышленником, авторизованным в в консоле администратора.
Согласно бюллетеню Trend Micro, злоумышленник может добиться RCE в случае загрузки клиентами непроверенного пакета отката.
В дополнение к 0-day исправления Apex One также закрыли и три другие проблемы с высокой степенью серьезности и две проблемы со средней степенью серьезности.
Самая проблемная из них — CVE-2022-40144, которая может позволить злоумышленнику обойти аутентификацию с помощью специально созданных запросов.
Теоретически ее можно связать с вышеупомянутым 0-day для преодоления аутентификации, но об этом Trend Micro не распространяется, равно как и упоминает об использовании CVE-2022-40144 в реальных атаках.
Другие уязвимости, исправленные Trend Micro, могут использоваться для повышения привилегий, DoS-атак и получения информации о целевом сервере.
Информация об атаках с использованием CVE-2022-40139 Trend Micro также не представлена. Но как мы знаем, злоумышленники нередко нацеливаются на уязвимости в продуктах компании.
За последние несколько лет хакерами эксплуатировались восемь таких недостатков, большинство из них как раз затрагивали продукты Apex. Баги в основном применялись в целенаправленных атаках.
Siemens и Schneider Electric в рамках Patch Tuesday проинформировали клиентов о десятках уязвимостей, затрагивающих их промышленные продукты.
Siemens выпустила пять бюллетеней, описывающих в общей сложности 37 исправленных уязвимостей.
В одном из бюллетеней представлены недостатки сторонних компонентов в веб-приложении Sinec INS (Infrastructure Network Services) для управления сетевыми службами.
В других компонентах, BIND, ISC DHCP, OpenSSL, Lodash и Axios, было обнаружено в общей сложности 14 уязвимостей высокой и средней степени серьезности.
Siemens предупреждает, что баги могут позволить злоумышленнику вызвать состояние DoS, получить конфиденциальные данные или нарушить целостность системы.
Siemens также устранила множество уязвимостей в продуктах Simcenter Femap и Parasolid, связанных с анализом файлов. Злоумышленник может использовать ошибки для RCE, заставив жертву открыть специально созданные файлы уязвимыми приложениями.
В ПО CoreShield One-Way Gateway (OWG) для Windows также была устранена серьезная уязвимость, которую можно использовать для локального повышения привилегий.
Другая серьезная проблема, которую можно использовать для обхода аутентификации, была закрыта в модуле Mendix SAML.
Наконец, компания Siemens исправила DoS-уязвимость средней степени серьезности в промышленных сетевых устройствах Ruggedcom.
Schneider Electric опубликовала лишь один новый бюллетень, но компания обновила более дюжины существующих бюллетеней.
В нем описываются многочисленные серьезные проблемы десериализации в продуктах EcoStruxure Machine SCADA Expert и Pro-face Blue Open Studio, которые могут привести к RCE, раскрытию информации или отказу в обслуживании.
Не густо, но и пусто.
Siemens выпустила пять бюллетеней, описывающих в общей сложности 37 исправленных уязвимостей.
В одном из бюллетеней представлены недостатки сторонних компонентов в веб-приложении Sinec INS (Infrastructure Network Services) для управления сетевыми службами.
В других компонентах, BIND, ISC DHCP, OpenSSL, Lodash и Axios, было обнаружено в общей сложности 14 уязвимостей высокой и средней степени серьезности.
Siemens предупреждает, что баги могут позволить злоумышленнику вызвать состояние DoS, получить конфиденциальные данные или нарушить целостность системы.
Siemens также устранила множество уязвимостей в продуктах Simcenter Femap и Parasolid, связанных с анализом файлов. Злоумышленник может использовать ошибки для RCE, заставив жертву открыть специально созданные файлы уязвимыми приложениями.
В ПО CoreShield One-Way Gateway (OWG) для Windows также была устранена серьезная уязвимость, которую можно использовать для локального повышения привилегий.
Другая серьезная проблема, которую можно использовать для обхода аутентификации, была закрыта в модуле Mendix SAML.
Наконец, компания Siemens исправила DoS-уязвимость средней степени серьезности в промышленных сетевых устройствах Ruggedcom.
Schneider Electric опубликовала лишь один новый бюллетень, но компания обновила более дюжины существующих бюллетеней.
В нем описываются многочисленные серьезные проблемы десериализации в продуктах EcoStruxure Machine SCADA Expert и Pro-face Blue Open Studio, которые могут привести к RCE, раскрытию информации или отказу в обслуживании.
Не густо, но и пусто.
Siemens
CERT Services | Siemens
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services or infrastructure.