͏Тем временем подкатил новый ноль, на этот раз 0day Sandbox Escape RCE в браузере Chrome с эксплойтом, который работает на версиях 126.0.6478.126 и 126.0.6478.127, потенциально позволяя выполнять произвольный код в затронутых системах.

Новинка реализуется в даркнете по цене в 1 000 000 долларов США в эквиваленте Monero (XMR) или BTC. Сделка возможна с привлечением гаранта.

По словам селлера, уязвимость была протестирована и подтвердила работоспособность в операционных системах Windows, в частности версий 21H1 и 21H2.

Да неужели!

NEW: We spoke to official Kaspersky resellers in the U.S. about upcoming sales ban.

They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.

The ban and sanctions "are complete bullshit,” one said.

GitLab выпустила обновления для исправления 14 уязвимостей, включая одну критическую и три проблемы высокой степени серьезности.

Затрагивающая GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0 критическая уязвимость при определенных обстоятельствах может быть использована для запуска конвейеров от имени любого пользователя.

Проблема отслеживается как CVE-2024-5655 и имеет степень серьезности 9,6 из 10, исправлена в версиях 17.1.1, 17.0.3 и 16.11.5.

Учитывая, что конвейеры GitLab реализуют функционал непрерывной интеграции/непрерывного развертывания (CI/CD), поставщик настоятельно рекомендует как можно скорее обновить все инсталляции с уязвимой версией.

Кроме того, поставщик также сообщил, что обновление содержит два критических изменения:

- Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.

- CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0, причем это изменение перенесено в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.

Среди других ошибок, серьезность которых оценена как высокая (CVSS v3.1: 7,5–8,7) следующие:

- CVE-2024-4901: XSS-уязвимость, позволяющая вредоносным заметкам о фиксации из импортированных проектов внедрять сценарии, что потенциально может привести к несанкционированным действиям и раскрытию данных.

- CVE-2024-4994: CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения GraphQL, обманывая аутентифицированных пользователей и заставляя их выполнять нежелательные запросы, что может привести к манипулированию данными и несанкционированным операциям.

- CVE-2024-6323: ошибка авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах, что потенциально может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.

Ресурсы для обновлений GitLab доступны здесь, а рекомендации по GitLab Runner можно найти на этой странице.

Хакеры развальцевали корпоративную сеть TeamViewer, о чем 26 июня сообщил сам разработчик решения для удаленного доступа с 640 000 клиентов и 2,5 млрд установок, обнаружив сбой во внутренней ИТ-среде.

Новость о взломе впервые появилась на Mastodon, где исследователь поделился фрагментами оповещения с Dutch Digital Trust Center (портал обмена информацией по киберугрозам).

По словам компании, это сделала неустановленная хакерская группа APT, начато расследование совместно с командой всемирно известных экспертов по кибербезопасности.

При этом отмечается, что внутренняя корпоративная ИТ-среда TeamViewer полностью независима от среды продукта. Нет никаких доказательств того, что среда продукта или данные клиентов затронуты.

Компания планирует обеспечить прозрачность информации об утечке и будет постоянно обновлять статус своего расследования по мере поступления новой информации.

Тем не менее, как заметили исследователи, страница c обновлением ИТ-безопасности TeamViewer содержит <meta name="robots" content="noindex"> тег HTML, который предотвращает индексацию документа поисковыми системами.

В прошлый раз TeamViewer ломали в 2016 году, тогда инцидент связали с китайскими хакерами из-за использования ими бэкдора Winnti. Тогда компания не раскрывала информацию почти три года, сославшись на то, что данные в ходе атаки не пострадали.

Новый инцидент NCC Group на пару с Health-ISAC уже поспешили навесить российским хакерам, аргументируя свою позицию мнением доверенного источника в разведсообществе, который утверждал, что TeamViewer часто используется в их атаках.

Однако позже умопомрачительства опровергли, факт инцидента в TeamViewer и задействование его решения в атаках той или иной APT никак не соотносятся между собой (даже логически).

Так что пока официальных комментариев на этот счет ни от TeamViewer, ни от NCC Group нет, а все всхлипывания можно считать не более чем пропагандистской залипухой.

