Исследователи VulnCheck сообщают, что около 12 000 брандмауэров Juniper SRX и коммутаторов EX подвержены RCE-уязвимости, которой злоумышленники могут воспользоваться без аутентификации.
Еще в августе Juniper обнаружила многочисленные проблемы, связанные с манипулированием переменными среды PHP (CVE-2023-36844/CVE-2023-36845) и отсутствующей аутентификацией для критической функции (CVE-2023-36846/CVE-2023-36847), которые сами по себе имели оценку 5,3. Но в совокупности эти уязвимости стали критическим недостатком удаленного выполнения кода с рейтингом 9,8.
В более позднем техническом отчете watchTowr Labs опубликовала PoC, который объединил недостатки CVE-2023-36845 и CVE-2023-36846, позволяя исследователям удаленно выполнять код, загружая два файла на уязвимое устройство.
На этот раз VulnCheck представили еще один PoC-эксплойт, который использует только CVE-2023-36845, минуя необходимость загрузки файлов и сохраняя при этом удаленное выполнение кода без аутентификации.
Исследователи смогли модифицировать многоэтапный эксплойт в простой, который можно написать с помощью одной команды curl и который затрагивает большее количество именно старых систем.
Поэтому влияние выявленной проблемы безопасности обширнее и гораздо серьезнее, чем предполагает присвоенный средний рейтинг CVSS, в связи с чем администраторы должны предпринять немедленные меры по обновлению своих систем.
Исследователи также поделились на GitHub сканером для идентификации уязвимых развертываний в Интернете, благодаря которому нашли 14 951 Juniper с доступными из Интернета веб-интерфейсами.
Из них 79% уязвимы и остаются идеальным начальным вектором для реализации атаки на «цепочку мудаков», которая зачастую и приводит к получению хакерами доступа в корпоративную сеть.
При этом поставщик выпустил обновления безопасности, устраняющие уязвимость, еще 17 августа 2023 года, а Shadowserver и GreyNoise уже наблюдают, как злоумышленники приступили к эксплуатации CVE-2023-36845 в «атаках на мудака».
Еще в августе Juniper обнаружила многочисленные проблемы, связанные с манипулированием переменными среды PHP (CVE-2023-36844/CVE-2023-36845) и отсутствующей аутентификацией для критической функции (CVE-2023-36846/CVE-2023-36847), которые сами по себе имели оценку 5,3. Но в совокупности эти уязвимости стали критическим недостатком удаленного выполнения кода с рейтингом 9,8.
В более позднем техническом отчете watchTowr Labs опубликовала PoC, который объединил недостатки CVE-2023-36845 и CVE-2023-36846, позволяя исследователям удаленно выполнять код, загружая два файла на уязвимое устройство.
На этот раз VulnCheck представили еще один PoC-эксплойт, который использует только CVE-2023-36845, минуя необходимость загрузки файлов и сохраняя при этом удаленное выполнение кода без аутентификации.
Исследователи смогли модифицировать многоэтапный эксплойт в простой, который можно написать с помощью одной команды curl и который затрагивает большее количество именно старых систем.
Поэтому влияние выявленной проблемы безопасности обширнее и гораздо серьезнее, чем предполагает присвоенный средний рейтинг CVSS, в связи с чем администраторы должны предпринять немедленные меры по обновлению своих систем.
Исследователи также поделились на GitHub сканером для идентификации уязвимых развертываний в Интернете, благодаря которому нашли 14 951 Juniper с доступными из Интернета веб-интерфейсами.
Из них 79% уязвимы и остаются идеальным начальным вектором для реализации атаки на «цепочку мудаков», которая зачастую и приводит к получению хакерами доступа в корпоративную сеть.
При этом поставщик выпустил обновления безопасности, устраняющие уязвимость, еще 17 августа 2023 года, а Shadowserver и GreyNoise уже наблюдают, как злоумышленники приступили к эксплуатации CVE-2023-36845 в «атаках на мудака».
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
Исследователи Microsoft в области искусственного интеллекта не учли серьезную ошибку в безопасности и случайно раскрыли 38 ТБ данных, включая копии рабочих станций сотрудников, креды, корпоративные секреты и более 30 000 приватных сообщений Microsoft Teams.
Утечку раскрыли исследователи из Wiz, которые обнаружили проблему во время рутинного сканирования сети на предмет неправильно настроенных контейнеров.
Утечка была обнаружена в репозитории AI GitHub исследовательского подразделения Microsoft в области искусственного интеллекта под названием Robust-Models-Transfer и, как сообщается, была случайно обнародована при публикации набора обучающих данных с открытым исходным кодом.
Для совместного использования файлов Microsoft использовала функцию Azure с токенами SAS, которая позволяет совместно использовать данные из учетных записей хранения.
Wiz обнаружили, что URL-адрес на совместное использование всей учетной записи хранения был настроен таким образом, что включала еще 38 ТБ.
Помимо этого Wiz заметили, что токен также был неправильно настроен, предоставляя разрешения полного контроля вместо режима «только для чтения», что давало потенциальным злоумышленникам возможность удалять и перезаписывать файлы.
Злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, доверяющий репозиторию Microsoft GitHub, был бы заражен.
Причем чертежи, предназначенные для моделей обучения ИИ, были представлены в формате ckpt, созданном на основе широко используемого TensorFlow и средства форматирования Pickle Python. Сам формат в таком случае мог стать шлюзом для RCE.
По данным Wiz, группа реагирования Microsoft аннулировала токен SAS в течение двух дней с момента первоначального раскрытия информации в июне этого года, еще через месяц токен был заменен на GitHub.
Microsoft прокомментировала инцидент, заявляя о том, что никакие данные клиентов не были раскрыты, никакие другие внутренние службы не подверглись риску из-за этой проблемы.
Компания заявила, что также обнаружила ошибку в своей системе сканирования, которая помечала конкретный URL-адрес SAS в репозитории как ложное срабатывание.
Как отметили исследователи, из-за отсутствия безопасности и управления токенами SAS учетной записи их следует считать такими же конфиденциальными, как и сам ключ учетной записи.
Поэтому настоятельно рекомендуется избегать использования учетной записи SAS для внешнего обмена. Ошибки при создании токена могут легко остаться незамеченными и раскрыть конфиденциальные данные.
Утечку раскрыли исследователи из Wiz, которые обнаружили проблему во время рутинного сканирования сети на предмет неправильно настроенных контейнеров.
Утечка была обнаружена в репозитории AI GitHub исследовательского подразделения Microsoft в области искусственного интеллекта под названием Robust-Models-Transfer и, как сообщается, была случайно обнародована при публикации набора обучающих данных с открытым исходным кодом.
Для совместного использования файлов Microsoft использовала функцию Azure с токенами SAS, которая позволяет совместно использовать данные из учетных записей хранения.
Wiz обнаружили, что URL-адрес на совместное использование всей учетной записи хранения был настроен таким образом, что включала еще 38 ТБ.
Помимо этого Wiz заметили, что токен также был неправильно настроен, предоставляя разрешения полного контроля вместо режима «только для чтения», что давало потенциальным злоумышленникам возможность удалять и перезаписывать файлы.
Злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, доверяющий репозиторию Microsoft GitHub, был бы заражен.
Причем чертежи, предназначенные для моделей обучения ИИ, были представлены в формате ckpt, созданном на основе широко используемого TensorFlow и средства форматирования Pickle Python. Сам формат в таком случае мог стать шлюзом для RCE.
По данным Wiz, группа реагирования Microsoft аннулировала токен SAS в течение двух дней с момента первоначального раскрытия информации в июне этого года, еще через месяц токен был заменен на GitHub.
Microsoft прокомментировала инцидент, заявляя о том, что никакие данные клиентов не были раскрыты, никакие другие внутренние службы не подверглись риску из-за этой проблемы.
