Исследователи Макс Корбридж и Том Эллсон из Jumpsec раскрыли атаку, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.
К слову, Microsoft Teams, являясь частью облачных сервисов Microsoft 365, используется многими организациями в качестве платформы для совместной работы и насчитывает более 280 миллионов активных пользователей.
Атака работает с Microsoft Teams, использующими конфигурацию по умолчанию, которая разрешает связь с учетными записями за пределами компании.
Помимо широких возможностей для социнженерии и фишинга обнаруженный метод является более мощным, поскольку позволяет отправлять вредоносную полезную нагрузку непосредственно в целевой почтовый ящик.
Причем для обхода защиты на стороне клиента в Microsoft Teams, предусматривающей блокировку доставки файлов из учетных записей внешних клиентов, Jumpsec Red Team смогли модифицировать внутренний и внешний идентификатор получателя в POST-запросе сообщения, тем самым обманывая систему и выдавая внешнего пользователя как внутреннего.
При отправке такой полезной нагрузки она фактически размещается в домене Sharepoint, и цель загружает ее оттуда. Однако она отображается в папке «Входящие» как файл, а не ссылка.
Эта атака обходит существующие меры безопасности, открывая злоумышленникам довольно простой способ заразить любую организацию, использующую Microsoft Teams с конфигурацией по умолчанию.
Кроме того, если злоумышленник зарегистрирует домен, аналогичный целевым организациям, их сообщения могут выглядеть так, как будто они исходят от адресата внутри организации, что еще больше увеличит вероятность того, что цель загрузит файл.
Но вот, Microsoft не разделяет выводы исследователей, несмотря на то, что подтвердила наличие уязвимости.
И поэтому не считает уязвимость заслуживающей немедленного обслуживания и не видит особой срочности в ее исправлении.
Тем не менее, исследователи рекомендуют пользователям Microsoft Teams отключить эту функцию внешнего доступа, если в ней нет необходимости, либо выделить отдельные домены в списке разрешений, снизив таким образом риск эксплуатации.
К слову, Microsoft Teams, являясь частью облачных сервисов Microsoft 365, используется многими организациями в качестве платформы для совместной работы и насчитывает более 280 миллионов активных пользователей.
Атака работает с Microsoft Teams, использующими конфигурацию по умолчанию, которая разрешает связь с учетными записями за пределами компании.
Помимо широких возможностей для социнженерии и фишинга обнаруженный метод является более мощным, поскольку позволяет отправлять вредоносную полезную нагрузку непосредственно в целевой почтовый ящик.
Причем для обхода защиты на стороне клиента в Microsoft Teams, предусматривающей блокировку доставки файлов из учетных записей внешних клиентов, Jumpsec Red Team смогли модифицировать внутренний и внешний идентификатор получателя в POST-запросе сообщения, тем самым обманывая систему и выдавая внешнего пользователя как внутреннего.
При отправке такой полезной нагрузки она фактически размещается в домене Sharepoint, и цель загружает ее оттуда. Однако она отображается в папке «Входящие» как файл, а не ссылка.
Эта атака обходит существующие меры безопасности, открывая злоумышленникам довольно простой способ заразить любую организацию, использующую Microsoft Teams с конфигурацией по умолчанию.
Кроме того, если злоумышленник зарегистрирует домен, аналогичный целевым организациям, их сообщения могут выглядеть так, как будто они исходят от адресата внутри организации, что еще больше увеличит вероятность того, что цель загрузит файл.
Но вот, Microsoft не разделяет выводы исследователей, несмотря на то, что подтвердила наличие уязвимости.
И поэтому не считает уязвимость заслуживающей немедленного обслуживания и не видит особой срочности в ее исправлении.
Тем не менее, исследователи рекомендуют пользователям Microsoft Teams отключить эту функцию внешнего доступа, если в ней нет необходимости, либо выделить отдельные домены в списке разрешений, снизив таким образом риск эксплуатации.
JUMPSEC Labs
Advisory: IDOR in Microsoft Teams Allows for External Tenants to Introduce Malware
TL;DR
Check Point обнаружила новое вредоносное ПО, связанное с китайской APT Camaro Dragon (ака Mustang Panda или LuminousMoth), названное WispRider и HopperTick.
Причем новый штамм распространяется через скомпрометированные USB-накопители.
Это новейший продукт в растущем арсенале группы, который также включает в себя веб-оболочку HorseShell, развернутую с помощью встроенного программного обеспечения, и бэкдор на основе Go под названием TinyNote.
Несмотря на то, что основное внимание АРТ традиционно уделялось странам Юго-Восточной Азии, последняя кампания показывает более глобальный охват.
Следы заражения USB вредоносными ПО были найдены в Мьянме, Южной Корее, Великобритании, Индии и России.
Задетектить артефакт удалось в ходе расследования киберинцидента в неназванной европейской больнице еще в начале 2023 года.
