Словацкая инфосек компания ESET опубликовала отчет об угрозах APT-групп за второй триместр (с мая по август) 2022 года.

Весь отчет делится ровно на 5 (пять) частей:
- активность российских APT;
- активность китайских APT;
- активность иранских APT;
- активность северокорейских APT;
- компот заключение.

Исходя из изложенного мы, в свою очередь, можем предположить 3 (три) версии:
- во всех остальных странах, кроме вышеперечисленных, демократия и эльфы, высокие травы и заливные луга, пацифизм и пони;
- во всех остальных странах, кроме вышеперечисленных, отсутствуют подготовленные IT-специалисты, способные организовывать технические проникновения;
- бабка врет.

С учетом того, что упомянутый список стран чуть более чем полностью совпадает с обозначенной в свое время Бушем-младшим "Осью зла" (просто за 20 лет Ирак поменяли на Китай), то склоняемся в последнему варианту.

"Н" - независимое мнение.

Ресерчеры Trend Micro опубликовали отчет об уязвимости в macOS PackageKit Framework, которая может использоваться вредоносными приложениями для изменения защищенных частей файловой системы.

Компонент PackageKit используется для исталяции пакетов установщика ПО (файлы PKG).

Ошибка отслеживается как CVE-2022-32895 и является разновидностью более старой уязвимости CVE-2019-8561.

25 марта 2019 года Apple устранила ошибку, которая могла привести к повышению привилегий root, обходу подписи и, в конечном итоге, обходу защиты целостности системы Apple (SIP).

Однако после глубокого изучения фреймворка PackageKit ресерчерам удалось вновь ей воспользоваться. В итоге Apple вновь устранила эту уязвимость в macOS 13 (Ventura) уже как CVE-2022-32895 24 октября 2022 года.

CVE-2019-8561 злоупотребляет классической проблемой времени проверки до времени использования TOCTTOU, которая возникает при установке файла PKG, подписанного Apple.

Разработчик смог решить проблему внедрив ожидаемое свойство контрольной суммы подпути файла PKG через доверенный указатель XAR, который возвращается безопасным API «xar_open_digest_verify».

Затем вместо прямого чтения из inputFD реализовано использование экземпляра класса ObjC IASInputStream для чтения inputStream. Во время извлечения он одновременно обновляет дайджест inputStream.

После извлечения он проверяет, равна ли реальная контрольная сумма inputStream ожидаемому значению. Если это так, то установка продолжается, в противном случае - прерывается весь процесс.

Проигнорировавшие обновление ОС пользователи рискуют оказаться уязвимыми для повышения привилегий до суперпользователя, обхода подписи и SIP.

Уязвимость в решениях Aiphone открывает злоумышленникам доступ к управлению СКУД для обеспечения беспрепятственного прохода в целевое помещение.

Aiphone является одним из крупнейших мировых производителей систем безопасности и связи, включая аудио- и видеосистемы для защиты жилых и корпоративных зданий.

Ресерчеры Promon сообщили об уязвимости раскрытия информации CVE-2022-40903 в устройствах Aiphone серии GT-DMB, GT-DMB-N и GT-DMB-LVN (с версиями прошивки до 3.00) и GT-DB-VN (с версиями 2.00 или более ранними).

Проблема была выявлена в июне 2021 года и может позволить злоумышленнику легко взломать систему входа с помощью тега NFC.

Суть проблемы заключается в том, что система не имеет защиты от брута, позволяя злоумышленнику с доступом к сети и мобильным устройством с NFC перебрать все возможные четырехзначные комбинации кода для извлечения пароля администратора.

Как только пароль администратора становится известен, злоумышленник может использовать его для добавления нового тега NFC в систему для организации доступа в здание.

Учитывая, что уязвимые продукты Aiphone не хранят журналы доступа, целевая организация рискует остаться в неведении о каком-либо несанкционированном доступе.

Но главная проблема заключается в том, что уязвимость не устраняется с помощью обновления ПО, требуя полной замены оборудования.

10 ноября Aiphone опубликовала на своем веб-сайте уведомление об уязвимости, заявив, что модели устройств, выпущенные после 7 декабря 2021 года, исправлены.

Поставщик обнадежил клиентов, заявив, что не получал сообщений об уязвимости, используемой в реальных атаках.

Google все же обезжирили и заставили выплатить рекордные 391,5 млн. дол. для урегулирования споров с 40 штатами США за сбор данных о местоположении пользователей.

