Исследователи Morphisec сообщают о расширении целей Sticky Werewolf для атак в России и Беларуси.
Впервые активная как минимум с апреля 2023 года Sticky Werewolf была профилирована BI.ZONE в октябре 2023 года.
Известна тем, что таргетируется на Россию и Беларусь, отслеживается также как Cloud Werewolf (Inception и Cloud Atlas), Quartz Wolf, Red Wolf (он же RedCurl) и Scaly Wolf.
Новые замеченные фишинговые атаки были нацелены на фармацевтическую компанию, НИИ в области микробиологии и разработки вакцин, а также на авиационный сектор, выйдя за рамки более ранних устремлений к госсектор.
Причем в предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io.
Кульминацией было развертывание трояна удаленного доступа NetWire RAT, инфраструктура которого была отключена в начале прошлого года в результате силовой операции.
В недавней кампании использовались архивы RAR, два файла LNK и ложный PDF-документ. Последний включал якобы приглашение на видеоконференцию, а для получения повестки необходимо было нажать на LNK.
Открытие любого из файлов LNK приводило к выполнению двоичного файла, размещенного на сервере WebDAV и запуску пакетного сценария Windows.
Скрипт, в свою очередь, предназначен для выполнения сценария AutoIt, который в конечном итоге внедряет окончательную полезную нагрузку, в то же время минуя защитное ПО и попытки анализа.
Исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного шифровальщика CypherIT.
При этом оригинальный шифровальщик больше не реализуется, а задетектированный является его модификацией.
Конечная цель кампании - распространение универсальных RAT и вредоносных ПО для кражи информации, включая Rhadamanthys и Ozone RAT.
Ресерчеры отмечают, что несмотря на отсутствие достоверных данных, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст и виктимология указывают на возможные связи с проукраинской APT или хактивистами.
Впервые активная как минимум с апреля 2023 года Sticky Werewolf была профилирована BI.ZONE в октябре 2023 года.
Известна тем, что таргетируется на Россию и Беларусь, отслеживается также как Cloud Werewolf (Inception и Cloud Atlas), Quartz Wolf, Red Wolf (он же RedCurl) и Scaly Wolf.
Новые замеченные фишинговые атаки были нацелены на фармацевтическую компанию, НИИ в области микробиологии и разработки вакцин, а также на авиационный сектор, выйдя за рамки более ранних устремлений к госсектор.
Причем в предыдущих кампаниях цепочка заражения начиналась с фишинговых писем, содержащих ссылку для загрузки вредоносного файла с таких платформ, как gofile.io.
Кульминацией было развертывание трояна удаленного доступа NetWire RAT, инфраструктура которого была отключена в начале прошлого года в результате силовой операции.
В недавней кампании использовались архивы RAR, два файла LNK и ложный PDF-документ. Последний включал якобы приглашение на видеоконференцию, а для получения повестки необходимо было нажать на LNK.
Открытие любого из файлов LNK приводило к выполнению двоичного файла, размещенного на сервере WebDAV и запуску пакетного сценария Windows.
Скрипт, в свою очередь, предназначен для выполнения сценария AutoIt, который в конечном итоге внедряет окончательную полезную нагрузку, в то же время минуя защитное ПО и попытки анализа.
Исполняемый файл представляет собой самораспаковывающийся архив NSIS, который является частью ранее известного шифровальщика CypherIT.
При этом оригинальный шифровальщик больше не реализуется, а задетектированный является его модификацией.
Конечная цель кампании - распространение универсальных RAT и вредоносных ПО для кражи информации, включая Rhadamanthys и Ozone RAT.
Ресерчеры отмечают, что несмотря на отсутствие достоверных данных, указывающих на конкретное национальное происхождение группы Sticky Werewolf, геополитический контекст и виктимология указывают на возможные связи с проукраинской APT или хактивистами.
Morphisec
Howling at the Inbox: Sticky Werewolf's Latest Malicious Aviation Attacks
In this analysis, Morphisec Threat Labs details the latest Sticky Werewolf cyber threat group campaign targeting the aviation industry.
Под натиском сообщества и после крайне одобрительных комментариев от разработчиков ведущих инфостиллеров, Microsoft решила не добавлять Windows Recall по умолчанию на ПК Copilot+.
Вероятно, трезво оценивая в целом уровень безопасности своих решений, а на самом деле переживая за свою и без того микромягкую репутацию, разработчики предусмотрели отдельный флажок для принудительной активации новой функции.
Все это на фоне того, как критика Recall от мемов и обсуждений дошла до прикладных исследований и почти эксплойтов.
Только на прошлой неделе исследователи выкатили несколько вариантов интеграции Recall в функционал вредоносные программ для для кражи данных, а Google Project Zero полностью расчехлила дырявую защиту данных Recall в Windows.
Теперь потребуется регистрация в Windows Hello для включения функции, а для просмотра и поиска снимков экрана, сохраненных в Recall, потребуется «доказательство присутствия».
Компания заявила, что также добавит дополнительные уровни защиты, включая расшифровку «точно в срок» и аутентификацию через Windows Hello (ESS).
Снимки Recall могут быть расшифрованы и доступны только после аутентификации пользователя. Кроме того, решено зашифровать базу данных поисковых индексов.
Несмотря на это, Microsoft продолжит продвигать спорную функцию, предлагая детализированные пользовательские элементы управления, позволяющие пользователям лично настраивать работу инструмента.
При этом Microsoft настаивает существовании серьезныого барьера безопасности, апеллируя тем, что снимки экрана хранятся локально на ПК Copilot+ с мощными инструментами ИИ, которые работают только на самом устройстве.
