Иисследователь Хиллай Бен-Сассон из Wiz сообщил, что ему удалось взломать Bing и изменить результаты поиска, благодаря уязвимости BingBang, что подкрепил пруфами на Youtube.
Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.
Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.
Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.
При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.
Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.
Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.
За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.
Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.
Правда, с учетом не очень хорошей репутации Microsoft с точки зрения ИБ и всех обстоятельств раскрытия багу следовало бы назвать GangBang.
Уязвимость позволяла помимо манипуляции поисковой системой Bing позволяла получать доступ к миллионам учетных записей пользователей Office365.
Как выяснили ресерчеры, она была связана с неправильной конфигурацией в облачной службе управления идентификацией и доступом Azure Active Directory, используемой множеством организаций по всему миру.
При этом, по данным Wiz, не менее 35% просканированных приложений оказались уязвимыми для обхода аутентификации Azure.
Углубившись в проблему, исследователи Wiz смогли не только менять результаты для поисковых запросов, но и провести XSS-атаку, скомпрометировав учётные данные абсолютно любого пользователя Bing, который использует Microsoft Office365.
Учитывая, что Bing является 27-м по посещаемости веб-сайтом в мире, а также экстраполируя вредоносный потенциал на другие уязвимые сервисы Mag News, MSN, PoliCheck, Power Automate Blog и т.д., BingBang открывает широкий горизонт для потенциальных атак.
Microsoft оперативно устранила проблему, добавив дополнительные авторизационные проверки, и выпустила отдельное руководство по безопасности.
За обнаружение проблемы исследователи Wiz получили вознаграждение от Microsoft в размере 40 000 долларов, а также овации почти миллиона пользователей.
Если верить разработчику, воспользоваться описанной уязвимостью в дикой природе никому из злоумышленников не удалось. В противном случае - очень пригодилось бы предложенное нами наименование.
X (formerly Twitter)
Hillai Ben-Sasson (@hillai) on X
I hacked into a @Bing CMS that allowed me to alter search results and take over millions of @Office365 accounts.
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️
How did I do it? Well, it all started with a simple click in @Azure… 👀
This is the story of #BingBang 🧵⬇️
Microsoft решила устроить настоящий gang для пользователей решений Azure.
Вслед за Function Apps и Active Directory дырявым оказался популярный инструмент Azure Service Fabric Explorer, как выясняется - дважды.
Ещ в октябре прошлого года исследователи из Orca Security представили руководство по исправлению XSS-уязвимости (CVE-2022-35829, оценка CVSS: 6,2), позволяющей внедрять вредоносный код на безопасные веб-сайты, которая получила название FabriXss.
А недавно появились технические подробности новой критической проблемы CVE-2023-23383 (с оценкой CVSS: 8,2), которую, не особо заморачиваясь, решили назвать Super FabriXss (с).
Super FabriXss позволяет удаленным злоумышленникам использовать межсайтовый скриптинг для удалённого неавторизованного выполнения кода в контейнере, размещенном на узле Service Fabric.
Атака реализует преимущества параметров переключения типа кластера на вкладке «события» на платформе Service Fabric, и связана с возможностью перезаписи развертывания Compose с инициированием обновления посредством специально созданного URL-адреса из XSS-уязвимости.
В отличие от предыдущей уязвимости, SuperFabriXxs существует только в кластере Windows, однако имеет более серьезные последствия, поскольку его можно использовать для получения полного контроля над уязвимыми системами.
Проблема затрагивает Azure Service Fabric Explorer 9.1.1436.9590 (и более ранние версии) и была решена мартовским обновлением.
Однако учитывая, что исследователи достаточно подробно и пошагово описали, как использовать уязвимость, клиентам Azure стоит обратить особое внимание исправлению недостатка, так как очевидно, что мануал уже изучают не только админы.
Вслед за Function Apps и Active Directory дырявым оказался популярный инструмент Azure Service Fabric Explorer, как выясняется - дважды.
Ещ в октябре прошлого года исследователи из Orca Security представили руководство по исправлению XSS-уязвимости (CVE-2022-35829, оценка CVSS: 6,2), позволяющей внедрять вредоносный код на безопасные веб-сайты, которая получила название FabriXss.
А недавно появились технические подробности новой критической проблемы CVE-2023-23383 (с оценкой CVSS: 8,2), которую, не особо заморачиваясь, решили назвать Super FabriXss (с).
Super FabriXss позволяет удаленным злоумышленникам использовать межсайтовый скриптинг для удалённого неавторизованного выполнения кода в контейнере, размещенном на узле Service Fabric.
Атака реализует преимущества параметров переключения типа кластера на вкладке «события» на платформе Service Fabric, и связана с возможностью перезаписи развертывания Compose с инициированием обновления посредством специально созданного URL-адреса из XSS-уязвимости.
В отличие от предыдущей уязвимости, SuperFabriXxs существует только в кластере Windows, однако имеет более серьезные последствия, поскольку его можно использовать для получения полного контроля над уязвимыми системами.
Проблема затрагивает Azure Service Fabric Explorer 9.1.1436.9590 (и более ранние версии) и была решена мартовским обновлением.
Однако учитывая, что исследователи достаточно подробно и пошагово описали, как использовать уязвимость, клиентам Azure стоит обратить особое внимание исправлению недостатка, так как очевидно, что мануал уже изучают не только админы.
Когда-то давным-давно, когда деревья были большими, а канал SecAtor маленьким и не мог похвастать даже тысячей подписчиков, известный инфосек вендор Avast накосячил.
Широкой общественности стало известно, что дочерняя Avast компания Jumpshot активно расторговывает данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей. Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов. Покусились даже на святое - историю поиска и просмотров на Pornhub! Бесы натуральные! (так сказать, Jumpshot покусился на cumshot, хе-хе)
Закончилось все для Avast не очень. Скандал разразился большой, Jumpshot пришлось прикрыть и сделать три раза ку с цаком. Что не очень помогло - акции вендора в моменте упали почти на 10%. Да еще и выявленная вскоре дырка в их антивирусном движке JavaScript...
Но нет предела совершенству! Испанское Агентство по защите данных вспомнило таки про проступок вендора и на днях оштрафовало Avast на 13,7 млн евро за нарушение требований GDPR (General Data Protection Regulation). И, если нам не изменяет склероз, это самый крупный штраф в инфосеке на данный момент.
А потому что нечего в нашу порнуху лазать ☝️
Широкой общественности стало известно, что дочерняя Avast компания Jumpshot активно расторговывает данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей. Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов. Покусились даже на святое - историю поиска и просмотров на Pornhub! Бесы натуральные! (так сказать, Jumpshot покусился на cumshot, хе-хе)
Закончилось все для Avast не очень. Скандал разразился большой, Jumpshot пришлось прикрыть и сделать три раза ку с цаком. Что не очень помогло - акции вендора в моменте упали почти на 10%. Да еще и выявленная вскоре дырка в их антивирусном движке JavaScript...
Но нет предела совершенству! Испанское Агентство по защите данных вспомнило таки про проступок вендора и на днях оштрафовало Avast на 13,7 млн евро за нарушение требований GDPR (General Data Protection Regulation). И, если нам не изменяет склероз, это самый крупный штраф в инфосеке на данный момент.
А потому что нечего в нашу порнуху лазать ☝️
TechRadar
Avast hit with multimillion-euro fine for GDPR failure
Unlawfully processing customer data lands Avast with huge fine, several years after it closed down the accountable subsidiary.
Серьезная уязвимость в плагине Elementor Pro для WordPress с 11 миллионами установок эксплуатируется в дикой природе и открывает хакерам возможности полного захвата сайта.
