Абсолютно согласны с данным мнением!

В высокогорье Гималаев тоже есть свои таланты.

Исследователь Gtm Manoz из Непала смог найти уязвимости двухфакторной аутентификации (2FA) в продуктах Facebook Meta, признанной в России экстремистской организацией.

В сентябре 2022 года в ходе анализа страницы Центра мета-аккаунтов в Instagram он обнаружил, что в системе для подтверждения или добавления номера телефона и адреса электронной почты к учетной записи Instagram и Facebook отсутствует защита, необходимая для ограничения по скорости.

Чтобы подтвердить адрес электронной почты и номер телефона, пользователям следует ввести шестизначный код, полученный через email или по sms. Уязвимость позволяет злоумышленнику вводить методом перебора все возможные коды, пока он не получит правильный.

Таким образом, потенциальному злоумышленнику достаточно было выяснить номер телефона, привязанный пользователем к своей учетной записи Instagram и Facebook, чтобы присвоить номер телефона жертвы подконтрольной учетной записи.

Исправление было выпущено Meta в октябре 2022 года, а исследователь Manoz получил 27 200 долларов за раскрытие уязвимости по программе BugBounty.

Ни сколько не умаляя результатов и таланта исследователя из Непала, ошибки на уровне стандартной защиты при реализации 2FA - это пожалуй все, что нужно знать о разработке в Meta, которая в перспективе намерена обзавестись целой вселенной.

Зато с цензорами проблем нет: миньоны Цукерберга не дадут соврать. При том, что личные данные пользователей уже давно считаются материалом в реализации политических или коммерческих амбиций основных акционеров компании.

В контексте недавнего исправления тайваньским производителем QNAP критической SQL-уязвимости (CVE-2022-27596) с оценкой CVSS 9,8 нас тут справедливо спрашивают читатели: ну какой кретин выставляет NAS в Интернет?

Но ответ вряд ли порадует: 67 415 NAS-устройств QNAP обнаружили исследователи Censys, причем из проанализированных 30 520 хостов более 98% остаются непропатченными и уязвимыми для атак с использованием CVE-2022-27596.

Как мы уже отмечали, удаленные злоумышленники, не прошедших проверку подлинности, могут использовать эту уязвимость для внедрения вредоносного кода в атаках низкой сложности, без необходимости взаимодействия с пользователем.

К счастью, поскольку эта уязвимость еще не используется в дикой природе, а PoC еще не появился в свободном доступе, у пользователей еще есть время, чтобы исправить уязвимые устройства NAS.

Вангуем, что первые жертвы атак появятся еще до выхода PoC-эксплойта, по крайней мере DeadBolt и eCh0raix уже не раз это демонстрировали.

Помимо обновления производитель NAS призывает клиентов с устройствами, подключенными к Интернету, принять меры для защиты их от входящих атак, отключив функции переадресации портов маршрутизатора и UPnP QNAP NAS.

Кроме того, рекомендуется также отключить подключения SSH и Telnet, изменить номер системного порта, пароли устройств и включить защиту доступа к IP-адресу и учетной записи, следуя этим инструкциям.

Очередная порция ошибок в программных продуктах компании American Megatrends.

Не прошло и двух месяцев, как в AMI MegaRAC Baseboard Management Controller (BMC) было выявлено еще две уязвимости.

Софт используется системными администраторами для удалённого доступа к серверному оборудованию и в прошлый раз специалистами из Eclypsium были найдены три серьёзные баги.

В совокупности, выявленные ошибки в прошивке контроллера управления основной платой, могли дать злоумышленникам возможность удаленно скомпрометировать системы, широко используемые в ЦОДах и в облачных сервисах на серверах более 15 поставщиков, включая AMD, Asus, ARM, Dell, EMC, Hewlett-Packard Enterprise, Huawei, Lenovo и Nvidia.

Два новых недостатка связанны с возможностью перехвата сброса пароля через API (CVE-2022-26872 с CVSS: 8,3) и слабыми хэшами паролей для Redfish и API (CVE-2022-40258 с CVSS: 5,3).

В частности, CVE-2022-26872 использует HTTP API, чтобы заставить пользователя инициировать сброс пароля с помощью атак с социальной инженерией и установить пароль по выбору злоумышленника.

