SecAtor
41.5K subscribers
804 photos
88 videos
12 files
7.75K links
Руки-ножницы российского инфосека.

Для связи - mschniperson@mailfence.com
Download Telegram
Предлагаем ознакомиться с самыми интересными проектами в Telegram в сфере информационной безопасности:

🤖 Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом.

👨🏻‍💻 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh — организовывает на своем канале бесплатные онлайн-конференции по безопасности и анонимности (CyberWeekend 7 - 11 декабря).

🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.
Специалисты из AquaSec обнаружили новое вредоносное ПО на основе Go, используемое в кампании, нацеленной на серверы Redis. Злоумышленники используют критическую уязвимость, отслеживаемую как CVE-2022-0543.

Redis (Remote Dictionary Server)
— это резидентная система управления базами данных класса NoSQL с открытым исходным кодом. Так как малварь написана на Golang и предназначена для атак на серверы Redis, она получила название Redigo.

Уязвимость CVE-2022-0543 затрагивает дистрибутивы Debian и Linux, имеет рейтинг серьезности 10 баллов и может быть использована удаленным злоумышленником для реализации сценариев Lua с выходом из песочницы и выполнением произвольного кода на целевой машине.

Еще в марте 2022 года бага была исправлена и добавлена CISA в каталог известных эксплуатируемых уязвимостей. Однако злоумышленники продолжают использовать ее в атаках из-за общедоступности экспериментального кода эксплойта .

Обычно цепочка атак начинается со сканирования серверов Redis, открытых портов 6379 в Интернете, а после обнаружения злоумышленники пытаются подключиться и выполнить следующие команды Redis:

- INFO — проверка версии Redis, чтобы определить, уязвим ли сервер для CVE-2022-0543;
- SLAVEOF — создание копии атакующего сервера;
- REPLCONF — настройка подключения атакующего сервера к вновь созданной реплике;
- PSYNC — инициализация потока репликации и загрузка библиотеки exp_lin.so на диск сервера;
- MODULE LOAD — модуль загрузки из динамической библиотеки, позволяющий использовать CVE-2022-0543 и выполнять произвольные команды;
- SLAVEOF NO ONE — отключение репликации и превращение уязвимого сервера Redis в мастер.

Используя возможности выполнения команд внедренного бэкдора, злоумышленники собирают информацию об оборудовании хоста, а затем загружают Redigo (redis-1.2-SNAPSHOT).

Вредоносная программа запускается после повышения привилегий и далее злоумышленники имитируют обычную связь Redis через порт 6379, чтобы избежать обнаружения, пытаясь скрыть трафик от сервера управления и контроля Redigo.

По мнению специалистов, злоумышленники используют вредоносное ПО Redigo для заражения Redis и добавления его в ботнет, используемый для DDoS-атак, запуска майнеров криптовалюты или кражи данных с серверов.

В целях обнаружения малвари AquaSec предоставили индикаторы компрометации (IOC).
Google выпустила экстренное обновление безопасности для браузера Chrome с исправлением 9-ой 0-day за этот год, которая используется в дикой природе.

Google
присвоила ошибке идентификатор CVE-2022-4262 и описала проблему его как путаницу типов в V8, движке JavaScript Chrome.

Уязвимость была обнаружена Клементом Лесинем из группы анализа угроз Google (TAG), который сообщил о ней 29 ноября 2022 года, после чего в пятницу на прошлой неделе компания выпустила внеочередное обновление.

Злоумышленники могут использовать уязвимость для осуществления доступа к памяти за пределами допустимого диапазона, что может привести к сбою и RCE.

Согласно базе NIST, уязвимость позволяет удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу.

Google признала активное использование уязвимости, но не стала делиться дополнительной информацией.

Пользователям Chrome рекомендуется выполнить обновление до версии 108.0.5359.94 для macOS и Linux и 108.0.5359.94/.95 для Windows.

Аналогичным образом накатить обновления стоит и пользователям Apple, которая также выпустила iOS 16.1.2 с обновлениями безопасности. Традиционно, технические подробности пока не приводятся, но, вероятно, уязвимость имеет высокий уровень серьезности.
Qualys Threat Research продемонстрировали, как связать одну уязвимость в Linux с двумя другими, казалось бы, безобидными недостатками, чтобы получить привилегии суперпользователя в уязвимой системе.

Новая уязвимость отслеживается как CVE-2022-3328 и затрагивает snap-confine в Snapd, разработанный Canonical инструмент, используемый для создания среды выполнения для приложений ПО Snap.

Программа по умолчанию присутствует в Ubuntu, разработчики которой описали CVE-2022-3328 как серьезную уязвимость, которую можно использовать для локального повышения привилегий и RCE.