Команда KrakenLabs компании Outpost24 задетектила нового злоумышленника Unfurling Hemlock, который заражал целевые системы до десяти вредоносными ПО одновременно в ходе кампаний, распространяющих сотни тысяч вредоносных файлов.

По данным исследователей, эта деятельность началась как минимум в феврале 2023 года и реализует особый метод распространения.

Исследователи описывают его как кластерную бомбу вредоносного ПО, которая позволяет злоумышленнику использовать один образец вредоносного ПО и распространять дополнительные экземпляры на зараженной машине.

В совокупности KrakenLabs обнаружила более 50 000 «кассетных бомб», имеющих уникальные характеристики, связывающие их с группой Unfurling Hemlock.

Атаки начинаются с запуска WEXTRACT.EXE, который поступает на целевые устройства либо через вредоносные электронные письма, либо через загрузчики вредоносного ПО, к которым Unfurling Hemlock имеет доступ операторов.

Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и еще один сжатый файл.

Каждый шаг распаковки доставляет вариант вредоносного ПО на машину жертвы. Когда достигается финальная стадия, извлеченные файлы выполняются в обратном порядке, то есть последнее извлеченное вредоносное ПО выполняется первым.

KrakenLabs зафиксировала от четырех до семи этапов, что означает, что количество шагов и объем вредоносного ПО, распространяемого во время атак Unfurling Hemlock, различаются.

Аналитики KrakenLabs обнаружили на компьютерах жертв следующие вредоносные ПО, загрузчики и утилиты: Redline, RisePro, Mystic Stealer (работает по MaaS), Amadey, SmokeLoader, Protection disabler, Enigma Packer, Healer.exe, Performance checker, а также утилиты, использующие собственные инструменты Packer, Heal(такие как wmiadap.exe и wmiprvse.exe), для сбора системной информации.

Из проанализированных образцов исследователи пришли к выводу, что более половины всех атак Unfurling Hemlock были нацелены на системы в США, в то время как относительно высокая активность наблюдалась также в Германии, России, Турции, Индии и Канаде.

В отчете KrakenLabs не рассматриваются пути монетизации или действия после взлома, но можно предположить, что Unfurling Hemlock продает логи и первоначальный доступ другим субъектам угроз.

Основываясь на полученных артефактах, исследователи с определенной степенью уверенности полагают, что Unfurling Hemlock базируется в восточноевропейской стране.

Группа исследователей из Технологического университета Граца в Австрии раскрыла детали новой атаки SnailLoad, который позволяет удаленному злоумышленнику определить просматриваемые пользователем сайты и другой контент.

Новая атака SnailLoad использует изменения сетевой задержки для определения активности пользователя и более эффективна, поскольку не требует PitM, JavaScript, взлома Wi-Fi-соединения или выполнения какого-либо кода в системе жертвы.

Причем исследователи продемонстрировали атаку, продемонстрировав, как можно определить видеоролики YouTube и веб-сайты, к которым обращается пользователь.

Для запуска SnailLoad злоумышленник проводит ряд измерений задержки для различных видео YouTube и веб-сайтов, которые может просматривать жертва. Эти данные реализуют трассировку задержки, по сути создавая отпечаток для каждого из них.

Затем необходимо заставить целевого пользователя загрузить данные с вредоносного сервера, включая файлы, таблицы стилей, шрифты, изображения или рекламу.

Основная угроза заключается в том, что любой TCP-сервер может скрытно получать данные о задержках от любых клиентов, подключающихся к нему.

Важным аспектом является то, что вредоносному серверу необходимо загружать контент медленно (отсюда и название SnailLoad), чтобы злоумышленник мог отслеживать задержку соединения в течение длительного периода времени. 

Атака полагается на то, что серверы обычно имеют быстрое подключение к Интернету, в отличие от скорости, с которой трафик достигает систем интернет-провайдера или шлюза жертвы, где пакеты задерживаются. Эти узкие места полосы пропускания используются для измерения задержки.