При этом объект не был непосредственно атакован злоумышленником, а скорее подвергся взлому через USB-накопитель сотрудника, который был заражен после подключения к компьютеру коллеги на конференции в Азии.
Соответственно, по возвращении в медицинское учреждение в Европе сотрудник вставил зараженный USB-накопитель, что привело к распространению инфекции на компьютерные системы больницы.
Последняя цепочка заражения включает в себя средство запуска Delphi, известное как HopperTick, которое распространяется через USB-накопители, и его основную полезную нагрузку WispRider, которая отвечает за заражение устройств, когда они подключены к машине.
Когда в зараженный компьютер вставляется USB, вредоносное ПО обнаруживает новое устройство и манипулирует его файлами, создавая несколько скрытых папок в корне флэш-накопителя.
WispRider, помимо заражения текущего хоста, если это еще не сделано, выполняет связь с удаленным сервером, компрометацию любых вновь подключенных USB-устройств, выполнение произвольных команд и выполнение операций с файлами.
Некоторые варианты WispRider также функционируют как бэкдор с возможностью обхода индонезийского антивирусного решения под названием Smadav, а также прибегают к боковой загрузке DLL с использованием компонентов ПО безопасности, такого как G-DATA Total Security.
Другая полезная нагрузка после эксплуатации, поставляемая вместе с WispRider, — это модуль кражи, называемый монитором диска (HPCustPartUI.dll), который размещает файлы с предопределенными расширениями (например, docx, mp3, wav, m4a, wma, aac, cda и mid) для эксфильтрации.
Новая разработка является признаком того, что Camaro Dragon APT продолжает использовать USB-устройства в качестве метода заражения целевых систем, эффективно сочетая эту технику с другими устоявшимися тактиками.
Причем новый штамм распространяется через скомпрометированные USB-накопители.
Это новейший продукт в растущем арсенале группы, который также включает в себя веб-оболочку HorseShell, развернутую с помощью встроенного программного обеспечения, и бэкдор на основе Go под названием TinyNote.
Несмотря на то, что основное внимание АРТ традиционно уделялось странам Юго-Восточной Азии, последняя кампания показывает более глобальный охват.
Следы заражения USB вредоносными ПО были найдены в Мьянме, Южной Корее, Великобритании, Индии и России.
Задетектить артефакт удалось в ходе расследования киберинцидента в неназванной европейской больнице еще в начале 2023 года.
При этом объект не был непосредственно атакован злоумышленником, а скорее подвергся взлому через USB-накопитель сотрудника, который был заражен после подключения к компьютеру коллеги на конференции в Азии.
Соответственно, по возвращении в медицинское учреждение в Европе сотрудник вставил зараженный USB-накопитель, что привело к распространению инфекции на компьютерные системы больницы.
Последняя цепочка заражения включает в себя средство запуска Delphi, известное как HopperTick, которое распространяется через USB-накопители, и его основную полезную нагрузку WispRider, которая отвечает за заражение устройств, когда они подключены к машине.
Когда в зараженный компьютер вставляется USB, вредоносное ПО обнаруживает новое устройство и манипулирует его файлами, создавая несколько скрытых папок в корне флэш-накопителя.
WispRider, помимо заражения текущего хоста, если это еще не сделано, выполняет связь с удаленным сервером, компрометацию любых вновь подключенных USB-устройств, выполнение произвольных команд и выполнение операций с файлами.
Некоторые варианты WispRider также функционируют как бэкдор с возможностью обхода индонезийского антивирусного решения под названием Smadav, а также прибегают к боковой загрузке DLL с использованием компонентов ПО безопасности, такого как G-DATA Total Security.
Другая полезная нагрузка после эксплуатации, поставляемая вместе с WispRider, — это модуль кражи, называемый монитором диска (HPCustPartUI.dll), который размещает файлы с предопределенными расширениями (например, docx, mp3, wav, m4a, wma, aac, cda и mid) для эксфильтрации.
Новая разработка является признаком того, что Camaro Dragon APT продолжает использовать USB-устройства в качестве метода заражения целевых систем, эффективно сочетая эту технику с другими устоявшимися тактиками.
Check Point Research
Beyond the Horizon: Traveling the World on Camaro Dragon’s USB Flash Drives - Check Point Research
Executive summary Introduction In early 2023, CPIRT investigated an incident at a European hospital. The investigation showed that the malicious activity observed was likely not targeted but was simply collateral damage from Camaro Dragon’s self-propagating…
Fortinet исправила критическую ошибку в FortiNAC, которую злоумышленники могут использовать для выполнения кода и команд.
Уязвимость CVE-2023-33299 была обнаружена Флорианом Хаузером из Code White и получила критическую оценку серьезности 9,6 из 10.
Представляет собой десериализацию ненадежных данных, которая может привести к RCE без проверки подлинности с помощью специально созданных запросов к службе TCP/1050.
