После начавшейся силовой зачистки специализирующиеся на европейском рынке хакеры меняют свою тактику и переходят на новое ПО, которое активно распространяется через Google Play под названием Protection Guard, обладателями замечательного софта стали боле чем 5000 пользователей в Италии, Австралии и Испании.

Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.

Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.

В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.

Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.

История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».

Исследователи SentinelOne опубликовали отчет о результатах расследования кибератаки на Иранскую железную дорогу (IRIR).

Сама атака произошла 9 июля, в результате нее из строя вышли система управления поездами, а также билетные сервисы. Итогом стала отмена части пассажирских и грузовых перевозок. А взломанные информационные табло на ж/д вокзалах Ирана предлагали для получения дополнительной информации звонить по телефону офиса Верховного аятоллы Ирана Али Хаменеи.

Изначально иранские власти опровергали факт атаки, охарактеризовав сбой как техническую проблему, однако на следующий день таки были вынуждены ее признать. Уже изначально по тролингу Хаменени можно было предположить, что за атакой стоит Израиль. Тем более, что перекидывание киберплюхами - это излюбленное занятие иранских и израильских хакеров.

Первоначальный анализ использованного в ходе атаки вредоносного ПО сделала иранская компания Amnpardaz. Основываясь на этом анализе SentinelOne смогли восстановить большую часть компонентов атаки, которые привели к неизвестному ранее актору.

Основным инструментом хакеров послужил набор из трех вредоносов - вайпера файловой системы, который получил название Meteor (название авторы малвари забыли внутри кода), блокировщик экрана, а также вайпера MBR. Соответственно вся атака получила название MeteorExpress.

Интересный факт - при развертывании в атакуемой системе вредонос проверял установлен ли в ней Антивирус Касперского и если находил его, то самоликвидировался.

Изучение кода использованной малвари дало странные результаты. С одной стороны при разработке вредоносов использовался ряд продвинутых техник вплоть до обширной проверки ошибок при развертывании в целевой системе, с другой - наличие грубых просчетов OPSEC, сборная солянка из открытого и авторского кода и применение устаревшего ПО.

Судя по всему вредоносы писались под конкретную атаку несогласованной командой хакеров, среди которых были как профессоналы, так и дилетанты.

Никакого атрибутирования автора атаки SentinelOne не проводят, равно как не указывает первичного вектора компрометации сети IRIR. Однозначно ясно лишь, что основной целью киберкампании было выведение из ее строя, при этом нападающие были знакомы с особенностями функционирования сети, что означает наличие предварительного этапа разведки, который остался незамеченным подразделением информационной безопасности.

Ну так-то это не в первый раз уже.

Мы тут между себя шутим, что если АНБ рекомендует предпринимать конкретные меры по защите своих устройств, то значит сами они пользуются совершенно другими методами проникновения.

Американские исследователи из Malwarebytes нашли интересную приманку, посвященную протестной активности в Крыму. В приманке, соответственно, сидит троян.

Отчет получился прямо смешной.

Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.

Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.

Теперь о забавном.

Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина (да продлит Акатош его дни, скрепность +15) на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".

Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.

Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.

Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.

Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.

Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?

Систему электронного голосования, которую будут использовать на выборах в Госдуму, проверяют на прочность.

Во-первых, стартовало предварительное тестирование. Оно нужно, чтобы проверить, работает ли все без багов и удобна ли система пользователям.

Во-вторых, и это самое интересное, хакерам предложили систему поломать, пообещав заплатить в случае успеха.

Ну и из новинок в системе. К сентябрьским выборам появилась функция "Отложенное решение". Она защитит пользователей от технических сбоев: если у голосующего падает интернет, или зависает гаджет, он сможет заново открыть бюллетень спустя некоторое время и проголосовать.

Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, подала иск против Почтовой службы США (USPS) по поводу того, что последняя реализует массовую шпионскую программу в сети.