Во втором случае было обнаружено, что MegaRAC использует алгоритм хеширования MD5 с глобальной солью для старых устройств или SHA-512 с солью для каждого пользователя на новых устройствах, что потенциально позволяет злоумышленнику взломать пароли.

Стоит отметить, что уязвимости можно использовать только в сценариях, когда BMC подключены к Интернету, или в случаях, когда субъект угрозы уже получил первоначальный доступ к ЦОД или административной сети другими методами.

Ландшафт угроз до конца не определен, но в Eclypsium заявили, что работают с AMI и другими поставщиками, чтобы определить контуры уязвимых продуктов и услуг.

Возможные последствия от использования этих уязвимостей включают в себя удаленное управление скомпрометированными серверами, развертывание вредоносного ПО, а также возможность физического повреждения серверов и их блокировки.

Gigabyte, Hewlett Packard Enterprise, Intel и Lenovo уже выпустили обновления для устранения недостатков безопасности в своих устройствах, а NVIDIA планирует выпустить патч в мае 2023 года.

Группа исследователей из Assetnote раскрыли технические подробности обнаруженных критических уязвимостях в платформа для управления IP-телефонией Avaya Device Services.

Для исследования службы управления телефоном AADS команда запускала ПО в облачной среде, однако большая часть анализа по-прежнему проводилась в автономном режиме.

Для работ был использован установочный двоичный файл AADS aads-8.0.0.0.268.bin, представляющий собой Makeself-архив с TAR-архивом, установочным скриптом и .rpm пакетами в одном файле.

Прочесав исходный код в декомпилированных .jar и .war файлов на предмет распространенных ошибок ресерчеры обнаружили XSS-уязвимость, позволявшая добиться отражения XSS без необходимости аутентификации.

При этом в некоторых установках Avaya Device Services эта с XSS была доступна только при выполнении атаки с обходом каталога, открывающей панель администрирования.

Изучив большую часть Java, ресерчеры обратили внимание на все установленные файлы конфигурации. По итогу проблемная реализация в /etc/httpd/conf/httpd.conf позволила им обнаружить RCE-уязвимость, позволяющую обойти единственный элемент управления безопасностью Avaya_Phone.

По итогу в Avaya заявили, что ошибки были исправлены в предыдущей версии ПО, им не присваивались идентификаторы CVE.

В документации (здесь) производителя RCE-уязвимость в Avaya Device Services отслеживаются как ACS-21519. Тем не менее за раскрытие последовавших за ней баг исследователям откатили по BugBounty более 60 тысяч долларов.

Специалисты Лаборатории Касперского расчехлили три новых версии небезизвестного вредоносного ПО Prilex, нацеленного на кредитные карты с поддержкой NFC.

Криминальная схема с каржем карт встала на ступеньку выше, ведь малварь, когда-то нацеленная на банкоматы теперь превратилось в новый модульный вредонос для PoS терминалов и на данный момент является самой сложной PoS-угрозой, с которой когда-либо сталкивались эксперты.

Прелесть Prilex заключается в том, что в он способен блокировать безопасные бесконтактные транзакции по кредитным картам с поддержкой NFC, вынуждая потребителей вставлять кредитные карты, которые затем будут украдены вредоносным ПО.

Встроенные в кредитные карты и девайсы чипы NFC предназначены для проведения платежей на близком расстоянии с помощью кредитных карт, смартфонов или даже смарт-часов и их популярность резко возросла после пандемии COVID-19, когда за 2021 год было зарегистрировано бесконтактных транзакций на рекордную сумму более 34,55 миллиардов долларов.

Использование чипов NFC в картах облегчило жизнь потребителя, но усложнило кражу информации о кредитных картах вредоносными программами в точках продаж, что побудило злоумышленников разрабатывать новые методы.

И разработали, так как ресерчеры обнаружили в дикой природе как минимум три новых варианта вредоносного ПО с номерами версий 06.03.8070, 06.03.8072 и 06.03.8080, впервые выпущенные в ноябре 2022 года.