Исследователи Qualys смогли скомбинировать CVE-2022-3328 с двумя недавно обнаруженными проблемами, затрагивающими Multipathd, для организации мощной атаки

Multipathd — это демон, отвечающий за проверку ошибочных путей, который работает от имени пользователя root в стандартной установке Ubuntu и других дистрибутивов.

На Multipathd влияет проблема обхода авторизации, которую может использовать непривилегированный пользователь для выполнения привилегированных команд в Multipathd (CVE-2022-41974), и атака по символической ссылке (CVE-2022-41973), которая может использоваться для RCE.

Объединение уязвимости Snapd с двумя недостатками Multipathd может позволить любому непривилегированному пользователю получить привилегии root на уязвимом устройстве.

В итоге Qualys разработали эксплойт, позволяющий получить полные привилегии суперпользователя при установке Ubuntu по умолчанию.

Несмотря на то, что уязвимость нельзя использовать удаленно, ресерчеры предупреждают, что ей может воспользоваться непривилегированный пользователь.

Qualys предоставили рекомендации с подробной технической информацией и решили не выпускать PoC, учитывая всю серьезность комбинации.
Nozomi Networks обнаружили три уязвимости в ПО инженерной рабочей станции GX Works3 производства Mitsubishi Electric, которые могут быть использованы для взлома систем безопасности.

GX Works3 — это ПО для настройки, предоставляемое Mitsubishi Electric для своих программируемых логических контроллеров (ПЛК) MELSEC iQ-F и iQ-R.

CVE-2022-29831, CVE-2022-29832 и CVE-2022-29833 могут позволить злоумышленнику получить информацию из файлов проекта GX Works3 для компрометации подключенных модулей ЦП безопасности.

Файлы проекта для этих модулей зашифрованы, и для их открытия требуется имя пользователя и пароль.

Однако Nozomi выявили проблемы, связанные с жестко запрограммированным паролем, хранилищем в виде открытого текста и недостаточной защитой учетных данных, которые раскрывают эти учетные данные и другую конфиденциальную информацию.

Злоумышленник может получить файл проекта с неправильно настроенного файлового сервера, с общего компьютера или путем перехвата незащищенных сообщений. Захватив его, они могут использовать уязвимости для получения информации, необходимой для ICS.

При этом если владелец актива решил повторно использовать те же учетные данные для доступа к модулю ЦП безопасности, чтобы также защитить соответствующий файл проекта, может возникнуть гораздо более опасный сценарий.

На самом деле, в этой ситуации злоумышленник может объединить все три проблемы и получить чрезвычайно мощный примитив атаки, который обеспечит ему прямой доступ к защитному модулю ЦП и потенциальную возможность скомпрометировать его и, следовательно, нарушить управляемый производственный процесс.

Mitsubishi Electric выпустила бюллетень с описанием уязвимостей, описывающий также семь других уязвимостей, затрагивающих тот же продукт.

Тем не менее, Mitsubishi еще не выпустила исправления и предоставила только меры по смягчению последствий и обходные пути. Nozomi, в свой очередь, не обнародовала никакой технической информации, чтобы предотвратить потенциальное использование злоумышленниками.
Ресерчеры Volexity обнаружили, что Lazarus Group использует поддельные криптовалютные приложения в качестве приманки для доставки ранее недокументированной версии вредоносного ПО AppleJeus.

Согласно данным Volexity, вредоносное ПО реализует новую технику боковой загрузки DLL для заражения целей, которая позже также была замечена как часть фишинговой кампании Lazarus посредством вредоносных документов Microsoft Office.

Замеченная активность связана с кампанией, которая, вероятно, нацелена на пользователей криптовалюты и финансовые организации с июня 2022 года.

Как известно, АРТ реализует трехсторонний подход, концентрируясь на сборе разведданных, проведении атак и получении доходов в интересах страны, потенциально похищая сотни миллионов долларов.

Ранее в апреле CISA предупреждало о кластере активности, получившем название TraderTraitor, который нацелен на биржи криптовалют и торговые компании с помощью троянизированных криптографических приложений для Windows и macOS.

В то время как атаки TraderTraitor завершались развертыванием трояна удаленного доступа Manuscrypt, новая активность задействует мошеннический веб-сайт для торговли криптовалютами под названием BloxHolder, выступая аналогом автоматизированной платформы для торговли криптовалютой HaasOnline.

Через веб-сайт распространялся установщик Windows MSI размером 12,7 МБ, который выдавал себя за приложение BloxHolder. На самом деле это была вредоносная программа AppleJeus, связанная с приложением QTBitcoinTrader.

AppleJeus, 
впервые задокументированный Лабораторией Касперского еще в 2018 году, предназначен для сбора информации о зараженной системе (например, MAC-адреса, имени компьютера и версии операционной системы) и загрузки шелл-кода с сервера управления (C2).