Американская почта - это независимое правительственное агентство, в котором работают более 600 тыс. человек. Управляется USPS американскими властями, поскольку руководящий почтой Совет управляющих назначается Президентом США по представлению Сената.

В иске, поданном в соответствии с американским Законом о свободе информации (FOIA) в округе Колумбия, EFF утверждает, что USPS после протрамповских протестов в Вашингтоне в начале этого года запустила Программу тайных сетевых операций (ICOP), в рамках которой собирает и анализирует данные о активности американских граждан в соцсетях. Сюда входят Twitter, Facebook, Parler и Telegram.

При этом, по словам представителей EFF, юридические основания для подобной деятельности со стороны USPS отсутствуют. Кроме того, Почтовая служба периодически терпит убытки, в связи с чем активисты задаются вопросом на какие шиши почтальоны следят за пользователями.

Хорошо, что Почта России так не может. Она в настоящее время изучает BBS.

Не можем не согласиться с этим.

Начнём с расследования Лаборатории Касперского, спецам которой удалось напасть на след ранее неизвестной китайскоязычной АРТ GhostEmperor.

Новая группа, используя расширенный набор инструментов под уязвимости Microsoft Exchange, реализует уникальную и долгосрочную кампанию по компрометации высокопоставленных жертв в правительственном и телекоммуникационном секторе стран Юго-Восточной Азии.

Группа выделяется тем, что применяет сложный rootkit режима ядра Windows, обеспечивающий удаленный контроль над целевым сервером. GhostEmperor разработали виртуозную схему загрузки, основанную на компоненте проекта с открытым исходным кодом Cheat Engine, что позволяет обойти механизм принудительного применения подписи драйверов Windows и развернуть свой rootkit. Что играет важную роль в сокрытии следов ПО от исследователей и программ безопасности.

Такой уникальный расширенный набор инструментов не имеет сходства с уже известными, и задействован АРТ как минимум с июля 2020 года. Другой отличительной особенностью GhostEmperor является сложная многоступенчатая вредоносная среда, предназначенная для обеспечения удаленного управления атакованными серверами.

Уязвимости Microsoft Exchange все еще остаются рабочей схемой для АРТ, которые эксплуатируются вдоль и поперек, и как смогли GhostEmperor - еще и наискось.

Electronic Arts, как мы уже писали, поехала на веселом паровозике.

Как помниться, издателя взломали и украли 780 Гб данных, включая исходный код FIFA (который один и тот же на протяжении последних лет 15-ти).

Все началось 10 июня, когда хакеры разместили ветку на хакерском форуме, решив подбарыжить украденными у EA данными за 28 миллионов долларов.

Позже подробности об атаке стали известны из интервью Motherboard, в котором хакеры сообщили, что получили доступ к данным после приобретения в Genesis приватного доступа к каналу Slack EA. Файлы аутентификации позволили им имитировать аккаунт сотрудника и обмануть support EA, который им в итоге дал доступ к внутренней сети компании.

14 июля после очередной попытки вымогательства и слива фрагмента кода FIFA объемом 1,3 ГБ в сеть, авантюристам так и не удалось склонить Electronic Arts к сотрудничеству.

В итоге весь украденный дамп (включая инструменты для поддержки серверных сервисов компании) пролился в сеть 26 июля и теперь широко распространяются на торрент-сайтах.

Несмотря на то, что злоумышленникам так и не удалось добраться до данных игроков, это вовсе не означает, что все заявления о принятых после взлома мерах, направленных на усиление информационной безопасности, в реальности кардинально изменят инфосек в компании, который джонки этого строился по принципу "пей, гуляй, люби гусей".

Карусель продолжается: у вымогателей еще остаются козыри, кроме исходников в руках хакеров - данные игроков SIMS 4.

Эта музыка может играть вечно: Министерство юстиции США (DoJ) внезапно вновь опубликовало сообщение, о том, насколько русские хакеры суровы и беспощадны. Но речь не идет о новых инцидентах, упоминается все тот же SolarWinds.