Перечень затронутых версий FortiNAC включает 9.4.0-9.4.2, 9.2.0-9.2.7, 9.1.0-9.1.9, 7.2.0-7.2.1, а также 8.3, 8.5-8.8 (все версии).
Обновления реализованы в 9.4.3, 9.2.8, 9.1.10 и 7.2.2 (или выше).
Поставщик не предоставил рекомендаций по смягчению последствий, поэтому ничего не остается кроме, как обновиться.
Наряду с критической RCE, Fortinet также объявила об устранении уязвимости средней степени серьезности CVE-2023-33300, связанную с проблемой ненадлежащего контроля доступа и затрагивающую FortiNAC 9.4.0-9.4.3 и 7.2.0-7.2.1.
Она может позволить злоумышленнику, не прошедшему проверку подлинности, скопировать локальные файлы устройства в другие локальные каталоги устройства через специально созданные поля ввода.
Правда, может быть использована лишь локально злоумышленником с достаточно высокими привилегиями для доступа к скопированным данным.
Учитывая особый интерес со стороны хакерского подполья к продуктам Fortinet, админов и специалистов ИБ впереди ожидают продуктивные выходные.
Ведь как мы помним критическая RCE (CVE-2022-39952) в FortiNAC после исправления в середине февраля начала эксплуатироваться в дикой природе буквально через пару дней.
Но, про выходные - попозже.
Уязвимость CVE-2023-33299 была обнаружена Флорианом Хаузером из Code White и получила критическую оценку серьезности 9,6 из 10.
Представляет собой десериализацию ненадежных данных, которая может привести к RCE без проверки подлинности с помощью специально созданных запросов к службе TCP/1050.
Перечень затронутых версий FortiNAC включает 9.4.0-9.4.2, 9.2.0-9.2.7, 9.1.0-9.1.9, 7.2.0-7.2.1, а также 8.3, 8.5-8.8 (все версии).
Обновления реализованы в 9.4.3, 9.2.8, 9.1.10 и 7.2.2 (или выше).
Поставщик не предоставил рекомендаций по смягчению последствий, поэтому ничего не остается кроме, как обновиться.
Наряду с критической RCE, Fortinet также объявила об устранении уязвимости средней степени серьезности CVE-2023-33300, связанную с проблемой ненадлежащего контроля доступа и затрагивающую FortiNAC 9.4.0-9.4.3 и 7.2.0-7.2.1.
Она может позволить злоумышленнику, не прошедшему проверку подлинности, скопировать локальные файлы устройства в другие локальные каталоги устройства через специально созданные поля ввода.
Правда, может быть использована лишь локально злоумышленником с достаточно высокими привилегиями для доступа к скопированным данным.
Учитывая особый интерес со стороны хакерского подполья к продуктам Fortinet, админов и специалистов ИБ впереди ожидают продуктивные выходные.
Ведь как мы помним критическая RCE (CVE-2022-39952) в FortiNAC после исправления в середине февраля начала эксплуатироваться в дикой природе буквально через пару дней.
Но, про выходные - попозже.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
После недавних резонансных инцидентов с управляемыми приложениями для передачи файлов исследователи Rapid7 решили расчехлить баги в Globalscape EFT.
Разработчик решения Fortra уже оценила всю привлекательность приложений подобного типа для вымогателей после атаки клопов на другое ПО в ее линейке - GoAnywhere. Последствия аукаются до сих пор.
Теперь же исследователи обнаружили и раскрыли информацию о четырех уязвимостях в серверах администрирования Fortra Globalscape EFT, наиболее серьезная из которых может привести к удаленному выполнению кода от имени пользователя SYSTEM в случае успешного использования
Обнаруженные ошибки отслеживаются как CVE-2023-2989 (обход аутентификации за счет чтения за пределами памяти), CVE-2023-2990 (DoS из-за рекурсивного DeflateStream), CVE-2023-2991 (раскрытие серийного номера удаленного жесткого диска, пока не исправлена).
Дополнительно была выявлена проблема, связанная с утечкой пароля из-за небезопасной конфигурации по умолчанию.
Следует отметить, что эксплуатация критической RCE-уязвимости имеет крайне низкие шансы на эксплуатацию в дикой природе, но только если только кто-то не найдет способ разработать более надежный эксплойт.
Однако на примере cl0p сомневаться не стоит, что он найдется.
Проблемы затрагивают Fortra Globalscape 8.0.x до 8.1.0.14, и все, кроме одной, пропатчены в версии 8.1.0.16 (нерешенная проблема в настоящее время не исправлена, но незначительна).
Разработчик решения Fortra уже оценила всю привлекательность приложений подобного типа для вымогателей после атаки клопов на другое ПО в ее линейке - GoAnywhere. Последствия аукаются до сих пор.
