͏Серьезные удары по финансовым организациям нанесли вымогатели.

Брокер первоначального доступа 0x_dump взломал Deutsche Bank и реализует через телегу доступ к его системам, включая DA, 21 тыс. хостов, файловые сервера с 16 ТБ внутренних данных, корпоративные чаты.

Заявленная IAB цена составляет 7.5 БТС или 150 тыс. долларов. Причем этот же IAB ранее выставлял на продажу доступ к системам австралийской Medibank. Учитывая, что прайс небольшой - можно считать, что сеть банка скоро зарансомится.

LV атаковали аргентинский ConsuMax Bank с доходом в 68 млн. дол. Команда BlackCat добавила Центральный банк Гамбии на свой DLS, выбрав более 2 ТБ конфиденциальных данных.

BlackCat также отличилась атакой на Motional, специализирующейся на беспилотных технологиях с доходом в 271 млн. дол.

В то время как, Hive поделилась очередным успехом, поместив на DLS итальянского Landi Renzo, мирового лидера по поставкам экологичных топливных систем с доходом в 227 млн. дол.

Странные дела вновь происходят в рядах REvil. DLS команды опустел, все жертвы исчезли, блог пуст.

Все произошло через несколько дней после того, как REvil слили данные о взломе Medibank. Но это уже другая история.

Давно не было инсайдов в канале SecAtor. А все потому, что инфосек уехал. Не весь, конечно, так, частями. Оставшиеся пойдут на SOC-Форум. Поэтому вот тема для обсуждения.

Согласно активно циркулирующим слухам недавно созданная МТС инфосек компания Серенити (а куда Светлячка дели, нехристи?) активно пылесосит рынок в поисках специалистов. Топам уже положили по полмиллиона долларов бонуса, а сотрудникам пониже обещают психолога и массажный кабинет (мы не шутим, кстати). Дошли до того, что ведут переговоры с Шаровым о поглощении Dr.Web со стороны Серенити.

В общем - такой здоровенный инхаус инфосек в МТС, который может серьезно перекроить рынок, Бизоны не дадут соврать. С учетом того, что Серенити позиционирует себя как поставщика SOC-сервисов и разработчика ПО, то сначала следовало бы напрячься Соларам. Потом - всем остальным.

Существенную часть топов набрали из Касперского - от Наумовой и Прибочего до неоднозначного Черешнева. Подозреваем, что Евгений Валентинович негодуэ.

Единственное, что настораживает - за прошедшие 3 месяца с анонсированного создания компании от Серенити никакой активности не видно. Ни роадмапов, ни релизов, ни сайта, в конце концов.

С другой стороны, как мы отметили в начале поста, - инфосек-специалисты стайно улетели в далекие края, поэтому набрать сейчас штат в новую компанию задача непростая. Ведь с учетом необходимости обслуживания чувствительной инфраструктуры - персонал надо набирать из оставшихся. А не, как некоторые, держать пентестеров в странах ближнего и дальнего зарубежья.

По такому поводу мы решили обратиться к подписчикам - какие ценностные предложения надо добавить HR Серенити в соцпакет к массажному кабинету, чтобы создать непринужденную атмосферу тимбилдинга и управления талантами? Может директор по стратегии Серенити @bladerunnerblues поделится? Можно прямо в почту...

(гулять так гулять, решили приоткрыть комменты).

Пей, гуляй, люби гусей!

Разгневанное утечкой Medibank правительство Австралии решило выписать «Licence To Kill» для враждебных хакерских групп по всему миру.

Австралийцы просто решили нанести ответный удар, выследить злоумышленников и вывести их из строя, прежде чем они снова смогут напасть на страну.

По словам министра внутренних дел Клэр О'Нила новая инициатива будет результатом совместной работы Федеральной полиции (AFP) и Управления связи (ASD), куда планируется привлечь около 100 лучших и наиболее способных киберэкспертов, которые будут участвовать в наступательных действиях.