Дело в том, что согласно обновленного заявления DoJ характер и масштабы компьютерных вторжений оказались более серьезными: APT 29 aka Cozy Bear получила доступ к учетным записям электронной почты Microsoft Office 365 (O365) сотрудников 27 офисов прокуратуры США, при этом более скурпулезно хакеры прошерстили почту почти всех (не менее 80%) сотрудников прокуратуры в Восточном, Северном, Южном и Западном округах Нью-Йорка. Изначально правоохранители оценивали объем скомпрометированной несекретной корреспонденции в 3%. В целом, Министерство юстиции полагает, что хакеры имели доступ к взломанным учетным записям с 7 мая по 27 декабря 2020 года.

Но мы, пожалуй, обвинения российских хакеров в атаке на SolarWinds рассматриваем как манипуляции приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, когда перевести стрелки на Россию выгодно.

Как мы писали ранее, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.

SonicWall представили Cyber Threat Report за первое полугодие 2021 года. В основу легли результаты собственной аналитики (в том числе статистика сети SonicWall Capture Threat Network) и данные исследований более чем 50 партнеров в сфере инфосек. 

Главные основные моменты следующие:

- Зафиксировано рекордное число атак с использованием ransomware (304,7 млн нападений), что перекрывает показатель всего прошлого года: рост на 151% в годовом исчислении. США, Великобритания, Германия, Южная Африка и Бразилия возглавили список стран, наиболее пострадавших от программ-вымогателей. При этом ежеквартально наблюдается прирост показателей. Так, в Европе объем программ-вымогателей увеличился на 234%, а в Северной Америке - на 180%.
- Наиболее атакуемая отрасль - это государственный сектор (подвергся  атакам в три раза больше, чем в прошлом году): общий рост составил 917%. Следующими в рейтинге жертв: объекты образования (рост составил 615%), медицины (594%), частные организации (264%).
- На Ryuk, Cerber и SamSam приходится 64% всех атак ransomware. На одного только Рюка пришлось 93,9 млн. атак, что в три раза превышает показатели шести месяцев 2020 года.
- Отмечено дальнейшее падение числа атак с использованием вредоносного ПО (пик фиксировался в 2018 году и составил 10,5 млрд. атак): показатели достигли шестилетнего минимума в 2020 году (5,6 млрд. атак), а в текущем периоде было зафиксировано лишь 2,5 млрд. Снижение коснулось Северной Америки, Европы и стран Азии - на 23%, исключение составили Индия и Германия, где зафиксирован рост: 147,2 млн. (83% в сравнении с прошлым годом) и 150,4 млн. соответственно (рост 465%).
- Выявлено 185 945 ранее не встречавшихся штаммов вредоносного ПО, что на 54% больше, чем в первой половине 2020 года.
- Объем вредоносных PDF-файлов и файлов Office снизился впервые с 2018 года.
- Количество вредоносных программ, нацеленных на IoT, резко возросло в 2021 году, было совершено более 32 млн. атак.
- Количество атак криптоджекинга также ошеломляюще возросло и составило 51,1 млн: рост отмечен на 118% в Азии и 248% в Европе. 

Везучие живут с деньгами, невезучие — без, а негодяи — для. Таков, пожалуй, главный тренд хакерского подполья современности, ориентированного на финансовую выгоду и эффективность.

Исследователи американской фирмы по кибербезопасности armis раскрыли набор из девяти критических уязвимостей PwnedPiper затрагивающих инфраструктуру более 80% всех больниц в Северной Америке (около 2300) и не менее чем 3000 больниц по всему миру.

Слабым звеном оказалась плата HMI-3 в подключенных к Интернету панелях Nexus систем пневматических труб Translogic PTS от компании Swisslog Healthcare, предназначенных для внутренней логистики и безопасной транспортировки образцов крови и других биоматериалов из больниц в диагностические лаборатории на большие расстояния.