В октябре 2022 года цепочка атак претерпела небольшое изменение: злоумышленник перешел от файлов установщика MSI к «заряженному» документу Microsoft Excel.

Документ размером 214 КБ назывался «Сравнение комиссий OKX Binance и Huobi VIP.xls» и содержал макрос, который создает три файла на компьютере цели.

Volexity
не удалось получить окончательную полезную нагрузку этой более поздней цепочки заражения, но они заметили сходство в механизме загрузки неопубликованных DLL, найденном в ранее использовавшихся атаках установщика MSI.

Одним из новых элементов недавних кампаний является цепочка загрузки неопубликованных DLL для загрузки вредоносного ПО из доверенного процесса, избегая обнаружения AV. По словам Volexy, идея такого переключения, вероятно, уменьшит обнаружения.

Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.

Таким образом, Lazarus Group не меняют курс и продолжает предпринимать действия по нацеливанию на пользователей криптовалюты, даже несмотря на пристальное внимание к их кампаниям и тактике.
Старый безобидный ping может позволить злоумышленникам захватить систему FreeBSD.

Специалистами по сопровождению операционной системы FreeBSD в утилите ping обнаружена критическая ошибка переполнения буфера, отслеживаемая как CVE-2022-23093.

Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке с помощью ping внешнего хоста, подконтрольного злоумышленнику. Исправление уже предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10.

Уязвимость связана с переполнением буфера в коде, используемом в утилите ping для разбора ICMP-сообщений, приходящих в ответ на проверочный запрос.

Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышенными привилегиями, так как утилита поставляется с флагом setuid root, а обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета.

Собственно, выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.

Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера.

В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке.

В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода.

Опасность проблемы смягчает то, что в момент проявления ошибки, процесс находится в состоянии изоляции системных вызовов (capability mode), что затрудняет получение доступа к остальной системе после эксплуатации уязвимости.

Тем не менее, исследователи рекомендуют обновить уязвимые системы до поддерживаемой стабильной версии FreeBSD.

Также нет сведений подвержены ли другие BSD-системы выявленной уязвимости, так как отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось.
Forwarded from Social Engineering
👁 OSINT: Подборка полезных инструментов и ресурсов. V2.

🖖🏻 Приветствую тебя user_name.

• Подборка полезных инструментов, ресурсов, статей и другой необходимой информации по теме OSINT.

• Подборка является продолжением поста от 20.10.2021 (самом популярном посте в S.E. (136K просмотров и 8К репостов)).

Общение:
Telegram форум для обучения, тренировок и общения.

Коллекции инструментов и ресурсов:
DarkNet OSINT.
Awesome OSINT.
OSINT collection от SANS.
22 Best OSINT Blogs and Websites.
Поиск геолокации нашей цели V1.
Поиск геолокации нашей цели V2.
Инструменты для OSINT в Telegram.
OSINT коллекция от Cyber Detective.
4000+ ресурсов и инструментов для OSINT.
Сотни инструментов для онлайн разведки.
Подборка инструментов для сегмента onion.
Коллекция инструментов от Майкла Баззела.
Сотни инструментов и ресурсов на любой вкус.
Блоги, подкасты, новостные ресурсы, различные каналы.
Подборка поисковиков, обеспечивающих конфиденциальность.

Поиск информации по по различным критериям:
Поиск информации по фото лица.
Находим имя цели по номеру телефона.
Поиск информации по номеру телефона.
Поиск информации с помощью документов.
Поиск информации о цели, зная Email адрес.
Поиск информации по ip адресу и не только.
Поиск цели по ip, MAC и Физическому адресу.
OSINT по номеру кошелька + подборка поисковиков.
Поиск информации о цели, имея данные о транспорте.

Курсы и видеоматериал:
Заметки Осинтера.
Google maps gameplay.
Подкасты OSINT mindset.
Курс: Зеркало интернета.
Лекция по основам OSINT.
Видео: 20 полезных приемов OSINT.
Видео: OSINT tools to track you down.

Статьи и руководства:
OSINT в Telegram v1.
OSINT в Telegram v2.
Идентификация ориентиров.
Поиск корпоративной почты.
Maltego. Бесплатные дополнения.
Поиск информации по электронной почте.
Поиск цели по username посредством maigret.
Поиск данных о корпорациях и их владельцах.
Руководство по GPS метаданным в фотографиях.
Практическое руководство по online разведке.
Извлекаем информацию о цели из социальных сетей.
Конкурсы и задачи по OSINT и геолокации. Качаем скилл.
Counter-OSINT: руководство по приватности и защите своих данных в сети.
Расширенное руководство по верификации видеоматериалов.

Инструменты для поиска информации:
Big Bro.
MOSINT.
Trape V2.
Snoop Project.

Виртуалки и дистрибутивы.
Подборка бесплатных дополнений Maltego.
Полезные инструменты для OSINT от Bellingcat.