Теперь же исследователи обнаружили и раскрыли информацию о четырех уязвимостях в серверах администрирования Fortra Globalscape EFT, наиболее серьезная из которых может привести к удаленному выполнению кода от имени пользователя SYSTEM в случае успешного использования
Обнаруженные ошибки отслеживаются как CVE-2023-2989 (обход аутентификации за счет чтения за пределами памяти), CVE-2023-2990 (DoS из-за рекурсивного DeflateStream), CVE-2023-2991 (раскрытие серийного номера удаленного жесткого диска, пока не исправлена).
Дополнительно была выявлена проблема, связанная с утечкой пароля из-за небезопасной конфигурации по умолчанию.
Следует отметить, что эксплуатация критической RCE-уязвимости имеет крайне низкие шансы на эксплуатацию в дикой природе, но только если только кто-то не найдет способ разработать более надежный эксплойт.
Однако на примере cl0p сомневаться не стоит, что он найдется.
Проблемы затрагивают Fortra Globalscape 8.0.x до 8.1.0.14, и все, кроме одной, пропатчены в версии 8.1.0.16 (нерешенная проблема в настоящее время не исправлена, но незначительна).
Rapid7
Multiple Vulnerabilities in Fortra Globalscape EFT Administration Server [FIXED] | Rapid7 Blog
Rapid7 has uncovered four issues in Fortra Globalscape EFT, the worst of which can lead to remote code execution.
Новости мирового браузеростроения.
1. Приватный поисковый сервис DuckDuckGo объявил, что его браузер с аналогичным названием, который раньше был доступен только под MacOS, теперь можно использовать и под Windows. А там в нем куча всяких приватных фишечек - и трекеры он блокирует, и кукями управляет, и даже YouTube крутит через собственный проигрыватель, чтобы Google не могли пользователя отслеживать. Одна печаль - поисковик по умолчанию DuckDuckGo, а другие пока поставить нельзя. Но это не надолго, зуб дают.
Мы же припоминаем свои посты по поводу этого браузера и самого поисковика. Если вкрации - мутная история с финансированием поискового сервиса, недокументированная возможность работы в браузере трекеров от Microsoft and so on.
Между тем некоторые недальновидные инфосек-журналисты уже объявили DuckDuckGo-браузер "убийцей" Chrome. Скажем так - хрен редьки не слаще.
Плюс это еще и бета. Ждем свежих уязвимостей.
2. Вышел совершенно новый Opera One. Создатели неплохого, в принципе, браузера решили покататься на паровозике ИИ-хайпа и впичужили в Opera One новыйде генеративный ИИ Aria, который, по их утверждениям, создан во взаимодействии с OpenAI, авторами ChatGPT.
Прилепили также некие "островки вкладок" - теперь вкладки будут группироваться по направлению содержания и эти группы можно будет сворачивать и разворачивать. Чтобы "просто и интуитивно разделять разные сеансы просмотра, не перегружая экран". На деле, сдается нам, получится как с Windows 8 и ее плитками - хрень полная. Но возможно мы не правы и будет удобно, надо смотреть на практике.
Ну и бонусом интегрировали популярные мессенджеры типа WhatsApp и Telegram прямо в браузер. За это хвалим, это удобно.
В общем поисковая выдача на запрос "улетная порнуха с актрисой похожей на Светку Булкину из 11Б выпуска 2015 года 35-й школы" должна теперь стать намного релевантнее. То есть брать будут качеством контента.
Главное новых дырок в массовом порядке не понаделать.
1. Приватный поисковый сервис DuckDuckGo объявил, что его браузер с аналогичным названием, который раньше был доступен только под MacOS, теперь можно использовать и под Windows. А там в нем куча всяких приватных фишечек - и трекеры он блокирует, и кукями управляет, и даже YouTube крутит через собственный проигрыватель, чтобы Google не могли пользователя отслеживать. Одна печаль - поисковик по умолчанию DuckDuckGo, а другие пока поставить нельзя. Но это не надолго, зуб дают.
Мы же припоминаем свои посты по поводу этого браузера и самого поисковика. Если вкрации - мутная история с финансированием поискового сервиса, недокументированная возможность работы в браузере трекеров от Microsoft and so on.
Между тем некоторые недальновидные инфосек-журналисты уже объявили DuckDuckGo-браузер "убийцей" Chrome. Скажем так - хрен редьки не слаще.
Плюс это еще и бета. Ждем свежих уязвимостей.
2. Вышел совершенно новый Opera One. Создатели неплохого, в принципе, браузера решили покататься на паровозике ИИ-хайпа и впичужили в Opera One новый
Прилепили также некие "островки вкладок" - теперь вкладки будут группироваться по направлению содержания и эти группы можно будет сворачивать и разворачивать. Чтобы "просто и интуитивно разделять разные сеансы просмотра, не перегружая экран". На деле, сдается нам, получится как с Windows 8 и ее плитками - хрень полная. Но возможно мы не правы и будет удобно, надо смотреть на практике.
Ну и бонусом интегрировали популярные мессенджеры типа WhatsApp и Telegram прямо в браузер. За это хвалим, это удобно.