Компания заявила, что также обнаружила ошибку в своей системе сканирования, которая помечала конкретный URL-адрес SAS в репозитории как ложное срабатывание.
Как отметили исследователи, из-за отсутствия безопасности и управления токенами SAS учетной записи их следует считать такими же конфиденциальными, как и сам ключ учетной записи.
Поэтому настоятельно рекомендуется избегать использования учетной записи SAS для внешнего обмена. Ошибки при создании токена могут легко остаться незамеченными и раскрыть конфиденциальные данные.
wiz.io
38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog
Wiz Research found a data exposure incident on Microsoft’s AI GitHub repository, including over 30,000 internal Microsoft Teams messages – all caused by one misconfigured SAS token
Starlink неожиданно потеряла 212 спутников за последние два месяца.
Видимо, летом в небе также жарко, то ли от вспышек на солнце, или еще каких, ведь у SpaceX наблюдался резкий рост числа сгоревших спутников в период с 18 июля по 18 сентября, о чем говорят данные, собранные satellitemap.space.
В целом, тенденция неутешительная для компании, а число сгоревших спутников стабильно увеличивается в течение последних трех лет, но значительный всплеск наблюдается, начиная с июля.
Пока SpaceX не дает комментариев по этому поводу и доподлинно неясно, было ли это запланированным выводом из орбиты или исчезновение является результатом сбоя, а возможно иных причин или внешних воздействий.
Активные запуски SpaceX инциировала в 2019 году и с тех пор на орбиту было отправлено более 5 000 спутников, из которых около 4 500 активны. Starlink разработаны так, чтобы сгорать в атмосфере в конце жизненного цикла, который составляет пять лет.
Однако космические спутники могут быть уязвимы для электромагнитных бурь и сильные солнечные вспышки могут выводить девайсы из строя. Так, в феврале прошлого года SpaceX заявляла, что потеряла 40 новых спутников вскоре после запуска из-за электромагнитной бури.
Учитывая стоимость ракетного пуска, потенциальный ущерб для компании мог составить до 100 млн. долл., а пока же ждем комментариев Илона Маска.
Видимо, летом в небе также жарко, то ли от вспышек на солнце, или еще каких, ведь у SpaceX наблюдался резкий рост числа сгоревших спутников в период с 18 июля по 18 сентября, о чем говорят данные, собранные satellitemap.space.
В целом, тенденция неутешительная для компании, а число сгоревших спутников стабильно увеличивается в течение последних трех лет, но значительный всплеск наблюдается, начиная с июля.
Пока SpaceX не дает комментариев по этому поводу и доподлинно неясно, было ли это запланированным выводом из орбиты или исчезновение является результатом сбоя, а возможно иных причин или внешних воздействий.
Активные запуски SpaceX инциировала в 2019 году и с тех пор на орбиту было отправлено более 5 000 спутников, из которых около 4 500 активны. Starlink разработаны так, чтобы сгорать в атмосфере в конце жизненного цикла, который составляет пять лет.
Однако космические спутники могут быть уязвимы для электромагнитных бурь и сильные солнечные вспышки могут выводить девайсы из строя. Так, в феврале прошлого года SpaceX заявляла, что потеряла 40 новых спутников вскоре после запуска из-за электромагнитной бури.
Учитывая стоимость ракетного пуска, потенциальный ущерб для компании мог составить до 100 млн. долл., а пока же ждем комментариев Илона Маска.
Исследователи SentinelOne обнаружили новые версии трояна CapraRAT, которые имитируют YouTube и используются пакистанской Transparent Tribe для шпионажа за устройствами Android.
Отслеживаемая как APT36 или Mythic Leopard действует как минимум с 2016 года и использует вредоносные или встроенные приложения для Android для атак на индийские оборонные и правительственные учреждения, связанные с Кашмиром цели, а также на правозащитников в Пакистане.
CapraRAT - это высокоинвазивный инструмент, который дает злоумышленнику контроль над большей частью данных на заражаемых устройствах Android. На вооружении у АРТ с 2018 года, являясь важнейшим компонентом в составе арсенала инструментов, позволяющих в целом проникать в системы Windows, Linux и Android.
RAT распространяется в виде троянизированных приложений знакомств под брендами MeetsApp и MeetUp через вредоносные сайты с использованием социальной инженерии.
По словам SentinelOne, три последних образца CapraRAT, похоже, используют одну и ту же схему распространения. APK-файлы были загружены на VirusTotal в апреле, июле и августе 2023 года, два из них назывались YouTube и один Piya Sharma.
во процессе установки запрашивают множество разрешений, к некоторым из которых жертва может относиться без подозрений
Образцы заимствуют значок YouTube и во процессе установки запрашивают множество разрешений, к которым жертва, как правило, относиться без каких-либо подозрений.
При запуске вредоносная ПО запускает объект WebView для загрузки сайта YouTube, чтобы не вызывать подозрений. Интерфейс таким образом имитирует настоящее приложение. Правда, в нем отсутствуют некоторые функции, доступные на реальной платформе.
После установки на устройство жертвы вредоносное ПО может делать записи с микрофона и камер, собирать сообщения и журналы вызовов, отправлять и блокировать сообщения, совершать телефонные звонки, делать снимки экрана, менять настройки GPS и сети, а также модифицировать файлы.
Transparent Tribe на протяжении длительного времени сохраняет постоянство TTPs, а относительно низкий уровень OpSec позволяет быстро атрибутировать его инструменты.
Так, адреса C2, с которыми взаимодействует CapraRAT, жестко запрограммированы в файле конфигурации приложения и непосрелственно связаны с прошлыми кампаниями Transparent Tribe.
Имитация YouTube является новым дополнением к уже устойчивой тенденции использования Android-приложений в качестве шпионского ПО и распространения их среди целей через социальные сети.
SentinelLabs отмечает при этом, что варианты CapraRAT, обнаруженные в ходе недавней кампании, имеют улучшенные характеристики по сравнению с более ранними, что демонстрирует эволюцию и адаптивность, а внедрение новых приложений дает АРТ бесспорное преимущество, позволяя охватывать все новых потенциальных жертв.
Отслеживаемая как APT36 или Mythic Leopard действует как минимум с 2016 года и использует вредоносные или встроенные приложения для Android для атак на индийские оборонные и правительственные учреждения, связанные с Кашмиром цели, а также на правозащитников в Пакистане.
CapraRAT - это высокоинвазивный инструмент, который дает злоумышленнику контроль над большей частью данных на заражаемых устройствах Android. На вооружении у АРТ с 2018 года, являясь важнейшим компонентом в составе арсенала инструментов, позволяющих в целом проникать в системы Windows, Linux и Android.
RAT распространяется в виде троянизированных приложений знакомств под брендами MeetsApp и MeetUp через вредоносные сайты с использованием социальной инженерии.
По словам SentinelOne, три последних образца CapraRAT, похоже, используют одну и ту же схему распространения. APK-файлы были загружены на VirusTotal в апреле, июле и августе 2023 года, два из них назывались YouTube и один Piya Sharma.
во процессе установки запрашивают множество разрешений, к некоторым из которых жертва может относиться без подозрений
Образцы заимствуют значок YouTube и во процессе установки запрашивают множество разрешений, к которым жертва, как правило, относиться без каких-либо подозрений.
При запуске вредоносная ПО запускает объект WebView для загрузки сайта YouTube, чтобы не вызывать подозрений. Интерфейс таким образом имитирует настоящее приложение. Правда, в нем отсутствуют некоторые функции, доступные на реальной платформе.
После установки на устройство жертвы вредоносное ПО может делать записи с микрофона и камер, собирать сообщения и журналы вызовов, отправлять и блокировать сообщения, совершать телефонные звонки, делать снимки экрана, менять настройки GPS и сети, а также модифицировать файлы.