Первыми на прицел взяли причастных к инциденту с Medibank, вызвавшему широкий общественный резонанс. Особенно после того как в компании отказались платить, а банда вымогателей BlogXX, которая считается ответвлением группировки REvil, приступила к сливу историй болезней клиентов и в сеть просочились файлы с пометкой «аборты».

Премьер-министр Австралии Энтони Альбанезе, данные которого также оказались в утечке Medibank, заявил, что AFP доподлинно известно, где базируются киберпреступники и потребовал немедленного привлечения к ответственности.

Он отметил, что и страна, из которой исходят эти нападения, также должна понести наказание за атаки и разглашение личной информации.

Громогласные заявления прозвучали в тот же день, когда AFP опубликовало пресс-релиз с заявлением о нахождении виновников на территории России. Публично имена разумеется не озвучивались, но комиссар AFP Рис Кершоу заявил, что в скором времени ожидаются контакты с российскими силовиками.

Кроме того, в правительстве также было предложено рассмотреть законопроект, полностью запрещающий платежи бандам-вымогателям дабы, задушит финансовые стимулы, стоящие за большинством атак преступных групп.

План у австралийского правительства амбициозен, но ситуаций, когда правоохранительным органам удавалось взламывать самих хакеров достаточно немного.

Успехами могут похвастаться спецслужбы США после атак на Pipeline и Kaseya, когда была перехвачена инфраструктура хакеров Darkside и REvil.

Учитывая столь неоднозначное исчезновение и столь же удивительное возвращение REvil, теперь за брендом может стоять кто угодно и, прежде всего, последние владельцы, которые и помогли AFP состряпать обвинения в адрес российской стороны.

Словацкая инфосек компания ESET опубликовала отчет об угрозах APT-групп за второй триместр (с мая по август) 2022 года.

Весь отчет делится ровно на 5 (пять) частей:
- активность российских APT;
- активность китайских APT;
- активность иранских APT;
- активность северокорейских APT;
- компот заключение.

Исходя из изложенного мы, в свою очередь, можем предположить 3 (три) версии:
- во всех остальных странах, кроме вышеперечисленных, демократия и эльфы, высокие травы и заливные луга, пацифизм и пони;
- во всех остальных странах, кроме вышеперечисленных, отсутствуют подготовленные IT-специалисты, способные организовывать технические проникновения;
- бабка врет.

С учетом того, что упомянутый список стран чуть более чем полностью совпадает с обозначенной в свое время Бушем-младшим "Осью зла" (просто за 20 лет Ирак поменяли на Китай), то склоняемся в последнему варианту.

"Н" - независимое мнение.

Ресерчеры Trend Micro опубликовали отчет об уязвимости в macOS PackageKit Framework, которая может использоваться вредоносными приложениями для изменения защищенных частей файловой системы.

Компонент PackageKit используется для исталяции пакетов установщика ПО (файлы PKG).

Ошибка отслеживается как CVE-2022-32895 и является разновидностью более старой уязвимости CVE-2019-8561.

25 марта 2019 года Apple устранила ошибку, которая могла привести к повышению привилегий root, обходу подписи и, в конечном итоге, обходу защиты целостности системы Apple (SIP).

Однако после глубокого изучения фреймворка PackageKit ресерчерам удалось вновь ей воспользоваться. В итоге Apple вновь устранила эту уязвимость в macOS 13 (Ventura) уже как CVE-2022-32895 24 октября 2022 года.

CVE-2019-8561 злоупотребляет классической проблемой времени проверки до времени использования TOCTTOU, которая возникает при установке файла PKG, подписанного Apple.

Разработчик смог решить проблему внедрив ожидаемое свойство контрольной суммы подпути файла PKG через доверенный указатель XAR, который возвращается безопасным API «xar_open_digest_verify».

Затем вместо прямого чтения из inputFD реализовано использование экземпляра класса ObjC IASInputStream для чтения inputStream. Во время извлечения он одновременно обновляет дайджест inputStream.