Данные, полученные злоумышленником во время загрузки контента системой жертвы с вредоносного сервера, сравниваются с ранее созданным отпечатком, что позволяет злоумышленнику выяснить, какие из видеороликов или веб-сайтов в его списке просматриваются жертвой в другом окне во время проведения атаки SnailLoad.

Исследователи отметили, что злоумышленник может задействовать сверточную нейронную сеть (CNN), чтобы изучить трассировку задержки для каждого целевого актива. 

Атаку почти невозможно смягчить, поскольку она полагается на принцип работы Интернета. Однако маловероятно, что SnailLoad будет использоваться в реальных условиях. 

Тем не менее, в тестах, проведенных исследователями TU Graz на 10 видеороликах YouTube и 100 популярных сайтах, точность составила в диапазоне от 37% до 98%, в зависимости от типа целевого ресурса и интернет-соединения.

Результаты исследования ресерчеры намерены представить на Black Hat USA 2024. Также они опубликовали статью с описанием SnailLoad и создали отдельный сайт с демонстрацией атаки. 

͏Как работает правильная Blue Team

Juniper Networks выпустила внеочередное исправление для уязвимости обхода аутентификации максимальной степени серьезности в Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router.

Проблема отслеживается как CVE-2024-2973 (CVSS 10,0) и злоумышленнику обойти аутентификацию с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или Conductor с резервным узлом, и получить полный контроль над устройством.

Уязвимость затрагивает только маршрутизаторы или проводники, работающие в конфигурациях с высокой доступностью и избыточностью.

Администраторы применяют резервные конфигурации высокой доступности, где непрерывность обслуживания имеет решающее значение. Она необходима для поддержания бесперебойных услуг и повышения устойчивости к непредвиденным событиям.

Это делает уязвимую конфигурацию довольно распространенной в критически важной сетевой инфраструктуре, в том числе в средах крупных предприятий, ЦОД, телекоммуникациях, электронной коммерции, а также в государственных службах.

CVE-2024-2973 затрагивает Session Smart Router и Conductor в версиях до 5.6.15, с 6.0 до 6.1.9-lts, с 6.2 до 6.2.5-sts, а также WAN Assurance Router 6.0 до 6.1.9-lts, 6.2 до 6.2.5-sts.

Для этой уязвимости не существует обходных путей, и рекомендуемые действия ограничиваются применением доступных исправлений.

Южнокорейская телекоммуникационная компания KT (Korea Telecom) заразила вредоносным ПО более 600 000 пользователей.

Заражения произошли начиная с мая 2020 года и были нацелены исключительно на пользователей Webhard (Web Hard Drive), местного поставщика облачных услуг с поддержкой BitTorrent.

Вредоносное ПО создавало случайные папки с левыми данными, удаляло файлы, а иногда даже выключало компьютеры.

Как стало известно благодаря проведенному JBTC анализу, провайдер атаковал пользователей Webhard, пытаясь вызвать сбои в сервиса обмена файлами BitTorrent.

Позже KT пояснила, что Webhard генерировала большие объемы трафика во внутренней сети из-за сервиса, а вредонос позволял экономить средства, поскольку такие передачи реализуют большую пропускную способность при высокой стоимости.

Компания даже выиграла судебный процесс, в котором свою вину признала Webhard, но продолжила проворачивать схему с вредоносным ПО.

Тем не менее Южное полицейское управление Кёнгидо провело рейд и расследование, квалифицировав действия компании как организованную попытку взлома.

Как установили силовики, в состав группы входили отделы «разработки вредоносного ПО», «распространения и эксплуатации» и «прослушки», которые в режиме реального времени отслеживали данные, отправляемые и получаемые пользователями KT.

В связи с чем, прошлом месяце южнокорейские власти предъявили обвинения 13 сотрудникам KT в связи с распространением вредоносного ПО.

Кроме того, скамью подсудимых в ближайшем будущем пополнят и другие сотрудники компании.

Миллионы серверов OpenSSH потенциально уязвимы для удаленного выполнения кода без аутентификации из-за уязвимости regreSSHion.

Уязвимость отслеживается как CVE-2024-6387 и была обнаружена исследованиями Qualys, которые ее уже приравняли по критичности к Log4Shell 2021 года.

