Forwarded from Пакет Безопасности
Попался
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
Очередной Дамоклов меч повис над инфраструктурой мобильных операторов, поскольку исследователями была обнаружена новая угроза: неизвестный ранее бэкдор для Linux под названием GTPDOOR, который использует уникальный метод для скрытого проникновения в сети телекоммуникационных компаний.
Малварь разработана для выполнения операций в сетях мобильных операторов, используя протокол GTP (GPRS Tunnelling Protocol) для связи с C2, а отличительной особенностью является его способность атаковать системы GRX (GPRS roaming eXchange), включая SGSN (Serving GPRS Support Node), GGSN (Gateway GPRS Support Node) и P-GW (Packet Data Network Gateway для 4G LTE).
Как говорят эксперты, эти элементы сетевой инфраструктуры играют ключевую роль в работе операторов, обеспечивая роуминг данных между различными географическими зонами и сетями.
Атака на такие системы может представлять злоумышленникам прямой доступ к основной сети оператора связи, что ставит под угрозу безопасность пользовательских данных, целостность сетевой инфраструктуры и не только.
Первым обнаружил эту угрозу спец под псевдонимом HaxRob и он же предположил, что за GTPDOOR стоит хакерская группа LightBasin (UNC1945), ранее замеченная в кибершпионских операциях против телекоммуникационных компаний.
Фишкой GTPDOOR является, то, что он использует протокол GTP-C для скрытой связи со своим управляющим сервером, что, в свою очередь, позволяет маскироваться под обычный трафик и использовать уже разрешенные порты, которые на практике редко контролируются системами защиты, что делает обнаружение и блокировку малвари особенно сложной задачей.
Если учесть, что бэкдор предназначен для развертывания в Linux-системах, связанных с GRX, то можно представить весь масштаб новой угрозы для мобильных сетей.
Для защиты сетевой инфраструктуры специалисты разработали YARA-правила, позволяющие обнаруживать GTPDOOR, а также набор рекомендаций.
Малварь разработана для выполнения операций в сетях мобильных операторов, используя протокол GTP (GPRS Tunnelling Protocol) для связи с C2, а отличительной особенностью является его способность атаковать системы GRX (GPRS roaming eXchange), включая SGSN (Serving GPRS Support Node), GGSN (Gateway GPRS Support Node) и P-GW (Packet Data Network Gateway для 4G LTE).
Как говорят эксперты, эти элементы сетевой инфраструктуры играют ключевую роль в работе операторов, обеспечивая роуминг данных между различными географическими зонами и сетями.
Атака на такие системы может представлять злоумышленникам прямой доступ к основной сети оператора связи, что ставит под угрозу безопасность пользовательских данных, целостность сетевой инфраструктуры и не только.
Первым обнаружил эту угрозу спец под псевдонимом HaxRob и он же предположил, что за GTPDOOR стоит хакерская группа LightBasin (UNC1945), ранее замеченная в кибершпионских операциях против телекоммуникационных компаний.
Фишкой GTPDOOR является, то, что он использует протокол GTP-C для скрытой связи со своим управляющим сервером, что, в свою очередь, позволяет маскироваться под обычный трафик и использовать уже разрешенные порты, которые на практике редко контролируются системами защиты, что делает обнаружение и блокировку малвари особенно сложной задачей.
Если учесть, что бэкдор предназначен для развертывания в Linux-системах, связанных с GRX, то можно представить весь масштаб новой угрозы для мобильных сетей.
Для защиты сетевой инфраструктуры специалисты разработали YARA-правила, позволяющие обнаруживать GTPDOOR, а также набор рекомендаций.
BNN
GTPDOOR Malware Threatens Global Telecom via GPRS Exploitation, Targets Linux Servers
Discover GTPDOOR, a new malware exploiting Linux servers in telecom networks for stealthy attacks, posing serious threats to data security.
͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).
В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.
Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.
Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.
Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.
Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.
В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.
Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.
В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).
Optum UnitedHealth Group от комментариев относительно выкупа отказались.
Так что ситуация пока до конца неясная.
Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.
Будем посмотреть.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).
В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.
Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.
Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.
Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.
Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.
В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.
Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.
В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).
Optum UnitedHealth Group от комментариев относительно выкупа отказались.
Так что ситуация пока до конца неясная.
Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.
Будем посмотреть.
Бурю негодований и критики получила JetBrains от инфосек-сообщества за попытку нескоординированного раскрытия и исправления двух серьезных уязвимостей в TeamCity, о которых им сообщили исследователи Rapid7 в конце февраля.
Обе проблемы связаны с веб-компонентом TeamCity On-Premises CI/CD и влияют на все версии локальных установок до 2023.11.3.