Transparent Tribe на протяжении длительного времени сохраняет постоянство TTPs, а относительно низкий уровень OpSec позволяет быстро атрибутировать его инструменты.
Так, адреса C2, с которыми взаимодействует CapraRAT, жестко запрограммированы в файле конфигурации приложения и непосрелственно связаны с прошлыми кампаниями Transparent Tribe.
Имитация YouTube является новым дополнением к уже устойчивой тенденции использования Android-приложений в качестве шпионского ПО и распространения их среди целей через социальные сети.
SentinelLabs отмечает при этом, что варианты CapraRAT, обнаруженные в ходе недавней кампании, имеют улучшенные характеристики по сравнению с более ранними, что демонстрирует эволюцию и адаптивность, а внедрение новых приложений дает АРТ бесспорное преимущество, позволяя охватывать все новых потенциальных жертв.
SentinelOne
CapraTube | Transparent Tribe’s CapraRAT Mimics YouTube to Hijack Android Phones
Pakistan-aligned threat actor weaponizes fake YouTube apps on the Android platform to deliver mobile remote access trojan spyware.
Trend Micro исправила 0-day в своем решении для защиты конечных точек Apex One, которая активно использовалась в атаках.
RCE-ошибка отслеживается как CVE-2023-41179 и получила оценку 9,1 согласно CVSS v3, что классифицирует ее как «критическую».
Недостаток затрагивает Trend Micro Apex One 2019, SaaS 2019, Worry-Free Business Security (WFBS) 10.0 SP1 и Worry-Free Business Security Services (WFBSS) 10.0 SP1.
Исправления доступны в пакете обновления 1 для Apex One 2019 — исправление 1 (сборка 12380), Apex One SaaS 14.0.12637, патчах WFBS 2495 и WFBSS от 31 июля.
Смягчающим фактором является то, что для эксплуатации CVE-2023-41179 злоумышленник должен предварительно заполучить учетные данные для консоли управления и использовать их для входа в систему. Уязвимость требует от злоумышленника физического или удаленного доступа к целевой машине.
Японский CERT также выпустил предупреждение об активном использовании уязвимости, призывая пользователей ПО как можно скорее обновить его до безопасной версии.
В качестве эффективного обходного решения может стать ограничение доступа к консоли администрирования продукта только доверенным сетям, блокируя мошенников, которые пытаются получить доступ к конечной точке из извне.
Тем не менее администраторам необходимо установить обновления безопасности, чтобы предотвратить возможное использование уязвимости уже взломавшими сеть злоумышленниками для перемещения на другие устройства.
Несмотря на то, что Trend Micro традиционно не разглашает информацию об атаках, мы то помним, как одна из предыдущих 0-day была использована в атаке на Mitsubishi Electric.
RCE-ошибка отслеживается как CVE-2023-41179 и получила оценку 9,1 согласно CVSS v3, что классифицирует ее как «критическую».
Недостаток затрагивает Trend Micro Apex One 2019, SaaS 2019, Worry-Free Business Security (WFBS) 10.0 SP1 и Worry-Free Business Security Services (WFBSS) 10.0 SP1.
Исправления доступны в пакете обновления 1 для Apex One 2019 — исправление 1 (сборка 12380), Apex One SaaS 14.0.12637, патчах WFBS 2495 и WFBSS от 31 июля.
Смягчающим фактором является то, что для эксплуатации CVE-2023-41179 злоумышленник должен предварительно заполучить учетные данные для консоли управления и использовать их для входа в систему. Уязвимость требует от злоумышленника физического или удаленного доступа к целевой машине.
Японский CERT также выпустил предупреждение об активном использовании уязвимости, призывая пользователей ПО как можно скорее обновить его до безопасной версии.
В качестве эффективного обходного решения может стать ограничение доступа к консоли администрирования продукта только доверенным сетям, блокируя мошенников, которые пытаются получить доступ к конечной точке из извне.
Тем не менее администраторам необходимо установить обновления безопасности, чтобы предотвратить возможное использование уязвимости уже взломавшими сеть злоумышленниками для перемещения на другие устройства.
Несмотря на то, что Trend Micro традиционно не разглашает информацию об атаках, мы то помним, как одна из предыдущих 0-day была использована в атаке на Mitsubishi Electric.
JPCERT/CC
Alert Regarding Vulnerability in Trend Micro Multiple Endpoint Security Products for Enterprises
Исследователи Unit42 из Palo Alto раскрыли кампанию по распространению VenomRAT с использованием поддельного PoC для недавней RCE-уязвимости в WinRAR, отслеживаемой как CVE-2023-40477.
21 августа, буквально спустя 4 дня после публичного сообщения о ошибке. злоумышленник под псевдонимом whalersplonk разместил фейковый PoC-скрипт в своем репозитории на GitHub.
В основе указанного PoC был использован общедоступном сценарии, который был нацелен на другую SQL-уязвимость в приложении под названием GeoServer, отслеживаемую как CVE-2023-25157.
Как полагают исследователи, злоумышленник вряд ли создавал фальшивый Python-скрипт под исследователей, скорее всего был нацелен на других злоумышленников, пытаясь внедрить новые уязвимости в свои операции.
Воссозданная ими хронология событий также указывает на то, что инфраструктура и полезная нагрузка создавались заранее, независимо от выпуска поддельного PoC. Просто актор решил оперативно воспользоваться ситуацией, учитывая наличие у WinRAR более 500 млн. пользователей по всему миру.
Кроме того, для ввода в заблуждение потенциальных жертв злоумышленники снабдили размещенный ZIP-архив файлом README.md с кратким описанием уязвимости CVE-2023-40477 и инструкцией по использованию сценария poc.py, указав в ней ссылку на демонстрационный ролик на стороннем ресурсе.
Поддельный сценарий poc.py был основан на PoC CVE-2023-25157, но с некоторыми изменениями: были удалены комментарии, изменены некоторые строки кода и был добавлен дополнительный код, выполняющий пакетный скрипт с комментарием «проверить зависимость».
Обращаясь к выделенному URL-адресу (checkblacklistwords[.]eu), запускается закодированный сценарий PowerShell, который загружает загружает другой сценарий PowerShell из checkblacklistwords[.]eu/c.txt.
Загруженный сценарий PowerShell доставляет исполняемый файл и создает запланированную задачу, которая запускает его каждые три минуты для постоянного выполнения полезной нагрузки.
Исполняемый файл Windows.Gaming.Preview.exe - это и есть VenomRAT, который имеет определенную конфигурацию.
Образец был скомпилирован 8 февраля 2023 года в 22:10:28 UTC одновременно еще с 700 другими, что указывает на задействование стандартного компоновщика и модификации базового файла его с помощью обновленных настроек конфигурации.
Установить точное число компрометаций и оценить влияние кампании не представилось возможным, но смонтированное актором имело 121 просмотр. Полный список SHA и IoC представлен на GitHub.
21 августа, буквально спустя 4 дня после публичного сообщения о ошибке. злоумышленник под псевдонимом whalersplonk разместил фейковый PoC-скрипт в своем репозитории на GitHub.
В основе указанного PoC был использован общедоступном сценарии, который был нацелен на другую SQL-уязвимость в приложении под названием GeoServer, отслеживаемую как CVE-2023-25157.
Как полагают исследователи, злоумышленник вряд ли создавал фальшивый Python-скрипт под исследователей, скорее всего был нацелен на других злоумышленников, пытаясь внедрить новые уязвимости в свои операции.
Воссозданная ими хронология событий также указывает на то, что инфраструктура и полезная нагрузка создавались заранее, независимо от выпуска поддельного PoC. Просто актор решил оперативно воспользоваться ситуацией, учитывая наличие у WinRAR более 500 млн. пользователей по всему миру.
Кроме того, для ввода в заблуждение потенциальных жертв злоумышленники снабдили размещенный ZIP-архив файлом README.md с кратким описанием уязвимости CVE-2023-40477 и инструкцией по использованию сценария poc.py, указав в ней ссылку на демонстрационный ролик на стороннем ресурсе.