Собственно, в них и представлена новая функция, не позволяющая платежным терминалам принимать бесконтактные транзакции, вынуждая клиентов вставлять свои карты.

Кроме того, в сентябре 2022 года специалисты ЛК сообщали, что в Prilex добавлена генерацию криптограммы EMV (Europay, MasterCard и Visa), чтобы избежать обнаружения и выполнять «фантомные транзакции», даже если карта защищена технологией CHIP и PIN-кода.

Если новая функция Prilex включена, то она будет блокировать бесконтактные транзакции и отображать ошибку «Бесконтактная ошибка, вставьте карту» на платежном терминале и когда жертва вставит карту, собрать данный уже дело техники.

Причем малварь довольно умная и использует набор правил, чтобы определить, следует блокировать транзакцию или нет в зависимости от того, было ли обнаружено использование NFC.

Более того, новая фича, впервые появившаяся в последних вариантах Prilex позволяет фильтровать "нежелательные" карты и собирать данные только от определенных поставщиков и уровней, например Black, Infinite или Corporate с высоким лимитом транзакций, что намного привлекательнее для злоумышленников, чем стандартные кредитки с мелкими балансами и ограниченным лимитом.

Опасность точек продаж еще связана с достаточно ограниченным набором средств для защиты от вредоносных программ PoS, таких как Prilex, поскольку нет возможности узнать заражен платежный терминал или нет.

Рекомендации включают стандартные меры безопасности, связанные с отказом от оплаты на терминалах с видимыми признаками несанкционированного доступа, отказом от использования общедоступного Wi-Fi для доступа к финансовым счетам без VPN и проверки детализации транзакций до и после их завершения.

Кроме того, важно регулярно отслеживать финансовые отчеты для выявления любых потенциально мошеннических списаний, о которых следует немедленно сообщать эмитенту карты.

​📦 IntroLabs. Практические задания и руководства для ИБ специалистов.

🖖🏻 Приветствую тебя user_name.

• Как уже стало понятно из названия, ниже представлена подборка практических лабораторных заданий для изучения различных аспектов информационной безопасности и пентеста, включая инструменты, работу с логами, журналами и т.д.

• Материал будет полезен не только начинающим, но и опытным ИБ специалистам. Описание каждой лабы доступно по ссылкам ниже:

Intro To SOC:
- Linux CLI;
- Memory Analysis;
- TCPDump;
- Web Log Review;
- WindowsCLI;
- Wireshark;
- RITA;
- Nessus;
- DeepBlueCLI;
- Domain Log Review;
- Velociraptor;
- Elk In The Cloud;
- Elastic Agent;
- Sysmon in ELK;

Intro To Security:
- Applocker;
- Bluespawn;
- DeepBlueCLI;
- Nessus;
- Nmap;
- Password Cracking;
- Password Spraying;
- Responder;
- RITA;
- Sysmon;
- Web Testing;

Cyber Deception/Active Defense:
- Spidertrap;
- Cowrie;
- Canarytokens;
- RITA;
- Bluespawn;
- Portspoof;
- HoneyBadger;
- HoneyShare;
- HoneyUser;
- AdvancedC2;
- WebHoneypot;
- File Audit.

• В качестве дополнительного материала, обязательно обратите внимание на следующий материал: "S.E.Подборка. HackTheBox CTF Cheatsheet. RU.", "Hack The Box. Учимся взлому." и материал по хэштегу #ИБ, #Пентест, #Red_Team.

S.E. ▪️ S.E.Relax ▪️ infosec.work

͏Традиционный взгляд среднестатистического руководителя относительно структуры подразделения ИБ в компании 👇

Ресерчер Дэвид Дворкен обнаружил и представил PoC для уязвимостей в приложениях для управления паролями Bitwarden и DashLane, а также в функции управления паролями браузера Safari.

Ошибка высокой степени серьезности связана с автоматическим заполнением паролей на ненадежных веб-страницах и последующей компрометацией учетных данных пользователей, использующих Bitwarden v2022.10.0, Dashlane 6.2242.0 и Safari 15.6.1.

Обычно менеджеры паролей должны проверять, изолирован ли контент перед автоматическим заполнением учетных данных, используя при этом разные способы, один из которых — это проверка self.origin страницы. Если параметр имеет значение «null», то ввод учетных данных не производится.