Обнаруживший 18 марта 2023 года ошибку исследователь NinTechNet Джером Брюанде на днях поделился техническими подробностями эксплуатации.
Проблема обусловлена возможностью подмены параметров WordPress в базе данных без надлежащей проверки благодаря нарушению контроля доступа к модулю WooCommerce через AJAX.
Несмотря на то, что с момента обнаружения прошло меньше двух недель, хакеры предпринимают попытки активной эксплуатации ошибки в реальных атаках, о чем сообщают исследователи PatchStack.
Замеченная вредоносная активность реализует перенаправление посетителей на вредоносные домены (away[.]trackersline[.]com) или загрузку бэкдоров на скомпрометированные ресурсы, в числе которых: wp-resortpark.zip, wp-rate.php или lll.zip.
Содержащийся PHP-скрипт позволяет удаленному злоумышленнику получить полный доступ к сайту WordPress и загружать дополнительный вредоносный код.
Пока же большая часть из всех наблюдаемых атак фиксируется со следующих IP-адресов: 193.169.194.63, 193.169.195.64 и 194.135.30.6.
В ближайшей перспективе число попыток эксплуатации кратно возрастет, в связи с чем администраторам следует как можно скорее обновиться до версии 3.11.7 или более поздней (последняя — 3.12.0).
Обнаруживший 18 марта 2023 года ошибку исследователь NinTechNet Джером Брюанде на днях поделился техническими подробностями эксплуатации.
Проблема обусловлена возможностью подмены параметров WordPress в базе данных без надлежащей проверки благодаря нарушению контроля доступа к модулю WooCommerce через AJAX.
Несмотря на то, что с момента обнаружения прошло меньше двух недель, хакеры предпринимают попытки активной эксплуатации ошибки в реальных атаках, о чем сообщают исследователи PatchStack.
Замеченная вредоносная активность реализует перенаправление посетителей на вредоносные домены (away[.]trackersline[.]com) или загрузку бэкдоров на скомпрометированные ресурсы, в числе которых: wp-resortpark.zip, wp-rate.php или lll.zip.
Содержащийся PHP-скрипт позволяет удаленному злоумышленнику получить полный доступ к сайту WordPress и загружать дополнительный вредоносный код.
Пока же большая часть из всех наблюдаемых атак фиксируется со следующих IP-адресов: 193.169.194.63, 193.169.195.64 и 194.135.30.6.
В ближайшей перспективе число попыток эксплуатации кратно возрастет, в связи с чем администраторам следует как можно скорее обновиться до версии 3.11.7 или более поздней (последняя — 3.12.0).
NinTechNet's updates and security announcements.
High severity vulnerability fixed in WordPress Elementor Pro plugin.
Elementor Pro, a popular page builder plugin for WordPress, fixed a broken access control vulnerability affecting version 3.11.6 and below that could allow full site takeover.
Western Digital взломан, а услуги облачного хранения данных не доступны.
Более нелепую реплику от ИТ-гиганта не ожидали услышать даже заядлые фанаты, так как Western Digital заявили в своем Twitter, что «лучшее время для резервного копирования было вчера, а второе лучшее время - прямо сейчас».
Что тут добавить, красавчики. Мотаем на ус, что для сохранности действительно важных данных резервироваться нужно в нескольких местах.
Что известно не данный момент, как всегда, - немного. В компании пока пытаются оправиться от удара и понять откуда прилетело. Точно понятно, что ее сеть была взломана и неавторизованная сторона получила доступ к нескольким системам компании.
Инцидент с сетевой безопасностью был выявлен в прошлое воскресенье. Как полагают в Western Digital, хакеры смогли получить определённые данные из корпоративных систем.
Эксперты по ИБ уже выясняют объём утечки и масштаб массовой истерии, если не дай боже выясниться, что утекло эдакое личное, щепетильное и чужое.
Как сообщил калифорнийский производитель, расследование находится на ранней стадии и компания координирует усилия с правоохранительными органами. Ну, а пока не работает вся экосистема My Cloud, включая My Cloud Home, My Cloud Home Duo, My Cloud OS5, а также недоступны сервисы SanDisk ibi, SanDisk Ixpand Wireless Charger.
Учитывая, что компания позиционирует себя, как поставщик простой, эффективной и безопасной платформы хранения данных с многочисленными наградами в области резервного копирования и защиты от ransomware на основе ИИ, Western Digital попадет в весьма печальный неудобняк, когда на какой-то из DLS появятся пруфы с утечкой и письмецо с N нулями.
Интерес со стороны злоумышленников очевиден. Для справки WD продает устройства хранения клиентам по всему миру, включая облачные гиперскейлеры, доходы которой составили 18,7 миллиарда долларов в 2022 году, причем доходы от облачных хранилищ составляют 42% от ее общей выручки.
Но будем посмотреть.
Более нелепую реплику от ИТ-гиганта не ожидали услышать даже заядлые фанаты, так как Western Digital заявили в своем Twitter, что «лучшее время для резервного копирования было вчера, а второе лучшее время - прямо сейчас».
Что тут добавить, красавчики. Мотаем на ус, что для сохранности действительно важных данных резервироваться нужно в нескольких местах.
Что известно не данный момент, как всегда, - немного. В компании пока пытаются оправиться от удара и понять откуда прилетело. Точно понятно, что ее сеть была взломана и неавторизованная сторона получила доступ к нескольким системам компании.
Инцидент с сетевой безопасностью был выявлен в прошлое воскресенье. Как полагают в Western Digital, хакеры смогли получить определённые данные из корпоративных систем.
Эксперты по ИБ уже выясняют объём утечки и масштаб массовой истерии, если не дай боже выясниться, что утекло эдакое личное, щепетильное и чужое.
Как сообщил калифорнийский производитель, расследование находится на ранней стадии и компания координирует усилия с правоохранительными органами. Ну, а пока не работает вся экосистема My Cloud, включая My Cloud Home, My Cloud Home Duo, My Cloud OS5, а также недоступны сервисы SanDisk ibi, SanDisk Ixpand Wireless Charger.
Учитывая, что компания позиционирует себя, как поставщик простой, эффективной и безопасной платформы хранения данных с многочисленными наградами в области резервного копирования и защиты от ransomware на основе ИИ, Western Digital попадет в весьма печальный неудобняк, когда на какой-то из DLS появятся пруфы с утечкой и письмецо с N нулями.
Интерес со стороны злоумышленников очевиден. Для справки WD продает устройства хранения клиентам по всему миру, включая облачные гиперскейлеры, доходы которой составили 18,7 миллиарда долларов в 2022 году, причем доходы от облачных хранилищ составляют 42% от ее общей выручки.
Но будем посмотреть.
ITPro
Western Digital suffers cyber attack, shuts down systems
Customers are taking to Twitter to report they’re unable to log into their storage products through Western Digital’s online portal
Пока президент США отстаивает демократию и борется за конфиденциальность, пытаясь навязать правила игры для поставщиков шпионского ПО, другая - задняя часть его госаппарата продолжает исправно проплачивать счета за эти же технологии через подставные компании.
Если верить The New York Times, американский филиал теперь уже широко разрекламированной израильской хакерской NSO Group по соглашению от 8 ноября 2021 года предоставила американским структурам доступ к сервису Landmark, который позволяет тайно отслеживать местоположение мобильного телефона по всему миру в режиме онлайн.
Заключение сделки происходило за пять дней до того, как администрация Байдена объявила о принятии санкции против NSO, а со стороны заказчика документ был подписан руководителем Cleopatra Holding с вымышленными данными.