Самая критичная из них - CVE-2024-27198 (CVSS 9,8), обход аутентификации, обусловлена проблемой альтернативного пути и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, получить контроль над сервером с административными разрешениями.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для проведения атаки на цепочку поставок.
Другая CVE-2024-27199 (CVSS 7.3), хотя и менее серьезная, - это уязвимость обхода пути в веб-компоненте TeamCity, позволяющая обойти аутентификацию и изменять ограниченное количество системных настроек, но злоумышленнику уже необходимо находиться в сети жертвы.
Злоумышленник может использовать ее для атак типа DoS или для прослушивания клиентских подключений посредством MiTM.
JetBrains выпустила новую версию TeamCity 2023.11.4, которая устраняет две уязвимости, не предоставив при этом никаких подробностей об исправленных проблемах безопасности.
Позже во втором сообщении у себя в блоге компания все же раскрыла серьезность проблем и последствия их использования.
В свою очередь, Rapid7 продемонстрировали серьезность основной уязвимости, создав PoC, который генерировал аутентификацию и позволял получить доступ к оболочке (сеанс Meterpreter) на целевом сервере TeamCity.
Кроме того, Rapid7 представила полное техническое пояснение относительно причин уязвимости, описав, как ее можно активировать для создания новой учетной записи администратора или создания нового токена доступа администратора для получения контроля над сервером.
Администраторам настоятельно рекомендуется обновить свой сервер до версии 2023.11.4.
Если это невозможно, доступен плагин исправления безопасности для TeamCity 2018.2 и новее, а также для TeamCity 2018.1 и старше.
Пока же никаких признаков эксплуатации не наблюдается, но это лишь дело времени. Безусловно, хакеры не упустят из виду такую возможность для атак на цепочку поставок (мудаков).
Обе проблемы связаны с веб-компонентом TeamCity On-Premises CI/CD и влияют на все версии локальных установок до 2023.11.3.
Самая критичная из них - CVE-2024-27198 (CVSS 9,8), обход аутентификации, обусловлена проблемой альтернативного пути и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, получить контроль над сервером с административными разрешениями.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для проведения атаки на цепочку поставок.
Другая CVE-2024-27199 (CVSS 7.3), хотя и менее серьезная, - это уязвимость обхода пути в веб-компоненте TeamCity, позволяющая обойти аутентификацию и изменять ограниченное количество системных настроек, но злоумышленнику уже необходимо находиться в сети жертвы.
Злоумышленник может использовать ее для атак типа DoS или для прослушивания клиентских подключений посредством MiTM.
JetBrains выпустила новую версию TeamCity 2023.11.4, которая устраняет две уязвимости, не предоставив при этом никаких подробностей об исправленных проблемах безопасности.
Позже во втором сообщении у себя в блоге компания все же раскрыла серьезность проблем и последствия их использования.
В свою очередь, Rapid7 продемонстрировали серьезность основной уязвимости, создав PoC, который генерировал аутентификацию и позволял получить доступ к оболочке (сеанс Meterpreter) на целевом сервере TeamCity.
Кроме того, Rapid7 представила полное техническое пояснение относительно причин уязвимости, описав, как ее можно активировать для создания новой учетной записи администратора или создания нового токена доступа администратора для получения контроля над сервером.
Администраторам настоятельно рекомендуется обновить свой сервер до версии 2023.11.4.
Если это невозможно, доступен плагин исправления безопасности для TeamCity 2018.2 и новее, а также для TeamCity 2018.1 и старше.
Пока же никаких признаков эксплуатации не наблюдается, но это лишь дело времени. Безусловно, хакеры не упустят из виду такую возможность для атак на цепочку поставок
Rapid7
JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities | Rapid7 Blog
͏Про слив Симоньян переговоров немецких высокопоставленных офицеров наверняка многие уже слышали. Если кто не в курсе - там боши обсуждали как бы можно было крылатыми ракетами Таурус распетрушить Крымский мост.
Однако тут The Stack подвез подробности этого инцидента. Если пересказывать сюжет драмы в двух словах - у Бундесвера с информационной безопасностью "все хорошо".
Немцы просто вели сверхсекретные переговоры в Cisco WebEx, а кто-то скоммуниздил ссылку для захода в конференцию и невозбранно ею воспользовался. И фрицы такие: "Ой, а кто это с нами в конференции сидит, наверное так надо".
Журналисты The Stack задаются вопросом - а почему военные не воспользовались защищенным BwMessenger, созданным IT-подрядчиком специально для Бундесвера? Отвечает господин Друзь - "А потому что мудакам пофигу на какие правила информационной безопасности забивать, на порядок обновления или на запрет ведения конфиденциальных переговоров по открытой связи. Мудакам так хочется!"