Bitwarden автоматически заполняет учетные данные для обоих типов изолированного контента, как только пользователь щелкает расширение Bitwarden для Chrome.

DashLane немедленно автоматически вводит учетные данные на изолированную страницу CSP. Он отображает окно с предупреждением перед автоматическим заполнением учетных данных в изолированном iframe.

Safari автоматически вводит учетные данные в оба типа изолированного содержимого, хотя требуется взаимодействие с пользователем.

Стоит отметить, что LastPass, 1Password, Chrome и Edge по результатам тестов таких ошибок не допустили. После сообщения об ошибке разработчики Bitwarden и DashLane в конце 2022 года выпустили соответствующие исправления.

Греческий скандал, связанный со шпионским ПО Predator, докатился и до Ирландии.

Правительство страны начало крупное расследование после того, как стало известно о двух компаниях, аффилированным с поставщиком шпионского софта Intellexa, которые зарегистрированы в Дублине и функционируют на территории страны.

Как сообщает Irish Times, с этой инициативой к Объединенного комитета по правосудию Oireachtas обратился член Европарламента Барри Эндрюс, пояснив, что страна рискует стать «убежищем» для компаний, занимающихся продажей шпионского ПО.

Как выяснил сенатор, основанная бывшим офицером израильской разведки Intellexa и ее холдинговая компания Thalestris Ltd официально зарегистрированы по адресу Фоли-стрит в Дублине.

Что неудивительно, ведь даже в отчете следственных органов о деятельности NSO Group упоминалось об Ирландии как стране с благоприятным финансово-правовым климатом для разработчиков шпионского софта. Тем не менее в стране действуют нормы лицензирования технологий двойного назначения.

В своей корпоративной документации, представленной местным властям, Intellexa Ltd не скрывала свою деятельность, указав «разведывательных продуктов для правохранительных органов».

При этом по данным Департамента предпринимательства, разработчик не запрашивал никаких лицензии на продажу. Также не предоставил данных о сотрудниках в ирландском офисе.

При том консолидированные отчеты показывают общий объем продаж Intellexa только за 2021 году в размере 34 млн евро.

По итогу разбирательства комитет ответил депутату Европарламента, что рассмотрел этот вопрос на закрытом заседании 18 января и внес этот вопрос в свою рабочую программу на 2023 год.

Комитету предстоит выяснить обстоятельства возможного применения и масштабы разработки специализированного шпионского ПО ирландскими компаниями.

Об использовании Predator власти Ирландии не стали распространяться. Во всяком случае пока, но будем следить за ситуацией.

Исследователи Proofpoint сообщают о новом тренде использования документов OneNote для доставки вредоносных ПО для обхода от обнаружения.

Лавинообразный рост фиксируется в последние два месяца. Если в декабре 2022 года было выявлено 6 кампаний с использованием вложений OneNote для доставки AsyncRAT, то в январе этого года - уже более чем 50 кампаний с ARedline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK и Qbot.

Кампании нацелены на организации по всему миру, в том числе в Северной Америке и Европе.

Причем в числе последних за использованием этой техники был замечен брокер начального доступа TA577, который вернулся после месячного перерыва в работе и начал использовать OneNote для доставки Qbot.

Дело в том, что после блокировки Microsoft макросов по умолчанию в 2022 году, злоумышленники перешли к использованию ранее редко наблюдаемых типов файлов: VHD, CHM и теперь one. На момент исследования образцы вредоносных ПО OneNote практически не детектировались на VirusTotal.

Все наблюдаемые ресерчерами кампании с OneNote на канале электронной почты имели схожие характеристики. Хотя темы сообщений и отправители различались. С середины января 2023 года Proofpoint обнаружили также использание URL-адресов для доставки вложений.

Документы OneNote содержали встроенные файлы, скрытые за графикой, похожей на кнопку, при двойном нажатии всплывает предупреждение. Продолжая, файл выполняется. Это могут быть исполняемые файлы различных типов, файлы ярлыков (LNK) или файлы сценариев, такие как приложение HTML (HTA) или файл сценария Windows (WSF).