GitHub дорки.
Дорки Shodan.
Полезные блок-схемы.
Ресурсы для поиска Google дорков.
Полезные расширения для firefox.
30 полезных расширений для Google Chrome.

❗️Список не претендует на полноту. @S.E. #OSINT
Серьезные недостатки AMI MegaRAC затрагивают серверы AMD, ARM, HPE, Dell и других производителей.

Три уязвимости в ПО MegaRAC Baseboard Management Controller (BMC) от разработчика American Megatrends влияют на серверное оборудование, используемое многими поставщиками облачных услуг и ЦОДов.

Уязвимости обнаружены Eclypsium в августе 2022 года и могут позволить злоумышленникам при определенных условиях выполнить код, обойти аутентификацию и произвести идентификацию пользователей.

Исследователи обнаружили недостатки после изучения просочившегося проприетарного кода American Megatrends, в частности, прошивки MegaRAC BMC.

MegaRAC BMC
— это решение для полного «внеполосного» и «автоматического» удаленного управления системой, позволяющее администраторам удаленно устранять неполадки серверов, как если бы они стояли перед устройством.

Прошивка MegaRAC BMC используется как минимум 15 производителями серверов, включая AMD, Ampere Computing, ASRock, Asus, ARM, Dell EMC, Gigabyte, Hewlett-Packard Enterprise, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.

Среди обнаруженных Eclypsium уязвимостей:

- CVE-2022-40259 (RCE-ошибка в API Redfish из-за неправильного предоставления команд пользователю, CVSS v3.1: 9,9)
- CVE-2022-40242 (учетные данные по умолчанию для пользователя sysadmin, позволяющие злоумышленникам установить административную оболочку, CVSS v3.1: 8,3)
- CVE-2022-2827 (ошибка манипулирования запросами, позволяющая злоумышленнику устанавливать имена пользователей, CVSS v3.1: 7,5).

Самая серьезная из трех уязвимостей, CVE-2022-40259, требует предварительного доступа по крайней мере к учетной записи с низким уровнем привилегий для выполнения обратного вызова API.

Для эксплуатации CVE-2022-40242 единственным условием для злоумышленника является наличие удаленного доступа к устройству.

Третий недостаток не оказывает существенного прямого влияния на безопасность, но открывает возможность для брута паролей или атак с подстановкой учетных данных.

При этом стандартизация хостинговых и облачных провайдеров на серверных компонентах делает уязвимыми для выявленных ошибок многие сотни тысяч, а возможно, и миллионы систем.

Системным администраторам рекомендуется отключить параметры удаленного администрирования и, по возможности, добавить этапы удаленной аутентификации.

Кроме того, администраторы должны свести к минимуму внешнее воздействие интерфейсов управления серверами, таких как Redfish, и убедиться, что на всех системах установлены последние доступные обновления встроенного ПО.
Очередная громкая атака банды-вымогателей на медицинское учреждения Франции.

В этот раз хакеры посеяли панику в медцентре Версаля, которому пришлось приостановить операции и перевезти часть пациентов в другое место.

В Министерстве здравоохранения Франции сообщили, что медицинский центр Версаля, включающий две больницы и дом престарелых, в настоящее время полностью лишен каких-либо компьютерных систем.

Министр здравоохранения Франсуа Браун заявил, что атака привела к полной реорганизации больницы, так как в реанимации потребовался дополнительный персонал, поскольку некоторое критически важное оборудование объединённое в сеть требует более тщательного наблюдения, а оно в настоящее время попросту отключено.

Злоумышленники потребовали выкуп, сумма которого пока не разглашается, но официальные лица уже ответили отказом, ввиду того, что во Франции действует закон запрещающий государственным учреждениям платить выкуп.

Конфиденциальные данные персонала и пациентов уже размещены на сайте злоумышленников и французская полиция назвала группу вымогателей LockBit виновниками атаки.

По словам министра здравоохранения последние несколько месяцев во Франции регулярно происходили атаки на поставщиков медицинских услуг и медицинские учреждения, но большинство этих атак было предотвращено.

Тем не менее, в августе больница на окраине Парижа Centre Hospitalier Sud Francilien, подверглась атаке ransomware, восстановление после которой заняло несколько недель.
Crowdstrike раскрыли кампанию, в рамках которой финансово мотивированный злоумышленник взламывает поставщиков телекоммуникационных услуг и фирм, занимающихся аутсорсингом бизнес-процессов, активно противодействуя решениям безопасности и защитным мерам для уклонения от обнаружения и обеспечения устойчивости доступа.

Исследователи смогли выявить пять различных вторжений, начавшихся с июня 2022 года. Активность приписывается группе Scattered Spider.