Этот киберинцидент лишний раз доказывает, что мудаки - явление интернациональное и трансграничное, всепроникающее как межгалактический эфир. Перефразируя военкома из винрарного фильма ДМБ, можно сказать - Мудак это не профессия, это половая ориентация!
Однако тут The Stack подвез подробности этого инцидента. Если пересказывать сюжет драмы в двух словах - у Бундесвера с информационной безопасностью "все хорошо".
Немцы просто вели сверхсекретные переговоры в Cisco WebEx, а кто-то скоммуниздил ссылку для захода в конференцию и невозбранно ею воспользовался. И фрицы такие: "Ой, а кто это с нами в конференции сидит, наверное так надо".
Журналисты The Stack задаются вопросом - а почему военные не воспользовались защищенным BwMessenger, созданным IT-подрядчиком специально для Бундесвера? Отвечает господин Друзь - "А потому что мудакам пофигу на какие правила информационной безопасности забивать, на порядок обновления или на запрет ведения конфиденциальных переговоров по открытой связи. Мудакам так хочется!"
Этот киберинцидент лишний раз доказывает, что мудаки - явление интернациональное и трансграничное, всепроникающее как межгалактический эфир. Перефразируя военкома из винрарного фильма ДМБ, можно сказать - Мудак это не профессия, это половая ориентация!
На фоне громогласных обвинений в адрес КНР в тотальном кибершпионаже и попыток навязать образ кибердиверсантов ученые Georgia Tech из США не стесняются заявлять о разработке аналога Stuxnet.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.
Задействование легитимного ПО для выполнения необходимых задач в ходе атаки далеко уже не новость особенно для тех, кто занимается реагированием на инциденты.
Такой подход позволяет избежать детектирования и минимизирует затраты на разработку ПО.
Сканирование сети, получение слепков памяти системных процессов, выгрузка данных, удаленный запуск файлов и даже шифрование дисков — все это может быть сделано с использованием доверенных программ.
Однако, как сообщают исследователи из Лаборатории Касперского, иногда атакующие находят весьма оригинальные способы применения не самых очевидных программ, как это было в случае с QEMU.
Обычно для подключения к атакованной инфраструктуре с целью развития атаки злоумышленники могут использовать заранее установленное вредоносное ПО или подключаться через доступные RDP-серверы или корпоративный VPN.
Кроме того, могут применяться и утилиты для сетевых туннелей (или «проброса» сетевых портов) между внутренними системами в корпоративной сети и серверами злоумышленников, что обеспечивает доступ к системам внутри, минуя NAT и межсетевые экраны.
Чаще всего, согласно статистике ЛК, злоумышленники использовали ngrok и FRP (наряду с Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox и nps), всего же подобные утилиты встречались в 10% от общего количества атак.
Но в ходе работы над инцидентом в одной крупной компании специалисты с толкнулись с нетипичой активностью.
Если с Angry IP Scanner и mimikatz все было очевидно, то использование QEMU (ПО для эмуляции аппаратного обеспечения различных платформ) вызвало вопросы.
Выяснилось, что запуск происходил без образа жесткого диска или LiveCD, с указанием в параметрах внешнего IP-адреса, что очень нетипично для этой ПО.
Причем сам адрес никак не был связанн с атакованной компанией, что привлекло еще больше внимания.
Изучая документацию, выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам.
Злоумышленники запускали на скомпрометированной системе «клиент», который подключался к их серверу и предоставлял доступ к корпоративной сети, внутри которой «клиент» работал.
Так что это еще один аргумент в пользу концепции многоуровневой (эшелонированной) защиты, которая включает в себя мониторинг активности в сети (NDR, NGFW) и на конечных устройствах (EDR, EPP).
Такой подход позволяет избежать детектирования и минимизирует затраты на разработку ПО.
Сканирование сети, получение слепков памяти системных процессов, выгрузка данных, удаленный запуск файлов и даже шифрование дисков — все это может быть сделано с использованием доверенных программ.
Однако, как сообщают исследователи из Лаборатории Касперского, иногда атакующие находят весьма оригинальные способы применения не самых очевидных программ, как это было в случае с QEMU.
Обычно для подключения к атакованной инфраструктуре с целью развития атаки злоумышленники могут использовать заранее установленное вредоносное ПО или подключаться через доступные RDP-серверы или корпоративный VPN.
Кроме того, могут применяться и утилиты для сетевых туннелей (или «проброса» сетевых портов) между внутренними системами в корпоративной сети и серверами злоумышленников, что обеспечивает доступ к системам внутри, минуя NAT и межсетевые экраны.
Чаще всего, согласно статистике ЛК, злоумышленники использовали ngrok и FRP (наряду с Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox и nps), всего же подобные утилиты встречались в 10% от общего количества атак.