В общем поисковая выдача на запрос "улетная порнуха с актрисой похожей на Светку Булкину из 11Б выпуска 2015 года 35-й школы" должна теперь стать намного релевантнее. То есть брать будут качеством контента.
Главное новых дырок в массовом порядке не понаделать.
Spread Privacy
DuckDuckGo Windows browser now available in public beta
Thanks to DuckDuckGo's built-in privacy protections, this browser makes the Internet less creepy and cluttered.
Если кто не выкупил, вкрации - это стеб. Мы запятые как надо расставлять умеем, неужели вы думаете, что «вкратце» правильно не напишем.
͏Как мы и обещали, продолжаем следить за развитием ситуации вокруг хакерских площадок с утечками.
ФБР продолжает свой крестовый поход и на этот раз им удалось добраться до Breached[.]vc.
Форум был создан Pompompurin до его задержания и служил резервной копией основного сайта.
Баннер о конфискации на заглавной странице сайта имеет пометку BF с аватаромбещали, продолжаес надетыми наручниками.
Активность силовиков вызвала бурю обсуждений. Некоторые посчитали gif с наручниками проделками самих админов.
А вообще же публика задается вопросами, почему конфискация прошла спустя три месяца после начала всех событий, и о том, где же официальный пресс-релиз Минюста или ФБР.
Тем временем, несмотря на первые неудачи, связанные со взломом BreachForums и утечкой базы данных 4700 участников, новый клон под управлением ShinyHunters все еще активен.
А на днях к обновленному сообществу даже присоединился небезызвестный Бьорка, который был связан с крупными взломами в Индонезии.
ФБР продолжает свой крестовый поход и на этот раз им удалось добраться до Breached[.]vc.
Форум был создан Pompompurin до его задержания и служил резервной копией основного сайта.
Баннер о конфискации на заглавной странице сайта имеет пометку BF с аватаромбещали, продолжаес надетыми наручниками.
Активность силовиков вызвала бурю обсуждений. Некоторые посчитали gif с наручниками проделками самих админов.
А вообще же публика задается вопросами, почему конфискация прошла спустя три месяца после начала всех событий, и о том, где же официальный пресс-релиз Минюста или ФБР.
Тем временем, несмотря на первые неудачи, связанные со взломом BreachForums и утечкой базы данных 4700 участников, новый клон под управлением ShinyHunters все еще активен.
А на днях к обновленному сообществу даже присоединился небезызвестный Бьорка, который был связан с крупными взломами в Индонезии.
В популярном ПО BIND (Berkeley Internet Name Domain) исправлены уязвимости высокой степени серьезности.
CISA сообщила в пятничном бюллетене, что из-за недавно обнаруженных уязвимостей удаленные злоумышленники могут запускать атаки типа DoS.
BIND является наиболее часто популярным ПО DNS-сервера и используется крупными финучреждениями, университетами, производителями и государственными организациями.
ISC выпустил исправления для устранения уязвимостей, затрагивающих несколько версий BIND 9, широко используемого пакета ПО с открытым исходным кодом, который реализует службы системы доменных имен в Интернете.
Исправленные ISC ошибки отслеживаются как CVE-2023-2828, CVE-2023-2829 и CVE-2023-2911, которые имеют рейтинг серьезности 7,5 из 10. Все их можно эксплуатировать удаленно.
Успешное использование может исчерпать всю память на целевом сервере, сделав его недоступным.
ISC заявила, что нет никаких доказательств того, что какая-либо из этих уязвимостей используется, но рекомендовала пользователям BIND обновить ПО до последней версии, чтобы уменьшить потенциальные угрозы.
Предыдущие аналогичные уязвимости безопасности ISC устраняла еще в январе.
CISA сообщила в пятничном бюллетене, что из-за недавно обнаруженных уязвимостей удаленные злоумышленники могут запускать атаки типа DoS.
BIND является наиболее часто популярным ПО DNS-сервера и используется крупными финучреждениями, университетами, производителями и государственными организациями.
ISC выпустил исправления для устранения уязвимостей, затрагивающих несколько версий BIND 9, широко используемого пакета ПО с открытым исходным кодом, который реализует службы системы доменных имен в Интернете.
Исправленные ISC ошибки отслеживаются как CVE-2023-2828, CVE-2023-2829 и CVE-2023-2911, которые имеют рейтинг серьезности 7,5 из 10. Все их можно эксплуатировать удаленно.
Успешное использование может исчерпать всю память на целевом сервере, сделав его недоступным.
ISC заявила, что нет никаких доказательств того, что какая-либо из этих уязвимостей используется, но рекомендовала пользователям BIND обновить ПО до последней версии, чтобы уменьшить потенциальные угрозы.
Предыдущие аналогичные уязвимости безопасности ISC устраняла еще в январе.
Если вдруг решили тряхнуть стариной и зарубиться в усатого дядьку Super Mario, то стоит быть осторожным!