Исследователи выяснили, что процесс сервера OpenSSH «sshd» подвержен состоянию гонки обработчиков сигналов, что позволяет выполнять неаутентифицированный удаленный код с привилегиями root.

Ошибка затрагивает системы Linux на базе glibc, по Windows и macOS - пока еще неясно.

Конечным результатом использования regreSSHion является полная компрометация системы, открывающая злоумышленникам RCE с наивысшими привилегиями, обходить средства безопасности, выполнять кражу данных и даже поддерживать постоянный доступ.

OpenSSH, разработанный для реализации защищенного канала по сети в архитектуре клиент-сервер, широко используется предприятиями для удаленного управления серверами и безопасной передачи данных.

По данным Qualys, поиск Shodan и Censys выдает более 14 миллионов потенциально уязвимых экземпляров OpenSSH, которые доступны напрямую из Интернета.

Собственные данные Qualys показывают, что около 700 000 систем, подключенных к Интернету, могут быть уязвимы.

Ресерчеры полагают, что CVE-2024-6387 представляет собой регресс ранее исправленной уязвимости CVE-2006-5051 и вновь появилась в октябре 2020 года как часть выпуска OpenSSH 8.5p1.

Уязвимость затрагивает версии 8.5p1-9.7p1, включая до 4.4p1 (если они не имеют исправлений для CVE-2006-5051 и CVE-2008-4109).

При этом OpenBSD не подвержены уязвимости, поскольку они имеют механизм безопасности.

Qualys поделилась техническими подробностями regreSSHion, но не публикует PoC для предотвращения вредоносной эксплуатации.

Вместо этого, компания предоставила IoC для обнаружения потенциальных атак.

Исследователи Rapid7 раскрыла атаку на цепочку поставок ПО, в рамках которой хакеры взломали индийского разработчика Conceptworld для распространения инфостилера через его приложения.

В результате инцидента были троянизированы установщики таких приложений, как Notezilla, RecentX и Copywhiz. Причем вредоносные версии имели больший размер файла, чем их легитимные аналоги.

По данным Rapid7, взлом, по-видимому, произошел 18 июня 2024 года и включал задействование штамма вредоносного ПО под названием dllFake.

В настоящее время неясно, как конкретно был скомпрометирован официальный conceptworld[.]com для размещения поддельных установщиков.

Однако после начала установки приложения пользователю предлагается продолжить процесс, связанный с ПО, хотя в реальности он предназначен для загрузки и выполнения двоичного dllCrt32.exe, который отвечает за запуск пакетного сценария dllCrt.bat.

Помимо обеспечения постоянного присутствия на машине, он настроен на выполнение другого dllBus32.exe, который, в свою очередь, устанавливает соединения с C2 для получения команд.

Вредоносная ПО способна красть учетные данные браузеров Google Chrome, Mozilla Firefox, криптокошельков Atomic, Coinomi, Electrum, Exodus и Guarda.

Кроме того, способен собирать файлы определенных расширений (.txt, .doc, .png и .jpg), регистрировать содержимое буфера обмена и нажатия клавиш, а также выполнять дополнительные полезные нагрузки на зараженных хостах Windows.

dllFake также обеспечивает постоянство с помощью запланированной задачи для выполнения основной полезной нагрузки каждые три часа.

Проблема была устранена 24 июня в течение 12 часов с момента раскрытия информации. IoC и MITRE ATT&CK - отчете.

Микромягкие умеют удивлять. Даже, если на время забыть про ReCall, новая «опция» вряд ли будет по душе пользователям Windows 11.

Microsoft намерена принудительно синхронизировать данные пользователей Windows 11 с OneDrive, принудительно создавая резервные копии.

Без предварительного уведомления или объяснения Microsoft теперь по умолчанию активирует функцию автоматического резервного копирования с помощью OneDrive при настройке нового компьютера.

Безусловно, резервирование можно будет отключить, по крайней мере визуально такая возможность останется, как будет на самом деле - и так понятно.

Если здесь условный рубильник хотя бы обозначен, то в случае с новым клиентом Outlook для Windows 11 все намного печальнее.