Конечная цель кампании — взлом телекоммуникационных сетей и получение доступа к информации об абонентах для манипуляции с SIM-картами, включая их подмену.

Первоначальный доступ к корпоративным сетям реализуется посредством различных тактик социнженерии.

Они включают в себя звонки сотрудникам от имени ИТ-специалистов для сбора учетных данных или использование сообщений Telegram и SMS для перенаправления целей на специально созданные фишинговые сайты.

В ряде случаев злоумышленники использовали CVE-2021-35464, уязвимость в сервере ForgeRock AM, исправленную в октябре 2021 года, для запуска кода и повышения своих привилегий на AWS.

Как только хакеры получали доступ к системе, они добавляли свои устройства в список доверенных для последующего обхода MFA, используя скомпрометированную учетную запись.

Crowdstrike заметили задействование хакерами в своих кампаниях различных утилит и инструментов RMM, включая такие как: AnyDesk, BeAnywhere, Domotz, DWservice, Fixme.it, Fleetdeck.io, Itarian Endpoint Manager, Level.io, Logmein, ManageEngine, N-Able, Pulseway, Rport, Rsocx, ScreenConnect, SSH RevShell and RDP Tunnelling via SSH, Teamviewer, TrendMicro Basecamp, Sorillus и ZeroTier.

Многие из вышеперечисленных программ являются легитимными и, как правило, не вызывают предупреждений в средствах безопасности.

Примечательно то, что злоумышленники пытались сохранить доступ к взломанной сети даже после обнаружения. Кроме того, устанавливали дополнительные механизмы устойчивости, например доступ к VPN и/или несколько инструментов RMM.

Во всех вторжениях хакеры использовали различные VPN и точки интернет-провайдеров для доступа к среде Google Workspace пострадавшей организации.

Для горизонтального перемещения злоумышленники извлекали различные типы развединформации, загружали списки пользователей из взломанных клиентов, злоупотребляли WMI, выполняли туннелирование SSH и репликацию домена.

Crowdstrike поделились обширным списком индикаторов компрометации (IoC) для обнаружения возможных вторжений.
Ресерчеры CloudSEK сообщают о бангладешской хакерской группы, получившей наименование Team Mysterious Bangladesh, которые атаковали системы Центрального совета высшего образования Индии (CBHE).

Хакеры смогли украсть личную информацию (PII), включая имена, номера Aadhaar, коды индийской финансовой системы (коды IFSC) и другие данные студентов с 2004 по 2022 год, которые были отрыты в паблик.

Доступ к панели администратора платформы CBHE Delhi позволяет отследить результаты успеваемости всех студентов с 2004 по 2022 год, в том числе удалить, добавить или отредактировать записи.

Таким образом, злоумышленники получили несанкционированный доступ к панели администратора, что позволило им полностью скомпрометировать все данные CBHE Delhi, изменив также наименование каталога домена.

CloudSEK заявил, что утечка информации может быть использована для получения начального доступа к инфраструктуре фирмы, а часто используемые или слабые пароли могут привести к брутфорс-атакам.

Эти данные также могут предоставить злоумышленникам подробную информацию, необходимую для выполнения изощренных атак программ-вымогателей, эксфильтрации данных и сохранения устойчивости.

Согласно CloudSEK, хакеры Team Mysterious известны тем, что используют несколько скриптов для распределенных атак типа DDoS, а также технику атаки HTTP-флудом, аналогичную DragonForce.

Помимо вторжения в CBHE, злоумышленник также проводил хактивисткие кампании, таргетированные на Иран.

Для защиты от подобных угроз, ресерчеры предлагают предприятиям исправлять уязвимые хосты и избегать хранения незашифрованных секретов в репозиториях .git.

Системные администраторы также должны отслеживать аномалии активности учетных записей пользователей, а также шерстить даркнет на предмет возможных тактик, используемых злоумышленниками.

Последний отчет CloudSEK вышел примерно через два месяца после того, как Leakbase сообщила о взломе платформы Swachhata в Индии и краже с нее 16 миллионов пользовательских записей.
Forwarded from SecurityLab.ru
Эксперты обнаружили крупнейший подпольный рынок в даркнете

— Исследователи ИБ-компании Resecurity обнаружили новый рынок в даркнете , ориентированный на разработчиков и операторов мобильных вредоносных программ.

— Торговая площадка под названием «InTheBox» работала в сети TOR по крайней мере с мая 2020 года, и с тех пор она превратилась из частного маркета в крупнейшую торговую площадку, предлагающая огромное количество уникальных инструментов и веб-инжекты.

— Эксперты Resecurity назвали InTheBox крупнейшим и наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства.

https://www.securitylab.ru/news/535144.php
Sophos проинформировала клиентов о том, что в Sophos Firewall версии 19.5 исправлено несколько уязвимостей, в том числе те, которые могут привести к RCE.