Рекордные они только для заголовка, ведь только за третий квартал общая выручка компании составила в размере 69,09 млрд. дол. США и чистая прибыль - 13,9 млрд. дол. США.

Согласно заявлению генпрокурора штата Орегон Эллена Розенблюма, техно-гигант вводил пользователей в заблуждение, заставляя их думать, что они отключили отслеживание в настройках своей учетной записи, однако на самом деле Google продолжала собирать информацию о местоположении.

Расследование последовало после отчета Associated Press за 2018 год, в котором утверждалось, что Google продолжала отслеживать местоположение пользователей на Android и iOS, даже после дезактивации функции в настройках аккаунта, что фактически нарушало условия политики конфиденциальности.

Кроме того, данные о местоположении, собранные Google, агрегировались с другой личной и поведенческой информацией в отношении пользователей для формирования более эффективного таргета.

Сама Google обвинила расследователей в использовании в основе анализа устаревших сведений и политик, отметив, что новое соглашение о конфиденциальности предоставляет пользователям дополнительную информацию при включении или отключении параметра, связанного с местоположением.

Как это было и ранее, Google пообещала все исправить и обеспечить упрощенные настройки для удаления данных о местоположении.

Не далеко от Google в вопросах конфиденциальности ушла и Apple, которая в скором времени также предстанет ответчиком в суде за игнорирование пользовательских настроек.

Два независимых разработчика приложений обнаружили, что Apple собирает данные обо всех своих пользователях, даже если они установили флажок «отключить общий доступ к аналитике устройств» в настройках App Store.

После чего было подано два коллективных иска против техно-гиганта в Калифорнии и Филадельфии соответственно.

This is nothing personal, it's just business.

Эксперты из центра GReAT Лаборатории Касперского представили ежегодный прогноз с ключевыми трендами APT-атак и значимыми событиями в инфосеке на 2023 год.

Коротко о том, что нас ждет:

1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.

В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.

2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.

В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.

Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.

3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.

Предвидеть появление очередного зловреда такого типа практически невозможно.

Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.

4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.

Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.

5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.

6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.

7. Для доставки вредоносного кода могут задействоваться средства SIGINT.

Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.

8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.

Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.

Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.

Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).

Приступ правды канала Secator продолжается. Сегодня будем расчехлять словацкую ESET.

Как и многие другие иностранные IT-компании в марте словаки объявили об уходе с российского рынка, в связи с чем их главный продукт - антивирус NOD32 - перестал продаваться на территории России.

Однако в отличие от англичан, которые уходят, не попрощавшись, словаки решили попрощаться, но не уходить.

И уже в апреле подали заявки в Роспатент на регистрацию нового товарного знака - PRO32. Сам антивирус в реестр российского ПО естественно, не включен.

А в июне запустили сайт - pro32[.]com, на котором начали продавать софт под новым именем от лица компании, которая ранее была их представителем в России и СНГ.

При этом до июня к домену были прикручены разные не имеющие к отношения инфосеку сайты (webarchive не даст соврать).

После того, как бизнес в России под «прикрышкой» налажен - можно опять приступать к яростному разоблачению деятельности российских АРТ.

Update: в комментах нас поправляют, что Pro32 взяли за основу технологии индийского производителя К7.

Ресерчеры Varonis выяснили, что уязвимость внедрения SQL-кода в Zendesk Explore могла позволить злоумышленнику украсть информацию об учетной записи клиента с включенным Explore.

Zendesk Explore — это служба аналитики и отчетности Zendesk, популярного решения для поддержки клиентов, предоставляющего ПО как услугу.

Успешная эксплуатация двух уязвимостей в Zendesk Explore открывала доступ к разговорам, комментариям, адресам электронной почты, заявкам и другой информации.

Для этого злоумышленник должен был сначала зарегистрироваться в Zendesk в качестве внешнего пользователя, а у учетки должна быть активирована Explore.

По умолчанию параметр отключен, хотя необходим для аналитики.

Анализируя продукты, Varonis обнаружили использование нескольких API-интерфейсов GraphQL. Один из типов объектов содержат несколько вложенных кодировок.

Дальнейшее исследование выявило наличие незашифрованного XML-документа, содержащего атрибуты имен, уязвимые для атаки путем внедрения кода SQL.