После извлечения он проверяет, равна ли реальная контрольная сумма inputStream ожидаемому значению. Если это так, то установка продолжается, в противном случае - прерывается весь процесс.

Проигнорировавшие обновление ОС пользователи рискуют оказаться уязвимыми для повышения привилегий до суперпользователя, обхода подписи и SIP.

Уязвимость в решениях Aiphone открывает злоумышленникам доступ к управлению СКУД для обеспечения беспрепятственного прохода в целевое помещение.

Aiphone является одним из крупнейших мировых производителей систем безопасности и связи, включая аудио- и видеосистемы для защиты жилых и корпоративных зданий.

Ресерчеры Promon сообщили об уязвимости раскрытия информации CVE-2022-40903 в устройствах Aiphone серии GT-DMB, GT-DMB-N и GT-DMB-LVN (с версиями прошивки до 3.00) и GT-DB-VN (с версиями 2.00 или более ранними).

Проблема была выявлена в июне 2021 года и может позволить злоумышленнику легко взломать систему входа с помощью тега NFC.

Суть проблемы заключается в том, что система не имеет защиты от брута, позволяя злоумышленнику с доступом к сети и мобильным устройством с NFC перебрать все возможные четырехзначные комбинации кода для извлечения пароля администратора.

Как только пароль администратора становится известен, злоумышленник может использовать его для добавления нового тега NFC в систему для организации доступа в здание.

Учитывая, что уязвимые продукты Aiphone не хранят журналы доступа, целевая организация рискует остаться в неведении о каком-либо несанкционированном доступе.

Но главная проблема заключается в том, что уязвимость не устраняется с помощью обновления ПО, требуя полной замены оборудования.

10 ноября Aiphone опубликовала на своем веб-сайте уведомление об уязвимости, заявив, что модели устройств, выпущенные после 7 декабря 2021 года, исправлены.

Поставщик обнадежил клиентов, заявив, что не получал сообщений об уязвимости, используемой в реальных атаках.

Google все же обезжирили и заставили выплатить рекордные 391,5 млн. дол. для урегулирования споров с 40 штатами США за сбор данных о местоположении пользователей.

Рекордные они только для заголовка, ведь только за третий квартал общая выручка компании составила в размере 69,09 млрд. дол. США и чистая прибыль - 13,9 млрд. дол. США.

Согласно заявлению генпрокурора штата Орегон Эллена Розенблюма, техно-гигант вводил пользователей в заблуждение, заставляя их думать, что они отключили отслеживание в настройках своей учетной записи, однако на самом деле Google продолжала собирать информацию о местоположении.

Расследование последовало после отчета Associated Press за 2018 год, в котором утверждалось, что Google продолжала отслеживать местоположение пользователей на Android и iOS, даже после дезактивации функции в настройках аккаунта, что фактически нарушало условия политики конфиденциальности.

Кроме того, данные о местоположении, собранные Google, агрегировались с другой личной и поведенческой информацией в отношении пользователей для формирования более эффективного таргета.

Сама Google обвинила расследователей в использовании в основе анализа устаревших сведений и политик, отметив, что новое соглашение о конфиденциальности предоставляет пользователям дополнительную информацию при включении или отключении параметра, связанного с местоположением.

Как это было и ранее, Google пообещала все исправить и обеспечить упрощенные настройки для удаления данных о местоположении.

Не далеко от Google в вопросах конфиденциальности ушла и Apple, которая в скором времени также предстанет ответчиком в суде за игнорирование пользовательских настроек.

Два независимых разработчика приложений обнаружили, что Apple собирает данные обо всех своих пользователях, даже если они установили флажок «отключить общий доступ к аналитике устройств» в настройках App Store.

После чего было подано два коллективных иска против техно-гиганта в Калифорнии и Филадельфии соответственно.

This is nothing personal, it's just business.

Эксперты из центра GReAT Лаборатории Касперского представили ежегодный прогноз с ключевыми трендами APT-атак и значимыми событиями в инфосеке на 2023 год.