Игроманам на Nintendo беспокоиться не стоит, а вот установочный файл популярной игры Super Mario 3: Mario Forever для Windows оказался инфицирован троянским вирусом.
Согласно отчету исследователей Cyble, вирус поражает операционные системы пользователей различными видами вредоносного ПО.
Super Mario 3 является бесплатным ремейком классической игры Nintendo, разработанным Buziol Games и выпущенным для Windows в 2003 году.
Игра быстро стала популярной, и ее скачивания достигают миллионов, и разработчик регулярно выпускал несколько версий игры с обновленной графикой и звуком.
Собственно, злоумышленники не были бы таковыми, если бы не воспользовались одной из модернизированных версий игры и не запилили свою заряженную сборку.
Как обнаружили исследователи, инфицированный установочный файл действует, как самораспаковывающийся архив и использует неизвестные каналы для извлечения.
Предположительно, троянская версия игры может активно распространяться на форумах геймеров и в социальных сетях в том числе с применением блэк SEO.
Зараженный архив содержит три файла: первый действительно устанавливает игру (super-mario-forever-v702e.exe), а два других (java.exe и atom.exe) устанавливаются в директорию AppData на инфицированном компьютере во время установки игры.
Как только малварь оказываются на диске, инсталлятор выполняет и запускает майнер XMR (Monero), а также клиент SupremeBot, который создаёт собственную копию и помещает её в скрытую папку, размещённую в установочной директории видеоигры.
Далее создаётся задание в планировщике, которое запускает упомянутую копию каждые 15 минут. В качестве самого майнера выступает файл java.exe, собирающий информацию об аппаратном обеспечении жертвы.
Наконец, SupremeBot извлекает дополнительную полезную нагрузку из C2 в виде исполняемого файла с именем "wime.exe" - паблик стиллер Umbral Stealer, предназначенный для кражи информации (cookies и токены сессий для аккаунтов Discord, Minecraft, Roblox и Telegram) и написанный на C#.
Игроманам на Nintendo беспокоиться не стоит, а вот установочный файл популярной игры Super Mario 3: Mario Forever для Windows оказался инфицирован троянским вирусом.
Согласно отчету исследователей Cyble, вирус поражает операционные системы пользователей различными видами вредоносного ПО.
Super Mario 3 является бесплатным ремейком классической игры Nintendo, разработанным Buziol Games и выпущенным для Windows в 2003 году.
Игра быстро стала популярной, и ее скачивания достигают миллионов, и разработчик регулярно выпускал несколько версий игры с обновленной графикой и звуком.
Собственно, злоумышленники не были бы таковыми, если бы не воспользовались одной из модернизированных версий игры и не запилили свою заряженную сборку.
Как обнаружили исследователи, инфицированный установочный файл действует, как самораспаковывающийся архив и использует неизвестные каналы для извлечения.
Предположительно, троянская версия игры может активно распространяться на форумах геймеров и в социальных сетях в том числе с применением блэк SEO.
Зараженный архив содержит три файла: первый действительно устанавливает игру (super-mario-forever-v702e.exe), а два других (java.exe и atom.exe) устанавливаются в директорию AppData на инфицированном компьютере во время установки игры.
Как только малварь оказываются на диске, инсталлятор выполняет и запускает майнер XMR (Monero), а также клиент SupremeBot, который создаёт собственную копию и помещает её в скрытую папку, размещённую в установочной директории видеоигры.
Далее создаётся задание в планировщике, которое запускает упомянутую копию каждые 15 минут. В качестве самого майнера выступает файл java.exe, собирающий информацию об аппаратном обеспечении жертвы.
Наконец, SupremeBot извлекает дополнительную полезную нагрузку из C2 в виде исполняемого файла с именем "wime.exe" - паблик стиллер Umbral Stealer, предназначенный для кражи информации (cookies и токены сессий для аккаунтов Discord, Minecraft, Roblox и Telegram) и написанный на C#.
Мы же, на самом деле, вовсе не хотим в политоту. Но вот куда нам деваться, если Deep Instinct выпустил отчет о новом дроппере PindOS...
Deep Instinct
PindOS: New JavaScript Dropper Delivering Bumblebee and IcedID | Deep Instinct
Deep Instinct’s Threat Research Lab recently noticed a new strain of a JavaScript-based dropper that is delivering Bumblebee and IcedID. The dropper contains comments in Russian and employs the unique user-agent string “PindOS”, which may be a reference to…
Еще вчера мы писали про ликвидацию Breached[.]vc, созданного еще в бытность уже арестованного Pompompurin резервной копии основного сайта.
Как неожиданно вслед за этим, у новой площадки под управлением ShinyHunters и Bahomet начались проблемы, о которых поведал последний.
Форум упал, админы говорят проблемы на стороне хостинга. Даже спустя 12 часов общения с сапортом уладить вопрос не удалось. По всей видимости, звонить надо на горячую линию ФБР.