В итоге ресерчеры смогли извлечь список таблиц из экземпляра Zendesk RDS и продолжить эксфильтрацию всей информации, хранящейся в базе данных, включая адреса электронной почты пользователей, интересы и сделки из CRM, живые разговоры агентов, билеты, статьи справочного центра, и многое другое.

Копнув глубже, исследователи выявили уязвимость логического доступа, которая позволяла им красть данные из любой таблицы в RDS целевой учетной записи Zendesk без необходимости использования SQLi.

Доказательств или свидетельств компрометации какой-либо из учетных записей клиентов Zendesk Explore не получено, разработчик достаточно быстро решил проблему, и в Explore больше нет недостатка.

От клиентов при этом не требуется предпринимать никаких действий.

В популярном портале для разработчиков с открытым исходным кодом Backstage от Spotify исправлена критическая RCE-уязвимость.

Продукт достаточно популярный и используется многими крупными компаниями, такими как American Airlines, Splunk, Fidelity Investments, Epic Games, Netflix, DoorDash, Roku, Expedia и другими.

О проблеме сообщили исследователи Oxeye в рамках программы Spotify bug bounty.

Ошибка получила оценку CVSS 9,8 и ее можно использовать, запустив ранее обнаруженную уязвимость в сторонней библиотеке vm2, известную как Sandbreak или CVE-2022-36067, что в итоге позволяло злоумышленнику выйти из песочницы vm2 и выполнить произвольный код.

Бага затрагивает инструмент шаблонов ПО, предназначенного для создания разработчиками компонентов в Backstage.

В ходе анализа специалисты выполнили простой запрос хеша фавиконки Backstage в Shodan и обнаружили более 500 экземпляров Backstage, доступных в Интернете.

Кроме того, эксперты определили, что уязвимость может быть использована без аутентификации на многих экземплярах, так как Backstage был развернут по умолчанию без механизма авторизации, который разрешает гостевой доступ.

Угрозу локализовали, команда разработчиков Backstage оперативно исправила недостаток, выпустив версию 1.5.1. еще августе этого года.

Группа исследователей из Мичиганского университета, Пенсильванского университета и NASA выявила потенциально серьезную уязвимость PCspoof в сетевых технологиях, используемых в космических кораблях, самолетах и промышленных системах управления.

Уязвимость затрагивает Time-Triggered Ethernet (TTE) — сетевой протокол для киберфизических систем с высокими требованиями к безопасности и доступности, который реализует планирование времени для синхронизации и доставки сетевых пакетов через Ethernet.

TTE широко используется в космических и авиационных технологиях, поскольку функция синхронизации пакетов позволяет нескольким системам безопасно сосуществовать на одном и том же оборудовании внутри критически важных устройств. 

По мнению исследовательской, атака PCspooF нарушает синхронизацию между различными системами и позволяет сетевому трафику из одной системы взаимодействовать с другими системами на одном устройстве.

Атака PCspooF эмулирует сетевые коммутаторы, которые являются крупными контроллерами трафика в сетях TTE, отправляя поддельные сообщения синхронизации.

Обычно они предназначены для того, чтобы сетевые устройства работали по общему расписанию, позволяя наиболее важным устройствам быстро обмениваться данными.

Чтобы заставить коммутатор пересылать наше вредоносное сообщение, исследователи наложили на него электромагнитные помехи по кабелю Ethernet.

После начала атаки устройства TTE начнут время от времени терять синхронизацию и неоднократно переподключаться.

Сбои постепенно приведут к удалению или задержке срочных сообщений, в результате чего системы будут работать непредсказуемо, а иногда и катастрофически.

В качестве мер по смягчению ученые предложили произвести замену медного Ethernet оптоволоконным кабелем или установку оптических изоляторов между коммутаторами и ненадежными устройствами, что должно устранить риск электромагнитных помех. Другие варианты включают в себя изменения в схеме сети.

Для демонстрации своих выводов исследователи смоделировали реальный сценарий состыковки пилотируемого космического корабля.

Используя реальное аппаратное и программное обеспечение NASA, они показали, как маленькое вредоносное устройство на борту капсулы заставило ее отклониться от курса и создать угрозу аварии.

Технические детали доступны в этой исследовательской статье (PDF).

ФБР продолжает оправдываться и категорически отрицает использование шпионского ПО Pegasus.

На этот раз, как сообщает New York Times, ФБР было совсем близко к тому, чтобы задействовать приобретенное ими коммерческое шпионское NSO Group в расследованиях, но в последний момент отказалось от этой затеи в конце 2020 года после разразившегося скандала.