Но в ходе работы над инцидентом в одной крупной компании специалисты с толкнулись с нетипичой активностью.
Если с Angry IP Scanner и mimikatz все было очевидно, то использование QEMU (ПО для эмуляции аппаратного обеспечения различных платформ) вызвало вопросы.
Выяснилось, что запуск происходил без образа жесткого диска или LiveCD, с указанием в параметрах внешнего IP-адреса, что очень нетипично для этой ПО.
Причем сам адрес никак не был связанн с атакованной компанией, что привлекло еще больше внимания.
Изучая документацию, выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам.
Злоумышленники запускали на скомпрометированной системе «клиент», который подключался к их серверу и предоставлял доступ к корпоративной сети, внутри которой «клиент» работал.
Так что это еще один аргумент в пользу концепции многоуровневой (эшелонированной) защиты, которая включает в себя мониторинг активности в сети (NDR, NGFW) и на конечных устройствах (EDR, EPP).
Securelist
Сетевой туннель с помощью… QEMU?
Во время работы над инцидентом мы обнаружили нетипичную активность злоумышленников. Анализ артефактов показал, что в ходе атаки они разместили в системе программу для эмуляции аппаратного обеспечения различных платформ QEMU.
С развитием генеративных систем искусственного интеллекта, таких как ChatGPT от OpenAI и Gemini от Google приходится сталкиваться и с новым витком угроз в области кибербезопасности.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
Исследователи из Cornell Tech создали одного из первых в мире генеративного ИИ-червя, способного распространяться с одной системы на другую, попутно воруя данные или развертывая вредоносное ПО.
Этого ИИ-червя, прозвали Morris II, в честь оригинального компьютерного червя Morris, который вызвал хаос в Интернете в далеком 1988 году.
Специалисты показали, как червь может атаковать генеративного ИИ-помощника по электронной почте, красть данные из писем и отправлять спам, нарушая при этом некоторые меры безопасности в ChatGPT и Gemini.
Как в фильмах с животными в конце часто говорят, что во время съемок зверушки не пострадали, так и в инфосеке специалисты уверяют, что эксперименты проводились в тестовых условиях и не затрагивали публично доступных помощников по электронной почте.
Генеративные ИИ-системы работают, получая подсказки (промпты) - текстовые инструкции, которые говорят инструментам отвечать на вопросы или создавать изображения, поэтому в качестве вектора атаки использовались два типа писем: текстовые и в виде файла изображений.
Так вот суть эксперимента заключалась в том, чтобы заставить генеративную ИИ-модель в своем ответе выводить другой промпт, что, по сути, схоже с традиционными атаками SQL-инъекции и переполнения буфера.
Таким образом, исходное сообщение заставляет модель генерировать ответ, содержащий враждебный самовоспроизводящийся запрос, и отправлять чувствительную информацию о пользователе.
Мы долго думали, что же нам напоминает Morris II, пока наконец не вспомнили - объект SCP-571 Самораспространяющийся заразный узор.
Человек, который увидел SCP-571, начинает его копировать любым подручным способом чтобы силой заставить посмотреть на него другого человека. А потом сходит с ума.
Согласитесь, есть некое сходство.
WIRED
Here Come the AI Worms
Security researchers created an AI worm in a test environment that can automatically spread between generative AI agents—potentially stealing data and sending spam emails along the way.
Forwarded from Social Engineering
• Вчера у нас освещалась очень интересная и актуальная тема, которую мы сегодня продолжим. Дело в том, что совсем недавно на хакерских форумах продавался весьма функциональный UEFI-буткит BlackLotus. Продавали его за каких-то 5000 баксов, но вскоре его исходники утекли и были опубликованы на GitHub.
• Учитывайте, что информация в этом посте предоставлена исключительно в рамках ознакомления и изучения проблем безопасности! Настоятельно рекомендую не нарушать законы и уважать права других людей.
• Переходим к описанию и необходимым ссылкам: буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Помимо этого BlackLotus способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). BlackLotus имеет размер 80 килобайт, написан на ассемблере и C, и умеет определять геозону жертвы, чтобы избегать заражения машин в странах СНГ.
• Изучить исходный код и найти более детальное описание можно на github: https://github.com/ldpreload/BlackLotus
• Поскольку теперь исходный код буткита стал доступен для всех желающих, не исключено, что с его помощью хакеры смогут создать более мощные вредоносы, способные обойти существующие и будущие меры противодействия таким угрозам.
• Подробный принцип работы:
- BlackLotus UEFI bootkit: Myth confirmed;
- The Untold Story of the BlackLotus UEFI Bootkit;
- BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатило экстренное обновление от Apple для iOS с исправлениями двух 0-day, которые использовались в целевых атаках на iPhone, связанных, по всей видимости, со spyware.