Как неожиданно выяснилось, все ваши данные электронной почты теперь проксируются через серверы Microsoft, включая операции входа.

Как говорится, ничего личного…

Cisco предупреждает об исправлении 0-day в NX-OS, которая активно задействовалась в апреле для развертывания ранее неизвестного вредоносного ПО с правами root на уязвимые коммутаторы.

Ошибка была обнаружена исследователями Sygnia в рамках более масштабного расследования деятельности китайской APT, отлеживаемой как Velvet Ant.

По данным исследователей, Velvet Ant на протяжении многих лет получала доступ к сети организации, взламывая устаревшие F5 BIG-IP, доступные через Интернет, и развертывая несколько инструментов для ретрансляции командно-диспетчерских сообщений С2.

При этом злоумышленники использовали уязвимость Cisco NX-OS для запуска ранее неизвестного вредоносного ПО на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения дополнительного кода.

CVE-2024-20399 позволяет локальным злоумышленникам с правами администратора выполнять произвольные команды с правами root на базовых ОС уязвимых устройств.

Ошибка обусловлена недостаточной проверкой аргументов, которые передаются определенным командам CLI конфигурации. Ей можно воспользоваться, включив специально созданные входные данные в качестве аргумента уязвимой команды CLI конфигурации.

Список затронутых устройств включает несколько коммутаторов, работающих под управлением уязвимого NX-OS: MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000, а также Nexus 9000 в автономном режиме NX-OS.

Стоит отметить, что уязвимость позволяет выполнять команды, не вызывая сообщений системного журнала, скрывая признаки компрометации взломанных устройств NX-OS.

Cisco рекомендует клиентам регулярно отслеживать и изменять учетные данные администраторов сети и vdc-admin.

Кроме того, использовать страницу Cisco Software Checker, чтобы определить, подвержены ли устройства в их сети атакам, нацеленным на уязвимость CVE-2024-20399.

PTC исправила критическую уязвимость для решения 3D-моделирования Creo Elements/Direct License Server, которая может быть использована для выполнения команд без аутентификации.

Критическую проблему отсутствия авторизации в версиях 20.7.0.0 и более ранних ранее в этом году обнаружил Томас Ридмайер из Siemens Energy.

Ошибка отслеживается как CVE-2024-6071 и ей имеет рейтинг CVSS 10.

Патч включен в версию 20.7.0.1 и более поздние версии License Server, которые доступны для таких продуктов, как Creo Elements/Direct Drafting, Model/Drawing Mgr, Modeling и WorkManager.

В ходе анализа исследователь пришел к выводу, что License Server предоставляет веб-интерфейс, который может быть использован неаутентифицированными удаленными злоумышленниками для выполнения произвольных команд ОС на базовом сервере.

Что более печально, уязвимость может привести к горизонтальному движению в промышленных организациях, а используется продукт по всему миру, в том числе в критически важном производственном секторе. 

Тем не менее в PTC отметили, что не имеют никаких указаний и не были осведомлены о том, что эта уязвимость эксплуатируется или эксплуатировалась ранее. 

Ридмайер отметил, что уязвимый License Server обычно не имеет выхода в Интернет, поэтому злоумышленнику потребуется доступ к сети целевой организации, чтобы воспользоваться уязвимостью.

В среде, где ему удалось найти уязвимость, сервер PTC был установлен на системе Windows, которую исследователь смог полностью взять под контроль, воспользовавшись уязвимостью.

Учитывая, что взломанный сервер был подключен к нескольким сетям и на нем размещались и другие сервисы, Ридмайер смог через него добраться и до критически важной информации в иных сегментах сети.

Правда успех такого мероприятия, конечно зависит от того, где развернут уязвимый License Server и какой тип доступа он реализует, что может отличаться в разных организациях. 

Оценив масштаб бедствия, PTC проделала отличную работу и выпустила исправления с рекомендациями в течение семи недель.

EVA Information Security поделилась подробностями трех уязвимостей CocoaPods, затрагивающих миллионы приложений macOS и iOS в части атак на цепочки поставок ПО.