В прошлый раз американские силовики утверждали, что приобрели софт для научных целей.

А вот Греция и купила шпионское ПО Predator за 7 миллионов евро, и использовала ПО для преследования конкурирующих политических партий, а также журналистов и прокуроров, расследовавших коррупцию в правительстве.

В новых сообщениях греческой прессы рассказывается, как правительство Афин заплатило Intellexa 7 миллионов евро за доступ к платформе, а также дополнительные 150 000 евро за возможность подключения до 10 новых целей в ежемесячно.

На фоне греческого кейса европейский регулятор European Data Protection Supervisor намерен и вовсе запретить высокотехнологичное шпионское ПО, чего, конечно же, вряд ли удастся добиться, но подвинуть неугодных - получится.

Передел рынка коммерческого шпионажа продолжается, будем посмотреть.

Mozilla объявила о выпуске обновленной Firefox 107, в которой исправлено значительное количество уязвимостей.

В общей закрыто 19 CVE, девяти из них был присвоен рейтинг высокого степени серьезности.

К серьезным недостаткам относятся ошибка безопасности памяти и проблемы использования после освобождения, которые могут привести к раскрытию информации.

Кроме того, серьезная уязвимость обхода полноэкранных уведомлений приводит к спуфинговым атакам, сбоям в работе или RCE.

Проблемы средней степени серьезности могут привести к обходу системы безопасности, межсайтовой трассировке, выполнению кода, компрометации через загрузку файлов, утечке нажатий клавиш и атакам спуфинга.

Незначительные проблемы, исправленные в Firefox, связаны с исключениями безопасности и спуфингом.

Некоторые уязвимости затрагивают лишь Firefox для Android, в то время как другие влияют на все ОС на базе Unix.

Многие из баг в безопасности были также исправлены в Thunderbird с выпуском версии 102.5.

Несмотря на меньшую востребованность Firefox среди хакеров по сравнению с тем Chrome, его популярность среди пользователей по-прежнему делает заманчивой целью.

При этом ранее в этом году две критические уязвимости браузера CVE-2022-26485 и CVE-2022-26486 уже использовались в реальных атаках.

Исследователи Rapid7 выявили ряд уязвимостей безопасности, влияющих на продукты F5.

Rapid7 сообщили о выводах поставщику в середине августа и раскрыли детали после того, когда F5 выпустила бюллетени и исправления.

Двум RCE-уязвимостям высокой степени серьезности были присвоены идентификаторы CVE, а остальные проблемы описаны как методы обхода безопасности, которые F5 не посчитала ошибками.

Наиболее серьезной уязвимостью является CVE-2022-41622, представляющая проблему подделки межсайтовых запросов (CSRF) и затрагивающая продукты BIG-IP и BIG-IQ.

Эксплуатация может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить root-доступ к интерфейсу управления устройством, даже если этот интерфейс не подключен к Интернету.

Однако для эксплуатации требуется, чтобы злоумышленник имел некоторые знания о целевой сети, и ему необходимо убедить вошедшего в систему администратора посетить вредоносный веб-сайт, настроенный для использования CVE-2022-41622.

По мнению ресерчеров Rapid7, в случае эксплуатации уязвимость может поставить под угрозу всю систему.

Вторая уязвимость CVE-2022-41800 позволяет злоумышленнику с правами администратора выполнять произвольные команды оболочки через файлы спецификации RPM.

Кроме того, Rapid7 выявила несколько проблем с безопасностью, в том числе локальную эскалацию привилегий через неправильные разрешения сокетов Unix и два метода обхода SELinux.

Rapid7 полагает, что широкое использование этих уязвимостей маловероятно.

Тем не менее, клиенты F5 не должны игнорировать их, учитывая, что устройства BIG-IP, как известно, довольно часто становятся объектов атак.

Группа ученых из Канады и США представили подробности новой атаки Wi-Peep, в которой используются лазейки в протоколе WiFi 802.11 для локализации WiFi-устройств цели в заранее определенном пространстве.

Wi-Peep опрашивает устройства в Wi-Fi сети, используя новую схему измерения времени пролета для обнаружения этих устройств.

Wi-Peep работает без каких-либо аппаратных или программных модификаций на целевых устройствах и не требует доступа к физическому пространству, в котором они развернуты.