Число нулей в послужном списке за текущий год у Apple начинает пополняться, пока, конечно, до прошлогоднего рекорда в 20 еще далеко, но темп задан.
Новые ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296) и позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.
Компания заявляет, что устранила недостатки безопасности на устройствах под управлением iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6 с помощью улучшенной проверки ввода.
Список затронутых устройств Apple довольно таки обширен и включает в себя все линейки iPhone XS, iPhone 8, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го и 2-го поколений, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения (и новее).
Apple в свойственной манере не сообщила, кто стоит за раскрытием и не обнародовала информацию о характере и обстоятельствах атак с использованием 0-day.
Но несмотря на это настоятельно рекомендуется как можно скорее установить обновления.
Число нулей в послужном списке за текущий год у Apple начинает пополняться, пока, конечно, до прошлогоднего рекорда в 20 еще далеко, но темп задан.
Новые ошибки были обнаружены в ядре iOS (CVE-2024-23225) и RTKit (CVE-2024-23296) и позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обойти защиту памяти ядра.
Компания заявляет, что устранила недостатки безопасности на устройствах под управлением iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6 с помощью улучшенной проверки ввода.
Список затронутых устройств Apple довольно таки обширен и включает в себя все линейки iPhone XS, iPhone 8, iPhone X, iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го и 2-го поколений, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения (и новее).
Apple в свойственной манере не сообщила, кто стоит за раскрытием и не обнародовала информацию о характере и обстоятельствах атак с использованием 0-day.
Но несмотря на это настоятельно рекомендуется как можно скорее установить обновления.
Apple Support
About the security content of iOS 17.4 and iPadOS 17.4
This document describes the security content of iOS 17.4 and iPadOS 17.4.
VMware выпустила исправления для четырех уязвимостей, затрагивающих ESXi, Workstation и Fusion, включая две критические уязвимости, которые могут привести к RCE.
CVE-2024-22252 и CVE-2024-22253 представляют собой ошибки использования после освобождения в USB-контроллере XHCI с оценкой CVSS 9,3 (для Workstation и Fusion) и 8,4 (для систем ESXi).
Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте.
Проблемы обнаружили и раскрыли исследователи Ant Group Light-Year и QiAnXin.
Помимо названных VMware устранила две уязвимости с СVSS: 7,9: CVE-2024-22254 и CVE-2024-22255.
Первая уязвимость записи за пределами границ в ESXi может позволить злоумышленнику с привилегиями в процессе VMX осуществить выход из песочницы.
Другая уязвимость раскрытия информации в USB-контроллере UHCI может быть использована злоумышленником с административным доступом к виртуальной машине для утечки памяти из процесса vmx.
Проблемы устранены в следующих версиях, включая те, срок эксплуатации которых истек (EoL): ESXi 6.5 - 6.5U3в; ESXi 6.7 - 6.7U3u; ESXi 7.0 - ESXi70U3p-23307199; ESXi 8.0 - ESXi80U2sb-23305545 и ESXi80U1d-23299997; VMware Cloud Foundation (VCF) 3.x; Workstation 17.x - 17.5.1 и Fusion 13.x (macOS) - 13.5.1.
В качестве временного решения, пока не будет развернуто исправление, клиентам было предложено удалить все USB-контроллеры из виртуальной машины.
CVE-2024-22252 и CVE-2024-22253 представляют собой ошибки использования после освобождения в USB-контроллере XHCI с оценкой CVSS 9,3 (для Workstation и Fusion) и 8,4 (для систем ESXi).
Злоумышленник с правами локального администратора на виртуальной машине может воспользоваться проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте.
Проблемы обнаружили и раскрыли исследователи Ant Group Light-Year и QiAnXin.
Помимо названных VMware устранила две уязвимости с СVSS: 7,9: CVE-2024-22254 и CVE-2024-22255.
Первая уязвимость записи за пределами границ в ESXi может позволить злоумышленнику с привилегиями в процессе VMX осуществить выход из песочницы.
Другая уязвимость раскрытия информации в USB-контроллере UHCI может быть использована злоумышленником с административным доступом к виртуальной машине для утечки памяти из процесса vmx.
Проблемы устранены в следующих версиях, включая те, срок эксплуатации которых истек (EoL): ESXi 6.5 - 6.5U3в; ESXi 6.7 - 6.7U3u; ESXi 7.0 - ESXi70U3p-23307199; ESXi 8.0 - ESXi80U2sb-23305545 и ESXi80U1d-23299997; VMware Cloud Foundation (VCF) 3.x; Workstation 17.x - 17.5.1 и Fusion 13.x (macOS) - 13.5.1.