Коротко о том, что нас ждет:

1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.

В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.

2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.

В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.

Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.

3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.

Предвидеть появление очередного зловреда такого типа практически невозможно.

Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.

4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.

Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.

5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.

6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.

7. Для доставки вредоносного кода могут задействоваться средства SIGINT.

Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.

8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.

Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.

Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.

Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).

Приступ правды канала Secator продолжается. Сегодня будем расчехлять словацкую ESET.

Как и многие другие иностранные IT-компании в марте словаки объявили об уходе с российского рынка, в связи с чем их главный продукт - антивирус NOD32 - перестал продаваться на территории России.

Однако в отличие от англичан, которые уходят, не попрощавшись, словаки решили попрощаться, но не уходить.

И уже в апреле подали заявки в Роспатент на регистрацию нового товарного знака - PRO32. Сам антивирус в реестр российского ПО естественно, не включен.

А в июне запустили сайт - pro32[.]com, на котором начали продавать софт под новым именем от лица компании, которая ранее была их представителем в России и СНГ.

При этом до июня к домену были прикручены разные не имеющие к отношения инфосеку сайты (webarchive не даст соврать).

После того, как бизнес в России под «прикрышкой» налажен - можно опять приступать к яростному разоблачению деятельности российских АРТ.

Update: в комментах нас поправляют, что Pro32 взяли за основу технологии индийского производителя К7.

Ресерчеры Varonis выяснили, что уязвимость внедрения SQL-кода в Zendesk Explore могла позволить злоумышленнику украсть информацию об учетной записи клиента с включенным Explore.

Zendesk Explore — это служба аналитики и отчетности Zendesk, популярного решения для поддержки клиентов, предоставляющего ПО как услугу.

Успешная эксплуатация двух уязвимостей в Zendesk Explore открывала доступ к разговорам, комментариям, адресам электронной почты, заявкам и другой информации.

Для этого злоумышленник должен был сначала зарегистрироваться в Zendesk в качестве внешнего пользователя, а у учетки должна быть активирована Explore.

По умолчанию параметр отключен, хотя необходим для аналитики.

Анализируя продукты, Varonis обнаружили использование нескольких API-интерфейсов GraphQL. Один из типов объектов содержат несколько вложенных кодировок.

Дальнейшее исследование выявило наличие незашифрованного XML-документа, содержащего атрибуты имен, уязвимые для атаки путем внедрения кода SQL.

В итоге ресерчеры смогли извлечь список таблиц из экземпляра Zendesk RDS и продолжить эксфильтрацию всей информации, хранящейся в базе данных, включая адреса электронной почты пользователей, интересы и сделки из CRM, живые разговоры агентов, билеты, статьи справочного центра, и многое другое.

Копнув глубже, исследователи выявили уязвимость логического доступа, которая позволяла им красть данные из любой таблицы в RDS целевой учетной записи Zendesk без необходимости использования SQLi.

Доказательств или свидетельств компрометации какой-либо из учетных записей клиентов Zendesk Explore не получено, разработчик достаточно быстро решил проблему, и в Explore больше нет недостатка.

От клиентов при этом не требуется предпринимать никаких действий.

В популярном портале для разработчиков с открытым исходным кодом Backstage от Spotify исправлена критическая RCE-уязвимость.

Продукт достаточно популярный и используется многими крупными компаниями, такими как American Airlines, Splunk, Fidelity Investments, Epic Games, Netflix, DoorDash, Roku, Expedia и другими.

О проблеме сообщили исследователи Oxeye в рамках программы Spotify bug bounty.

Ошибка получила оценку CVSS 9,8 и ее можно использовать, запустив ранее обнаруженную уязвимость в сторонней библиотеке vm2, известную как Sandbreak или CVE-2022-36067, что в итоге позволяло злоумышленнику выйти из песочницы vm2 и выполнить произвольный код.

Бага затрагивает инструмент шаблонов ПО, предназначенного для создания разработчиками компонентов в Backstage.