Насчет того, что все локальные данные пользователей Windows принадлежат только пользователям, утверждать бы точно не стали, в сети много примеров, кому они в итоге принадлежали на самом деле.
Вероятно, трезво оценивая в целом уровень безопасности своих решений, а на самом деле переживая за свою и без того
Все это на фоне того, как критика Recall от мемов и обсуждений дошла до прикладных исследований и почти эксплойтов.
Только на прошлой неделе исследователи выкатили несколько вариантов интеграции Recall в функционал вредоносные программ для для кражи данных, а Google Project Zero полностью расчехлила дырявую защиту данных Recall в Windows.
Теперь потребуется регистрация в Windows Hello для включения функции, а для просмотра и поиска снимков экрана, сохраненных в Recall, потребуется «доказательство присутствия».
Компания заявила, что также добавит дополнительные уровни защиты, включая расшифровку «точно в срок» и аутентификацию через Windows Hello (ESS).
Снимки Recall могут быть расшифрованы и доступны только после аутентификации пользователя. Кроме того, решено зашифровать базу данных поисковых индексов.
Несмотря на это, Microsoft продолжит продвигать спорную функцию, предлагая детализированные пользовательские элементы управления, позволяющие пользователям лично настраивать работу инструмента.
При этом Microsoft настаивает существовании серьезныого барьера безопасности, апеллируя тем, что снимки экрана хранятся локально на ПК Copilot+ с мощными инструментами ИИ, которые работают только на самом устройстве.
Насчет того, что все локальные данные пользователей Windows принадлежат только пользователям, утверждать бы точно не стали, в сети много примеров, кому они в итоге принадлежали на самом деле.
Windows Experience Blog
Update on the Recall preview feature for Copilot+ PCs
Update: June 13, 2024: Today, we are communicating an additional update on the Recall (preview) feature for Copilot+ PCs. Recall will now shift from a preview experience broadly available for Copilot+ PCs on June 18, 2024, to a preview ava
͏Пока Microsoft сражается с волной хейта и фокусирует все внимание сообщества на себе, другой технологический гигант пытается протащить свою разработку, похожую на Recall.
Как сообщает PCWorld, на прошлой неделе вдохновившись идеями «наличия контекста и памяти событий», Google подтвердила, что в планах компании выпустить нечто аналогичное для своих Chromebook.
Новая функция в ChromeOS получит название memory и сейчас находится в стадии активной разработки.
Но дабы сразу переступить через «грабли», попавшиеся на пути Microsoft, Google поспешила заверить, что в отличие от Recall пользователь сам будет контролировать, как и где должна работать функция memory.
Но мы-то все прекрасно помним историю с режимом "инкогнито" браузера Chrome, когда пользователи "контролировали свою историю посещений" 🤞
Как сообщает PCWorld, на прошлой неделе вдохновившись идеями «наличия контекста и памяти событий», Google подтвердила, что в планах компании выпустить нечто аналогичное для своих Chromebook.
Новая функция в ChromeOS получит название memory и сейчас находится в стадии активной разработки.
Но дабы сразу переступить через «грабли», попавшиеся на пути Microsoft, Google поспешила заверить, что в отличие от Recall пользователь сам будет контролировать, как и где должна работать функция memory.
Но мы-то все прекрасно помним историю с режимом "инкогнито" браузера Chrome, когда пользователи "контролировали свою историю посещений" 🤞
На фоне шумихи по поводу «правильной» отработки трендов ИИ, по всей видимости, на основе методичек и целеуказаний от вашингтонского обкома, есть еще вендоры, которых реально интересуют вопросы безопасности.
В частности, разработчики OpenSSH добавили новую функцию безопасности для защиты серверов от эксплойтов и брута, внедрив две опции sshd_config(5): PerSourcePenalties и PerSourcePenaltyExemptList.
Она позволит регулировать тайминг и отключать SSH-клиенты, которые многократно не проходят аутентификацию или приводят к сбою сервера.
Опция по умолчанию отключена, но планируется автоматическая активация в самое ближайшее время.
Новый опции предусматривают таймаут по умолчанию составит 30 секунд, который может быть увеличен для последующих попыток аутентификаций вплоть до полной блокировки.
При этом PerSourcePenaltyExemptList исключить от проверок доверенных клиентов.
Другим позитивным новшеством, по мнению IETF, можно назвать Ephemeral Diffie-Hellman Over COSE (EDHOC), недавно одобренный протокол обмена ключами для устройств IoT.
Исследователи глубоко изучили его и пришли к выводу, что для радиотехнологий IoT с MTU порядка нескольких десятков байт и ограниченных скоростей передачи данных, EDHOC за счет минимального объема памяти кода и данных уверенно обеспечивает поддерживает современный уровень безопасности.
В частности, разработчики OpenSSH добавили новую функцию безопасности для защиты серверов от эксплойтов и брута, внедрив две опции sshd_config(5): PerSourcePenalties и PerSourcePenaltyExemptList.
Она позволит регулировать тайминг и отключать SSH-клиенты, которые многократно не проходят аутентификацию или приводят к сбою сервера.
Опция по умолчанию отключена, но планируется автоматическая активация в самое ближайшее время.
Новый опции предусматривают таймаут по умолчанию составит 30 секунд, который может быть увеличен для последующих попыток аутентификаций вплоть до полной блокировки.
При этом PerSourcePenaltyExemptList исключить от проверок доверенных клиентов.
Другим позитивным новшеством, по мнению IETF, можно назвать Ephemeral Diffie-Hellman Over COSE (EDHOC), недавно одобренный протокол обмена ключами для устройств IoT.
Исследователи глубоко изучили его и пришли к выводу, что для радиотехнологий IoT с MTU порядка нескольких десятков байт и ограниченных скоростей передачи данных, EDHOC за счет минимального объема памяти кода и данных уверенно обеспечивает поддерживает современный уровень безопасности.