Наблюдаемое увеличение общего количества кампаний и разнообразие типов полезной нагрузки позволяет предположить, что теперь OneNote используют несколько участников разного уровня сложности.

В то время как некоторые кластеры связаны на основе C2, приманок и таргетинга, в большинстве кампаний используется различная инфраструктура, темы сообщений и приманок, а также таргетинг.

В декабрьских кампаниях сообщения содержали вложение OneNote, содержащее файл HTA, который вызывает сценарий PowerShell для загрузки исполняемого файла (например, Excel.exe) с URL-адреса. Эти сообщения были нацелены на промышленные предприяти и производства.

В других кампаниях с широким таргетингом использовались темы выставления счетов, доставки, а также рождественских подарков. Они в основном были нацелены на организации в секторе образования, среди прочих.

Январские активности включали тысячи сообщений и не были нацелены на конкретные организации или отрасли. Кампании продолжали использовать те же TTP со скрытыми встроенными файлами во вложении OneNote. В нескольких актор использовали OneNote Gem и Transfer.sh для размещения полезной нагрузки.

Примечательно, что 19 января исследователи наблюдали за кампанией по распространению бэкдора DOUBLEBACK (ранее использовался TA579). Это была первая из кампаний, в которой использовался перехват потока.

Сообщения содержали URL-адреса, которые приводили к загрузке ZIP-файла, который содержал OneNote с тем же именем, который приводил к запуску VBS, встроенного за кнопкой. Далее VBS загрузил сценарий PowerShell для запуска DOUBLEBACK.

Ресерчеры прогнозируют, что все больше злоумышленников будут использовать вложения OneNote для доставки вредоносного ПО, но успешность атак все же зависит от взаимодействия получателя с вложением.

В своем отчете исследователи Proofpoint также представили примеры индикаторов компрометации.

В киберпространстве в прямом и переносном смысле появился новый игрок.

Ранее неизвестная группировка атаковала компании, занимающиеся азартными и онлайн-играми, с помощью также неизвестного бэкдора, который исследователи назвали IceBreaker.

Метод компрометации основан на том, что сотрудников службы поддержки клиентов обманным путем заставляют открывать вредоносные скриншоты, которые злоумышленник отправляет под видом проблем, с которой сталкивается пользователь.

Первые атаки зафиксированы в сентябре 2022 года специалистами из компании Security Joes по реагированию на инциденты, которые считают, что бэкдор IceBreaker — это работа нового продвинутого злоумышленника, использующего новую и очень специфическую тактику социальной инженерии.

Анализ техники в перспективе может дать более четкое представление о том, кто они такие. Во всяком случае проанализировав данные сентябрьского инцидента, Security Joes смогли отреагировать на три другие атаки, прежде чем хакеры смогли скомпрометировать свои цели.

Единственным публичным доказательством существования злоумышленника IceBreaker, которое удалось найти специалистам - это октябрьский твит от MalwareHunterTeam.

Чтобы доставить бэкдор, злоумышленник обращается в службу поддержки целевой компании, притворяясь пользователем, у которого возникают проблемы со входом в систему или регистрацией в онлайн-сервисе.

Хакеры убеждают сотрудника поддержки загрузить изображение, которое описывает проблему лучше, чем они могут объяснить.

Специалисты говорят, что изображение обычно размещается на поддельном веб-сайте, который выдает себя за легитимный сервис, дабы убедить жертву, что оно было доставлено из хранилища Dropbox.

Ссылки, доставленные таким образом, ведут к ZIP-архиву, содержащему вредоносный LNK-файл, который собственно и загружает бэкдор IceBreaker, или скрипт Visual Basic, загружающий Houdini RAT, используемый злоумышленниками как минимум с 2013 года.

Специалисты отметили, что загруженное вредоносное ПО является очень сложным скомпилированным файлом JavaScript, который может обнаруживать запущенные процессы, красть пароли, файлы cookie, открывать обратный туннель через прокси, а также запускать сценарии, полученные с сервера управления.

Вредоносный LNK является основной полезной нагрузкой первого уровня, доставляющего вредоносное ПО IceBreaker, а файл VBS используется в качестве резервной копии на случай, если оператор службы поддержки не сможет запустить ярлык.