CocoaPods - это менеджер зависимостей с открытым исходным кодом для проектов Swift и Objective-C Cocoa, имеющий более 100 000 библиотек и используемый более чем тремя миллионами приложений в экосистеме Apple.

Обнаруженные проблемы в CocoaPods могли позволить злоумышленникам перехватить тысячи пакетов, выполнить команды оболочки и захватить учетные записи, что потенциально повлияло на миллионы приложений iOS и macOS.

Корни всех бед уходят в 2014 год, когда CocoaPods перешел на сервер Trunk, выступающий в качестве централизованного репозитория и платформы распространения, утратив авторство многих модулей. В результате 1866 пакетов остались бесхозными.

EVA обнаружила, что это позволяло любому злоумышленнику заявить о своем праве на тысячи невостребованных модулей и внедрить вредоносный код во многие из самых популярных приложений iOS и macOS.

Злоумышленник мог воспользоваться CVE-2024-38368 (оценка CVSS 9,9), чтобы захватить известные модули и изменить их содержимое или заменить его вредоносным кодом.

Исследователи обнаружили упоминания об утраченных модулях в документации приложений, предоставляемых Apple (Safari, AppleTV, Xcode) и Microsoft (Teams), а также в TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga и многих других. В целом - 685 модулей, которые имели явную зависимость от потерянного модуля.

Вторая уязвимость, обозначенная как CVE-2024-38366 (оценка CVSS 9,0), представляет собой RCE-ошибку уна сервере аутентификации для CocoaPods, который выполняет команду оболочки для проверки домена электронной почты, когда разработчик регистрируется в качестве владельца модуля.

Ошибку можно использовать для выполнения команды на магистральном сервере, фактически предоставляя root-доступ к серверу и инфраструктуре.

Третья CVE-2024-38367 (оценка CVSS 8,0) также связана с процессом аутентификации, позволяя злоумышленнику перехватить сеанс владельца модуля и захватить учетную запись CocoaPods.

CocoaPods аутентифицирует новые устройства, создавая сеанс, который становится действительным только после того, как владелец перейдет по ссылке, которую сервер Trunk генерирует и отправляет на адрес электронной почты, указанный клиентом при запросе сеанса.

EVA заметила, что злоумышленник может подделать заголовок X-Forwarded-Host (XFH), используемый для идентификации, и сервер будет использовать поддельный заголовок для создания URL, отправляемого по электронной почте. URL может перенаправлять пользователей на сторонние веб-сайты, которые могут красть куки их сеанса.

Как отметили ресерчеры, нисходящие зависимости могут означать, что за последние несколько лет были уязвимы тысячи приложений и миллионы устройств.

CocoaPods устранила уязвимости на стороне сервера в сентябре и октябре 2023 года, и теперь их эксплуатация невозможна.

Исследователи из Калифорнийского университета в Сан-Диего сообщили о новой высокоточной атаке по побочным каналам Branch Target Injection (BTI), которая получила название Indirector и затрагивает современные процессоры Intel, включая Raptor Lake и Alder Lake.

Indirector может использоваться для кражи конфиденциальной информации из ЦП, используя уязвимости в Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB) для манипулирования спекулятивным выполнением с целью извлечения данных.

Предиктор косвенных ветвлений предназначен для прогнозирования целевых адресов косвенных ветвлений с использованием исторической информации о выполнении, в то время как буфер целевых ветвлений прогнозирует целевые адреса прямых ветвлений с использованием структуры кэша с ассоциативными множествами.

Исследователи обнаружили, что обе системы имеют недостатки в механизмах индексации, маркировки и обмена записями и, как правило, построены на предсказуемой структуре, которая позволяет осуществлять целенаправленные высокоточные манипуляции.

Исходя из вышеизложенного, Indirector осуществляет атаки в основном с использованием трех механизмов.

- iBranch Locator: настраиваемый инструмент, который использует методы вытеснения для идентификации индексов и тегов пострадавших ветвей и точного определения записей IBP для конкретных ветвей.

- IBP/BTB injections: выполнение целевых инъекций в структуры прогнозирования для выполнения спекулятивного кода.