IETF
EDHOC - A new lightweight authenticated key exchange protocol provides improved security with less overhead for Internet-of-Things…
Ephemeral Diffie-Hellman Over COSE (EDHOC) described in the recently-published RFC 9528 and RFC 9529 is a very compact, lightweight authenticated key exchange protocol, providing state-of-the-art security including mutual authentication, forward secrecy and…
Эпопея с Breached продолжается, список репрессированных, вероятно, в очередной раз пополнился.
На этот раз неожиданно исчезли ShinyHunters, которые отключили все аккаунт и площадки как в Clearnet, так и в Tor, а также в Telegram и X. Публика полагает, что их арестовали.
И не удивительно, ведь продолжать администрировать форум после последней операции спецслужб - это крайне авантюрная затея, ведь админ как бы задержан, но без официальных сообщений Минюста или ФБР. И вообще, существовал ли Bahomet.
По всем свидетельствам, хронология событий, последовавших после ареста главного админа BreachForums Конора Брайана Фитцпатрика, указывает на явную и полную режиссуру спецслужб.
Так что последующее воскрешение ShinyHunters или Breached - можно считать новым спектаклем, а за билетами сразу в ФБР.
На этот раз неожиданно исчезли ShinyHunters, которые отключили все аккаунт и площадки как в Clearnet, так и в Tor, а также в Telegram и X. Публика полагает, что их арестовали.
И не удивительно, ведь продолжать администрировать форум после последней операции спецслужб - это крайне авантюрная затея, ведь админ как бы задержан, но без официальных сообщений Минюста или ФБР. И вообще, существовал ли Bahomet.
По всем свидетельствам, хронология событий, последовавших после ареста главного админа BreachForums Конора Брайана Фитцпатрика, указывает на явную и полную режиссуру спецслужб.
Так что последующее воскрешение ShinyHunters или Breached - можно считать новым спектаклем, а за билетами сразу в ФБР.
Telegram
SecAtor
Широко известный в киберподполье и некогда взломавший портал InfraGard ФБР США хакер USDoD намерен запустить ребрендинговую версию Breach Nation, которая, по задумке автора, должна стать алтернативой закрытому BreachForums.
Свое заявление об этом USDoD сделал…
Свое заявление об этом USDoD сделал…
Методички вашингтонского обкома в отношении генеративного ИИ для ведущих технологических гигантов дошли и до Apple, которая вслед за торпедами Micrisoft и Google также озаботилась своим прогрессивным шпионским функционалом.
Компания на Всемирной конференции разработчиков 2024 (WWDC) представила Apple Intelligence и резентовала свою стратегию генеративного искусственного интеллекта по обеспечению персонализированного опыта на яблочных устройствах.
Apple Intelligence - это система персонального интеллекта, которая интегрирует мощные генеративные модели непосредственно в основу iPhone, iPad и Mac на iOS 18, iPadOS 18 и macOS Sequoia для анализа, извлечения и выполнения действий с данными на устройстве локально.
Apple Intelligence будет реализовывать создание на устройстве семантического индекса для хранения данных, полученных из электронных писем, изображений, истории браузера и используемых приложений, что позволит голосом создавать и корректировать различный контент, а также извлекать данные, хранящиеся в приложениях.
Однако, если для запроса требуется более сложная модель ИИ, которую невозможно запустить локально, запрос будет отправлен на выделенные облачные серверы, называемые частные облачные вычисления.
Компания заявляет, что будут отправляться только данные, необходимые для обработки запроса, и они никогда не будут храниться на ее серверах и не будут доступны сотрудникам Apple.
По данным Axios, одним из партнеров в разработке является OpenAI, который позволит Siri запрашивать ChatGPT для выполнения более сложных запросов.
При этом Apple приватизирует эти запросы, скрывая IP-адреса, а OpenAI не будет хранить запросы. Однако для тех, кто хочет связать свои учетные записи OpenAI с iOS, будут использоваться политики данных OpenAI.
Сообщается также, что Apple Intelligence будет доступна только на iPhone 15 Pro, iPad и Mac с чипами M1 и более поздних версиях.
В силу ограниченности информации пока неясно, насколько защищен семантический индекс и можно ли будет получить доступ к этим данным, как в случае с Windows Recall.
Тем не менее, как мы уже не раз наблюдали, устройства MacOS и iOS, как и Windows, становились целями шпионского ПО и объектами иных вредоносных кампаний.
Опережая очевидно намечающийся шквал критики, предельно ясно на этот счет высказался Илон Маск.
Компания на Всемирной конференции разработчиков 2024 (WWDC) представила Apple Intelligence и резентовала свою стратегию генеративного искусственного интеллекта по обеспечению персонализированного опыта на яблочных устройствах.
Apple Intelligence - это система персонального интеллекта, которая интегрирует мощные генеративные модели непосредственно в основу iPhone, iPad и Mac на iOS 18, iPadOS 18 и macOS Sequoia для анализа, извлечения и выполнения действий с данными на устройстве локально.
Apple Intelligence будет реализовывать создание на устройстве семантического индекса для хранения данных, полученных из электронных писем, изображений, истории браузера и используемых приложений, что позволит голосом создавать и корректировать различный контент, а также извлекать данные, хранящиеся в приложениях.
Однако, если для запроса требуется более сложная модель ИИ, которую невозможно запустить локально, запрос будет отправлен на выделенные облачные серверы, называемые частные облачные вычисления.
Компания заявляет, что будут отправляться только данные, необходимые для обработки запроса, и они никогда не будут храниться на ее серверах и не будут доступны сотрудникам Apple.