В ходе анализа специалисты выполнили простой запрос хеша фавиконки Backstage в Shodan и обнаружили более 500 экземпляров Backstage, доступных в Интернете.

Кроме того, эксперты определили, что уязвимость может быть использована без аутентификации на многих экземплярах, так как Backstage был развернут по умолчанию без механизма авторизации, который разрешает гостевой доступ.

Угрозу локализовали, команда разработчиков Backstage оперативно исправила недостаток, выпустив версию 1.5.1. еще августе этого года.

Группа исследователей из Мичиганского университета, Пенсильванского университета и NASA выявила потенциально серьезную уязвимость PCspoof в сетевых технологиях, используемых в космических кораблях, самолетах и промышленных системах управления.

Уязвимость затрагивает Time-Triggered Ethernet (TTE) — сетевой протокол для киберфизических систем с высокими требованиями к безопасности и доступности, который реализует планирование времени для синхронизации и доставки сетевых пакетов через Ethernet.

TTE широко используется в космических и авиационных технологиях, поскольку функция синхронизации пакетов позволяет нескольким системам безопасно сосуществовать на одном и том же оборудовании внутри критически важных устройств. 

По мнению исследовательской, атака PCspooF нарушает синхронизацию между различными системами и позволяет сетевому трафику из одной системы взаимодействовать с другими системами на одном устройстве.

Атака PCspooF эмулирует сетевые коммутаторы, которые являются крупными контроллерами трафика в сетях TTE, отправляя поддельные сообщения синхронизации.

Обычно они предназначены для того, чтобы сетевые устройства работали по общему расписанию, позволяя наиболее важным устройствам быстро обмениваться данными.

Чтобы заставить коммутатор пересылать наше вредоносное сообщение, исследователи наложили на него электромагнитные помехи по кабелю Ethernet.

После начала атаки устройства TTE начнут время от времени терять синхронизацию и неоднократно переподключаться.

Сбои постепенно приведут к удалению или задержке срочных сообщений, в результате чего системы будут работать непредсказуемо, а иногда и катастрофически.

В качестве мер по смягчению ученые предложили произвести замену медного Ethernet оптоволоконным кабелем или установку оптических изоляторов между коммутаторами и ненадежными устройствами, что должно устранить риск электромагнитных помех. Другие варианты включают в себя изменения в схеме сети.

Для демонстрации своих выводов исследователи смоделировали реальный сценарий состыковки пилотируемого космического корабля.

Используя реальное аппаратное и программное обеспечение NASA, они показали, как маленькое вредоносное устройство на борту капсулы заставило ее отклониться от курса и создать угрозу аварии.

Технические детали доступны в этой исследовательской статье (PDF).

ФБР продолжает оправдываться и категорически отрицает использование шпионского ПО Pegasus.

На этот раз, как сообщает New York Times, ФБР было совсем близко к тому, чтобы задействовать приобретенное ими коммерческое шпионское NSO Group в расследованиях, но в последний момент отказалось от этой затеи в конце 2020 года после разразившегося скандала.

В прошлый раз американские силовики утверждали, что приобрели софт для научных целей.

А вот Греция и купила шпионское ПО Predator за 7 миллионов евро, и использовала ПО для преследования конкурирующих политических партий, а также журналистов и прокуроров, расследовавших коррупцию в правительстве.

В новых сообщениях греческой прессы рассказывается, как правительство Афин заплатило Intellexa 7 миллионов евро за доступ к платформе, а также дополнительные 150 000 евро за возможность подключения до 10 новых целей в ежемесячно.

На фоне греческого кейса европейский регулятор European Data Protection Supervisor намерен и вовсе запретить высокотехнологичное шпионское ПО, чего, конечно же, вряд ли удастся добиться, но подвинуть неугодных - получится.

Передел рынка коммерческого шпионажа продолжается, будем посмотреть.

Mozilla объявила о выпуске обновленной Firefox 107, в которой исправлено значительное количество уязвимостей.