Это тот же господрядчик из Нью-Джерси под реальным названием Riva Networks, которую ФБР использовало в 2019 году для покупки Pegasus.
Контракт и по сей день продолжает действовать, по запросам спецслужбы получают геолокации целей.
Рассекреченный журналистами секретный контракт свидетельствует о продолжающейся борьбе за контроль над мощным кибероружием как между правительствами, так и внутри правительств, включая Соединенные Штаты.
Причем, все инсинуации вокруг той же NSO больше походят на попытку рейдерства технологий со стороны штатов, попутно извлекая от поставщика нужные разведданные как по линии разведки, так и для внутриполитических вопросов.
Для этого использовалась схема с привлечением лондонского фонда прямых инвестиций Novalpina Capital и создания на территории штатов холдинговой компании Gideon Cyber Systems, через которую NSO планировалось вывести на крупных заказчиков в США и его союзников.
Позже был период сложных переговоров с высокими чинами из спецслужб США и Израиля. Итогом стало соглашение о приобретении американским оборонным гигантом L3Harris активов NSO, которое в конце концов ничем не закончилось.
Тем временем, NSO уже была поймана на крючок скандала из-за разоблачения злоупотреблений Pegasus, что привело к жесткому прессингу и началу более глобального передела.
NSO не спасло даже сближение с другой американской фирмы Boldend, имеющей тесные связи с ЦРУ и АНБ.
Но это не помешало Cleopatra Holdings по-прежнему ежемесячно платить Gideon Cyber Solutions за доступ к Landmark.
А значит, что передел продолжится, затрагивая более обширный арсенал шпионских технологий и игроков рынка.
Если верить The New York Times, американский филиал теперь уже широко разрекламированной израильской хакерской NSO Group по соглашению от 8 ноября 2021 года предоставила американским структурам доступ к сервису Landmark, который позволяет тайно отслеживать местоположение мобильного телефона по всему миру в режиме онлайн.
Заключение сделки происходило за пять дней до того, как администрация Байдена объявила о принятии санкции против NSO, а со стороны заказчика документ был подписан руководителем Cleopatra Holding с вымышленными данными.
Это тот же господрядчик из Нью-Джерси под реальным названием Riva Networks, которую ФБР использовало в 2019 году для покупки Pegasus.
Контракт и по сей день продолжает действовать, по запросам спецслужбы получают геолокации целей.
Рассекреченный журналистами секретный контракт свидетельствует о продолжающейся борьбе за контроль над мощным кибероружием как между правительствами, так и внутри правительств, включая Соединенные Штаты.
Причем, все инсинуации вокруг той же NSO больше походят на попытку рейдерства технологий со стороны штатов, попутно извлекая от поставщика нужные разведданные как по линии разведки, так и для внутриполитических вопросов.
Для этого использовалась схема с привлечением лондонского фонда прямых инвестиций Novalpina Capital и создания на территории штатов холдинговой компании Gideon Cyber Systems, через которую NSO планировалось вывести на крупных заказчиков в США и его союзников.
Позже был период сложных переговоров с высокими чинами из спецслужб США и Израиля. Итогом стало соглашение о приобретении американским оборонным гигантом L3Harris активов NSO, которое в конце концов ничем не закончилось.
Тем временем, NSO уже была поймана на крючок скандала из-за разоблачения злоупотреблений Pegasus, что привело к жесткому прессингу и началу более глобального передела.
NSO не спасло даже сближение с другой американской фирмы Boldend, имеющей тесные связи с ЦРУ и АНБ.
Но это не помешало Cleopatra Holdings по-прежнему ежемесячно платить Gideon Cyber Solutions за доступ к Landmark.
А значит, что передел продолжится, затрагивая более обширный арсенал шпионских технологий и игроков рынка.
NY Times
A Front Company and a Fake Identity: How the U.S. Came to Use Spyware It Was Trying to Kill.
The Biden administration has been trying to choke off use of hacking tools made by the Israeli firm NSO. It turns out that not every part of the government has gotten the message.
Британская аутсорсинговая фирма Capita подверглась кибератаке.
И все бы ничего, если не одно важное обстоятельство: среди клиентов - в основном критически важные инфраструктурные организации, в том числе Национальная служба здравоохранения (NHS) и Министерство обороны, а также ряд известных компаний таких, как O2, Vodafone, Королевский банк Шотландии и др.
Причем с прошлого года компания получила подряд на управление инженерной и технической поддержкой учебных тренажеров для атомных подводных лодок с баллистическими ракетами Королевского флота.
Компания работает с силовиками и ИБ-специалистами для расследования инцидента. Подробности атаки или объем утечки не раскрываются. Безусловно, предпринимаются все «немедленные шаги» для защиты систем и данных клиентов.
Киберинцидент, в первую очередь, повлиял на доступ к внутренним приложениям Microsoft Office 365. Кроме того, атака привела к сбоям в работе сервисов ограниченного числа клиентов. Кто из них корректно пострадал Capita не уточняет.
Пока из реального подтвержденного ущерба можно лишь рассматривать падение акций на 3%.
С другой стороны, учитывая наличие всех признаков пребывания в сети жертвы операторов ransomware и особый уровень клиентов, основной ущерб будет измеряться даже не деньгами.
Но самое замечательное в этой истории, что Capita наступает на одни и те же грабли не в первый раз. В прошлом ее уже выхлапывали хакеры в 2019 году и тогда обстоятельства инцидента замяли.
Несмотря на это, компания смогла порешать все вопросы и даже заполучить господряды по линии обороны. Видимо и бюджет на ИБ распилился на этом этапе.
И все бы ничего, если не одно важное обстоятельство: среди клиентов - в основном критически важные инфраструктурные организации, в том числе Национальная служба здравоохранения (NHS) и Министерство обороны, а также ряд известных компаний таких, как O2, Vodafone, Королевский банк Шотландии и др.
Причем с прошлого года компания получила подряд на управление инженерной и технической поддержкой учебных тренажеров для атомных подводных лодок с баллистическими ракетами Королевского флота.
Компания работает с силовиками и ИБ-специалистами для расследования инцидента. Подробности атаки или объем утечки не раскрываются. Безусловно, предпринимаются все «немедленные шаги» для защиты систем и данных клиентов.
Киберинцидент, в первую очередь, повлиял на доступ к внутренним приложениям Microsoft Office 365. Кроме того, атака привела к сбоям в работе сервисов ограниченного числа клиентов. Кто из них корректно пострадал Capita не уточняет.
Пока из реального подтвержденного ущерба можно лишь рассматривать падение акций на 3%.
С другой стороны, учитывая наличие всех признаков пребывания в сети жертвы операторов ransomware и особый уровень клиентов, основной ущерб будет измеряться даже не деньгами.
Но самое замечательное в этой истории, что Capita наступает на одни и те же грабли не в первый раз. В прошлом ее уже выхлапывали хакеры в 2019 году и тогда обстоятельства инцидента замяли.
Несмотря на это, компания смогла порешать все вопросы и даже заполучить господряды по линии обороны. Видимо и бюджет на ИБ распилился на этом этапе.
the Guardian
Failed IT systems at Capita fuel fears of cyber-attack on crucial NHS provider
Staff unable to access computers and local authority phone lines knocked out as outsourcing giant investigates possible data breach
Пока пользователи Twitter обсуждают Доге, сменившей привычную голубую птичку, исследователи выясняют подробности новой баги, которая была обнаружена в алгоритме рекомендации платформы на третий день раскрытия исходного кода.
Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.
Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.
Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.
Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.
Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.
В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.