Поддельный сценарий poc.py был основан на PoC CVE-2023-25157, но с некоторыми изменениями: были удалены комментарии, изменены некоторые строки кода и был добавлен дополнительный код, выполняющий пакетный скрипт с комментарием «проверить зависимость».
Обращаясь к выделенному URL-адресу (checkblacklistwords[.]eu), запускается закодированный сценарий PowerShell, который загружает загружает другой сценарий PowerShell из checkblacklistwords[.]eu/c.txt.
Загруженный сценарий PowerShell доставляет исполняемый файл и создает запланированную задачу, которая запускает его каждые три минуты для постоянного выполнения полезной нагрузки.
Исполняемый файл Windows.Gaming.Preview.exe - это и есть VenomRAT, который имеет определенную конфигурацию.
Образец был скомпилирован 8 февраля 2023 года в 22:10:28 UTC одновременно еще с 700 другими, что указывает на задействование стандартного компоновщика и модификации базового файла его с помощью обновленных настроек конфигурации.
Установить точное число компрометаций и оценить влияние кампании не представилось возможным, но смонтированное актором имело 121 просмотр. Полный список SHA и IoC представлен на GitHub.
Unit 42
Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT
A phony proof-of-concept (PoC) code for CVE-2023-40477 delivered a payload of VenomRAT. We detail our findings, including an analysis of the malicious code.
͏Самый «справедливый и гуманный» суд в мире подвергся кибератаке.
Пресловутый Международный Уголовный Суд (МУС) в Гааге заявил о киберинциденте в своей сети, где была обнаружена аномальная активность, влияющая на ее информационные системы.
Как сообщает МУС, были приняты немедленные меры по реагированию на нарушение и приняты меры по смягчению его влияния. К расследованию уже подключились ведущие инфосек-специалисты из Нидерландов.
Характер инцидента до сих пор пока остается неясным, и еще неизвестно, был ли получен доступ к каким-либо данным, хранящимся в системах МУС, или же они были выведены из строя.
Официальный представитель МУС Фади Эль-Адбаллах категорически отказался отвечать на вопросы журналистов и заявил, что организация не будет комментировать ситуацию вне рамок своего заявления. Кто стоял за кибератакой, конечно же, не сообщается.
Пресловутый Международный Уголовный Суд (МУС) в Гааге заявил о киберинциденте в своей сети, где была обнаружена аномальная активность, влияющая на ее информационные системы.
Как сообщает МУС, были приняты немедленные меры по реагированию на нарушение и приняты меры по смягчению его влияния. К расследованию уже подключились ведущие инфосек-специалисты из Нидерландов.
Характер инцидента до сих пор пока остается неясным, и еще неизвестно, был ли получен доступ к каким-либо данным, хранящимся в системах МУС, или же они были выведены из строя.
Официальный представитель МУС Фади Эль-Адбаллах категорически отказался отвечать на вопросы журналистов и заявил, что организация не будет комментировать ситуацию вне рамок своего заявления. Кто стоял за кибератакой, конечно же, не сообщается.
Forwarded from Russian OSINT
В Signal добавлена поддержка квантовой стойкости Post-Quantum Extended Diffie-Hellman (PQXDH).
В некоторых солидных учреждениях для рабочей переписки его рекомендуют 🤔в качестве альтернативы WhatsApp (входит в признанную экстремистской корпорацию Meta), Skype, Viber.
"...В качестве альтернативы им предложено применять смартфоны китайского или российского производства с операционной системой «Аврора» или Android, мессенджеры Telegram с функцией «секретный чат», «Тамтам», Signal, «VK Мессенджер» и eXpress", - пишут Ведомости.
👆Сразу вспоминается пост от коллег
Please open Telegram to view this post
VIEW IN TELEGRAM
После отчета ( пинка ) от Лаборатории Касперского разработчики Free Download Manager (FDM) вдруг зашевелились, представив нелепые объяснения почему на протяжении трех лет сайт использовался для распространения зараженного трояном установщика FDM для Linux.
FDM провела расследование и вдруг обнаружила, что отчеты ЛК и других исследователей о взломе их сайта были проигнорированы, как оказалось, из-за ошибки в их контактной системе, а Рафик сувсем невиновуен.
Причем в течение этого времени многие пользователи сообщали о необычном поведении после установки вредоносного установщика не только поставщику, но и оставляли различные посты на форуме поддержки и других площадках. Вероятно, те же ошибки также не давали разработчикам их увидеть.
Тем не менее, свой косяк признали и даже поспешили выпустить скрипт, позволяющий проверить, не было ли устройство Linux заражено в результате недавно зарегистрированной атаки на цепочку поставок.
Но стоит отдать должное, помимо извинений, поставщик постарался атрибутировать угрозу. В результате расследования они пришли к выводу, что сайт был скомпрометирован украинской хакерской группой, которая использовала его для распространения вредоносного ПО.
Потенциально пострадала лишь небольшая группа пользователей, особенно те, кто пытался загрузить FDM для Linux в период с 2020 по 2022 год. Вероятно, именно из-за ограниченного масштаба проблема до сих пор оставалась незамеченной, а уязвимость была случайно устранена во время планового обновления сайта в 2022 году.
Проанализировав резервные копии проекта, начиная с 2020 года, и разработчики измененную страницу, которая содержала алгоритм, который выбирал, давать ли пользователям правильную ссылку для скачивания или ссылку, ведущую на поддельный домен deb.fdmpkg[.]org с вредоносным файлом.
Как выяснилось, у него был «список исключений» для IP-адресов из различных подсетей, в том числе связанных с Bing и Google. Посетителям с них всегда предоставлялась правильная ссылка для загрузки.
Разработчики выразили сожаление по поводу случившегося и рекомендовали пользователей, скачавших FDM для Linux в течение 2020-2022 годов, проверить свои компьютеры на наличие вредоносного ПО, заверив, что пользователи Windows и Mac не пострадали.
Сценарии bash для проверки доступен здесь. Стоит учитывать, что скрипт только определяет наличие на вашем компьютере упомянутых потенциальных угроз, но не удаляет их. При обнаружении вредоносного ПО настоятельно рекомендуется переустановить систему.
FDM провела расследование и вдруг обнаружила, что отчеты ЛК и других исследователей о взломе их сайта были проигнорированы, как оказалось, из-за ошибки в их контактной системе, а Рафик сувсем невиновуен.
Причем в течение этого времени многие пользователи сообщали о необычном поведении после установки вредоносного установщика не только поставщику, но и оставляли различные посты на форуме поддержки и других площадках. Вероятно, те же ошибки также не давали разработчикам их увидеть.
Тем не менее, свой косяк признали и даже поспешили выпустить скрипт, позволяющий проверить, не было ли устройство Linux заражено в результате недавно зарегистрированной атаки на цепочку поставок.
Но стоит отдать должное, помимо извинений, поставщик постарался атрибутировать угрозу. В результате расследования они пришли к выводу, что сайт был скомпрометирован украинской хакерской группой, которая использовала его для распространения вредоносного ПО.
Потенциально пострадала лишь небольшая группа пользователей, особенно те, кто пытался загрузить FDM для Linux в период с 2020 по 2022 год. Вероятно, именно из-за ограниченного масштаба проблема до сих пор оставалась незамеченной, а уязвимость была случайно устранена во время планового обновления сайта в 2022 году.
Проанализировав резервные копии проекта, начиная с 2020 года, и разработчики измененную страницу, которая содержала алгоритм, который выбирал, давать ли пользователям правильную ссылку для скачивания или ссылку, ведущую на поддельный домен deb.fdmpkg[.]org с вредоносным файлом.