PwnedPiper дает неавторизованному злоумышленнику захватить станции Translogic PTS и получить полный контроль над сетью PTS целевой больницы, реализовав MitM. В последующем - возможность выкрасть конфиденциальную информацию или накатить ransomware. Кроме того, ошибки позволяют злоумышленнику закрепиться на скомпрометированных станциях PTS в виду небезопасной процедуры обновления прошивки, ведущей к неаутентифицированному удаленному выполнению кода.

Ошибки касаются в основном повышения привилегий, повреждения памяти и отказа в обслуживании:
• CVE-2021-37161 - недостаточное количество ресурсов в udpRXThread;
• CVE-2021-37162 - переполнение в sccProcessMsg;
• CVE-2021-37163 - два жестко закодированных пароля, доступные через сервер Telnet;
• CVE-2021-37164 - трехкратное переполнение стека в tcpTxThread;
• CVE-2021-37165 - переполнение в hmiProcessMsg;
• CVE-2021-37166 - отказ в обслуживании DoS, вызванный процессом GUI панели управления Nexus, связывающим локальную службу на всех интерфейсах;
• CVE-2021-37167 - пользовательский скрипт, запускаемый root, может использоваться для PE;
• CVE-2021-37160 - обновление прошивки без аутентификации, без шифрования и без подписи.

Swisslog Healthcare признают внушительный вредоносный потенциал PwnedPiper, и предлагают клиентам патч Nexus Control Panel версии 7.2.5.7. Текущее обновление прошивки при этом устраняет не все уязвимости, а именно самая серьезная ошибка CVE-2021-37160 будет исправлена лишь в одной из следующих версий.

—Партнерский пост—

🏴‍☠️‍ В 2021 году ярко выражен нарастающей тренд с атаками со стороны Ransomware группировок на компании по всему миру. Динамика, по заявлению авторитетных специалистов, сохранится минимум до конца этого года. Кроме пробива инфраструктуры и локинга неотъемлемой частью давления элитных группировок на корпорации является социальная инженерия (СИ).

Прокаченный навык СИ у партнёров-прозвонщиков позволяет оказывать на компании сильнейшее давление, информировать СМИ о громких утечках и вести грамотно переговоры по выкупу. Каждому специалисту по информационной безопасности, вне зависимости от цвета шляпы необходимо разбираться в человеческой психологии, понимать основы манипуляции сознанием, а также выстраивать правильную стратегию переговоров c контрагентами в соответствии со своими интересами.

Если у вас есть потребность получить необходимые знания и навыки СИ, то рекомендую посетить самый крупный Telegram канал @Social_engineering, там находится всё самое вкусное и важное по Социальной Инженерии в одном месте. А в комплексе с изучением OSINT открываются большие перспективы.

И вновь Microsoft мягко (извините за тавтологию) положила на своих клиентов. После известных проколов SeriousSAM и PrintNightmare, настало время для очередного фейла, получившего наименование PetitPotam.

Напомним, что в прошлом месяце спец по ИБ Гиллес Лайонел раскрыл вектор атаки яPetitPotam, который позволяет хакерам легко получить контроль над контроллером домена Windows.

Если вкратце PetitPotam заставляет компьютер Windows, включая контроллер домена, проходить аутентификацию через подконтрольный злоумышленникам сервер ретрансляции NTLM, используя удаленный протокол Microsoft Encrypting File System Remote Protocol (EFSRPC). Затем хакеры ретранслируют этот запрос проверки подлинности в службы сертификации Active Directory целевого домена через HTTP, где им выдается билет Kerberos (TGT), позволяющий им принять удостоверение контроллера домена.

Используя PetitPotam, злоумышленник может получить полный контроль над доменом Windows, включая распространение новых групповых политик, сценариев и развертывание вредоносных программ на всех устройствах, в том числе наболевших ransomware.