Атакующий подделывает маяки, предоставляя буферизованный трафик для всех клиентов, которые его запрашивают и раскрывают свой MAC-адрес.

Жертве отправляются поддельные кадры, а время прохождения ответа используется для локализации.

Атака может быть реализована с использованием портативного дрона DJI mini 2 с двумя легкими чипами Wi-Fi на борту: ESP8266 и ESP32.

Меньше чем сотню долларов атакующий сможет определить точное местоположение Wi-Fi камер или иных передающих устройств безопасности внутри интересующего периметра с точностью до метра.

Техническое описание представлено здесь - PDF.

​📦 BackBox. Penetration Testing Distribution.

BackBox Linux is a penetration testing and security assessment oriented Linux distribution providing a network and systems analysis toolkit.

🖖🏻 Приветствую тебя user_name.

• BackBox является отличной ОС для начинающих пентестеров и отлично подходит в качестве повседневного использования (благодаря оболочке XFCE). Если делать сравнение с Kali Linux, то BackBox проигрывает по многим пунктам, однако для первых шагов в #ИБ тебе будет этого достаточно.

• Спустя 2 года после публикации предыдущей версии, команда BackBox выпустила обновление, которое включае в себя апдейт системных компонентов с Ubuntu 20.04 до 22.04. Ядро Linux обновлено до выпуска 5.15. Обновлены версии входящих в состав инструментов и компоненты окружения рабочего стола: https://blog.backbox.org/2022/11/15/backbox-linux-8-released/

• Перед использованием, рекомендую ознакомиться с документацией: https://wiki.backbox.org

• С сайта доступны для скачивания два варианта — ISO и Torrent: https://www.backbox.org/download/

• Важный плюс — все инструменты очень удобно сгруппированы в меню. Даже если ты не знаешь ни одного инструмента, например, для атак на Wi-Fi, ты с легкостью сможешь найти их. Существует режим — Anonymous mode – весь системный трафик пропускается через #TOR. Скрипт запуска меняет MAC-адрес системы и hostname, также при выключении режима все временные файлы удаляются с помощью интегрированного пакета BleachBit.

• Описание других ОС:
- Parrot OS • CSI Linux • Kali Linux • MOFO Linux • Whonix • Obscurix • OS Tails • Kodachi • Tsurugi •

@S.E. #BackBox #ИБ

Ведущие инфосек-компании подогнали отчеты об активности АРТ.

Ресерчеры Лаборатории Касперского в новом отчете сообщили о результатах своих наблюдений за тем, как Lazarus Group использовала бэкдор DTrack в последние несколько лет с момента его первоначального обнаружения в 2019 году.

Бэкдор DTrack продолжает активно использоваться группой Lazarus, претерпев изменения в способе упаковки вредоносного ПО, что указывает на его задействовании АРТ в качестве важного актива в своем арсенале.

При анализе виктимологии становится ясно, что операции АРТ распространились также на Европу и Латинскую Америку.

Китайская Anheng Hunting Labs опубликовала отчет о новых атаках XDSpy в отношении российских организаций, в том числе Министерства обороны.

APT была впервые обнаружена в 2020 году Национальным центром реагирования Республики Беларусь и исследователями ESET, однако до настоящего времени связать ее с каким-либо конкретным правительством затруднительно, несмотря на то, что субъект активен как минимум с 2011 года.

Китайская QiAnXin представила в своем отчете результаты анализа новых недавних атаках 2021 года вьетнамской OceanLotus, нацеленных на китайские организации.

В отчете подробно описывается использование группой трех 0-day: одна - в неназванном антивирусном решении и две - в неназванной системе управления рабочими станциями.

QiAnXin также подтвердила ранее представленные выводы Weibu, согласно которым OceanLotus использовала устройства IoT в качестве плацдарма для своих атак.

Причем Weibu  смогли четко увязать АРТ с ботнетом Torii.

Исследовательская группа Symantec представила отчет о деятельности APT-группы, которую она отслеживает как Billbug (ака Thrip или Lotus Blossom).

По данным ресерчеров, АРТ причастна к компрометации как минимум одного центра сертификации (CA), а также нескольких правительственных учреждений в азиатской стране в рамках кампании, которая продолжается как минимум с марта 2022 года.

При этом нацеливание на центр сертификации примечательно тем, что если бы актору удалось получить доступ к сертификатам, то потенциально АРТ могла бы использовать их для подписи вредоносного ПО и избегать обнаружения в системах жертв.