В дополнение к улучшениям отказоустойчивости и повышению производительности последняя версия Sophos Firewall  содержит исправления для семи уязвимостей.

Согласно бюллетеню, одной из исправленных уязвимостей в версии 19.5 является CVE-2022-3236, которая имеет критическую оценку серьезности.

Однако недостаток нельзя назвать новым. Компания впервые сообщила клиентам о его существовании в сентябре, когда предупредила, что CVE-2022-3236 использовалась в атаках, направленных на ограниченный круг организаций, в основном расположенных в Южной Азии.

Три уязвимости, исправленные в Sophos Firewall 19.5, имеют высокий рейтинг серьезности, включая CVE-2022-3226, проблему внедрения команд ОС, которую может использовать злоумышленник с правами администратора для выполнения кода через загрузку конфигурации SSL VPN.

CVE-2022-3713 позволяет злоумышленнику выполнить код в контроллере Wi-Fi, а третья серьезная проблема CVE-2022-3696 - в административном веб-интерфейсе, но доступна хакеру с правами администратора.

Остальные три уязвимости имеют среднюю или низкую серьезность. Они включают проблему XSS, которая позволяет повысить привилегии, и две уязвимости SQL-инъекций, которые раскрывают неконфиденциальное содержимое базы данных конфигурации.

Некоторые из этих баг были обнаружены самой Sophos, в то время как другие были раскрыты внешними исследователями в рамках Bug Bounty.

Злоумышленники достаточно часто используют уязвимости в продуктах Sophos, и имеют значительное число целей для атак, учитывая их доступность в Интернете.
На прошлой неделе Netgear выпустила исправления для проблемы, связанной с неправильной конфигурацией в маршрутизаторах Nighthawk RAX30 (AX2400), которые могли позволить удаленному злоумышленнику взаимодействовать со службами, предназначенными только для клиентов в локальной сети.

Ошибка возникала из-за того, что в интерфейсе WAN этих устройств по умолчанию был включен IPv6, но не применялись ограничения доступа к трафику IPv6, которые в противном случае применялись бы к трафику IPv4.

В результате службы, работающие на маршрутизаторе, которые могут непреднамеренно прослушивать IPv6, включая SSH и Telnet на портах 22 и 23, могут быть доступны из Интернета.

Исследователи Tenable выявили проблему при подготовке цепочки эксплойтов на Pwn2Own Toronto 2022, который стартовал на этой неделе, но Netgear выпустила исправление за день до крайнего срока подачи, разорвав цепочку и сделав эксплойт бесполезным.

До патча злоумышленник мог взаимодействовать с этими сервисами через WAN-порт.

Однако после исправления для предотвращения доступа были применены соответствующие правила ip6tables.

Кроме того, IPv6 теперь отображается отключенным по умолчанию на вновь настроенных устройствах.

Исправление было включено в прошивку RAX30 версии 1.0.9.90, и пользователям рекомендуется обновить ее как можно скорее.

Согласно Tenable, требуется ручная проверка обновлений, поскольку устройство не находит обновлений выше версии прошивки 1.0.6.74.

Tenable воздержалась от предоставления дополнительных технических подробностей об этой уязвимости.

В своем бюллетене Netgear также сообщает лишь об устранении уязвимости в системе безопасности.
͏Fortinet FortiGuard Labs заметили новый ботнет на основе Go под названием Zerobot, который распространяется в дикой природе, используя почти два десятка уязвимостей в устройствах IoT и другом ПО.

Ботнет включает несколько модулей, поддерживая саморепликацию, в ходе атак на разные протоколы. Он также связывается со своим сервером управления и контроля, используя WebSocket.

Кампания началась после 18 ноября 2022 года и, в первую очередь, нацелена на ОС Linux для получения контроля над уязвимыми устройствами.

Zerobot получил свое название благодаря сценарию распространения, который используется для извлечения вредоносной полезной нагрузки после получения доступа к хосту в зависимости от его реализации микроархитектуры (например, zero.arm64).

Вредонос предназначен для широкого спектра архитектур ЦП, таких как i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x.

На сегодняшний день были обнаружены две версии Zerobot: одна, использовавшаяся до 24 ноября 2022 года, с базовыми функциями и обновленная версия, включающая самораспространяющийся модуль для взлома других конечных точек с использованием 21 эксплойта.

При этом два эксплойта с названием «ZERO_xxxxx» были взяты с 0day.today, на котором публикуются многочисленными эксплойты в «образовательных» целях. 

Сюда входят уязвимости, затрагивающие маршрутизаторы TOTOLINK, брандмауэры Zyxel, F5 BIG-IP, камеры Hikvision, тепловизионные камеры FLIR AX8, NAS D-Link DNS-320 и Spring Framework, среди прочих.

Однако технический анализ основан на более новой версии.