В общей закрыто 19 CVE, девяти из них был присвоен рейтинг высокого степени серьезности.

К серьезным недостаткам относятся ошибка безопасности памяти и проблемы использования после освобождения, которые могут привести к раскрытию информации.

Кроме того, серьезная уязвимость обхода полноэкранных уведомлений приводит к спуфинговым атакам, сбоям в работе или RCE.

Проблемы средней степени серьезности могут привести к обходу системы безопасности, межсайтовой трассировке, выполнению кода, компрометации через загрузку файлов, утечке нажатий клавиш и атакам спуфинга.

Незначительные проблемы, исправленные в Firefox, связаны с исключениями безопасности и спуфингом.

Некоторые уязвимости затрагивают лишь Firefox для Android, в то время как другие влияют на все ОС на базе Unix.

Многие из баг в безопасности были также исправлены в Thunderbird с выпуском версии 102.5.

Несмотря на меньшую востребованность Firefox среди хакеров по сравнению с тем Chrome, его популярность среди пользователей по-прежнему делает заманчивой целью.

При этом ранее в этом году две критические уязвимости браузера CVE-2022-26485 и CVE-2022-26486 уже использовались в реальных атаках.

Исследователи Rapid7 выявили ряд уязвимостей безопасности, влияющих на продукты F5.

Rapid7 сообщили о выводах поставщику в середине августа и раскрыли детали после того, когда F5 выпустила бюллетени и исправления.

Двум RCE-уязвимостям высокой степени серьезности были присвоены идентификаторы CVE, а остальные проблемы описаны как методы обхода безопасности, которые F5 не посчитала ошибками.

Наиболее серьезной уязвимостью является CVE-2022-41622, представляющая проблему подделки межсайтовых запросов (CSRF) и затрагивающая продукты BIG-IP и BIG-IQ.

Эксплуатация может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить root-доступ к интерфейсу управления устройством, даже если этот интерфейс не подключен к Интернету.

Однако для эксплуатации требуется, чтобы злоумышленник имел некоторые знания о целевой сети, и ему необходимо убедить вошедшего в систему администратора посетить вредоносный веб-сайт, настроенный для использования CVE-2022-41622.

По мнению ресерчеров Rapid7, в случае эксплуатации уязвимость может поставить под угрозу всю систему.

Вторая уязвимость CVE-2022-41800 позволяет злоумышленнику с правами администратора выполнять произвольные команды оболочки через файлы спецификации RPM.

Кроме того, Rapid7 выявила несколько проблем с безопасностью, в том числе локальную эскалацию привилегий через неправильные разрешения сокетов Unix и два метода обхода SELinux.

Rapid7 полагает, что широкое использование этих уязвимостей маловероятно.

Тем не менее, клиенты F5 не должны игнорировать их, учитывая, что устройства BIG-IP, как известно, довольно часто становятся объектов атак.

Группа ученых из Канады и США представили подробности новой атаки Wi-Peep, в которой используются лазейки в протоколе WiFi 802.11 для локализации WiFi-устройств цели в заранее определенном пространстве.

Wi-Peep опрашивает устройства в Wi-Fi сети, используя новую схему измерения времени пролета для обнаружения этих устройств.

Wi-Peep работает без каких-либо аппаратных или программных модификаций на целевых устройствах и не требует доступа к физическому пространству, в котором они развернуты.

Атакующий подделывает маяки, предоставляя буферизованный трафик для всех клиентов, которые его запрашивают и раскрывают свой MAC-адрес.

Жертве отправляются поддельные кадры, а время прохождения ответа используется для локализации.

Атака может быть реализована с использованием портативного дрона DJI mini 2 с двумя легкими чипами Wi-Fi на борту: ESP8266 и ESP32.

Меньше чем сотню долларов атакующий сможет определить точное местоположение Wi-Fi камер или иных передающих устройств безопасности внутри интересующего периметра с точностью до метра.

Техническое описание представлено здесь - PDF.