Насколько эффективными окажутся - будем посмотреть.
Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.
Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.
Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.
Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.
Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.
В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.
Насколько эффективными окажутся - будем посмотреть.
GitHub
GitHub - twitter/the-algorithm: Source code for the X Recommendation Algorithm
Source code for the X Recommendation Algorithm. Contribute to twitter/the-algorithm development by creating an account on GitHub.
С того момента, как стало известно об атаке на цепочку поставок посредством 3CX VoIP половина инфосек общественности бегает с душераздирающими криками по кругу, а вендоры наперебой дают советы по снижению возможных негативных последствий, хотя в основном рекламят свои решения, - Cyble, Group-IB, Zscaler, Rapid 7 (с празднованием Месяца женской истории наперевес), Sophos, Trend Micro, Cisco Talos, Palo Alto Networks и прочие. И только в лыжи обутые словаки из ESET рассказывают про основы приватности на OnlyFans.
Ну а Лаборатория Касперского дает отчет о дополнительной атрибуции стоящей за атакой APT, чем нас немало радует.
Сразу сделаем оговорку. В последнее время нас стали обвинять в том, что мы слишком много даем Касперских. А все очень просто - Касперские по количеству публикуемых отчетов лидеры не только в России, но и, зачастую, в мире. Давали бы так материалы Дсеки, Позитивы, Бизоны, да те же ГрИБы, - с удовольствием делали бы обзор (что изредка и происходит). Но не дают, шельмецы. Хотя мы все равно их всех любим.
И что же, нам из-за мнения комментаторов специально пропускать интересные отчеты? Ага, щаз. Да и в атрибуцию Касперские любят. А атрибуция - наш фетиш, как известно.
Возвращаясь к сути поста. Дружелюбные привидения обнаружили, что помимо инфостилера в качестве полезной нагрузки в ходе атаки была подтянута некая библиотека guard64.dll, которая в 2020 году была замечена на атакованной машине вместе с бэкдором AppleJeus. принадлежащем Lasarus, пожалуй самой нашей любимой APT ("Ким Чен Ин шагает впереди✊") Guard64.dll представляла собой один из модулей бэкдора Gopuram, полноценного трояна удаленного доступа.
Таким образом получены весомые дополнительные, хоть и косвенные, аргументы в пользу того, что за атакой на 3CX стоят северокорейские APT.
А сама атака, конечно, красивая. Прямо произведение искусства. Как скрипка Страдивари. Ну или как маузер Дзержинского...
Ну а Лаборатория Касперского дает отчет о дополнительной атрибуции стоящей за атакой APT, чем нас немало радует.
Сразу сделаем оговорку. В последнее время нас стали обвинять в том, что мы слишком много даем Касперских. А все очень просто - Касперские по количеству публикуемых отчетов лидеры не только в России, но и, зачастую, в мире. Давали бы так материалы Дсеки, Позитивы, Бизоны, да те же ГрИБы, - с удовольствием делали бы обзор (что изредка и происходит). Но не дают, шельмецы. Хотя мы все равно их всех любим.
И что же, нам из-за мнения комментаторов специально пропускать интересные отчеты? Ага, щаз. Да и в атрибуцию Касперские любят. А атрибуция - наш фетиш, как известно.
Возвращаясь к сути поста. Дружелюбные привидения обнаружили, что помимо инфостилера в качестве полезной нагрузки в ходе атаки была подтянута некая библиотека guard64.dll, которая в 2020 году была замечена на атакованной машине вместе с бэкдором AppleJeus. принадлежащем Lasarus, пожалуй самой нашей любимой APT ("Ким Чен Ин шагает впереди✊") Guard64.dll представляла собой один из модулей бэкдора Gopuram, полноценного трояна удаленного доступа.
Таким образом получены весомые дополнительные, хоть и косвенные, аргументы в пользу того, что за атакой на 3CX стоят северокорейские APT.
А сама атака, конечно, красивая. Прямо произведение искусства. Как скрипка Страдивари. Ну или как маузер Дзержинского...
Telegram
SecAtor
Ресерчеры призывают удалять десктопное приложение 3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более…
3CX — разработчик ПО VoIP IPBX, чья система насчитывает более…
Команда Team82 из Сlaroty после успешной обкатки на Pwn2Own Miami ICS решили поделиться с инфосек-сообществом сетевым фаззером OPC UA собственной разработки.
Как показала практика, фаззер оказался весьма полезен в исследованиях при широком подходе к атаке серверов OPC UA для поиска незначительных ошибок в реализациях сетевых протоколов, позволяя затем более глубоко погрузиться в каждую реализацию.
Так и получилось, что сетевой фаззер Team82 в в качестве фреймворка сыграл ключевую роль в процессе атаки на сервер KepwareEX в ходе хакерского конкурса, многие из целей которого как раз и были популярными серверами OPC UA.
Ресерчерам удалось вызвать сбой, который лег в основу RCE-экспорта и принес по итогу награду в 20 000 долларов, а обнаруженные 0-day впоследствии были исправлены поставщиком PTC в соответствии с регламентом ZDI.
За основу фаззера исследователи взяли сетевой фаззер boofuzz, который, в свою очередь, реализован на фаззинговой среде Sulley. Написан на Python, что очень удобно для написания кода поверх него.
Для построния фаззера Team82 полностью реализовали инициацию сеанса OPC UA, воссоздав всю структуру для обработки отправки и получения пакетов. С точки зрения целевого сервера инструмент имитирует «обычного» клиента, который отправляет много странных сообщений OPC UA.
Знакомиться со списком атрибутов и сервисов OPC UA, которые фаззили исследователи можно на странице Team82, а сам инструмент доступен на GitHub.
Как показала практика, фаззер оказался весьма полезен в исследованиях при широком подходе к атаке серверов OPC UA для поиска незначительных ошибок в реализациях сетевых протоколов, позволяя затем более глубоко погрузиться в каждую реализацию.
Так и получилось, что сетевой фаззер Team82 в в качестве фреймворка сыграл ключевую роль в процессе атаки на сервер KepwareEX в ходе хакерского конкурса, многие из целей которого как раз и были популярными серверами OPC UA.
Ресерчерам удалось вызвать сбой, который лег в основу RCE-экспорта и принес по итогу награду в 20 000 долларов, а обнаруженные 0-day впоследствии были исправлены поставщиком PTC в соответствии с регламентом ZDI.
За основу фаззера исследователи взяли сетевой фаззер boofuzz, который, в свою очередь, реализован на фаззинговой среде Sulley. Написан на Python, что очень удобно для написания кода поверх него.
Для построния фаззера Team82 полностью реализовали инициацию сеанса OPC UA, воссоздав всю структуру для обработки отправки и получения пакетов. С точки зрения целевого сервера инструмент имитирует «обычного» клиента, который отправляет много странных сообщений OPC UA.
Знакомиться со списком атрибутов и сервисов OPC UA, которые фаззили исследователи можно на странице Team82, а сам инструмент доступен на GitHub.
Claroty
Boost Your Network with Team82's boofuzz OPC UA Fuzzer
Team82 Releases Homegrown OPC UA Network Fuzzer Based on Boofuzz. Discover the opportunity with Claroty.
HP сообщает о критической уязвимости, которая затрагивает прошивки около 50 моделей премиальных принтеров HP Enterprise LaserJet и HP LaserJet Managed.
Проблема отслеживается как CVE-2023-1707 и имеет оценку серьезности 9,1 из 10 по CVSS v3.1. Проблема была обнаружена компанией в ходе внутреннего тестирования решений.
Эксплуатация потенциально может привести к раскрытию информации между принтерами и другими устройствами в сети, но возможно при определенных условиях.