По данным Axios, одним из партнеров в разработке является OpenAI, который позволит Siri запрашивать ChatGPT для выполнения более сложных запросов.
При этом Apple приватизирует эти запросы, скрывая IP-адреса, а OpenAI не будет хранить запросы. Однако для тех, кто хочет связать свои учетные записи OpenAI с iOS, будут использоваться политики данных OpenAI.
Сообщается также, что Apple Intelligence будет доступна только на iPhone 15 Pro, iPad и Mac с чипами M1 и более поздних версиях.
В силу ограниченности информации пока неясно, насколько защищен семантический индекс и можно ли будет получить доступ к этим данным, как в случае с Windows Recall.
Тем не менее, как мы уже не раз наблюдали, устройства MacOS и iOS, как и Windows, становились целями шпионского ПО и объектами иных вредоносных кампаний.
Опережая очевидно намечающийся шквал критики, предельно ясно на этот счет высказался Илон Маск.
Axios
Enter "Apple Intelligence," the iPhone maker's flavor of AI
Apple stressed what it claimed as its unique ability to deliver personalized AI without privacy problems.
Forwarded from Russian OSINT
Илон Маск предупредил, что если #Apple интегрирует в новые версии своих операционных систем чат-бот #ChatGPT от OpenAI, то лично запретит использовать технику корпорации в своих компаниях.
«Это неприемлемое нарушение безопасности»,
— написал Маск в соцсети Х. 🤔Надо было добавить ещё про шпионаж и нежелание следовать своим же правилам в контексте выплат
Please open Telegram to view this post
VIEW IN TELEGRAM
Нарисовалась новая жертва в кейсе Snowflake, чьи данные утекли в даркнет и теперь реализуются за 750 000 долларов.
Cylance подтвердила утечку данных и связала инцидент со «сторонней» платформой. Продает их все тот же селлер Sp1d3r, о котором ранее сообщала Dark Web Informer.
Данные включают в себя значительный объем информации в отношении 34 000 000 электронных писем клиентов и сотрудников, а также личную информацию, принадлежащую клиентам, партнерам и сотрудникам Cylance.
Правда, утекшие образцы, по всей видимости, представляют собой старые маркетинговые данные. Тем не менее, BlackBerry Cylance осведомлены о заявлениях злоумышленников и проводят расследование, заверяя о безопасности данных и систем, связанных с текущими клиентами, продуктами и операциями.
Предварительно, данные, о которых идет речь, были получены со сторонней платформы, не связанной с BlackBerry, и, судя по всему, относятся к 2015–2018 годам, до приобретения BlackBerry портфеля продуктов Cylance.
Несмотря на сохранение втайне наименования стороннего поставщика, уже известно, что Cylance является клиентом Snowflake, а данные реализует все тот же злоумышленник.
Однако Snowflake продолжает настаивать на том, что все нарушения произошли на стороне клиентов и обусловлены упущениями в безопасности на их стороне.
В свою очередь, для своей защиты уже подтянули CrowdStrike и Mandiant, которые якобы отыскали кучу артефактов, свидетельствующих о задействовании в продолжающейся кампании слитых кредов для взлома учеток клиентов Snowflake, не имеющих 2Fa.
Mandiant даже выкатила отчет, атрибутировав атаки Snowflake с финансово мотивированным злоумышленником, которого она отслеживает как UNC5537 и обвиняет в сотнях атак с вымогательством на организаций по всему миру.
Хакеры при этом получили доступ к учетным записям клиентов Snowflake, используя учетные данные клиентов, украденные в результате заражения вредоносным ПО аж в 2020 году.
При этом Mandiant сообщает, что выявила сотни учетных данных клиентов Snowflake, раскрытых в результате атак с использованием вредоносных ПО Vidar, RisePro, Redline, Racoon Stealer, Lumm и Metastealer, начиная с 2020 года.
В связи с чем Snowflake и Mandiant уведомили около 165 организаций, потенциально подвергающихся этим продолжающимся атакам.
Вот только почему-то, формулировка «сотни» ссузилась до одной с небольшим. Может еще какие результаты расследования имеются.
Будем следить.
Cylance подтвердила утечку данных и связала инцидент со «сторонней» платформой. Продает их все тот же селлер Sp1d3r, о котором ранее сообщала Dark Web Informer.
Данные включают в себя значительный объем информации в отношении 34 000 000 электронных писем клиентов и сотрудников, а также личную информацию, принадлежащую клиентам, партнерам и сотрудникам Cylance.
Правда, утекшие образцы, по всей видимости, представляют собой старые маркетинговые данные. Тем не менее, BlackBerry Cylance осведомлены о заявлениях злоумышленников и проводят расследование, заверяя о безопасности данных и систем, связанных с текущими клиентами, продуктами и операциями.
Предварительно, данные, о которых идет речь, были получены со сторонней платформы, не связанной с BlackBerry, и, судя по всему, относятся к 2015–2018 годам, до приобретения BlackBerry портфеля продуктов Cylance.
Несмотря на сохранение втайне наименования стороннего поставщика, уже известно, что Cylance является клиентом Snowflake, а данные реализует все тот же злоумышленник.
Однако Snowflake продолжает настаивать на том, что все нарушения произошли на стороне клиентов и обусловлены упущениями в безопасности на их стороне.
В свою очередь, для своей защиты уже подтянули CrowdStrike и Mandiant, которые якобы отыскали кучу артефактов, свидетельствующих о задействовании в продолжающейся кампании слитых кредов для взлома учеток клиентов Snowflake, не имеющих 2Fa.
Mandiant даже выкатила отчет, атрибутировав атаки Snowflake с финансово мотивированным злоумышленником, которого она отслеживает как UNC5537 и обвиняет в сотнях атак с вымогательством на организаций по всему миру.