​📦 BackBox. Penetration Testing Distribution.

BackBox Linux is a penetration testing and security assessment oriented Linux distribution providing a network and systems analysis toolkit.

🖖🏻 Приветствую тебя user_name.

• BackBox является отличной ОС для начинающих пентестеров и отлично подходит в качестве повседневного использования (благодаря оболочке XFCE). Если делать сравнение с Kali Linux, то BackBox проигрывает по многим пунктам, однако для первых шагов в #ИБ тебе будет этого достаточно.

• Спустя 2 года после публикации предыдущей версии, команда BackBox выпустила обновление, которое включае в себя апдейт системных компонентов с Ubuntu 20.04 до 22.04. Ядро Linux обновлено до выпуска 5.15. Обновлены версии входящих в состав инструментов и компоненты окружения рабочего стола: https://blog.backbox.org/2022/11/15/backbox-linux-8-released/

• Перед использованием, рекомендую ознакомиться с документацией: https://wiki.backbox.org

• С сайта доступны для скачивания два варианта — ISO и Torrent: https://www.backbox.org/download/

• Важный плюс — все инструменты очень удобно сгруппированы в меню. Даже если ты не знаешь ни одного инструмента, например, для атак на Wi-Fi, ты с легкостью сможешь найти их. Существует режим — Anonymous mode – весь системный трафик пропускается через #TOR. Скрипт запуска меняет MAC-адрес системы и hostname, также при выключении режима все временные файлы удаляются с помощью интегрированного пакета BleachBit.

• Описание других ОС:
- Parrot OS • CSI Linux • Kali Linux • MOFO Linux • Whonix • Obscurix • OS Tails • Kodachi • Tsurugi •

@S.E. #BackBox #ИБ

Ведущие инфосек-компании подогнали отчеты об активности АРТ.

Ресерчеры Лаборатории Касперского в новом отчете сообщили о результатах своих наблюдений за тем, как Lazarus Group использовала бэкдор DTrack в последние несколько лет с момента его первоначального обнаружения в 2019 году.

Бэкдор DTrack продолжает активно использоваться группой Lazarus, претерпев изменения в способе упаковки вредоносного ПО, что указывает на его задействовании АРТ в качестве важного актива в своем арсенале.

При анализе виктимологии становится ясно, что операции АРТ распространились также на Европу и Латинскую Америку.

Китайская Anheng Hunting Labs опубликовала отчет о новых атаках XDSpy в отношении российских организаций, в том числе Министерства обороны.

APT была впервые обнаружена в 2020 году Национальным центром реагирования Республики Беларусь и исследователями ESET, однако до настоящего времени связать ее с каким-либо конкретным правительством затруднительно, несмотря на то, что субъект активен как минимум с 2011 года.

Китайская QiAnXin представила в своем отчете результаты анализа новых недавних атаках 2021 года вьетнамской OceanLotus, нацеленных на китайские организации.

В отчете подробно описывается использование группой трех 0-day: одна - в неназванном антивирусном решении и две - в неназванной системе управления рабочими станциями.

QiAnXin также подтвердила ранее представленные выводы Weibu, согласно которым OceanLotus использовала устройства IoT в качестве плацдарма для своих атак.

Причем Weibu  смогли четко увязать АРТ с ботнетом Torii.

Исследовательская группа Symantec представила отчет о деятельности APT-группы, которую она отслеживает как Billbug (ака Thrip или Lotus Blossom).

По данным ресерчеров, АРТ причастна к компрометации как минимум одного центра сертификации (CA), а также нескольких правительственных учреждений в азиатской стране в рамках кампании, которая продолжается как минимум с марта 2022 года.

При этом нацеливание на центр сертификации примечательно тем, что если бы актору удалось получить доступ к сертификатам, то потенциально АРТ могла бы использовать их для подписи вредоносного ПО и избегать обнаружения в системах жертв.

Однако Symantec не обнаружила никаких доказательств того, что у них получилось добраться до них.