Однако Symantec не обнаружила никаких доказательств того, что у них получилось добраться до них.

Сам по себе факт ареста в Европе украинских киберпреступников не вызвал бы нашего интереса, если бы не одно но.

По данным коллег, арестованный в Швейцарии лидер JabberZeus 40-летний гражданин Украины Вячеслав Пенчуков был по совместительству и одним из менеджеров Maze и Egregor ransomware (по факту это одно и тоже, но только перелицованное).

И как мы помним, Egregor прекратил свое существование после того, как на Украине были арестованы несколько его участников.

Арест Пенчукова лишний раз подтверждает, что обе ransomware-группы, которые были самыми крупными по результатам 2020 года (Maze даже создавала целый картель), корнями уходят на Украину.

Поэтому русскоязычность хакерской группы далеко не всегда означает, что она связана с Россией.

Ресерчер Marcin Noga (ака Icewall) из Cisco Talos обнаружил уязвимость, связанную с двойным освобождением атрибута класса в Microsoft Office Excel.

Ошибку TALOS-2022-1591 выявили 24 августа 2022 года, ей был присвоен CVE-2022-41106 и рейтинг 7.8 по CVSS 3.0.

Уязвимость позволяет злоумышленнику с использованием специально созданного искаженного файла добиться выполнения произвольного кода.

После анализа и подтверждения 08 ноября Microsoft выпустила исправления.

Пользователям рекомендуется как можно скорее обновить следующие уязвимые версии Microsoft Office Excel: 2019 x86 - версия 2207, сборка 15427.20210 и 365 - версия 2202, сборка 14931.20660.

Кстати, команда Cisco Talos 15 ноября 2022 года зарезервировала 3 позиции для 0-day, обнаруженных в решениях VMware (TALOS-2022-1658) и Apple (TALOS-2022-1660 и ТАЛОС-2022-1659).

Днем ранее 7 аналогичных ошибок (TALOS-2022-1651 - TALOS-2022-1657) попали в отчеты ресерчеров и затрагивают OpenImageIO.

Сейчас над отчетами работают разработчики и производители, так что в ближайшей перспективе, вероятно, ожидаются экстренные исправления для вновь обнаруженных критических уязвимостей.

Будем посмотреть.

Немного новостей с полей ransomware.

CISA, ФБР и HHS опубликовали совместный отчет в отношении группировки Hive.

По данным американских спецслужб, по состоянию на ноябрь 2022 года жертвами вымогателей стали жертвами более чем 1300 компаний по всему миру, которые заплатили хакерам в совокупности около 100 млн. дол. в качестве выкупа.

В списке жертв широкий спектр организаций из самых разных секторов критической инфраструктуры: госучреждения, связь и IT, здравоохранение и промышленность.

При этом сумма выкупа может оказаться выше заявленной, если учитывать высокую латентность ransomware-инцидентов.

Microsoft в своем отчете сообщают о новом субъекте под условным именованием DEV-0569, который , по данным ресерчеров, является одним из операторов недавно появившейся Royal ransomware.

Актор реализуют развертывание развертывание ransomware в сетях «престижных» организациях, которые заражаются с помощью вредоносной рекламы и фишинговых схем.

Исследователи  AhnLab и Symantec, обнаружили и изучили новый штамм ransomware под названием Dagon Locker, активно распространяемый в дикой природе.

В настоящее время команда Dagon еще не запустила DLS, и не удаляет теневые копии томов, что позволяет восстановить некоторые зашифрованные данные.

При этом, по оценкам ресерчеров, код Dagon имеет большую схожесть на код вымогателей MountLocker и Quantum.

BlackBerry представила отчет и указала на появление новой программы-вымогателе ARCrypter.

Именно данный штамм использовался в атаках на Колумбийский национальный институт по надзору за пищевыми продуктами и лекарствами в прошлом месяце и на Чилийскую национальную службу защиты прав потребителей в августе.

BlackBerry также предупреждает, что ARCrypter в настоящее время расширяет свою деятельность за пределы Латинской Америки и теперь нацелен на различные организации по всему миру, включая Китай, Канаду, Германию, США и Францию.

Хотя субъект утверждает, что крадет данные во время своих атак, у ARCrypter в настоящее время нет сайта DLS, а средний чек выкупа составляет 5 тыс. дол.