На уязвимых устройствах должна быть установлена прошивка FutureSmart версии 5.6 с включенным IPsec. Функция позволяет пользователям управлять принтером либо с панели управления на принтере либо удаленно из веб-браузера.
Период потенциального воздействия уязвимости охватывал февраля-март 2023 года и затрагивал клиентов, использующих опредлевлонные версии FutureSmart 5.6.
HP пообещала выпустить обновления для прошивки в течение 90 дней, порекомендовав клиентам понизить версию FutureSmart до FS 5.5.0.3.
Представители HP ничего не знает об активных эксплуатациях, но с достаточно большой степенью вероятности можно говорить, что с учетом высокой оценки критичности хакеры за 90 дней успеют выяснить детали ошибки и разработать эксплойт.
Так что, админам и ИБ продолжать наблюдение, с вами свяжутся - либо с той либо с другой стороны.
Проблема отслеживается как CVE-2023-1707 и имеет оценку серьезности 9,1 из 10 по CVSS v3.1. Проблема была обнаружена компанией в ходе внутреннего тестирования решений.
Эксплуатация потенциально может привести к раскрытию информации между принтерами и другими устройствами в сети, но возможно при определенных условиях.
На уязвимых устройствах должна быть установлена прошивка FutureSmart версии 5.6 с включенным IPsec. Функция позволяет пользователям управлять принтером либо с панели управления на принтере либо удаленно из веб-браузера.
Период потенциального воздействия уязвимости охватывал февраля-март 2023 года и затрагивал клиентов, использующих опредлевлонные версии FutureSmart 5.6.
HP пообещала выпустить обновления для прошивки в течение 90 дней, порекомендовав клиентам понизить версию FutureSmart до FS 5.5.0.3.
Представители HP ничего не знает об активных эксплуатациях, но с достаточно большой степенью вероятности можно говорить, что с учетом высокой оценки критичности хакеры за 90 дней успеют выяснить детали ошибки и разработать эксплойт.
Так что, админам и ИБ продолжать наблюдение, с вами свяжутся - либо с той либо с другой стороны.
Британская Sophos предупреждает клиентов об уязвимостях в Sophos Web Appliance (SWA), одна из которых критическая.
Похоже, что Sophos продолжает оставаться в линейке поставщиков решений безопасности с дырявымисистемами мониторинга и и исследования угроз.
Плечом к плечу со своими японскими коллегами из Trend Micro, благодаря которым злоумышленники однажды украли корпоративную информацию у Mitsubishi Electric.
Как помнится, не далеко ушла румынская Bitdefender и чешская Avast, не говоря уже про микромягких.
Обновленная Sophos Web Appliance 4.3.10.4 устраняет уязвимости безопасности CVE-2023-1671 (критическая), CVE-2022-4934 (высокий уровень серьезности) и CVE-2020-36692 (средний уровень), которые были обнаружены внешними исследователями в рамках Sophos bug bounty.
Первая из ошибок касается внедрения команд перед аутентификацией в обработчике warn-proceed и реализует RCE, вторая - аналогичная RCE затрагивает мастер исключений.
Третья XSS-уязвимость позволяет выполнять код JavaScript в браузере и выполняется в случае отправки жертвой вредоносной формы на веб-сайте, контролируемом злоумышленником, при входе в SWA.
Обновления устанавливаются автоматически, но клиентам следует помнить, что 20 июля истекает срок службы SWA, после чего волшебства уже не следует ожидать.
Похоже, что Sophos продолжает оставаться в линейке поставщиков решений безопасности с дырявымисистемами мониторинга и и исследования угроз.
Плечом к плечу со своими японскими коллегами из Trend Micro, благодаря которым злоумышленники однажды украли корпоративную информацию у Mitsubishi Electric.
Как помнится, не далеко ушла румынская Bitdefender и чешская Avast, не говоря уже про микромягких.
Обновленная Sophos Web Appliance 4.3.10.4 устраняет уязвимости безопасности CVE-2023-1671 (критическая), CVE-2022-4934 (высокий уровень серьезности) и CVE-2020-36692 (средний уровень), которые были обнаружены внешними исследователями в рамках Sophos bug bounty.
Первая из ошибок касается внедрения команд перед аутентификацией в обработчике warn-proceed и реализует RCE, вторая - аналогичная RCE затрагивает мастер исключений.
Третья XSS-уязвимость позволяет выполнять код JavaScript в браузере и выполняется в случае отправки жертвой вредоносной формы на веб-сайте, контролируемом злоумышленником, при входе в SWA.
Обновления устанавливаются автоматически, но клиентам следует помнить, что 20 июля истекает срок службы SWA, после чего волшебства уже не следует ожидать.
SOPHOS
Cybersecurity as a Service Delivered | Sophos
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
Genesis Market пал под гнетом американских спецслужб.
Захват домена проведен в рамках операции Cookie Monster, инциированной ФБР. Участники обвиняются в содействии крупномасштабной краже личных данных пользователей.
Жаль, хороший был маркетплейс.
Просуществовал более пяти лет. Открылся в 2017 и уже к 2020 году стал одной из популярнейших площадок, выделяясь на фоне Russian Market и 2easy Shop.
В основном на Genesis банчили логами - учетными данными, в том числе для Gmail, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom, Ebay и иным эксклюзивом в формате корпоративных доменов и файлов cookie, так называемых фингерпринтов для различных устройств.
Genesis Market играл одну из ключевых ролей в получении киберпреступниками доступа к взломанным компьютерам для осуществления других форм мошенничества, включая кражу личных данных и атак с использованием ransomware.
С 2018 года на Genesis было реализовано более 135 000 000 цифровых отпечатков, а большая часть ворованных данных на исходила от малвари AZORult.
Судя по всему операция является частью международной силовой кампании, если верить уведомлению бюро, в котором упомянуты многочисленные европейские правоохранительные структуры от Германии до Соединенного Королевства.
Официальных заявлений еще не поступало и сведений о задержании причастных лиц нет.
Тем временем ФБР объявила об их розыске и призывает делиться любой оперативно значимой информацией. Во всяком случае логи и прочая идентифицирующая информация уже в разработке.
Будем посмотреть.
Захват домена проведен в рамках операции Cookie Monster, инциированной ФБР. Участники обвиняются в содействии крупномасштабной краже личных данных пользователей.
Жаль, хороший был маркетплейс.
Просуществовал более пяти лет. Открылся в 2017 и уже к 2020 году стал одной из популярнейших площадок, выделяясь на фоне Russian Market и 2easy Shop.
В основном на Genesis банчили логами - учетными данными, в том числе для Gmail, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom, Ebay и иным эксклюзивом в формате корпоративных доменов и файлов cookie, так называемых фингерпринтов для различных устройств.
Genesis Market играл одну из ключевых ролей в получении киберпреступниками доступа к взломанным компьютерам для осуществления других форм мошенничества, включая кражу личных данных и атак с использованием ransomware.
С 2018 года на Genesis было реализовано более 135 000 000 цифровых отпечатков, а большая часть ворованных данных на исходила от малвари AZORult.
Судя по всему операция является частью международной силовой кампании, если верить уведомлению бюро, в котором упомянуты многочисленные европейские правоохранительные структуры от Германии до Соединенного Королевства.
Официальных заявлений еще не поступало и сведений о задержании причастных лиц нет.
Тем временем ФБР объявила об их розыске и призывает делиться любой оперативно значимой информацией. Во всяком случае логи и прочая идентифицирующая информация уже в разработке.
Будем посмотреть.