Хакеры при этом получили доступ к учетным записям клиентов Snowflake, используя учетные данные клиентов, украденные в результате заражения вредоносным ПО аж в 2020 году.
При этом Mandiant сообщает, что выявила сотни учетных данных клиентов Snowflake, раскрытых в результате атак с использованием вредоносных ПО Vidar, RisePro, Redline, Racoon Stealer, Lumm и Metastealer, начиная с 2020 года.
В связи с чем Snowflake и Mandiant уведомили около 165 организаций, потенциально подвергающихся этим продолжающимся атакам.
Вот только почему-то, формулировка «сотни» ссузилась до одной с небольшим. Может еще какие результаты расследования имеются.
Будем следить.
Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
A campaign targeting Snowflake customer database instances with the intent of data theft and extortion.
Подкатил PoC-эксплойт для критической уязвимости обхода аутентификации для решения по управлению резервным копированием и восстановлением Veeam Backup Enterprise Manager (VBEM).
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию, войти в веб-интерфейс VBEM от имени любого пользователя, о чем Veeam предупредила клиентов 21 мая, выпустив бюллетень по безопасности.
Как поясняет в технической статье исследователь Сины Хейрха, ошибка затрагивает сервис Veeam.Backup.Enterprise.RestAPIService.exe, который взаимодействует по TCP-порту 9398 и функционирует как сервер REST API для основного веб-приложения.
Эксплойт предполагает отправку специально созданного токена единого входа (SSO) VMware в уязвимую службу с помощью API Veeam.
Он содержит запрос аутентификации, который выдает себя за администратора, и URL-адрес службы единого входа, который Veeam, что особенно важно, не проверяет.
Токен единого входа в кодировке Base64 декодируется и интерпретируется в форме XML для проверки его достоверности посредством запроса SOAP к URL-адресу, контролируемому злоумышленником.
Подконтрольный злоумышленнику сервер, при этом положительно реагирует на запросы проверки, поэтому Veeam принимает запрос аутентификации и предоставляет злоумышленнику административный доступ.
Предоставленный эксплойт демонстрирует все шаги по использованию уязвимости, включая настройку сервера обратного вызова, отправку созданного токена и получение списка файловых серверов в качестве доказательства успешной эксплуатации.
Несмотря на отсутствие сообщений о задействовании CVE-2024-29849 в реальных атаках, появление работающего эксплойта определенно изменить ситуацию к худшему в самое ближайшее время.
Так что клиентам крайне важно как можно скорее обновиться до версии 12.1.2.172 или более поздней, а также следовать этим рекомендациям поставщика.
Прежде всего, необходимо ограничить доступ к веб-интерфейсу VBEM только доверенным IP-адресам, настроить правила брандмауэра и заблокировать доступ к портам сервисов Veeam (9398 для REST API), включить MFa для всех учетных записей с доступом к VBEM, а также изолировать сервер VBEM от других критически важных систем.
CVE-2024-29849 позволяет удаленным злоумышленникам, не прошедшим аутентификацию, войти в веб-интерфейс VBEM от имени любого пользователя, о чем Veeam предупредила клиентов 21 мая, выпустив бюллетень по безопасности.
Как поясняет в технической статье исследователь Сины Хейрха, ошибка затрагивает сервис Veeam.Backup.Enterprise.RestAPIService.exe, который взаимодействует по TCP-порту 9398 и функционирует как сервер REST API для основного веб-приложения.
Эксплойт предполагает отправку специально созданного токена единого входа (SSO) VMware в уязвимую службу с помощью API Veeam.
Он содержит запрос аутентификации, который выдает себя за администратора, и URL-адрес службы единого входа, который Veeam, что особенно важно, не проверяет.
Токен единого входа в кодировке Base64 декодируется и интерпретируется в форме XML для проверки его достоверности посредством запроса SOAP к URL-адресу, контролируемому злоумышленником.
Подконтрольный злоумышленнику сервер, при этом положительно реагирует на запросы проверки, поэтому Veeam принимает запрос аутентификации и предоставляет злоумышленнику административный доступ.
Предоставленный эксплойт демонстрирует все шаги по использованию уязвимости, включая настройку сервера обратного вызова, отправку созданного токена и получение списка файловых серверов в качестве доказательства успешной эксплуатации.
Несмотря на отсутствие сообщений о задействовании CVE-2024-29849 в реальных атаках, появление работающего эксплойта определенно изменить ситуацию к худшему в самое ближайшее время.
Так что клиентам крайне важно как можно скорее обновиться до версии 12.1.2.172 или более поздней, а также следовать этим рекомендациям поставщика.
Прежде всего, необходимо ограничить доступ к веб-интерфейсу VBEM только доверенным IP-адресам, настроить правила брандмауэра и заблокировать доступ к портам сервисов Veeam (9398 для REST API), включить MFa для всех учетных записей с доступом к VBEM, а также изолировать сервер VBEM от других критически важных систем.
Summoning Team
Bypassing Veeam Authentication CVE-2024-29849
An interesting authentication bypass exploit in Veeam Backup Enterprise Manager
Forwarded from Social Engineering
🐬 Flipper Zero — мнение пентестера после двух лет «полевой» эксплуатации.
• Летом 2020 года компания Flipper Devices Inc. вышла на Kickstarter с девайсом Flipper Zero. Их стартовой целью было собрать 60К$. Но за первые сутки было собрано 1млн$. За сутки?! Мультитул произвел настолько сильную шумиху в сообществе, что про Flipper Zero теперь знает каждый второй пользователь интернета, сидящий в YouTube.