В качестве временного решения, пока не будет развернуто исправление, клиентам было предложено удалить все USB-контроллеры из виртуальной машины.
Быль про джина из бутылки стала реальностью для владельцев мини-ПК китайского производителя ACEMAGIC. Но есть нюансы.
Как оказалось, почти все модели устройств с завода поставлялись с Redline infostealer и бэкдором Bladabindi в разделе восстановления системы ОС Windows, а в некоторых случаях вредоносное ПО также обнаруживалось в драйвере RGB-подсветки мини-ПК.
До джина добрались исследователи The Net Guy Reviews, позже их находку подтвердили The Gadgeteer и клиенты компании.
Судя по отзывам, вредоносное ПО, судя по всему, проникло на модели мини-ПК ACEMAGIC, такие как S1, AD08 и AD15, но исследователи полагают, что проблемы могли возникнуть у всех моделей.
The Net Guy Reviews сообщают, что вредоносное ПО было обнаружено в разделе установщика мини-ПК, который позволял клиентам устанавливать Windows 11 с локальной учетной записью и без профиля Microsoft.
Все указывают на то, что инженеры ACEMAGIC позаимствовали некоторый код из Интернета и присовокупили его к своему установщику, не проверяя и не сканируя на наличие вредоносного ПО.
К нашему и не только нашему удивлению, китайская ACEMAGIC подтвердила, что ранние партии некоторых ее новых моделей мини-ПК поставлялись с предустановленным вредоносным ПО.
И, что является редкостью среди современных технологических компаний, взяла на себя всю вину за инцидент, подтвердив, что ее инженеры-программисты конкретно облажались и добавили непроверенный код поверх ОС Windows, который к настоящему времени удален.
Компания заявила, что инцидент затронул только ограниченную партию мини-ПК, большая часть которых была реализована в Европе и США.
Как оказалось, почти все модели устройств с завода поставлялись с Redline infostealer и бэкдором Bladabindi в разделе восстановления системы ОС Windows, а в некоторых случаях вредоносное ПО также обнаруживалось в драйвере RGB-подсветки мини-ПК.
До джина добрались исследователи The Net Guy Reviews, позже их находку подтвердили The Gadgeteer и клиенты компании.
Судя по отзывам, вредоносное ПО, судя по всему, проникло на модели мини-ПК ACEMAGIC, такие как S1, AD08 и AD15, но исследователи полагают, что проблемы могли возникнуть у всех моделей.
The Net Guy Reviews сообщают, что вредоносное ПО было обнаружено в разделе установщика мини-ПК, который позволял клиентам устанавливать Windows 11 с локальной учетной записью и без профиля Microsoft.
Все указывают на то, что инженеры ACEMAGIC позаимствовали некоторый код из Интернета и присовокупили его к своему установщику, не проверяя и не сканируя на наличие вредоносного ПО.
К нашему и не только нашему удивлению, китайская ACEMAGIC подтвердила, что ранние партии некоторых ее новых моделей мини-ПК поставлялись с предустановленным вредоносным ПО.
И, что является редкостью среди современных технологических компаний, взяла на себя всю вину за инцидент, подтвердив, что ее инженеры-программисты конкретно облажались и добавили непроверенный код поверх ОС Windows, который к настоящему времени удален.
Компания заявила, что инцидент затронул только ограниченную партию мини-ПК, большая часть которых была реализована в Европе и США.
YouTube
This MINI PC ships with SPYWARE! 🦠 ⚠️ Acemagic AD08, AD15, S1
I love bringing you great new tech every week and sharing my love of savings and deals where I can. This is the video I didn’t want to make. This mini PC was one of the nicest value Mini PCs I’ve come across, though the review took a turn for the worse…
Новая APT Lotus Bane заявила о себе резонансной атакой на финансовую организацию во Вьетнаме.
Хакерская группировка активна по меньшей мере, с 2022 года и была обнаружена в марте прошлого года товарищами из Group-IB.
Примечательно, что группа использует методы, частично совпадающие с TTPs другого известного вьетнамского злоумышленника - OceanLotus (APT32), что указывает на возможные связи между этими группами, несмотря на различие в целевых отраслях.
Lotus Bane активно атакует банковский сектор в Азиатско-Тихоокеанском регионе, используя обильный арсенал разнообразных вредоносных ПО для заражения и последующего контроля над системами.
Среди популярных методов - неопубликованная загрузка DLL и обмен данными через именованные каналы (один из методов межпроцессного взаимодействия), что позволяет злоумышленникам запускать вредоносные исполняемые файлы, а также создавать удаленные запланированные задачи для горизонтального перемещения внутри сети.