- ASLR bypass: прерывание рандомизации адресного пространства (ASLR) путем определения точного местоположения косвенных ветвей и их целей, что упрощает прогнозирование и манипулирование потоком управления защищенных процессов.

Наряду со спекулятивным выполнением, достигаемым с помощью целевых инъекций, злоумышленник может использовать методы сторонних каналов кэширования, такие как измерение времени доступа, чтобы сделать вывод о полученных данных.

Intel проинформировали об атаке в феврале 2024 года, также уведомили затронутых поставщиков оборудования и ПО.

Исследователи рассматривают два основных способа смягчения последствий атаки Indirector: более агрессивное использование Indirect Branch Predictor Barrier (IBPB) и усиление Branch Prediction Unit (BPU) путем включения более сложных тегов, шифрования и рандомизации.

Однако необходимо учитывать снижение производительности, особенно при использовании IBPB, поэтому реализация предлагаемого смягчения требует тонкой балансировочной работы.

Исследователи опубликовали на GitHub код и инструменты для проверки концепции атак с внедрением ветвей. Подробности атаки обещают раскрыть на предстоящем симпозиуме USENIX в августе 2024 года.

Исследователи K7 Security Labs расчехлили новый SpyMax Android RAT, нацеленный на пользователей Telegram и не требующий рутирования целевого устройства.

SpyMax RAT способен собирать личную информацию с зараженного устройства и полностью контролировать устройства жертв, заражения реализуется посредством фишинговой кампании, предлагая загрузить вредоносное приложение «ready.apk».

При этом ready.apk выдает себя за Telegram, а используемый значок полностью идентичен оригинальному. После установки RAT на предлагает пользователю включить службу специальных возможностей для приложения.

При наличии необходимых разрешений, APK действует как троян с возможностями кейлоггера. Он создает каталог «Config/sys/apps/log» во внешнем хранилище устройств, а журналы сохраняются в файле «log-yyyy-mm-dd.log» в созданном каталоге.

Помимо стандартного целевого набора вредоносная ПО собирает информацию о местоположении: высота, широта, долгота, точность, и даже скорость движения устройства.

После чего SpyMax объединяет все данные и сжимает их (используя API gZIPOutputStream) перед отправкой на сервер C2. RAT связывается с сервером C2 IP 154.213.65[.]28 через порт: 7771, маскируя соединение.

После установления соединения вредоносная ПО отправляет сжатые gzip данные на C2, который, в свою очередь, отвечает, отправляя серию сжатых данных, представляющих собой после распаковки системные команды и полезную нагрузку APK.

Исследователи из K7 Labs для защиты от подобного рода угроз рекомендуют использовать антивирусные средства, а также использовать для загрузки приложений надежные платформы (как показывает практика, не является панацеей).

Индикаторы компрометации и подробный технический разбор - в отчете.

Splunk исправила 18 уязвимостей в Splunk Enterprise и Cloud Platform, включая серьезные ошибки удаленного выполнения кода.

Три из наиболее серьезных проблем — это RCE-уязвимости, для успешной эксплуатации которых требуется аутентификация.

Первая CVE-2024-36985 может быть использована пользователем с низкими привилегиями через поиск, который ссылается на приложение splunk_archiver.

Проблема затрагивает Splunk Enterprise версий 9.2.x, 9.1.x и 9.0.x.

Splunk Enterprise 9.2.2, 9.1.5 и 9.0.10 устраняют уязвимость. Ошибку также можно нивелировать, отключив приложение splunk_archiver.

Вторая, затрагивающая Splunk Enterprise для Windows, отслеживается как CVE-2024-36984 и позволяет аутентифицированному злоумышленнику выполнить специально созданный запрос для сериализации ненадежных данных и RCE.

Эксплойт требует использования команды collect SPL, которая записывает файл в установку Splunk Enterprise.

Затем злоумышленник может использовать этот файл для отправки сериализованной полезной нагрузки, которая может привести к выполнению кода в полезной нагрузке.

Третья RCE затрагивает компонент генерации PDF-панели мониторинга в Enterprise и Cloud Platform, который использует уязвимую версию библиотеки Python ReportLab Toolkit (v3.6.1).