Как выяснилось, у него был «список исключений» для IP-адресов из различных подсетей, в том числе связанных с Bing и Google. Посетителям с них всегда предоставлялась правильная ссылка для загрузки.
Разработчики выразили сожаление по поводу случившегося и рекомендовали пользователей, скачавших FDM для Linux в течение 2020-2022 годов, проверить свои компьютеры на наличие вредоносного ПО, заверив, что пользователи Windows и Mac не пострадали.
Сценарии bash для проверки доступен здесь. Стоит учитывать, что скрипт только определяет наличие на вашем компьютере упомянутых потенциальных угроз, но не удаляет их. При обнаружении вредоносного ПО настоятельно рекомендуется переустановить систему.
Telegram
SecAtor
Ресерчеры из Лаборатории Касперского раскрыли атаку на цепочку поставок в рамках кампании, которая продолжается более 3 лет.
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО…
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО…
В ПО для мониторинга сети Nagios XI было обнаружено множество проблем безопасности, которые могут привести к повышению привилегий и раскрытию информации.
Четыре уязвимости безопасности, CVE-2023-40931 - CVE-2023-40934, затрагивают Nagios XI 5.11.1 (и ниже), были раскрыты 4 августа, а 11 сентября получили исправления с выпуском версии 5.11.2.
Как сообщают исследователи Outpost24, три из них (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяют пользователям с различными уровнями привилегий получать доступ к полям базы данных посредством SQL-инъекций.
Эксплуатация этих уязвимостей позволяет в дальнейшем повышать привилегий в продукте и получать конфиденциальные пользовательские данные, включая хэши паролей и токены API.
CVE-2023-40932, с другой стороны, относится к XSS-уязвимости и затрагивает компонент «пользовательский логотип», который можно использовать для чтения конфиденциальных данных, включая пароли в открытом виде со страницы входа.
Успешная эксплуатация трех уязвимостей SQL-инъекций может позволить злоумышленнику, прошедшему проверку подлинности, выполнить произвольные команды SQL, а ошибка XSS может быть использована для внедрения произвольного кода JavaScript, а также чтения и изменения данных страницы.
Новые проблемы в Nagios XI, конечно не те, что были найдены в 2021 году исследователями Skylight Cyber и Claroty, которыми можно было воспользоваться для взлома инфраструктуры и удаленного выполнения кода, но тем не менее критичны и требуют скорейшего обновления продукта.
Четыре уязвимости безопасности, CVE-2023-40931 - CVE-2023-40934, затрагивают Nagios XI 5.11.1 (и ниже), были раскрыты 4 августа, а 11 сентября получили исправления с выпуском версии 5.11.2.
Как сообщают исследователи Outpost24, три из них (CVE-2023-40931, CVE-2023-40933 и CVE-2023-40934) позволяют пользователям с различными уровнями привилегий получать доступ к полям базы данных посредством SQL-инъекций.
Эксплуатация этих уязвимостей позволяет в дальнейшем повышать привилегий в продукте и получать конфиденциальные пользовательские данные, включая хэши паролей и токены API.
CVE-2023-40932, с другой стороны, относится к XSS-уязвимости и затрагивает компонент «пользовательский логотип», который можно использовать для чтения конфиденциальных данных, включая пароли в открытом виде со страницы входа.
Успешная эксплуатация трех уязвимостей SQL-инъекций может позволить злоумышленнику, прошедшему проверку подлинности, выполнить произвольные команды SQL, а ошибка XSS может быть использована для внедрения произвольного кода JavaScript, а также чтения и изменения данных страницы.
Новые проблемы в Nagios XI, конечно не те, что были найдены в 2021 году исследователями Skylight Cyber и Claroty, которыми можно было воспользоваться для взлома инфраструктуры и удаленного выполнения кода, но тем не менее критичны и требуют скорейшего обновления продукта.
Outpost24
Nagios XI vulnerabilities resulting in privilege escalation (& more)
Outpost24 has identified four vulnerabilities in Nagios XI, three of which result in privilege escalation.
Две обнаруженные уязвимости в Atos Unify могут вызвать сбои в работе и привести к взлому системы.
Проблемы были найдены исследователями SEC Consult, являющейся частью бизнеса Eviden группы Atos, и затрагивают Atos Unify Session Border Controller (обеспечивает безопасность унифицированных коммуникаций), Unify OpenScape Branch для удаленных офисов и функцию пограничного контроля BCF, предназначенную для экстренных служб.
SEC Consult отмечает, что веб-интерфейс этих продуктов подвержен уязвимости CVE-2023-36618, которая может быть использована аутентифицированным злоумышленником с низкими привилегиями для выполнения произвольных функций PHP и последующих команд ОС с привилегиями root.
Другая, CVE-2023-36619, может быть использована злоумышленником, не прошедшим проверку подлинности, для доступа и выполнения определенных сценариев.
Злоумышленник может использовать эти сценарии, чтобы вызвать состояние DoS или изменить конфигурацию системы.
SEC Consult характеризует их как критические, даже несмотря на то, что присвоил им рейтинг высокой степени серьезности по CVSS.
По факту злоумышленники могут получить root-доступ над устройством, если известны какие-либо учетные данные пользователя с низким уровнем привилегий, и могут переконфигурировать или реализовать бэкдор в системе.
SEC Consult опубликовала рекомендации с техническими подробностями подробностями, но PoC раскрывать не стала.
В свою очередь, Atos выпустила обновления для исправления обеих уязвимостей Unify, а также предложила ряд обходных путей для снижения риска взлома.
Проблемы были найдены исследователями SEC Consult, являющейся частью бизнеса Eviden группы Atos, и затрагивают Atos Unify Session Border Controller (обеспечивает безопасность унифицированных коммуникаций), Unify OpenScape Branch для удаленных офисов и функцию пограничного контроля BCF, предназначенную для экстренных служб.
SEC Consult отмечает, что веб-интерфейс этих продуктов подвержен уязвимости CVE-2023-36618, которая может быть использована аутентифицированным злоумышленником с низкими привилегиями для выполнения произвольных функций PHP и последующих команд ОС с привилегиями root.
Другая, CVE-2023-36619, может быть использована злоумышленником, не прошедшим проверку подлинности, для доступа и выполнения определенных сценариев.
Злоумышленник может использовать эти сценарии, чтобы вызвать состояние DoS или изменить конфигурацию системы.
SEC Consult характеризует их как критические, даже несмотря на то, что присвоил им рейтинг высокой степени серьезности по CVSS.
По факту злоумышленники могут получить root-доступ над устройством, если известны какие-либо учетные данные пользователя с низким уровнем привилегий, и могут переконфигурировать или реализовать бэкдор в системе.
SEC Consult опубликовала рекомендации с техническими подробностями подробностями, но PoC раскрывать не стала.
В свою очередь, Atos выпустила обновления для исправления обеих уязвимостей Unify, а также предложила ряд обходных путей для снижения риска взлома.
SEC Consult
Authenticated Remote Code Execution and Missing Authentication in Atos Unify OpenScape
Two vulnerabilities have been identified in the Atos Unify OpenScape products Session Border Controller, Branch, and BCF. The first one allows a low-privileged attacker to execute arbitrary operating systems commands as root user. The second allows an unauthenticated…
Как и ожидалось, Китай приступил к реализации масштабного пендослива, обвиняя США в проведении за последнее десятилетие ряда крупных кампании кибершпионажа по всему миру.
На фоне растущей геополитической напряженности между двумя странами с резким заявлением на этот раз выступило МГБ КНР, указавшее на взлом серверов Huawei, кибератаку на Северо-Западный политехнический университет, кражу чувствительных данных и внедрение бэкдоров, начиная с 2009 года.
Не раскрывая деталей, в своем сообщении китайские спецслужбы прямо указали на Управление компьютерных сетевых операций АНБ США как инициатора систематических и платформенных атак на многие страны мира в рамках операций «Операция Телескрин (Bvp47)», «Квант», «FOXACID», «Улей» и др., которые осуществлялись с использованием серьезного киберарсенала, включая и тот самый Second Date.