Как выяснили ресерчеры, Zerobot сначала проверяет свое соединение с 1.1.1.1, сервером DNS-преобразователя от Cloudflare.

Затем он копирует себя на целевое устройство в зависимости от типа ОС жертвы. Для Windows он копирует себя в папку «Автозагрузка» с именем файла «FireWall.exe». В Linux есть три пути к файлам: «%HOME%», «/etc/init/» и «/lib/systemd/system/».

Затем он устанавливает модуль AntiKill, чтобы пользователи не могли нарушить работу программы Zerobot.

После инициализации на скомпрометированной машине устанавливает связь с C2 ws[:]//176[.]65[.]137[.]5/дескриптор, используя протокол WebSocket, и ожидает дальнейших инструкций, которые позволяют ему выполнять произвольные команды и запускать атаки для различных сетевых протоколов, таких как TCP, UDP, TLS, HTTP, и ИКМП.

В течение очень короткого времени он был обновлен за счет обфускации строк, модуля копирования файлов и модуля эксплойта для распространения, которые усложняют его обнаружение и дают ему больше возможностей для заражения большего количества устройств.

Пользователи должны помнить о новой угрозе, устанавливать исправления для всех уязвимых систем в их сети, и активно применять их по мере появления.
Компания Google выпустила декабрьские обновления безопасности для Android, в котором исправлена 81 уязвимость, в том числе четыре критические, включая RCE, итого: 45 на уровне исправления 2022-12-01 и 36 - 2022-12-05.

Согласно бюллетеню по безопасности, самая серьезная из проблем — это критическая уязвимость системы безопасности в компоненте System, которая может привести к RCE через Bluetooth без дополнительных привилегий.

Среди четырех критических уязвимостей, влияющих на версии Android с 10 по 13: CVE-2022-20472 (RRCE-ошибка в Android Framework), CVE-2022-20473 (RCE-ошибка в Android Framework), CVE-2022-20411 (RCE-ошибка в системе Android), CVE-2022-20498 (ошибка раскрытия информации в системе Android).

Остальные исправленные уязвимости связаны с повышением привилегий, удаленным выполнением кода, раскрытием информации и отказом в обслуживании.

Ошибки EoP с высокой степенью серьезности обычно используются вредоносными программами, проникающими на устройство через путь с низким уровнем привилегий, например, путем установки вредоносного ПО, маскирующегося под безобидное приложение.

Тем не менее, применение доступного обновления имеет решающее значение, даже если ни одна из уязвимостей в настоящее время не сообщается как активно используемая.

При этом устройства Android 9 или более ранних версий обновления не получат. В этих случаях рекомендуется перейти на более новое устройство или установить собственное ПЗУ на основе более поздней версии Android, например LineageOS.

Владельцы устройств Google Pixel также получили важные обновления безопасности, устраняющие в общей сложности 16 критических ошибок в различных компонентах, которые позволяют злоумышленникам повышать привилегии или раскрывать информацию на целевых устройствах.
Исследователи Bitdefender в новом отчете сообщают о вредоносной кампании, нацеленной на Ближний Восток, вероятно, связанной с китайской АРТ BackdoorDiplomacy.

Шпионская деятельность в регионе началась 19 августа 2021 года в результате успешной эксплуатации уязвимостей ProxyShell в Microsoft Exchange Server.

В первоначальной компрометации использовались двоичные файлы, уязвимые для методов боковой загрузки, после чего применялось сочетание легитимных и специализированных инструментов для проведения разведки, сбора данных, бокового перемещения и уклонения от обнаружения.

Атрибуты файлов вредоносных инструментов показали, что первыми инструментами, развернутыми злоумышленниками, были прокси-инструмент NPS и бэкдор IRAFAU.

Начиная с февраля 2022 года злоумышленники перешли на другой инструмент - бэкдор Quarian, наряду со многими другими сканерами и инструментами прокси и туннелирования.

BackdoorDiplomacy впервые была задокументирована ESET в июне 2021 года, при этом вторжения в основном были старгетированы на дипучреждения и телеком-компании в Африке и на Ближнем Востоке для развертывания Quarian (он же Turian или Whitebird).

О разведмотивах атак свидетельствует использование кейлоггеров и скриптов PowerShell, предназначенных для сбора содержимого электронной почты

IRAFAU, который является первым вредоносным компонентом, доставленным после того, как он закрепился, используется для обнаружения информации и горизонтального перемещения. Далее следует загрузка и выгрузка файлов на C2, запуск удаленной оболочки и выполнение произвольных файлов.

Второй бэкдор, использованный в операции, представляет собой обновленную версию Quarian, которая обладает более широким набором возможностей для управления скомпрометированным хостом.

Также используется инструмент под названием Impersoni-fake-ator, встроенный в законные утилиты, такие как DebugView и Putty, и предназначенный для сбора системных метаданных и выполнения расшифрованной полезной нагрузки, полученной с сервера C2.