Но, Bahomet обещает выйти на «комфортный базовый уровень работы» и запуститься на постоянку.
Тем временем, 23 июня пользователь на одной из хакерский площадок появилась утечка базы данных DarkForums (http://darkforums[.]me). Администрация форума признала нарушение, взяла паузу и ушла подумать.
Владелец Doxbin продал домен. Ранее LAPSUS купили его примерно за 50 000 долларов, однако по неизвестным причинам вернули домен обратно первоначальной администрации.
Как неожиданно вслед за этим, у новой площадки под управлением ShinyHunters и Bahomet начались проблемы, о которых поведал последний.
Форум упал, админы говорят проблемы на стороне хостинга. Даже спустя 12 часов общения с сапортом уладить вопрос не удалось. По всей видимости, звонить надо на горячую линию ФБР.
Но, Bahomet обещает выйти на «комфортный базовый уровень работы» и запуститься на постоянку.
Тем временем, 23 июня пользователь на одной из хакерский площадок появилась утечка базы данных DarkForums (http://darkforums[.]me). Администрация форума признала нарушение, взяла паузу и ушла подумать.
Владелец Doxbin продал домен. Ранее LAPSUS купили его примерно за 50 000 долларов, однако по неизвестным причинам вернули домен обратно первоначальной администрации.
Forwarded from Russian OSINT
"При произошедшей утечке дальше мы видим, что эти данные начинают использоваться и переиспользоваться. И в том числе коммерческие компании, которые занимаются анализом на основе больших данных, с удовольствием эти данные берут и потом используют их у себя. И это совершенно недопустимо. То есть это вторичное воровство, вторичное распространение этих данных. Речь надо вести о незаконном обороте персональных данных и наказании за незаконный оборот в том числе", - считает председатель правления АРПП "Отечественный софт" Наталья Касперская.
👆Эксперт предложила ввести
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатывают все новые жертвы инцидента с MOVEit Transfer 0-day.
Инициировавшая атаку банда вымогателей Clop добавила пять новых жертв атак MOVEit на свой DLS в даркнете.
Среди них оказались Schneider Electric и Siemens Energy, чьи промышленные системы управления (ICS) используются в критической национальной инфраструктуре по всему миру.
Помимо них под раздачу попали: Калифорнийский университет в Лос-Анджелесе, werum и Abbie.
Пополнив и без того весьма внушительный список из сотен жертв, в который уже вошли правительственные учреждения США, British Airways, Boots, BBC, Aer Lingus, Ofcom, Shell, Gen Digital и многие другие.
Причем, в некоторых случаях последствия инцидента затрагивали помимо самой жертвы также ее контрагентов.
Например, как в случае с PBI Research Services, благодаря которой протекли Genworth Financial, Wilton Reassurance и CalPERS. В совокупности пострадали 4,75 миллиона человек, чьи данные попали в руки злоумышленников.
Будем следить за развитием ситуации.
Инициировавшая атаку банда вымогателей Clop добавила пять новых жертв атак MOVEit на свой DLS в даркнете.
Среди них оказались Schneider Electric и Siemens Energy, чьи промышленные системы управления (ICS) используются в критической национальной инфраструктуре по всему миру.
Помимо них под раздачу попали: Калифорнийский университет в Лос-Анджелесе, werum и Abbie.
Пополнив и без того весьма внушительный список из сотен жертв, в который уже вошли правительственные учреждения США, British Airways, Boots, BBC, Aer Lingus, Ofcom, Shell, Gen Digital и многие другие.
Причем, в некоторых случаях последствия инцидента затрагивали помимо самой жертвы также ее контрагентов.
Например, как в случае с PBI Research Services, благодаря которой протекли Genworth Financial, Wilton Reassurance и CalPERS. В совокупности пострадали 4,75 миллиона человек, чьи данные попали в руки злоумышленников.
Будем следить за развитием ситуации.
Twitter
For the uninitiated, Schneider Electric and Siemens Energy are two more notable victims as they are very large Industrial Control System (#ICS) vendors. Products are used in critical national infrastructure (#CNI) worldwide. 🏭⚠️
Сеть АЗС Petro-Canada по всей Канаде подверглась кибератаке, в результате которой на протяжении нескольких дней клиенты не могли оплатить топливо банковской картой и войти в свои аккаунт на веб-сайте и в приложении.
В воскресенье через два дня после начала сбоя головная компания Suncor Energy опубликовала заявление, в котором сообщила, что столкнулась с инцидентом кибербезопасности и принимает необходимые меры.
По состоянию на начало недели в Торонто терминалы оплаты были не работоспособны и принималась только наличка.
Масштаб проблемы до конца не понятен, но для справки Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.
Об инциденте проинформированы соответствующие органы и к расследованию привлечены эксперты, однако на данный момент неизвестно о каких-либо фактах, что данные клиентов, поставщиков или сотрудников были скомпрометированы и использованы третьими лицами в злонамеренных целях.