• Одновременно с этим, у некоторых людей складывается определённое мнение, что с помощью этого инструмента можно только развлекаться с крышками зарядного порта Tesla, копировать ключи от домофона и выключать телевизоры в KFC. Таких людей встречал очень много и они все мне старались доказать, что данный инструмент только для баловства и с точки зрения проведения пентестов он совершенно не подходит, хотя это абсолютно не так...
• Один из пентестеров и социальных инженеров компании Бастион согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.
• Содержание статьи:
- Для чего может понадобиться Flipper?
- Первые впечатления;
- Как применяют Flipper в бою;
- Клонирование пропусков;
- Эмуляция радиокнопок;
- Преимущества Flipper с точки зрения пентестера;
- Минусы Flipper Zero c точки зрения пентестера.
➡ Читать статью [8 min].
S.E. ▪️ infosec.work ▪️ VT
• Летом 2020 года компания Flipper Devices Inc. вышла на Kickstarter с девайсом Flipper Zero. Их стартовой целью было собрать 60К$. Но за первые сутки было собрано 1млн$. За сутки?! Мультитул произвел настолько сильную шумиху в сообществе, что про Flipper Zero теперь знает каждый второй пользователь интернета, сидящий в YouTube.
• Одновременно с этим, у некоторых людей складывается определённое мнение, что с помощью этого инструмента можно только развлекаться с крышками зарядного порта Tesla, копировать ключи от домофона и выключать телевизоры в KFC. Таких людей встречал очень много и они все мне старались доказать, что данный инструмент только для баловства и с точки зрения проведения пентестов он совершенно не подходит, хотя это абсолютно не так...
• Один из пентестеров и социальных инженеров компании Бастион согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.
• Содержание статьи:
- Для чего может понадобиться Flipper?
- Первые впечатления;
- Как применяют Flipper в бою;
- Клонирование пропусков;
- Эмуляция радиокнопок;
- Преимущества Flipper с точки зрения пентестера;
- Минусы Flipper Zero c точки зрения пентестера.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатил июньский PatchTuesday от Microsoft с исправлениями 51 уязвимости, включая 18 RCE и 0-day, а также 7 - в Chromium/Edge.
К удивлению, лишь одна CVE в Microsoft Message Queuing имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний, а в распределении по категориям превалирует EoP - 25 уязвимостей, затем уже 18 - RCE, 5 - DoS и 3 - связаны с раскрытием информации.
Единственный публично раскрыты нуль - CVE-2023-50868 в протоколе DNS, которая реализует атаку Keytrap, по поводу которой было много шумихи, но до практической плоскости так и не дошло.
Отмеченная как критическая RCE-уязвимость (CVE-2024-30080 с CVSS 9.8) в MSMQ не грозит привести к массовой эксплуатации, посколько компонент не включён по умолчанию.
Другой важный недостаток, CVE-2024-30103 (оценка CVSS 8,8), позволяет злоумышленникам обходить черные списки реестра Microsoft Outlook и создавать вредоносные файлы DLL.
При этом сложность атаки c вектором из панели предварительного просмотра невелика и возможна эксплуатация по сети без взаимодействия с пользователем, а создать эксплойт очень просто.
Всё это в совокупности, как полагают ресерчеры Morphisec, предвещает начало массовой кампании.
Другие уязвимости, исправленные в этом месяце, включают многочисленные недостатки удаленного выполнения кода Microsoft Office и EoP-проблемы в ядре Windows.
Полный список с описанием каждой уязвимости и систем, на которые она влияет, - здесь.
К удивлению, лишь одна CVE в Microsoft Message Queuing имеет рейтинг критической, ещё 38 имеют высокий приоритет и 12 - средний, а в распределении по категориям превалирует EoP - 25 уязвимостей, затем уже 18 - RCE, 5 - DoS и 3 - связаны с раскрытием информации.
Единственный публично раскрыты нуль - CVE-2023-50868 в протоколе DNS, которая реализует атаку Keytrap, по поводу которой было много шумихи, но до практической плоскости так и не дошло.
Отмеченная как критическая RCE-уязвимость (CVE-2024-30080 с CVSS 9.8) в MSMQ не грозит привести к массовой эксплуатации, посколько компонент не включён по умолчанию.
Другой важный недостаток, CVE-2024-30103 (оценка CVSS 8,8), позволяет злоумышленникам обходить черные списки реестра Microsoft Outlook и создавать вредоносные файлы DLL.
При этом сложность атаки c вектором из панели предварительного просмотра невелика и возможна эксплуатация по сети без взаимодействия с пользователем, а создать эксплойт очень просто.
Всё это в совокупности, как полагают ресерчеры Morphisec, предвещает начало массовой кампании.
Другие уязвимости, исправленные в этом месяце, включают многочисленные недостатки удаленного выполнения кода Microsoft Office и EoP-проблемы в ядре Windows.
Полный список с описанием каждой уязвимости и систем, на которые она влияет, - здесь.
Morphisec
You’ve Got Mail: Critical Microsoft Outlook Vulnerability CVE-2024-30103 Executes as Email is Opened
Morphisec researchers have identified a critical Microsoft Outlook vulnerability, CVE-2024-30103, and detail its technical impact and recommended actions.
По результатам расследования инцидента со взломом министерства обороны Нидерландов в феврале этого года правительство страны заявило, что причастные к атаке китайские хакеры на самом деле действовали с более широким размахом, чем предполагалось ранее.
Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.
Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.
Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.
Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.
За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.
Последнее, вообще без комментариев.
Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.
Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.
Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.
Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.
За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.
Последнее, вообще без комментариев.