Конечно же, Microsoft выпустила рекомендации по снижению риска NTLM Relay-атак на службы сертификации Active Directory (AD CS), посоветовав убедиться, что службы, разрешающие NTLM-аутентификацию, используют средства защиты (расширенная защита для аутентификации EPA или функции подписи, такие как подписывание SMB). При том, что PetitPotam использует преимущественно серверы, на которых службы сертификации Active Directory (AD CS) не настроены с защитой от атак NTLM Relay.

Ппредложения Microsoft могут предотвратить атаки с ретрансляцией NTLM, они не содержат никаких указаний по блокировке PetitPotam, которая может использоваться в качестве вектора для других атак. Ведь нужно также учитывать, что метод также можно использовать для различных атак, таких как понижение версии NTLMv1 и ретрансляция учетной записи компьютера на компьютерах, где эта учетная запись компьютера является локальным администратором.

Благо исследователи нашли способ заблокировать удаленный неаутентифицированный вектор атаки PetitPotam с помощью фильтров NETSH, не затрагивая при этом локальную функциональность EFS. В эти выходные Крейг Кирби поделился фильтром NETSH RPC, который блокирует удаленный доступ к API MS-EFSRPC, эффективно противодействуя неаутентифицированному вектору атаки PetitPotam.

Небезызвестный Бенджамин Делпи даже поделился конфигами у себя в Twitter теперь PetitPotam можно блокировать просто скопировав содержимое поста в файл с именем block_efsr.txt и сохранив его на своем рабочем столе. Неужели так просто? Microsoft!

Американская инфосек компания Cybereason выпустила большой отчет, в котором описала масштабную киберкампанию, проводившуюся сразу тремя китайскими APT против телекоммуникационных операторов Юго-Восточной Азии.

Сами исследователи пишут, что стали проводить целевой поиск активности китайских хакерских групп после вскрытой в марте кибероперации китайской APT Hafnium по массовому взлому западных организаций через набор из четырех уязвимостей в Microsoft Exchange (т.н. ProxyLogon).

Что важно вне контекста самих взломов операторов - Cybereason утверждают, что китайцы начали использовать ProxyLogon еще в четвертом квартале 2020 года. Хотя самая ранняя дата эксплуатации этих, которую видели лично мы до этого - это 3 января 2021 года.

Первая часть наблюдаемой активности, обозначенная Cybereason как Soft Cell, является ни чем иным как отдельной масштабной операцией китайской APT 10 aka Stone Panda. Американские эксперты пишут, что старт атак хакеров на ресурсы телекоммуникационных операторов датируется 2018 годом, однако, насколько нам известно, Stone Panda начали охотится за CDR (Call Detail Record, первичная запись о совершенном вызове, основа любого биллинга и прочих телефонных сервисов) как минимум на два года раньше.

Stone Panda хорошо известна американским правоохранителям, которые выдвинули в конце 2018 года обвинения в отношении двух членов APT, приписав им участие в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы, включая НАСА и Министерство энергетики США.

Вторая группа, которой Cybereason приписывает активность по взлому операторов телекома, - APT Naikon. По данным исследователей, их атаки происходили в четвертом квартале 2020 - первом квартале 2021 года.

Naikon aka APT 30 aka Override Panda - группа старая и опытная. Впервые были выявлены в 2010 году, но в 2015 вдруг пропали с радаров инфосека. Вновь всплыли прошлой весной с крупной киберкампанией, направленной на кибершпионаж в странах АТР. А уже этой весной Bitdefender сообщили, что отследили продолжительную киберкампанию Naikon, которая длилась аж с июня 2019 года. Имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же более крупной хакерской группы.

Ну и, наконец, третья часть хакерской активности приписывается исследователями APT 27 aka Emissary Panda. Она характеризовалась использованием авторского бэкдора OWA, который сильно похож на уже известный Iron Tiger, и принадлежащий, собственно, APT 27. Кампания длилась с 2017 года по 1 квартал года этого.