Вторжение также характеризуется использованием ПО с открытым исходным кодом - ToRat, инструмента удаленного администрирования Golang и AsyncRAT, последний из которых, вероятно, сбрасывается через Quarian.

Атрибуция атак BackdoorDiplomacy строится на схожести в инфраструктуре C2, которая, как было установлено, использовалась АРТ в предыдущих кампаниях.
Бельгийский Антверпен фактически парализовало после ransomware-атаки на IT-провайдера.

Городские службы Антверпена работают над восстановлением цифровых услуг, включая службы, используемые гражданами, муниципальными органами и силовыми ведомствами, которые работают с перерывами.

Несмотря на то, что расследование продолжается, вся доступная информация указывает на атаку вымогателей, кого конкретно - еще непонятно. De Standaard также подтверждает версию с ransomware.

По данным Het Laatste Nieuws (HLN), хакеры смогли нарушить работу служб Антверпена после взлома серверов Digipolis, цифрового партнера города, который предоставляет административное ПО.

Издание также отмечает, что пострадали почти все станции Windows, обрушилась телефонная связь, а также городская служба электронной почты и бронирования услуг.

Кроме того, среди других служб, пострадавших в ходе взлома, оказалась Antwerp Healthcare Company (Zorgbedrijf Antwerpen), в результате чего нарушилась работа ПО по мониторингу распределения лекарств среди пожилых граждан, что вынудило персонал перейти к традиционным бумажным рецептам.

Пока неясно точное время восстановления ИТ-систем Антверпена, однако мэр города полагает, что воздействие может продлиться до конца декабря.

Кто из вымогателей стоит за нападением еще предстоит выяснить, но чуть более недели назад Ragnar Locker отметилась атакой на полицию Звейндрехта, муниципалитета в провинции Антверпена. Связанная с атакой утечка, по оценкам бельгийских СМИ, тогда стала одной из крупнейших в стране.
Несколько правительственных ведомств Новой Зеландии пострадали от атаки программы-вымогателя на ИТ-провайдера - Mercury IT, широко используемого поставщика управляемых услуг (MSP).

Атака нарушила работу десятков организаций в стране, включая несколько государственных ведомств и органов государственной власти, включая Министерство юстиции и Te Whatu Ora (Здравоохранение Новой Зеландии).

Комиссар по вопросам конфиденциальности Новой Зеландии подтвердил киберинцидент, связанный с атакой ransomware.

В настоящее время ведется срочная работа по установлению масштабов инцидента и круга пострадавших организаций, характер возможной утечки данных. Также начато расследование.

Тем временем в заявлении Министерства юстиции сообщается, что атака ограничила доступ чиновникам к 14 500 файлам, касающимся перевозки тел умерших людей, и примерно 4000 вскрытий, проведенных с марта 2020 года по ноябрь.

В заявлении Министерства здравоохранения страны указывается об утрате доступа к информации, связанной с работой кардиологических служб, В частности, около 8500 записей об услугах по уходу за близкими и более 5500 записей из реестра сердечных и наследственных заболеваний также отсутствуют.

Помимо министерства пострадало также шесть других органов в сфере здравоохранения, в том числе совет оптометристов и продавцов оптики, совет хиропрактики, совет ортопедов, совет психологов, совет диетологов и совет по физиотерапии Новой Зеландии. Правда, пока неясно, какое влияние инцидент оказал на службы.

Кроме того, вымогатели через Mercury IT смогли также добраться и до BusinessNZ, а ранее также - до Accuro, некоммерческой страховой компании в Новой Зеландии, насчитывающей более 34 000 членов.
Forwarded from Russian OSINT
👨‍💻Исследование Kaspersky: Как хантят IT-специалистов в даркнете

🔎Ключевые результаты:
— Основной работодатель в даркнете — команды 🥷хакеров и APT-группировки, которые ищут людей, способных заниматься разработкой вредоносного кода, его распространением, создавать и поддерживать IT-инфраструктуру и прочее.
— Чаще других в даркнете ищут разработчиков — 💻61% объявлений.
— Разработчики возглавили список 💸самых оплачиваемых профессий среди IT-специалистов в даркнете: самая высокая заработная плата, которую мы видели в объявлении о поиске разработчика, составила 20 000 USD в месяц.
— Медианные зарплаты, предлагаемые IT-специалистам, составили 💸1300–4000$.
— Самая высокая медианная зарплата (4000 USD) — в объявлениях о поиске специалистов по 😷реверс-инжинирингу.

📄 https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2022/12/06123633/Kak-hantyat-IT-spetsialistov-v-darknete.pdf

👆Полная версия отчёта.
Please open Telegram to view this post
VIEW IN TELEGRAM