Ministerie van Defensie
MIVD onthult werkwijze Chinese spionage in Nederland
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft Chinese cyberspionage in Nederland blootgelegd. De dienst ontdekte geavanceerde Chinese malware die dit mogelijk maakt. Een Chinese statelijke actor is hiervoor verantwoordelijk. Dit stelt de MIVD…
Исследователь Dohyun Lee, что по-русски читается как Дахун Ли, рассказал печальную историю о том, как стал жертвой произвола со стороны Apple в ходе взаимодействия по BugBounty.
Ресерчеру удалось раскопать критическую уязвимость iOS и macOS (CVE-2024-23282), которая позволяет задействовать вредоносные электронные письма для инициирования вызовов FaceTime без авторизации пользователя.
Обнаруженная ошибка может быть использована для того, чтобы инициировать атаки, приводящие к утечке пользовательских данных с устройства через FaceTime, поскольку в режиме блокировки не блокируются исходящие вызовы.
Фактически разработанный и продемонстрированный рабочий PoC позволял реализовать удаленное включение звука без щелчка.
Тем не менее, по мнению Apple, исправившей баг в iOS 17.5 iPadOS 17.5 и macOC Sonoma 14.5, все труды заслуживают награды в размере 5000 долларов.
И, после того, как Apple выплатила за выявленную весьма серьезную уязвимость всего лишь пятерик, исследователь возмутился.
"Дахунли так мало?!!!" - сказал он. И решил перевести дискуссию с яблочниками в публичную плоскость.
Ресерчеру удалось раскопать критическую уязвимость iOS и macOS (CVE-2024-23282), которая позволяет задействовать вредоносные электронные письма для инициирования вызовов FaceTime без авторизации пользователя.
Обнаруженная ошибка может быть использована для того, чтобы инициировать атаки, приводящие к утечке пользовательских данных с устройства через FaceTime, поскольку в режиме блокировки не блокируются исходящие вызовы.
Фактически разработанный и продемонстрированный рабочий PoC позволял реализовать удаленное включение звука без щелчка.
Тем не менее, по мнению Apple, исправившей баг в iOS 17.5 iPadOS 17.5 и macOC Sonoma 14.5, все труды заслуживают награды в размере 5000 долларов.
И, после того, как Apple выплатила за выявленную весьма серьезную уязвимость всего лишь пятерик, исследователь возмутился.
"Дахунли так мало?!!!" - сказал он. И решил перевести дискуссию с яблочниками в публичную плоскость.
X (formerly Twitter)
Dohyun Lee (@l33d0hyun) on X
CVE-2024-23282 : A maliciously crafted email may be able to initiate FaceTime calls without user authorization
I submitted a complete PoC for this vulnerability to Apple, but they awarded me a reward of $5,000. I requested a re-evaluation, but Apple declined.😢
I submitted a complete PoC for this vulnerability to Apple, but they awarded me a reward of $5,000. I requested a re-evaluation, but Apple declined.😢
Ресерчеры из Лаборатории Касперского прошерстили даркнет и представили аналитику рынка OTP-ботов, широко распространенных в киберпреступности инструментов для обхода 2FA.
Растущая популярность такого метода защиты аккаунтов привела к разработке многочисленных способов его взломать или обойти, которые постоянно развиваются и подстраиваются под современные реалии.
При этом конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены.
Чаще всего - это верификация с помощью одноразовых кодов, или OTP (One Time Password) по SMS, звонку, письму на email или пуш-уведомлением.
В своем исследовании ЛК сфокусировались на методах получения этих кодов посредством социальной инженерии, когда в результате манипуляций жертва сама сообщает код, а для автоматизации используются инструменты: OTP-боты и административные панели для управления фиш-китами.
В основе типичной схемы с использованием OTP-бота для получения кода 2FA — звонок жертве. Мошенники делают ставку именно на звонок, потому как время действия кода сильно ограничено.
Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр.
Имеется и круглосуточный саппорт, многоязычность, спуфинг входящего номера, индивидуализация вызова, а также выбор звонящего голоса.
Кроме того, некоторые боты предлагают отправку жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации или получение других данных в ходе звонка.
Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram.
Тарифные планы варьируются от 140 до 420 баксов в неделю с оплатой исключительно в криптовалюте.
Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть актуальные данные жертвы, которые, как правило, злоумышленники получают при помощи фишинга.
Для этих целей в даркнете реализуется множество фиш-китов, одновременно нацеленных на разные виды персональных данных.
Причем с распространением 2FA создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать и одноразовые пароли.
Подробное описание схем работы, примеры OTP-ботов и актуальная статистика по угрозам - в отчете.
Растущая популярность такого метода защиты аккаунтов привела к разработке многочисленных способов его взломать или обойти, которые постоянно развиваются и подстраиваются под современные реалии.
При этом конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены.
Чаще всего - это верификация с помощью одноразовых кодов, или OTP (One Time Password) по SMS, звонку, письму на email или пуш-уведомлением.
В своем исследовании ЛК сфокусировались на методах получения этих кодов посредством социальной инженерии, когда в результате манипуляций жертва сама сообщает код, а для автоматизации используются инструменты: OTP-боты и административные панели для управления фиш-китами.
В основе типичной схемы с использованием OTP-бота для получения кода 2FA — звонок жертве. Мошенники делают ставку именно на звонок, потому как время действия кода сильно ограничено.
Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр.
Имеется и круглосуточный саппорт, многоязычность, спуфинг входящего номера, индивидуализация вызова, а также выбор звонящего голоса.
Кроме того, некоторые боты предлагают отправку жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации или получение других данных в ходе звонка.
Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram.
Тарифные планы варьируются от 140 до 420 баксов в неделю с оплатой исключительно в криптовалюте.
Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть актуальные данные жертвы, которые, как правило, злоумышленники получают при помощи фишинга.