Punto Informatico
Cookie Monster: FBI ha chiuso Genesis Market
Stop a Genesis Market, lo store che proponeva ai cybercriminali bot in grado di impersonare le loro vittime: l'operazione Cookie Monster.
Symantec сообщают о новых кампаниях АРТ Arid Viper с обновленным набором вредоносных ПО, нацеленных на палестинские объекты начиная с сентября 2022 года.
Злонамеренная активность началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. При этом первоначальный вектор заражения для этой кампании остается неизвестным.
Известная также как APT-C-23, Deserts Falcons, Two-tailed Scorpion и отлеживаемая Symantec в качестве Mantis, группа на этот раз, по версии исследователей, развернула до трех разных версий собственных имплантатов Micropsia и Arid Gopher в системах жертв для взлома целей с последующей эксфильтрацией украденных данных.
Исполняемый файл Arid Gopher, закодированный на Go, представляет собой вариант вредоносного ПО Micropsia, впервые задокументированое Deep Instinct в марте 2022 года. Он предназначен для кражи информации, его главной целью является создание плацдарма для сбора конфиденциальной системной информации и отправки ее обратно на C2.
Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки, также реализует функции кейлогинга, создания скринов и сохранения файлов Microsoft Office в архивах RAR для эксфильтрации с помощью специального инструмента на основе Python.
В целом же, в арсенале Mantis целый спектр самописных вредоносных инструментов, таких как ViperRat, FrozenCell (VolatileVenom) и Micropsia, для реализации своих кампаний на платформах Windows, Android и iOS.
Кроме того, с апреля 2022 года Mantis вооружились новым бэкдором Windows под названием BarbWire, который использовался для атак на высокопоставленных израильских лиц из числа сотрудников объектов обороны, силовых структур и спецслужб.
Вредоносное ПО доставлялось жертвам посредством фишинговые рассылок и через фейковые аккаунты в соцсетях.
Как полагают Symantec АРТ продолжает предпринимать решительные шаги, включающие обширную переработку вредоносного ПО и дифференциацию инструментов в отношении различных категорий целей, делая это для сокрытия и поддержания постоянного присутствия в скомпрометированных сетях.
Однако, как известно AridViper считается палестинской хакерской группой, за которой, предположительно, стоит ХАМАС, а основная сфера заинтересованности APT, как мы уже не раз наблюдали, это, прежде всего, страны Ближнего Востока (особенно Израиль).
Отсюда вероятнее, что за последними активностями все же стоят израильтяне, решившие выступить под чужим флагом, копируя TTPs Mantis.
Злонамеренная активность началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. При этом первоначальный вектор заражения для этой кампании остается неизвестным.
Известная также как APT-C-23, Deserts Falcons, Two-tailed Scorpion и отлеживаемая Symantec в качестве Mantis, группа на этот раз, по версии исследователей, развернула до трех разных версий собственных имплантатов Micropsia и Arid Gopher в системах жертв для взлома целей с последующей эксфильтрацией украденных данных.
Исполняемый файл Arid Gopher, закодированный на Go, представляет собой вариант вредоносного ПО Micropsia, впервые задокументированое Deep Instinct в марте 2022 года. Он предназначен для кражи информации, его главной целью является создание плацдарма для сбора конфиденциальной системной информации и отправки ее обратно на C2.
Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки, также реализует функции кейлогинга, создания скринов и сохранения файлов Microsoft Office в архивах RAR для эксфильтрации с помощью специального инструмента на основе Python.
В целом же, в арсенале Mantis целый спектр самописных вредоносных инструментов, таких как ViperRat, FrozenCell (VolatileVenom) и Micropsia, для реализации своих кампаний на платформах Windows, Android и iOS.
Кроме того, с апреля 2022 года Mantis вооружились новым бэкдором Windows под названием BarbWire, который использовался для атак на высокопоставленных израильских лиц из числа сотрудников объектов обороны, силовых структур и спецслужб.
Вредоносное ПО доставлялось жертвам посредством фишинговые рассылок и через фейковые аккаунты в соцсетях.
Как полагают Symantec АРТ продолжает предпринимать решительные шаги, включающие обширную переработку вредоносного ПО и дифференциацию инструментов в отношении различных категорий целей, делая это для сокрытия и поддержания постоянного присутствия в скомпрометированных сетях.
Однако, как известно AridViper считается палестинской хакерской группой, за которой, предположительно, стоит ХАМАС, а основная сфера заинтересованности APT, как мы уже не раз наблюдали, это, прежде всего, страны Ближнего Востока (особенно Израиль).
Отсюда вероятнее, что за последними активностями все же стоят израильтяне, решившие выступить под чужим флагом, копируя TTPs Mantis.
Security
Mantis: New Tooling Used in Attacks Against Palestinian Targets
Espionage group puts time and effort into avoiding detection and maintaining persistent presence on compromised networks.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• Мы все помним новость, когда под видом браузера #Tor на сторонних интернет-ресурсах злоумышленники распространяли троянца CryptoClipper. При попадании в систему жертвы он регистрируется в автозапуске, маскируясь иконкой какого-либо популярного приложения, например, uTorrent. Как только троян обнаруживает в буфере обмена адрес, похожий на криптокошелёк, он тут же меняет его на один из адресов, принадлежащих атакующему.• Дело в том, что зловред пассивен большую часть времени, из-за чего его трудно заметить в системе. Большинству вредоносных программ требуется канал связи между оператором и системой жертвы, данный же зловред действует без связи и полностью автономен. Такие программы могут годами находиться в системе пользователя, не проявляя признаков присутствия, пока не достигнут цели — подмены адреса криптокошелька жертвы.
• Чтобы не стать жертвой подобной атаки, нужно быть всегда начеку и использовать надежное защитное решение, которое сможет обнаружить вредоносный код. Ну а пока такие атаки продолжаются, нелишним будет разобраться, как они работают и где именно кроется опасность:
• https://securelist.ru/copy-paste-heist-clipboard-injector-targeting-cryptowallets/107180/
S.E. ▪️ S.E.Relax ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
͏Подкатили подробности операции Cookie Monster, проведенной западными спецслужбами в отношении Genesis Market.
Скоординированные мероприятия проводились на территории 17 стран, включая Австралию, Канаду, Данию, Эстонию, Финляндию, Францию, Германию, Италию, Нидерланды, Новую Зеландию, Польшу, Румынию, Испанию, Швецию, Швейцарию, Великобританию и США.
Помимо конфискации доменов и захвата инфраструктуры, силовики провели 119 арестов и 208 обысков, а также допросили 97 лиц.
При этом это далеко не последние задержания.
Согласно представленным Минюстом США документам, ФБР выхлопали бэк еще 9 декабря 2020 года.
В распоряжении спецслужб оказались все логи, включая имена 59 000 пользователей, их пароли, адреса электронной почты, учетные записи Jabber, адреса BTC, историю операций и т.д.
Несмотря на то, что администраторы платформы старались скрыть свои операций и хостинговую инфраструктуру, ФБР в результате контрольных закупок и дальнейшего деанона все же смогли найти и идентифицировать внутренние серверы Genesis, а впоследствии и участников площадки.
Кроме того, подсчеты показали, что владельцы платформы смогли заработать более 8,7 млн. долларов с момента основания сайта в 2018 году, реализовав порядка 80 миллионов учетных данных, в том числе более 200 000, связанных с госсектором.
Правда как бы ни распинался генпрокурор США, называя операцию беспрецедентным уничтожением крупного криминального рынка, админы GenesisMarket уже принесли извинения за неудобства в связи с конфискацией их домена Европолом и пообещали в скором времени восстановить ресурс.