Одним из инструментов, используемых Lotus Bane, - вредоносное ПО PIPEDANCE, позволяющее осуществлять связь, как раз таки по именованным каналам.
Этот инструмент был впервые задокументирован специалистами Elastic Security Labs в феврале 2023 года в связи с атакой на неназванную вьетнамскую организацию.
Несмотря на то, что атака произошла во Вьетнаме, эксперты утверждают, что сложность методов используемых Lotus Bane указывает на ее потенциал для более широких горизонтов и операций в пределах всего региона.
Хакерская группировка активна по меньшей мере, с 2022 года и была обнаружена в марте прошлого года товарищами из Group-IB.
Примечательно, что группа использует методы, частично совпадающие с TTPs другого известного вьетнамского злоумышленника - OceanLotus (APT32), что указывает на возможные связи между этими группами, несмотря на различие в целевых отраслях.
Lotus Bane активно атакует банковский сектор в Азиатско-Тихоокеанском регионе, используя обильный арсенал разнообразных вредоносных ПО для заражения и последующего контроля над системами.
Среди популярных методов - неопубликованная загрузка DLL и обмен данными через именованные каналы (один из методов межпроцессного взаимодействия), что позволяет злоумышленникам запускать вредоносные исполняемые файлы, а также создавать удаленные запланированные задачи для горизонтального перемещения внутри сети.
Одним из инструментов, используемых Lotus Bane, - вредоносное ПО PIPEDANCE, позволяющее осуществлять связь, как раз таки по именованным каналам.
Этот инструмент был впервые задокументирован специалистами Elastic Security Labs в феврале 2023 года в связи с атакой на неназванную вьетнамскую организацию.
Несмотря на то, что атака произошла во Вьетнаме, эксперты утверждают, что сложность методов используемых Lotus Bane указывает на ее потенциал для более широких горизонтов и операций в пределах всего региона.
В кейсе с исчезновением BlackCat наметилась развязка после того, как в очередной раз инфраструктура банды ушла в оффлайн.
Успев неплохо потрудиться и напоследок хорошенько нагнуть систему здравоохранения в США в лице Change Healthcare UnitedHealth Group, сайты BlackCat по второму разу прикрыты баннером о конфискации от ФБР.
Исследователи уже заприметили, что новый баннер - прикрышка, которую извлекли из архива со старого сайта утечки и прилепили сами хакеры.
Возможно, что так и есть, этим отчасти объясняются жалобы кинутых на 23 млн. дол. операторов, кошельки которых обчистили владельцы RaaS перед уходом, распределив биткойны по различным кошелькам равными транзакциями на сумму около 3,3 миллиона долларов.
Помимо проделанных финтов, ALPHV разместили объявление о продаже исходников своего вредоносного ПО по цене в 5 миллионов долларов и статус в Tox на «GG» («хорошая игра»).
В недоумении находятся также спецслужбы, некоторые из которых прямо указали на свою непричастность к последним событиям вокруг ALPHV, а другие, в частности, ФБР вовсе отказалось как-то это комментировать.
Но, если верить Смилянцу из Recorded Future, админы сами заявили, что «решили полностью закрыть проект» и «официально заявить, что федералы их обманули». Журналистам из BleepingComputer ALPHV сообщили, что их инфраструктура все же была конфискована.
Но в сухом остатке, если проследить путь банды от DarkSide в 2020 и BlackMatter в 2021 к современному бренду BlackCat или ALPHV, то все события следует понимать началом новой истории, которая по всей видимости будет сопровождаться переформатированием кода и команды.
Что касается бабла, то следует заметить, что BlackCat не являются первопроходцами в использовании такого трюка, скоро как 20 лет назад один находчивый молодой человек, известный в сети под псевдонимом как Redeye, точно также схлопнул свою платежку Fethard, обвинив в этом милицейских милиционеров.
Как говорится, новое - это хорошо забытое старое.
Успев неплохо потрудиться и напоследок хорошенько нагнуть систему здравоохранения в США в лице Change Healthcare UnitedHealth Group, сайты BlackCat по второму разу прикрыты баннером о конфискации от ФБР.
Исследователи уже заприметили, что новый баннер - прикрышка, которую извлекли из архива со старого сайта утечки и прилепили сами хакеры.
Возможно, что так и есть, этим отчасти объясняются жалобы кинутых на 23 млн. дол. операторов, кошельки которых обчистили владельцы RaaS перед уходом, распределив биткойны по различным кошелькам равными транзакциями на сумму около 3,3 миллиона долларов.
Помимо проделанных финтов, ALPHV разместили объявление о продаже исходников своего вредоносного ПО по цене в 5 миллионов долларов и статус в Tox на «GG» («хорошая игра»).