Страновую принадлежность нового актора еще не идентифицировали, однако Security Joes заявили, что диалоги, которые они изучили между злоумышленником и сотрудниками поддержки, показывают, что актор не является носителем английского языка и намеренно просит перевести разговор на испаноговорящего специалиста.

Также было замечено, что они говорят и на других языках.

Представителям игровой индустрии, да и не только, стоит держать ушки на макушки, так как хакерами используется очень эффективный вектор атаки и новый арсенал вредоносного ПО.

Cisco выпустила обновления для устранения серьезной уязвимости в среде размещения приложений Cisco IOx.

CVE-2023-20076 была обнаружена исследователями Сэмом Куинном и Казимиром Шульцем из Trellix Advanced Research Center.

Она связана с неполной очисткой параметров, передаваемых в процессе активации приложения.

Злоумышленник может воспользоваться уязвимостью, развернув и активировав приложение в среде Cisco IOx с помощью специально созданного файла полезной нагрузки активации.

Успешное использование позволяет выполнять команды с разрешениями root в базовой ОС.

Компания заявляет, что уязвимость затрагивает устройства Cisco, работающие под управлением ПО IOS XE, но только в том случае, если они не поддерживают собственный докер.

Помимо устройств на базе IOS XE, настроенных с IOx, в список затронутых устройств также входят промышленные маршрутизаторы ISR серии 800 и IR510 WPAN, модули CGR1000, промышленные шлюзы IC3000 и Cisco Catalyst (COS-AP).

Компания также подтвердила, что уязвимость CVE-2023-20076 не затрагивает коммутаторы Catalyst серии 9000, программное обеспечение IOS XR и NX-OS или продукты Meraki.

При этом злоумышленники могут использовать эту уязвимость только в том случае, если они имеют аутентифицированный административный доступ к уязвимым системам.

При этом акторы могут повысить привилегии, используя учетные данные для входа по умолчанию, фишинг или социнженерию.

В этом случае злоумышленники могут использовать CVE-2023-20076 для получения неограниченного доступа, позволяющего вредоносному коду скрываться в системе и сохраняться при перезагрузках и обновлениях прошивки, как объяснили исследователи Trellix.

Вредоносный код будет продолжать работать до тех пор, пока устройство не будет сброшено до заводских настроек или будет удалено вручную.

Cisco PSIRT заявляет, что не обнаружила доказательств того, что эта уязвимость используется в реальных условиях.

Ресерчеры Аssetnote обнаружили RCE-уязвимость CVE-2022-47986 в одном из самых популярных корпоративных решений для быстрой и безопасной передачи файлов - IBM Aspera Faspex.

Продукт представляет собой приложение для обмена файлами, созданное на базе IBM Aspera High-Speed Transfer Server в качестве решения для централизованной передачи.

Благодаря графическому веб-интерфейсу Faspex предлагает расширенные возможности управления высокоскоростной передачей FASP. Кроме того, IBM Aspera Faspex реализует также различные варианты шифрования файлов в приложении&

Как отмечают исследователи, при аудите приложения Ruby on Rails важно понимать структуру проекта, наличие статического SECRET_KEY_BASE значения внутри файлов конфигурации, а также файла маршрутов, содержащего список маршрутов и соответствующих контроллеров, обрабатывающих эти маршруты.

Методология исследования заключалась в том, чтобы глубоко погрузиться в app папку и сосредоточиться на всех контроллерах, которые можно было маршрутизировать без аутентификации. 

Обнаруженная проблема была связана с небезопасной загрузкой YAML на маршруте /package_relay/relay_package. С помощью гаджетов десериализации исследователи добились выполнения команды, поскольку этот приемник обрабатывал данные, контролируемые пользователем.

По итогу им удалось дразработать эксплойт, который может быт использован в реальных сценариях атаки с учетом различия версий Ruby, поставляемых вместе с Aspera Faspex.

Об ошибке IBM уведомили 6 октября 2022 года, по результатам изучения отчета 18 января 2023 года компания устранила недостаток, выпустив Faspex 4.4.2 Patch Level 2, и представила рекомендации по безопасности (здесь).