В числе атакованных американцами с использованием шпионского ПО, по данным китайской спецслужбы, более 45 стран, включая Германия, Япония, Южная Корея, Индия и Тайвань, где основными целями стали телекоммуникации, научные исследования, экономика, энергетика и военный сектор.
Кроме того, MSS сообщает о принуждении властями США национальных технологических компаний к внедрению в свою продукцию бэкдоров для проведения кибершпионажа и кражи данных. В числе таких поставщиков китайцы назвали X-Mode Social и Anomaly Six, которые обеспечивали наблюдение за мобильными телефонами пользователей.
Как особо отмечают китайцы, при этом при всем, США разными способами фабрикуют различные версии «отчетов о безопасности», выставляя себя жертвой атак, призывая другие страны присоединиться к так называемой программе «чистой сети» в попытке устранить китайские компании с международного IT-рынка.
На фоне растущей геополитической напряженности между двумя странами с резким заявлением на этот раз выступило МГБ КНР, указавшее на взлом серверов Huawei, кибератаку на Северо-Западный политехнический университет, кражу чувствительных данных и внедрение бэкдоров, начиная с 2009 года.
Не раскрывая деталей, в своем сообщении китайские спецслужбы прямо указали на Управление компьютерных сетевых операций АНБ США как инициатора систематических и платформенных атак на многие страны мира в рамках операций «Операция Телескрин (Bvp47)», «Квант», «FOXACID», «Улей» и др., которые осуществлялись с использованием серьезного киберарсенала, включая и тот самый Second Date.
В числе атакованных американцами с использованием шпионского ПО, по данным китайской спецслужбы, более 45 стран, включая Германия, Япония, Южная Корея, Индия и Тайвань, где основными целями стали телекоммуникации, научные исследования, экономика, энергетика и военный сектор.
Кроме того, MSS сообщает о принуждении властями США национальных технологических компаний к внедрению в свою продукцию бэкдоров для проведения кибершпионажа и кражи данных. В числе таких поставщиков китайцы назвали X-Mode Social и Anomaly Six, которые обеспечивали наблюдение за мобильными телефонами пользователей.
Как особо отмечают китайцы, при этом при всем, США разными способами фабрикуют различные версии «отчетов о безопасности», выставляя себя жертвой атак, призывая другие страны присоединиться к так называемой программе «чистой сети» в попытке устранить китайские компании с международного IT-рынка.
Впервые обнаруженный специалистами Unit 42 ботнет P2PInfect в июле 2023 года, значительно увеличил свою активность с конца августа и утюжит сеть по сей день.
Только за неделю с 12 по 19 сентября 2023 года активность ботнета возросла в 600 раз, о чем сообщают исследователи из Cado Security, причем большинство нарушений затрагивают системы в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
Вредоносное ПО, распространяемое через peer-to-peer, нарушает работу Redis, используя уязвимость удаленного выполнения кода на системах Windows и Linux, подключенных к интернету.
По мнению специалистов Cado, активность P2PInfect сопряжена с тем, что вредоносное ПО стало более адаптированным и стабильным, что позволяет увеличивать ландшафт распространения.
Последние образцы содержат ряд дополнений и улучшений, включающих новые функции механизма постоянства на основе cron, использование ключа SSH для перезаписи любых авторизованных ключей SSH на нарушенном конечном узле и смену пароля для любых других пользователей в системе, если у вредоносного ПО есть доступ к root.
Несмотря на то, что недавно обнаруженные варианты P2PInfect пытались инсталлировать майнер, фактически деятельность криптодобычи не наблюдалась, но в совокупности это может указывать на то, что операторы вредоносного ПО продолжают экспериментировать с последним этапом атаки.
Учитывая текущий размер ботнета, его активное распространение, функции самообновления и быстрое расширение за последний месяц, P2PInfect представляет собой значительную угрозу, которую следует учитывать.
Только за неделю с 12 по 19 сентября 2023 года активность ботнета возросла в 600 раз, о чем сообщают исследователи из Cado Security, причем большинство нарушений затрагивают системы в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
Вредоносное ПО, распространяемое через peer-to-peer, нарушает работу Redis, используя уязвимость удаленного выполнения кода на системах Windows и Linux, подключенных к интернету.
По мнению специалистов Cado, активность P2PInfect сопряжена с тем, что вредоносное ПО стало более адаптированным и стабильным, что позволяет увеличивать ландшафт распространения.
Последние образцы содержат ряд дополнений и улучшений, включающих новые функции механизма постоянства на основе cron, использование ключа SSH для перезаписи любых авторизованных ключей SSH на нарушенном конечном узле и смену пароля для любых других пользователей в системе, если у вредоносного ПО есть доступ к root.
Несмотря на то, что недавно обнаруженные варианты P2PInfect пытались инсталлировать майнер, фактически деятельность криптодобычи не наблюдалась, но в совокупности это может указывать на то, что операторы вредоносного ПО продолжают экспериментировать с последним этапом атаки.
Учитывая текущий размер ботнета, его активное распространение, функции самообновления и быстрое расширение за последний месяц, P2PInfect представляет собой значительную угрозу, которую следует учитывать.
Darktrace
Solve Cloud Forensics at Scale
Darktrace has acquired Cado security, a cyber investigation and response solution provider and leader in cloud data capture and forensics.
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.• Как известно, шифровальщики стали неизбежной, «фоновой» реальностью работы многих компаний по всему миру — а удачные атаки и многомиллионные суммы выкупа только подогревают этот сектор.
• Схемы распространения шифровальщиков бывают разными: одни выбирают весьма своеобразные методы, а другие придерживаются стандартных вариантов. Однако и те, и другие получают успешный (для атакующих) результат и шифруют данные.
• В DFIR отчете, которым я сегодня поделюсь, описана схема распространения рансомвари и получение первоначального доступа к системе через почтовый фишинг. Если коротко, то начинается всё с вредоносного HTML-файла, после открытия которого, на ПК жертвы скачивает ZIP файл, который содержащий ISO. А уже из ISO, путем отработки скриптов, загружаются бинарный файлы, которые распространяются по сети.
• Я описал схему максимально простыми словами. Но на самом деле, схема на порядок изощреннее и интереснее. Обязательно ознакомьтесь с данным материалом: https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware/
• В дополнение: Архитектура Шифровальщика. Как хакеры шифруют огромный объем данных за считаные минуты?
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Болтун - находка для шпиона, особенно, если он - еще и владелец устройств Apple.
Компания вноаь выпустила внеплановые исправления для очередных 3 активно эксплуатируемых 0-day в атаках на пользователей iPhone и Mac, предположительно, с использованием spyware.
Две ошибки были обнаружены в ядре браузера WebKit (CVE-2023-41993) и системе безопасности (CVE-2023-41991), которые позволяют злоумышленникам обходить проверку подписи с помощью вредоносных приложений или выполнять произвольный код через вредоносные сайты.
Третий был найден в Kernel Framework, который предоставляет API и поддержку расширений ядра и резидентных драйверов устройств.
Локальные злоумышленники могут использовать эту уязвимость (CVE-2023-41992) для повышения привилегий.
В число затронутых устройств вошли как. Новые, так и старые модели устройств, включая iPhone 8 и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Monterey и новее, Apple Watch Series 4 и новее.
Apple представила macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1 с исправлениями уязвимости, устранив проблемы с проверкой сертификата и улучшив проверки.
В своих рекомендациях Apple признала, что проблема могла активно использоваться в версиях iOS до iOS 16.7, но еще не предоставила дополнительной информации.
Учитывая, что об атаках и новых 0-day сообщили исследователи Citizen Lab и Google TAG, речь вновь может идти о задействовании коммерческого шпионского ПО.