При этом как отмечают исследователи, onion-версия Genesis по-прежнему доступна без всяких ограничений, а представители ФБР отказались от комментариев на этот счет.
Спецслужбы тем не мене продолжают расследование, а голландская полиция представила специальный портал, на котором каждый может проверить, не был ли он скомпрометирован.
Будем следить за ситуацией.
Скоординированные мероприятия проводились на территории 17 стран, включая Австралию, Канаду, Данию, Эстонию, Финляндию, Францию, Германию, Италию, Нидерланды, Новую Зеландию, Польшу, Румынию, Испанию, Швецию, Швейцарию, Великобританию и США.
Помимо конфискации доменов и захвата инфраструктуры, силовики провели 119 арестов и 208 обысков, а также допросили 97 лиц.
При этом это далеко не последние задержания.
Согласно представленным Минюстом США документам, ФБР выхлопали бэк еще 9 декабря 2020 года.
В распоряжении спецслужб оказались все логи, включая имена 59 000 пользователей, их пароли, адреса электронной почты, учетные записи Jabber, адреса BTC, историю операций и т.д.
Несмотря на то, что администраторы платформы старались скрыть свои операций и хостинговую инфраструктуру, ФБР в результате контрольных закупок и дальнейшего деанона все же смогли найти и идентифицировать внутренние серверы Genesis, а впоследствии и участников площадки.
Кроме того, подсчеты показали, что владельцы платформы смогли заработать более 8,7 млн. долларов с момента основания сайта в 2018 году, реализовав порядка 80 миллионов учетных данных, в том числе более 200 000, связанных с госсектором.
Правда как бы ни распинался генпрокурор США, называя операцию беспрецедентным уничтожением крупного криминального рынка, админы GenesisMarket уже принесли извинения за неудобства в связи с конфискацией их домена Европолом и пообещали в скором времени восстановить ресурс.
При этом как отмечают исследователи, onion-версия Genesis по-прежнему доступна без всяких ограничений, а представители ФБР отказались от комментариев на этот счет.
Спецслужбы тем не мене продолжают расследование, а голландская полиция представила специальный портал, на котором каждый может проверить, не был ли он скомпрометирован.
Будем следить за ситуацией.
͏Исследователи Resecurity в новом отчете фокусируются на относительно новой даркнет-площадке STYX, которая реализует услуги по финансовому мошенничеству и, можно сказать, заявилась следующим кандидатом на размещение банера Интерпола вслед за утопающим Genesis Market.
STYX открылась 19 января и реализует систему условного депонирования для посредничества в сделках между покупателями и продавцами.
Первые упоминания начали циркулировать в даркнете с начала 2022 года, когда владельцы только начинали разработку.
Среди предоставляемых услуг: отмывание денег, кража личных данных, DDoS, обход 2FA и фильтров защиты от мошенничества, поддельные, украденные учетные и личные данные, MaaS, сервисы обнала, телефонный флуд и рассылки, пробив, учебные пособия по киберпреступлениям и др.
STYX поддерживает платежи с криптой и имеет специальный раздел, предназначенный для доверенных продавцов, представлены также Telegram-боты для взаимодействия с покупателями и демонстрации образцов реализуемых продуктов/услуг.
Раздел по отмыванию криминальных средств — один из самых главных в STYX, поскольку легализация доходов — важнейшая часть в деятельности киберпреступников.
Как правило, объемы начинаются минимум с 15 000 долларов США для физических лиц и 75 000 для предприятий, удерживается комиссия, которая зависит от популярности сервиса/банка, сложности процесса обналичивания.
В STYX представлено множество селлеров по обналичиванию, которые охватывают весь мир, предлагая чистые средства через Apply Pay, бизнес-счета PayPal с торговыми терминалами и различные финансовые учреждения в США, Великобритании и Канаде.
Появление STYX в качестве новой платформы для финансово мотивированных киберпреступников свидетельствует, что рынок нелегальных услуг продолжает оставаться прибыльным и весьма востребованным бизнесом.
STYX открылась 19 января и реализует систему условного депонирования для посредничества в сделках между покупателями и продавцами.
Первые упоминания начали циркулировать в даркнете с начала 2022 года, когда владельцы только начинали разработку.
Среди предоставляемых услуг: отмывание денег, кража личных данных, DDoS, обход 2FA и фильтров защиты от мошенничества, поддельные, украденные учетные и личные данные, MaaS, сервисы обнала, телефонный флуд и рассылки, пробив, учебные пособия по киберпреступлениям и др.
STYX поддерживает платежи с криптой и имеет специальный раздел, предназначенный для доверенных продавцов, представлены также Telegram-боты для взаимодействия с покупателями и демонстрации образцов реализуемых продуктов/услуг.
Раздел по отмыванию криминальных средств — один из самых главных в STYX, поскольку легализация доходов — важнейшая часть в деятельности киберпреступников.
Как правило, объемы начинаются минимум с 15 000 долларов США для физических лиц и 75 000 для предприятий, удерживается комиссия, которая зависит от популярности сервиса/банка, сложности процесса обналичивания.
В STYX представлено множество селлеров по обналичиванию, которые охватывают весь мир, предлагая чистые средства через Apply Pay, бизнес-счета PayPal с торговыми терминалами и различные финансовые учреждения в США, Великобритании и Канаде.
Появление STYX в качестве новой платформы для финансово мотивированных киберпреступников свидетельствует, что рынок нелегальных услуг продолжает оставаться прибыльным и весьма востребованным бизнесом.
Google выпустила Chrome 112 в стабильном канале с исправлениями для 16 уязвимостей, 2 из которых имеют рейтинг высокой степени серьезности и 9 - средний.
Самая серьезная из них — ошибка переполнения буфера кучи в Visuals. Уязвимость, отслеживаемая как CVE-2023-1810, была обнаружена Weipeng Jiang из VRI в феврале 2023 г., который заработал за это 5000 долларов США.
Другая уязвимость связана с использованием после освобождения во фреймах и отслеживается как CVE-2023-1811. Google выплатила вознаграждение в размере 3000 долларов США обнаружившему ее Томасу Орлита. Эта проблема может привести к сбою или RCE.
Исправленные уязвимости средней степени серьезности включают ошибки различных категорий (от доступа за пределы памяти до переполнения буфера кучи) и затрагивают такие компоненты, как привязки DOM, безопасный просмотр, сетевые API, функцию «картинка в картинке», специальные возможности, историю браузера, расширения и Vulkan.
Три уязвимости с низким уровнем серьезности влияют на компоненты WebShare, Navigation и FedCM.
Последняя версияила Chrome доступна как 112.0.5615.49/50 для Windows и как версия 112.0.5615.49 для Linux и macOS.
Несмотря на то, что Google не упоминает об использовании этих уязвимостей в реальных атаках, мы прекрасно помним, как Lazarus Group использовали 0-day для удаленного выполнения кода в браузере еще за месяц до того, как стало доступно исправление, в том числе и в атаках на инфосек экспертов.
Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже.
Самая серьезная из них — ошибка переполнения буфера кучи в Visuals. Уязвимость, отслеживаемая как CVE-2023-1810, была обнаружена Weipeng Jiang из VRI в феврале 2023 г., который заработал за это 5000 долларов США.
Другая уязвимость связана с использованием после освобождения во фреймах и отслеживается как CVE-2023-1811. Google выплатила вознаграждение в размере 3000 долларов США обнаружившему ее Томасу Орлита. Эта проблема может привести к сбою или RCE.