Sentinel Labs обнаружила рекламную кампанию в Google, в рамках которой злоумышленники с использованием технологии виртуализации KoiVM распространяют стиллер Formbook.

Установщики вредоносных ПО в виде виртуализированных загрузчиков .NET, получивших название MalVirt помогают распределять конечную полезную нагрузку, не вызывая предупреждений антивирусных решений.

KoiVM — это плагин для протектора ConfuserEx .NET, который запутывает исполняемые файлы, заменяя исходный код виртуализированным.

Затем движок виртуальной машины выполняет виртуализированный код, переводя его в исходный код во время выполнения.

При злонамеренном использовании виртуализация усложняет анализ вредоносных программ, а также представляет собой один из способов обхода механизмов статического анализа.

Некоторые образцы исправляют функцию AmsiScanBuffer, реализованную в amsi.dll, для обхода интерфейса сканирования на наличие вредоносного ПО (AMSI), обнаруживающего вредоносные команды PowerShell.

Кроме того, в попытке обойти статические механизмы обнаружения некоторые строки (такие как amsi.dll и AmsiScanBuffer) кодируются с помощью Base-64 и AES.

При этом загрузчики также могут определять, работают ли они в виртуализированной среде, запрашивая определенные ключи реестра.

MalVirt также использует подписанный драйвер Microsoft Process Explorer, загружаемый при запуске системы как «TaskKill», что позволяет ему изменять запущенные процессы, чтобы избежать обнаружения.

Чтобы также избежать декомпиляции виртуализированного кода, загрузчики также используют модифицированную версию KoiVM, которая имеет дополнительные уровни обфускации, что делает ее расшифровку еще более сложной, сбивая с толку стандартные фреймворки девиртуализации (OldRod).

Ресерчеры отмечают, что виртуализация KoiVM популярна в хакерских инструментах и взломах, но редко используется для распространения вредоносных ПО. Выявленная активность, по их мнению, обусловлена отключением Microsoft макросов в Office.

За последний месяц исследователи наблюдали рост злоупотреблений Google-рекламой для распространения различных вредоносных программ, в том числе RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthysstealer, IcedID, Raccoon Stealer и многих других.

В наблюдаемойкламную кампанию вкампании злоумышленники продвигают загрузчики MalVirt в рекламе, выдавая себя за ПО Blender 3D. Используются недействительные цифровые подписи, выдающие себя за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

В дополнение ко всем системам предотвращения обнаружения, используемым в загрузчике вредоносного ПО, сам Formbook использует новый трюк, который помогает замаскировать его реальный трафик на C2 и IP-адреса.

Вредоносное ПО смешивает свой реальный трафик с различными побочными HTTP-запросами, содержимое которых зашифровано и закодировано, чтобы они не выделялись, взаимодействуя с IP-адресами случайным образом, выбирая их из жестко заданного списка доменов, размещенных различными компаниями.

SentinelLabs говорит, что в проанализированных образцах Formbook взаимодействовал с 17 доменами, только один из которых был фактическим сервером C2, а остальные служили приманками.

Новый фишки в довольно старом штамме указывает на то, что ее операторы заинтересованы в расширении его возможностей новыми функциями, которые сделают ее более скрытной от инструментов безопасности и аналитиков.

F5 предупреждает о серьезной уязвимости в BIG-IP, которая может позволить злоумышленнику, прошедшему проверку подлинности, вызвать DoS и добиться RCE.

CVE-2023-22374 затрагивает iControl SOAP, который обеспечивает связь между системами, работающими от имени root.

Интерфейс SOAP доступен из сети через порт управления BIG-IP или собственные IP-адреса и ограничен административными учетными записями.

Ошибка имеет оценку CVSS 7,5 для систем BIG-IP в стандартном режиме установки и оценку CVSS 8,5 для экземпляров в режиме приложения.

О дефекте сообщили специалисты из Rapid7, которые объясняют, что эксплуатация возможна путем вставки спецификаторов строки формата в определенные параметры, которые передаются в функцию syslog, в результате чего служба считывает и записывает адреса памяти, на которые ссылается стек.