Ведь раскрытые ими же ранее в этом месяце уязвимости нулевого дня использовались как часть цепочки эксплойтов с нулевым щелчком мыши, получившей название BLASTPASS, для заражения полностью пропатченные iPhone с коммерческим шпионским ПО Pegasus от NSO Group.
Но будем посмотреть, может что-то новенькое.
Компания вноаь выпустила внеплановые исправления для очередных 3 активно эксплуатируемых 0-day в атаках на пользователей iPhone и Mac, предположительно, с использованием spyware.
Две ошибки были обнаружены в ядре браузера WebKit (CVE-2023-41993) и системе безопасности (CVE-2023-41991), которые позволяют злоумышленникам обходить проверку подписи с помощью вредоносных приложений или выполнять произвольный код через вредоносные сайты.
Третий был найден в Kernel Framework, который предоставляет API и поддержку расширений ядра и резидентных драйверов устройств.
Локальные злоумышленники могут использовать эту уязвимость (CVE-2023-41992) для повышения привилегий.
В число затронутых устройств вошли как. Новые, так и старые модели устройств, включая iPhone 8 и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Monterey и новее, Apple Watch Series 4 и новее.
Apple представила macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 и watchOS 9.6.3/10.0.1 с исправлениями уязвимости, устранив проблемы с проверкой сертификата и улучшив проверки.
В своих рекомендациях Apple признала, что проблема могла активно использоваться в версиях iOS до iOS 16.7, но еще не предоставила дополнительной информации.
Учитывая, что об атаках и новых 0-day сообщили исследователи Citizen Lab и Google TAG, речь вновь может идти о задействовании коммерческого шпионского ПО.
Ведь раскрытые ими же ранее в этом месяце уязвимости нулевого дня использовались как часть цепочки эксплойтов с нулевым щелчком мыши, получившей название BLASTPASS, для заражения полностью пропатченные iPhone с коммерческим шпионским ПО Pegasus от NSO Group.
Но будем посмотреть, может что-то новенькое.
Apple Support
About the security content of iOS 17.0.1 and iPadOS 17.0.1
This document describes the security content of iOS 17.0.1 and iPadOS 17.0.1.
Исследователи SentinelLabs и QGroup GmbH отследили новую таинственную APT Sandman, нацеленную поставщиков услуг связи в Европе и Азии в рамках кампании кибершпионажа.
На вооружении APT состоит модульное вредоносное ПО под названием LuaDream на платформе LuaJIT, что является относительно редким явлением на ландшафте угроз. Малварь способна похищать системную и пользовательскую информацию, открывая путь для дополнительных точных атак.
Вредоносная активность Sandman была замечена в августе 2023 года и характеризуются осторожным и продуманным подходом: минимальные и стратегические перемещения внутри зараженных сетей и максимальное снижение риска обнаружения с целью сохранения долгосрочного доступа к взломанным системам.
По данным SentinelOne, злоумышленник получает доступ к корпоративной сети, используя украденные административные учетные данные.
После взлома сети Sandman использовал атаки «pass-the-hash» для аутентификации на удаленных серверах и службах путем извлечения и повторного использования NTLM-хэшей, хранящихся в памяти.
В одной из расследованных ситуаций все подконтрольные хакерам рабочие станции принадлежали управленческому звену, что указывает на интерес злоумышленника к получению секретной или конфиденциальной информации.
Для этих целей SandMan применяет LuaDream для атак с использованием перехвата DLL на целевые системы. Вредоносное ПО получило свое название из-за использования JIT-компилятора LuaJIT для языка сценариев Lua.
Вредоносная программа используется для сбора данных и управления плагинами, расширяющими ее функциональность, которые получаются с C2 и выполняются локально в скомпрометированной системе.
Разработка вредоносного ПО, похоже, активна до настоящего времени: полученная строка версии указывает номер выпуска «12.0.2.5.23.29», а начальные записи в журналах тестирования датируются июнем 2022 года.
В основе LuaDream лежит семиэтапный процесс в памяти, реализующий уклонение от обнаружения, инициируемый либо службой Windows Fax, либо Spooler, которая запускает вредоносный файл DLL.
LuaDream состоит из 34 компонентов, 13 основных и 21 вспомогательного компонента, которые используют байт-код LuaJIT и API Windows через библиотеку ffi.
Основные компоненты выполняют базовые функции вредоносного ПО, такие как сбор системных и пользовательских данных, управление плагинами и связь с C2, а компоненты поддержки обеспечивают технический блок (предоставление библиотек Lua и определений Windows API).
После инициализации LuaDream подключается к серверу C2 (через TCP, HTTPS, WebSocket или QUIC) и отправляет собранную информацию, включая версии вредоносного ПО, IP/MAC-адреса, сведения об ОС и др.
Поскольку при каждой атаке злоумышленники развертывают определенные плагины через LuaDream, у SentinelLabs нет исчерпывающего перечня всех доступных плагинов.
Несмотря на то, что некоторые специальные вредоносные ПО Sandman и часть инфраструктуры C2 были раскрыты, происхождение злоумышленника остается неясным.
На вооружении APT состоит модульное вредоносное ПО под названием LuaDream на платформе LuaJIT, что является относительно редким явлением на ландшафте угроз. Малварь способна похищать системную и пользовательскую информацию, открывая путь для дополнительных точных атак.
Вредоносная активность Sandman была замечена в августе 2023 года и характеризуются осторожным и продуманным подходом: минимальные и стратегические перемещения внутри зараженных сетей и максимальное снижение риска обнаружения с целью сохранения долгосрочного доступа к взломанным системам.
По данным SentinelOne, злоумышленник получает доступ к корпоративной сети, используя украденные административные учетные данные.
После взлома сети Sandman использовал атаки «pass-the-hash» для аутентификации на удаленных серверах и службах путем извлечения и повторного использования NTLM-хэшей, хранящихся в памяти.
В одной из расследованных ситуаций все подконтрольные хакерам рабочие станции принадлежали управленческому звену, что указывает на интерес злоумышленника к получению секретной или конфиденциальной информации.
Для этих целей SandMan применяет LuaDream для атак с использованием перехвата DLL на целевые системы. Вредоносное ПО получило свое название из-за использования JIT-компилятора LuaJIT для языка сценариев Lua.
Вредоносная программа используется для сбора данных и управления плагинами, расширяющими ее функциональность, которые получаются с C2 и выполняются локально в скомпрометированной системе.
Разработка вредоносного ПО, похоже, активна до настоящего времени: полученная строка версии указывает номер выпуска «12.0.2.5.23.29», а начальные записи в журналах тестирования датируются июнем 2022 года.
В основе LuaDream лежит семиэтапный процесс в памяти, реализующий уклонение от обнаружения, инициируемый либо службой Windows Fax, либо Spooler, которая запускает вредоносный файл DLL.
LuaDream состоит из 34 компонентов, 13 основных и 21 вспомогательного компонента, которые используют байт-код LuaJIT и API Windows через библиотеку ffi.
Основные компоненты выполняют базовые функции вредоносного ПО, такие как сбор системных и пользовательских данных, управление плагинами и связь с C2, а компоненты поддержки обеспечивают технический блок (предоставление библиотек Lua и определений Windows API).
После инициализации LuaDream подключается к серверу C2 (через TCP, HTTPS, WebSocket или QUIC) и отправляет собранную информацию, включая версии вредоносного ПО, IP/MAC-адреса, сведения об ОС и др.
Поскольку при каждой атаке злоумышленники развертывают определенные плагины через LuaDream, у SentinelLabs нет исчерпывающего перечня всех доступных плагинов.
Несмотря на то, что некоторые специальные вредоносные ПО Sandman и часть инфраструктуры C2 были раскрыты, происхождение злоумышленника остается неясным.