В недоумении находятся также спецслужбы, некоторые из которых прямо указали на свою непричастность к последним событиям вокруг ALPHV, а другие, в частности, ФБР вовсе отказалось как-то это комментировать.
Но, если верить Смилянцу из Recorded Future, админы сами заявили, что «решили полностью закрыть проект» и «официально заявить, что федералы их обманули». Журналистам из BleepingComputer ALPHV сообщили, что их инфраструктура все же была конфискована.
Но в сухом остатке, если проследить путь банды от DarkSide в 2020 и BlackMatter в 2021 к современному бренду BlackCat или ALPHV, то все события следует понимать началом новой истории, которая по всей видимости будет сопровождаться переформатированием кода и команды.
Что касается бабла, то следует заметить, что BlackCat не являются первопроходцами в использовании такого трюка, скоро как 20 лет назад один находчивый молодой человек, известный в сети под псевдонимом как Redeye, точно также схлопнул свою платежку Fethard, обвинив в этом милицейских милиционеров.
Как говорится, новое - это хорошо забытое старое.
Telegram
SecAtor
͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на…
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на…
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.
По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.
Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.
По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.
Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.
X (formerly Twitter)
LeakIX (@leak_ix) on X
⚠️⚠️⚠️ We are seeing massive exploitation of TeamCity CVE-2024-27198.
Hundreds of users are created for later use across the Internet.
Hundreds of users are created for later use across the Internet.
Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.
Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.
Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.
Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.
Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.
Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.
При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.
По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.
В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.
Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.
Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.
Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.
Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.
Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.
При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.
По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.
В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.
Sucuri Blog
From Web3 Drainer to Distributed WordPress Brute Force Attack
Learn how attackers have switched from Web3 crypto drainers to launching distributed WordPress brute force attacks using already compromised websites. We explain attack stages and lifecycle, common indicators of compromise, and how to protect your site from…
Фактовики продолжают расчехлять вымогателей Shadow, проливая свет на ранее неизвестные атаки и TTPs АРТ-группировки.
По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.
Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации.
В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.
Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.
Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.
За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.
Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.
Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.
В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.
По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности.
Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.
По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.
Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации.
В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.
Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.
Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.
За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.
Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.
Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.
В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.
По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности.
Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.
Forwarded from Russian OSINT
SCMP пишет, что в Китае некоторые образцы кибердогов применяются в военном деле. Часть экспертов видят потенциал в бионических четвероногих, которые способны стрелять не хуже профессиональных военных.
Ведущий ученый Сюй Ченг в области машиностроения из 🇨🇳Нанкинского университета опубликовал исследование в Chinese Journal of Engineering, где рассказывает о новой 🤖🐕"ударной платформе на ногах".
Команда Сюй установила на железную собаку 7,62-мм пулемет. Роботизированная собака произвела 10 выстрелов⚔️ по мишени размером с человека, стоящей на расстоянии 100 метров. Максимальное расстояние между центром мишени и пятью ближайшими пулевыми отверстиями - составило всего 5 см.
Для сравнения, опытные стрелки с винтовкой M16 в руках показывают результат около 6 см.
Ученый считает, что перспективы использования у кибердогов в городских боях, где требуется проведение антитеррористических операций, освобождение заложников, зачистка улиц и зданий - высокие.
В Китае роботы-собаки поначалу отставали в технологическом развитии от американских собратьев, но за последние годы этот разрыв значительно сократился. Цена гражданской модели упала до $3 000.
Доги могут перемещаться по лестницам, выполнять акробатические трюки, включая сальто назад, преодолевать сложные ландшафты, а также поддерживать непрерывный бег в течение почти 4 часов с грузом около 20 кг.
По мере стремительного развития
"Вскоре они достигнут уровня, когда смогут самостоятельно решать - является ли человек врагом или нет. Окончательная дилемма: нужно ли нажимать на спусковой крючок или нет", - сказал он.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь из Университета Центральной Флориды обнаружил критические уязвимости в плагине Ethercat для инструмента мониторинга сетевой безопасности с открытым исходным кодом Zeek, которые позволяют взломать сеть ICS
По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.
Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.
Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.
Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek.
В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.
В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.
В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.
Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.
Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.
Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.
Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.
Причем другие платины оказались не подвержены такому типу ошибкам.
По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.
Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.
Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.
Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek.
В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.
В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.
В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.
Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.
Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.
Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.
Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.
Причем другие платины оказались не подвержены такому типу ошибкам.
blog.securityonion.net
Vulnerabilities in Zeek Ethercat Plugin
CISA recently announced some vulnerabilities in the Zeek Ethercat plugin: https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02 htt...
Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с Международным Женским Днем!
Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Ура, товарищи!
Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Ура, товарищи!