Splunk также исправил серьезную уязвимость внедрения команд в Enterprise и Cloud Platform, которая могла позволить аутентифицированному пользователю создать внешний поиск, вызывающий устаревшую внутреннюю функцию, и вставить код в установочный каталог платформы Splunk.

Уязвимость связана с устаревшей командой runshellscript, которую используют скриптовые действия оповещения.

Она позволяет аутентифицированному пользователю использовать эту уязвимость для выполнения команд в привилегированном контексте из экземпляра платформы Splunk.

К оставшимся ошибкам высокой степени серьезности относятся обход пути в Splunk Enterprise на Windows и отказ в обслуживании в продуктах Enterprise и Cloud Platform.

Splunk не упоминает об эксплуатации какой-либо из уязвимостей в реальных условиях.

Дополнительную информацию можно найти в рекомендациях по безопасности.

Исследователи заметили первые попытки эксплуатации критической regreSSHion, однако массовая эксплуатация маловероятна.

Приравненная к Log4Shell новая CVE-2024-6387, связанная с состоянием гонки в OpenSSH, была обнаружена исследователями Qualys, которые сразу же предупредили о возможности ее использования неавторизованным злоумышленником для RCE и может привести к полному захвату системы.

Уязвимость получила такое название, поскольку она представляет собой регресс уязвимости OpenSSH, впервые исправленной еще в 2006 году. Проблема вновь возникла в 2020 году и была непреднамеренно исправлена с выпуском 9.8p1.

К настоящему времени проблема активно обсуждается в сообществе и не зря, ведь по данным Shodan и Censys в Интернете более 14 миллионов потенциально уязвимых экземпляров OpenSSH.

Qualys предоставила лишь технические подробности, однако позже последовали PoC-эксплойты. Демонстрация производилась только в 32-разрядных системах Linux на базе glibc. Эксплуатация на 64-битных при этом также считается возможной.

В свою очередь, Palo Alto протестировала часть кода PoC и не смогла добиться RCE, отмечая отсутствие причин для паники. Несмотря на всю критичность, проблема вряд ли приведет к массовой эксплуатации.

Эксплуатация CVE-2024-6387 - достаточно непростая задача. Qualys пояснила, что в результате экспериментов потребовалось около 10 000 попыток, чтобы реализовать условия гонки, необходимые для эксплуатации, а это от нескольких часов до недели.

В свою очередь, Dazz также полагают, что эксплуатация в основном возможна в лабораторных условиях. Эксплойт статистический по своей природе, помимо этого существует довольно много препятствий, которые нужно преодолеть злоумышленникам.

Самый известный эксплойт требует более 4 часов для запуска, в лучшем случае. Тем не менее, исследователь Рагхав Растоги все же обнаружил IP-адрес, с которого, по всей видимости, были попытки использования CVE-2024-6387.

Помимо PoC в сеть запускают и инструменты с открытым исходным кодом, которые можно использовать для выявления уязвимых серверов OpenSSH.

Будем следить.

Исследователи Dr.Web выкатили отчет по результатам анализа вирусной активности за второй квартал 2024 года, а также отдельный обзор для мобильных устройств.

Согласно статистике детектирования Dr.Web, наиболее распространенными угрозами стали нежелательные рекламные ПО и трояны, а также вредоносное ПО, распространяемое в составе других троянов для затруднения их обнаружения.

В почтовом трафике чаще всего попадались вредоносные скрипты и всевозможные фишинговые документы.

Пострадавшие пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с Trojan.Encoder.3953, Trojan.Encoder.35534 и Trojan.Encoder.26996.

Что касается мобильных устройств Android, то наиболее часто замеченными угрозами стали рекламные трояны Android.HiddenAds, вредоносные ПО Android.FakeApp и шпионские трояны Android.Spy.

В то же время вирусные аналитики Dr.Web обнаружили больше угроз в Google Play.

Среди них были новые трояны Android.FakeApp, нежелательное приложение Program.FakeMoney.11, а также троян Android.Harly.87, реализующий платные подписки.

Подробная инфографика с примерами конкретных кампаний и инцидентов - в отчете Dr.Web.