Для этих целей в даркнете реализуется множество фиш-китов, одновременно нацеленных на разные виды персональных данных.
Причем с распространением 2FA создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать и одноразовые пароли.
Подробное описание схем работы, примеры OTP-ботов и актуальная статистика по угрозам - в отчете.
Securelist
How scammers bypass 2FA
Explaining how scammers use phishing and OTP bots to gain access to accounts protected with 2FA.
Инфосек журналистика пробивает очередное дно.
Вчера полиция Украины арестовала в Киеве 28-летнего подозреваемого в сотрудничестве с бандами вымогателей Conti и LockBit, о чем и отрапортовала на своем сайте. Оставим без оценок пассажи типа "хакери рф" и прочее, разговор не об этом.
Интереснее другое - как это действо описали инфосек журналисты. TheHackerNews, к примеру, сообщили, что задержан "local man", CyberNews - "man from Kyiv".
А вот BleepingComputer жеманничать не стали и прямо заявили, что арестован "28-year-old Russian man in Kyiv". Ага, россиянин, житель Киева, уроженец Харькова.
Мы же ответственно полагаем, что это все-таки был румын. Хотя может быть и болгарин. А какая разница...
Вчера полиция Украины арестовала в Киеве 28-летнего подозреваемого в сотрудничестве с бандами вымогателей Conti и LockBit, о чем и отрапортовала на своем сайте. Оставим без оценок пассажи типа "хакери рф" и прочее, разговор не об этом.
Интереснее другое - как это действо описали инфосек журналисты. TheHackerNews, к примеру, сообщили, что задержан "local man", CyberNews - "man from Kyiv".
А вот BleepingComputer жеманничать не стали и прямо заявили, что арестован "28-year-old Russian man in Kyiv". Ага, россиянин, житель Киева, уроженец Харькова.
Мы же ответственно полагаем, что это все-таки был румын. Хотя может быть и болгарин. А какая разница...
BleepingComputer
Police arrest Conti and LockBit ransomware crypter specialist
The Ukraine cyber police have arrested a 28-year-old Russian man in Kyiv for working with Conti and LockBit ransomware operations to make their malware undetectable by antivirus software and conducting at least one attack himself.
Forwarded from Russian OSINT
Свежих новостей про
Как сообщают исследователи из "Лаборатории Касперского", биометрические устройства, используемые в целях
В ходе исследования
Многие из них оказались похожи друг на друга, потому что возникали из-за ошибки в одном месте внутри библиотеки, служащей «оберткой» для базы данных. Мы обобщили эти уязвимости как множественные, указав тип и причину возникновения, поэтому конкретных CVE в итоге вышло меньше.
📊Статистика выглядит следующим образом:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Под конец недели подоспели PoC для разного рода уязвимостей, включая и те, которые непременно будут использованы в дикой природе.
Определенно киберподполье заинтересует PoC для критической уязвимости обхода аутентификации Veeam Recovery Orchestrator версий 7.0.0.337 и 7.1.0.205 и старше,отслеживаемой как CVE-2024-29855 с рейтингом 9.0 по CVSS v3.1.
Она позволяет без проверки проверки подлинности, войти в веб-интерфейс VRO с правами администратора.
Эксплойт разработал исследователь Сина Хейркхах, опубликовав подробный разбор по этому поводу у себя на сайте.
А вот российская Qrator Labs сообщает, что злоумышленники делятся кодом PoC для DDoS-атаки HTTP/2 Rapid Reset (CVE-2023-44487).
Исследователь CertiK SkyFall Ван Тилей опубликовал PoC для CVE-2024-27801, ошибки в компоненте NSXPC в macOS и iOS от Apple.
Она ошибка затрагивает все версии компонентов с момента их выпуска десять лет назад. Apple исправила уязвимость в мае.
Horizon3 опубликовала подробное описание и PoC для CVE-2024-29824, уязвимости внедрения SQL в Ivanti EPM.
Пока никаких нападений в дикой природе пока не наблюдалось, но только пока.
Вышло описание и PoC для уязвимости обхода пути без аутентификации (CVE-2024–4956) в Sonatype Nexus. Компания исправила уязвимость в мае.
Определенно киберподполье заинтересует PoC для критической уязвимости обхода аутентификации Veeam Recovery Orchestrator версий 7.0.0.337 и 7.1.0.205 и старше,отслеживаемой как CVE-2024-29855 с рейтингом 9.0 по CVSS v3.1.
Она позволяет без проверки проверки подлинности, войти в веб-интерфейс VRO с правами администратора.
Эксплойт разработал исследователь Сина Хейркхах, опубликовав подробный разбор по этому поводу у себя на сайте.
А вот российская Qrator Labs сообщает, что злоумышленники делятся кодом PoC для DDoS-атаки HTTP/2 Rapid Reset (CVE-2023-44487).
Исследователь CertiK SkyFall Ван Тилей опубликовал PoC для CVE-2024-27801, ошибки в компоненте NSXPC в macOS и iOS от Apple.
Она ошибка затрагивает все версии компонентов с момента их выпуска десять лет назад. Apple исправила уязвимость в мае.
Horizon3 опубликовала подробное описание и PoC для CVE-2024-29824, уязвимости внедрения SQL в Ivanti EPM.
Пока никаких нападений в дикой природе пока не наблюдалось, но только пока.
Вышло описание и PoC для уязвимости обхода пути без аутентификации (CVE-2024–4956) в Sonatype Nexus. Компания исправила уязвимость в мае.
GitHub
GitHub - sinsinology/CVE-2024-29855: PoC for the Veeam Recovery Orchestrator Authentication CVE-2024-29855
PoC for the Veeam Recovery Orchestrator Authentication CVE-2024-29855 - sinsinology/CVE-2024-29855