Однако, как объясняют ресерчеры, злоумышленник не может прочитать память, если у него нет доступа к системному журналу.

Злоумышленник может привести к сбою службы, используя спецификаторы «%s» и «%n» для записи произвольных данных в любой указатель в стеке, что потенциально может привести к удаленному выполнению кода.

Для использования уязвимости злоумышленнику сначала необходимо собрать информацию о среде, в которой работает уязвимый компонент.

Наиболее вероятным последствием успешной атаки является сбой серверного процесса. Опытный злоумышленник потенциально способен разработать RCE-эксплойт, который запустит код на устройстве F5 BIG-IP от имени пользователя root.

Уязвимость затрагивает версии BIG-IP 13.1.5, с 14.1.4.6 по 14.1.5, с 15.1.5.1 по 15.1.8, с 16.1.2.2 по 16.1.3 и 17.0.0. В настоящее время патч для этой уязвимости не доступен, но поставщик разработал инженерное исправление.

Поскольку уязвимость может быть использована только авторизованными пользователями, доступ к iControl SOAP API должен быть ограничен доверенными пользователями.

͏Вымогатели LockBit взломали британского разработчика ПО ION Group, специализирующегося на решениях для банковского сектора, финансовых и инвестиционных компаний.

31 января 2023 года ION Group сообщила о киберинциденте, который в значительной степени повлиял на работу ION Cleared Derivatives и ION Markets. Атака была локализована, все затронутые серверы отключены, ведутся восстановительные работы.

Однако последствия атаки оказались весьма неутешительными: крупные клиенты ION Group в США и Европе были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам и, соответственно, финансовым потерям.

Глобальная торговая организация FIA сделала даже по этому поводу отдельное заявление, предупредив, что работает с пострадавшими членами для оценки ситуации, в том числе клиринговыми фирмами и биржами, а также с регуляторами рынка.

Тем временем LockBit добавили ION Group на свой DLS. Помимо серьезных сбоев хакерам также удалось украсть данные во время вторжения, которые они угрожают опубликовать 4 февраля.

Публичная утечка может привести к раскрытию конфиденциальной информациищила о киберинцв отношении крупных инвесторов, что потенциально нанесет значительный ущерб им и их организациям.

Будем посмотреть: ждать осталось недолго.

͏Следи за собой, будь осторожен!

Респект команде MalwareHunterTeam за наводку на 👇
https://gtdhdytjfy[.]weeblysite[.]com

Разработчики GoAnywhere MFT спешно уведомляют клиентов об RCE-уязвтмсоти, которая позволяет взламывать серверы с открытыми консолями администратора.

GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам и журналировать доступ к ним доступ.

Подробностями 0-day поделился Брайан Кребс, который помимо прочего представил и соответствующие рекомендации по безопасности.

Считается, что проблема затрагивает как на локальную, так и на SaaS-реализацию GoAnywhere, но это еще не подтверждено.

Вектор атаки с представленным экспромтом требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам (при работе в облачных средах, таких как Azure или AWS).

При этом интерфейс веб-клиента, который обычно доступен из общедоступного Интернета.

Пока Fortra в поте лица пилит исправления клиентам, чей административный интерфейс был общедоступен или к нему нельзя применить средства контроля доступа, следует cмягчить уязвимость, следуя представленным ресерчером мерам.

Fortra также временно закрыла свое решение SaaS, пока ошибка не будет устранена.

В то же время небезызвестный Кевин Бомонт обнаружил 1008 серверов с GoAnywhere в Интернете, в основном в США, Германии и Великобритании.

Большая часть консолей администратора используют порты 8000 и 8001, а среди потенциально уязвимых организации - органы власти, медучреждения, банки, компании в области энергетики и финтех.

И далее следует длинный список, который в ближайшей перспективе может перекочевать на DLS вымогателей, как это случилось в 2021 году, когда Clop взломали Accellion FTA.

Критический баг в Jira Service Management Server и Data Center позволяет злоумышленникам выдавать себя за пользователей Jira.

Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.

Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.

Коварный замысел с получением токенов может быть реализован в двух сценариях:

1. злоумышленник включен в задачи или запросы Jira с этими пользователями

2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.

Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.

По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.

Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.

Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.