SentinelOne
Sandman APT | A Mystery Group Targeting Telcos with a LuaJIT Toolkit
Sophisticated threat actor deploys high-end malware utilizing the LuaJIT platform to backdoor telcos in Europe, Middle East and South Asia.
В решениях Atlassian и ISC BIND обнаружены серьезные недостатки, которые могут быть использованы для DoS и RCE.
Австралийский поставщик ПО выпустил в новых версиях исправления для четырех серьезных ошибок в Jira, Confluence, Bitbucket и Bamboo.
Самая серьезная из этих проблем CVE-2023-22513 (CVSS: 8,5) описывается как уязвимость RCE в Bitbucket. Аутентифицированный злоумышленник может воспользоваться уязвимостью без взаимодействия с пользователем. Проблема появилась в Bitbucket версии 8.0.0 и затрагивает большинство выпусков до версии 8.14.0.
Вторая CVE-2023-22512 (CVSS 7,5) - это DoS-проблема в продуктах Confluence Data Center и Server (начиная с версии 5.6 затрагивает выпуски продукта до 8.5.0 включительно). Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы запретить доступ к ресурсам, временно или на неопределенный срок нарушая работу служб уязвимого хоста, подключенного к сети.
CVE-2023-28709 (CVSS 7,5), описывается как DoS-ошибка на сервере Apache Tomcat, влияющая на Bamboo. Причем в Apache Tomcat уязвимость существует потому, что исправление другой уязвимости, CVE-2023-24998, было неполным.
Обновления, выпущенные для Jira, устраняют CVE-2022-25647 (CVSS 7,5), ошибку десериализации в пакете Google Gson, влияющую на управление исправлениями в Jira Service Management.
Две серьезные ошибки закрыты ISC в Berkeley Internet Name Domain 9 (BIND).
CVE-2023-3341 (CVSS: 7,5) представляет собой ошибку исчерпания стека в коде канала управления и может привести к неожиданному завершению работы метода Name (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18, 19-S1).
Другая CVE-2023-4236 (CVSS: 7,5) - это ошибка в сетевом коде, обрабатывающем запросы DNS-over-TLS, может привести к неожиданному завершению named. Это происходит, когда внутренние структуры данных неправильно повторно используются при значительной нагрузке запросов (исправлена в версиях 9.18.19 и 9.18.19-S1).
Данных об использований уязвимостей в злонамеренных атаках не сообщается.
Австралийский поставщик ПО выпустил в новых версиях исправления для четырех серьезных ошибок в Jira, Confluence, Bitbucket и Bamboo.
Самая серьезная из этих проблем CVE-2023-22513 (CVSS: 8,5) описывается как уязвимость RCE в Bitbucket. Аутентифицированный злоумышленник может воспользоваться уязвимостью без взаимодействия с пользователем. Проблема появилась в Bitbucket версии 8.0.0 и затрагивает большинство выпусков до версии 8.14.0.
Вторая CVE-2023-22512 (CVSS 7,5) - это DoS-проблема в продуктах Confluence Data Center и Server (начиная с версии 5.6 затрагивает выпуски продукта до 8.5.0 включительно). Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой уязвимостью, чтобы запретить доступ к ресурсам, временно или на неопределенный срок нарушая работу служб уязвимого хоста, подключенного к сети.
CVE-2023-28709 (CVSS 7,5), описывается как DoS-ошибка на сервере Apache Tomcat, влияющая на Bamboo. Причем в Apache Tomcat уязвимость существует потому, что исправление другой уязвимости, CVE-2023-24998, было неполным.
Обновления, выпущенные для Jira, устраняют CVE-2022-25647 (CVSS 7,5), ошибку десериализации в пакете Google Gson, влияющую на управление исправлениями в Jira Service Management.
Две серьезные ошибки закрыты ISC в Berkeley Internet Name Domain 9 (BIND).
CVE-2023-3341 (CVSS: 7,5) представляет собой ошибку исчерпания стека в коде канала управления и может привести к неожиданному завершению работы метода Name (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18, 19-S1).
Другая CVE-2023-4236 (CVSS: 7,5) - это ошибка в сетевом коде, обрабатывающем запросы DNS-over-TLS, может привести к неожиданному завершению named. Это происходит, когда внутренние структуры данных неправильно повторно используются при значительной нагрузке запросов (исправлена в версиях 9.18.19 и 9.18.19-S1).
Данных об использований уязвимостей в злонамеренных атаках не сообщается.
В CMS 1С-Битрикс: Управление исправлена критическая узявимость модуля landing с оценкой CVSS: 10/10.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
Уязвимости подтверждены все версии ПО до 23.850.0. Она вызвана проблемами синхронизации при использовании общего ресурса.
Эксплуатация может позволить нарушителю, действующему удалённо, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
1С-Битрикс достаточно оперативно смога выпустить исправления, но напрочь позабыв, видимо, уведомить своих клиентов.
Пользователям рекомендуется как можно скорее обновиться до актуальных версий, а также ограничить доступ с определенных адресов для модулей управления.
͏L0X — это судьба, или как иначе объяснить, что T-Mobile в третий раз менее чем за 12 месяцев столкнулся с утечкой данных.
Киберпреступники заявляют, что им удалось раскрыть учетные данные сотрудников, информацию о клиентах и другие конфиденциальные данные.
Награбленное разместили на теневой площадке, где указали, что базу слили в апреле 2023 года, которая содержит учетные данные сотрудников, частичные номера соцстрахования (SSN), адреса электронной почты, данные клиентов, продажи, аналитику T-Mobile и другую информацию.
По мнению исследователей, образцы опубликованных данных выглядят вполне легитимно, но пока нет подтвержденной информации.
Известно, что общий объем данных ± 90 ГБ.
В свою очередь, vx-underground утверждают, что обладают инсайдерской информацией о взломе, а данные были украдены вскоре после второго взлома T-Mobile в этом году, который произошел в марте 2023 года.
Это только за последний год T-Mobile нагнули трижды, но еще не остыл в памяти инцидент в августе 2021 года, когда оператор сообщил об утечке только после того, как в даркнете разместили личные данных более 100 миллионов клиентов.
В совокупности проблем возникает очевидный вопрос о способности T-Mobile обеспечивать безопасность своих систем и защищать конфиденциальность клиентов, что без сомнений вызывает серьезные опасения.
Держитесь-крепитесь, но компании в очередной раз придется столкнуться с серьезными последствиями, включая потерю доверия со стороны клиентов, штрафы от регуляторов и утрату рыночной доли. В общем, пример - другим наука...
Киберпреступники заявляют, что им удалось раскрыть учетные данные сотрудников, информацию о клиентах и другие конфиденциальные данные.
Награбленное разместили на теневой площадке, где указали, что базу слили в апреле 2023 года, которая содержит учетные данные сотрудников, частичные номера соцстрахования (SSN), адреса электронной почты, данные клиентов, продажи, аналитику T-Mobile и другую информацию.
По мнению исследователей, образцы опубликованных данных выглядят вполне легитимно, но пока нет подтвержденной информации.
Известно, что общий объем данных ± 90 ГБ.
В свою очередь, vx-underground утверждают, что обладают инсайдерской информацией о взломе, а данные были украдены вскоре после второго взлома T-Mobile в этом году, который произошел в марте 2023 года.
Это только за последний год T-Mobile нагнули трижды, но еще не остыл в памяти инцидент в августе 2021 года, когда оператор сообщил об утечке только после того, как в даркнете разместили личные данных более 100 миллионов клиентов.
В совокупности проблем возникает очевидный вопрос о способности T-Mobile обеспечивать безопасность своих систем и защищать конфиденциальность клиентов, что без сомнений вызывает серьезные опасения.
Держитесь-крепитесь, но компании в очередной раз придется столкнуться с серьезными последствиями, включая потерю доверия со стороны клиентов, штрафы от регуляторов и утрату рыночной доли. В общем, пример - другим наука...