Также в компания не предоставили никаких сведений об инциденте и на данный момент остается гадать, была ли это целенаправленная атака банд-вымогателей, умысел конкурентов или банальная безалаберность своих сотрудников.
В воскресенье через два дня после начала сбоя головная компания Suncor Energy опубликовала заявление, в котором сообщила, что столкнулась с инцидентом кибербезопасности и принимает необходимые меры.
По состоянию на начало недели в Торонто терминалы оплаты были не работоспособны и принималась только наличка.
Масштаб проблемы до конца не понятен, но для справки Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.
Об инциденте проинформированы соответствующие органы и к расследованию привлечены эксперты, однако на данный момент неизвестно о каких-либо фактах, что данные клиентов, поставщиков или сотрудников были скомпрометированы и использованы третьими лицами в злонамеренных целях.
Также в компания не предоставили никаких сведений об инциденте и на данный момент остается гадать, была ли это целенаправленная атака банд-вымогателей, умысел конкурентов или банальная безалаберность своих сотрудников.
Toronto
Suncor Energy cyberattack hits Petro-Canada gas stations
A cyberattack is behind the Petro-Canada outage that has blocked customers from paying with credit cards at the pumps and logging into their accounts for several days.
Группа ученых из швейцарского университета ETH Zurich раскрыла подробности новой атаки RowPress, которая стала современной альтернативой RowHammer.
Еще в 2014 году атака RowHammer буквально всколыхнула рынок и заставила производителей чипов переосмыслить вопросы производства и безопасности в чипах DRAM.
Атака RowHammer, и все ее разновидности, основывалась на сверхбыстрых операциях чтения-записи, направленных на строку ячеек памяти внутри микросхемы DRAM, для создания электрических помех, которые изменяли или искажали данные в соседних строках.
Спустя многие годы производители чипов начали размещать строки памяти на большем расстоянии друг от друга и добавлять средства защиты на программном уровне, чтобы обнаруживать, когда приложения обращаются к строкам памяти со сверхвысокой скоростью.
Однако в отличие от RowHammer, новая атака работает, обращаясь к ряду ячеек памяти, а затем просто оставляя его открытым в течение длительного периода времени.
Исследовательская группа отмечает, что это неестественное поведение для ячеек памяти в конечном итоге приводит к модификации битов в соседних ячейках, аналогично классической атаке RowHammer.
Причем в ряде случаев ученным удавалось добиться битовых перестановок в строке DRAM сразу после единичной активации.
Поскольку RowPress не требует выполнения сверхбыстрых операций чтения-записи, средства защиты ПО RowHammer не применяются.
Атака также становится более эффективной по мере увеличения температуры чипа.
Исследователи протестировали RowPress на 164 микросхемах DDR4 DRAM всех трех основных производителей — Samsung, SK Hynix и Micron — по итогу все оказались уязвимы.
Несмотря на неутешительные результаты тестов, ученные полагают, что атаку достаточно легко смягчить на программном уровне, ограничив время, в течение которого строка памяти может оставаться открытой.
Подробно ознакомиться со всеми техническими деталями можно здесь, а код для воспроизведения атаки доступен на GitHub.
Еще в 2014 году атака RowHammer буквально всколыхнула рынок и заставила производителей чипов переосмыслить вопросы производства и безопасности в чипах DRAM.
Атака RowHammer, и все ее разновидности, основывалась на сверхбыстрых операциях чтения-записи, направленных на строку ячеек памяти внутри микросхемы DRAM, для создания электрических помех, которые изменяли или искажали данные в соседних строках.
Спустя многие годы производители чипов начали размещать строки памяти на большем расстоянии друг от друга и добавлять средства защиты на программном уровне, чтобы обнаруживать, когда приложения обращаются к строкам памяти со сверхвысокой скоростью.
Однако в отличие от RowHammer, новая атака работает, обращаясь к ряду ячеек памяти, а затем просто оставляя его открытым в течение длительного периода времени.
Исследовательская группа отмечает, что это неестественное поведение для ячеек памяти в конечном итоге приводит к модификации битов в соседних ячейках, аналогично классической атаке RowHammer.
Причем в ряде случаев ученным удавалось добиться битовых перестановок в строке DRAM сразу после единичной активации.
Поскольку RowPress не требует выполнения сверхбыстрых операций чтения-записи, средства защиты ПО RowHammer не применяются.
Атака также становится более эффективной по мере увеличения температуры чипа.
Исследователи протестировали RowPress на 164 микросхемах DDR4 DRAM всех трех основных производителей — Samsung, SK Hynix и Micron — по итогу все оказались уязвимы.
Несмотря на неутешительные результаты тестов, ученные полагают, что атаку достаточно легко смягчить на программном уровне, ограничив время, в течение которого строка памяти может оставаться открытой.
Подробно ознакомиться со всеми техническими деталями можно здесь, а код для воспроизведения атаки доступен на GitHub.