Исправленные уязвимости средней степени серьезности включают ошибки различных категорий (от доступа за пределы памяти до переполнения буфера кучи) и затрагивают такие компоненты, как привязки DOM, безопасный просмотр, сетевые API, функцию «картинка в картинке», специальные возможности, историю браузера, расширения и Vulkan.
Три уязвимости с низким уровнем серьезности влияют на компоненты WebShare, Navigation и FedCM.
Последняя версияила Chrome доступна как 112.0.5615.49/50 для Windows и как версия 112.0.5615.49 для Linux и macOS.
Несмотря на то, что Google не упоминает об использовании этих уязвимостей в реальных атаках, мы прекрасно помним, как Lazarus Group использовали 0-day для удаленного выполнения кода в браузере еще за месяц до того, как стало доступно исправление, в том числе и в атаках на инфосек экспертов.
Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 112 to the stable channel for Windows, Mac and Linux. This will roll out ov...
͏Тайваньский производитель MSI стал одной первый жертв новой группы вымогателей Money Message, которая затребовала у жертвы круглую сумму в размере 4 000 000 долларов.
Как известно, MSI является одним из лидеров в индустрии по производству электроники и компьютерных технологий с годовым доходом, превышающим 6,5 миллиардов долларов.
Хакеры на своем DLS заявляют и сопровождают пруфами, что им удалось выкрасть базы данных CTMS и ERP поставщика оборудования, а также исходный код ПО, фреймворк для разработки BIOS и закрытые ключи.
Через пять дней весь массив 1,5 ТБ данных из систем MSI будет слит, если жертва не перечислит выкуп.
Первые упоминания о связанных с новой ransowmare инцидентах появились 28 марта 2023 года на форуме BleepingComputer.
После чего о ней уже сообщали исследователи ThreatLabz Zscaler.
На тот момент вымогатели только заявили о первых достижениях и сразу же выкатили выкуп в 1 млн. долларов, не называя жертву.
По данным исследователей, шифровальщик Money Message написан на C++, реализует ChaCha20/ECDH и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования, наименование добавляемого расширения, а также перечень не подлежащих шифрованию папок и служб, которые следует завершать.
После шифрования устройства ransomware создает записку с требованием выкупа под именем money_message.log, содержащую также ссылку на сайт переговоров в TOR и описание последствий невыполнения требований.
Пострадавший от взлома производитель пока никак не комментирует инцидент. Тем не менее переговоры жертвой ведутся.
Насколько серьезны намерения и угрозы Money Message и подтвердит ли MSI инцидент - будем посмотреть.
Как известно, MSI является одним из лидеров в индустрии по производству электроники и компьютерных технологий с годовым доходом, превышающим 6,5 миллиардов долларов.
Хакеры на своем DLS заявляют и сопровождают пруфами, что им удалось выкрасть базы данных CTMS и ERP поставщика оборудования, а также исходный код ПО, фреймворк для разработки BIOS и закрытые ключи.
Через пять дней весь массив 1,5 ТБ данных из систем MSI будет слит, если жертва не перечислит выкуп.
Первые упоминания о связанных с новой ransowmare инцидентах появились 28 марта 2023 года на форуме BleepingComputer.
После чего о ней уже сообщали исследователи ThreatLabz Zscaler.
На тот момент вымогатели только заявили о первых достижениях и сразу же выкатили выкуп в 1 млн. долларов, не называя жертву.
По данным исследователей, шифровальщик Money Message написан на C++, реализует ChaCha20/ECDH и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования, наименование добавляемого расширения, а также перечень не подлежащих шифрованию папок и служб, которые следует завершать.
После шифрования устройства ransomware создает записку с требованием выкупа под именем money_message.log, содержащую также ссылку на сайт переговоров в TOR и описание последствий невыполнения требований.
Пострадавший от взлома производитель пока никак не комментирует инцидент. Тем не менее переговоры жертвой ведутся.
Насколько серьезны намерения и угрозы Money Message и подтвердит ли MSI инцидент - будем посмотреть.
Forwarded from Russian OSINT
В 🇪🇺 ЕС представят документ о развертывании "киберкупола" за €1 млрд
Как сообщает ТАСС, Евросоюз готовит развертывание специального "киберкупола" для защиты от угроз в информационном пространстве. По словам еврокомиссара по вопросам внутреннего рынка Тьерри Бретона, он позволит обнаруживать сигналы, которые укажут на подготовку кибератаки в каком-либо секторе.
👀 "Такого не было нигде в мире, мы первые, кто сделал это на континентальном уровне, - сообщил он. - ⚔️Нам надо защищаться. <...> Речь идет об архитектуре, которая основывается на операционных центрах по кибербезопасности, представляющих собой суперкомпьютеры, оснащенные специальными алгоритмами 💀 искусственного интеллекта".
👆Европейский "Акт о кибербезопасности", предусматривающий развертывание "киберкупола", будет представлен Еврокомиссией 18 апреля.
✋ @Russian_OSINT
Как сообщает ТАСС, Евросоюз готовит развертывание специального "киберкупола" для защиты от угроз в информационном пространстве. По словам еврокомиссара по вопросам внутреннего рынка Тьерри Бретона, он позволит обнаруживать сигналы, которые укажут на подготовку кибератаки в каком-либо секторе.
👆Европейский "Акт о кибербезопасности", предусматривающий развертывание "киберкупола", будет представлен Еврокомиссией 18 апреля.
Please open Telegram to view this post
VIEW IN TELEGRAM
По традиции первая декада месяца начинается с ежемесячных патчей крупными разработчиками. Понимаем, что надоело, но не напомнить о них моветон.
На этой неделе Google анонсировала обновления безопасности за апрель 2023 года для устройств Android, исправив более чем 65 уязвимостей, включая две критические RCE.
В бюллетене безопасности описаны 26 уязвимостей, большинство из которых являются серьезными ошибками, приводящими к повышению привилегий или раскрытию информации.
Критические ошибки отслеживаются, как CVE-2023-21085 и CVE-2023-21096, но технических подробностей пока нет.
Известно, что наиболее серьезной из этих проблем является ошибка в компоненте System, которая может привести к RCE, причем эксплуатация не требует взаимодействие с пользователем или дополнительных привилегий в ОС.
Вторая порция обновлений включает исправления 40 уязвимостей в компонентах ядра, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Большинство этих ошибок оцениваются как серьезные, а четыре недостатка влияющих на компоненты Qualcomm, вовсе считаются критическими.
Второй месяц подряд Google запаздывает с публикацией бюллетеня по безопасности для Pixel, также не было объявлено об исправлениях безопасности для Android Automotive OS.
На этой неделе Google анонсировала обновления безопасности за апрель 2023 года для устройств Android, исправив более чем 65 уязвимостей, включая две критические RCE.
В бюллетене безопасности описаны 26 уязвимостей, большинство из которых являются серьезными ошибками, приводящими к повышению привилегий или раскрытию информации.
Критические ошибки отслеживаются, как CVE-2023-21085 и CVE-2023-21096, но технических подробностей пока нет.
Известно, что наиболее серьезной из этих проблем является ошибка в компоненте System, которая может привести к RCE, причем эксплуатация не требует взаимодействие с пользователем или дополнительных привилегий в ОС.
Вторая порция обновлений включает исправления 40 уязвимостей в компонентах ядра, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Большинство этих ошибок оцениваются как серьезные, а четыре недостатка влияющих на компоненты Qualcomm, вовсе считаются критическими.
Второй месяц подряд Google запаздывает с публикацией бюллетеня по безопасности для Pixel, также не было объявлено об исправлениях безопасности для Android Automotive OS.