И вот вся эта шатобратия сосредоточилась на получении и поддержке непрерывного доступа к ключевым ресурсам сотовых операторов, включая биллинг, а также постоянной компрометации их сетей. Под прицелом оказались пять крупных сотовых операторов Юго-Восточной Азии. Судя по всему, атаки оказались успешными и китайцы в течение долгого периода времени присутствовали в сетях компаний, получив возможность невозобранно тырить биллинговые данные абонентов.

А что к этому приводит? А к этому приводит, в первую очередь, отсутствие сегментирования сети на технологическую и офисную составляющие. И специалистов инфосек и IT подразделений компании, которые такое допускают, можно смело называть "дурака куски". Не переживайте, в родном Отечестве такие тоже имеются.

Что же касается телекома, то доходили до нас слухи, что ребята из звезднополосатых APT любят в российских операторах попастись. Но утверждать ничего не будем, слухи - они слухи и есть. Может врут.

♟Новый игрок на кибервымогательской арене, группировка BlackMatter дала свое первое большое интервью СМИ.

🎤В первом интервью беседа с аналитиком велась на русском языке, в котором вымогатели рассказали о планах на будущее.

💻 Группировка работала над созданием одноименного вымогательского ПО в течение шести месяцев.

🔎BlackMatter подробно изучила вымогательские программы LockBit, REvil и DarkSide и взяла от них самое лучшее.
#киберпреступники, #BlackMatter, #интервью

​​На этой неделе Google серьезно так потрудились над исправлениями в безопасности ОС Android, прикрыв в общей сложности 33 ошибки.

При этом большая часть уязвимостей носили критический характер и могли привести к самым печальным сценариям: повышение привилегий или нарушение раскрытия информации.

Главной ревенной проблемой можно считать CVE-2021-0519 в платформе Media Framework, сопутствующие повышению привилегий на устройствах Android 8.1 и 9 или раскрытию информации на устройствах Android 10 и 11 благодаря возможности локальному вредоносному приложению обойти защиту операционной системы. Патчем также исправлены 3 ошибки в Framework и 5 ошибок в System.

Вторая часть исправления затрагивает 24 • уязвимости и касается компонентов ядра, MediaTek, Widevine DRM и Qualcomm. Самая серьезная из них может привести к выполнению произвольного кода с привилегиями ядра из-за использования после освобождения.

Успешное эксплуатация наиболее серьезных из этих уязвимостей делает возможным удаленное выполнение кода в контексте привилегированного процесса. В зависимости от привилегий, связанных с этим приложением, злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.

В дополнение к уязвимостям, устраненным с помощью бюллетеня по безопасности Android за август 2021 года, Google также исправил еще три ошибки: повышение привилегий в компоненте Pixel и две другие в компонентах с закрытым исходным кодом Qualcomm. Все эти проблемы исправлены на устройствах Pixel с обновлением от 2021-08-05.

Не так давно мы писали про набор уязвимостей NAME:WRECK в стеках TCP/IP, когда уязвимыми оказались сотни миллионов интеллектуальных и промышленных устройств по всему миру.

А уже сегодня исследователи из JFrog и Forescout представили в совместном отчете шестой набор INFRA: HALT из 14 уязвимостей в стеке NicheStack (то есть уже 4 - рамках исследовательской инициативы под названием Project Memoria), затрагивающих широко используемый стек в миллионах устройств Operational Technology (OT), развернутых на производственных предприятиях.

NicheStack - это стек TCP/IP с закрытым исходным кодом для встроенных систем, который предназначен для обеспечения подключения к Интернету промышленного оборудования и используется крупными интеграторами промышленной автоматизации(Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation и Schneider Electric) в своих программируемых логических контроллерах (ПЛК) и других продуктах.

Успешные атаки могут привести к отключению устройств OT и ICS и перехвату их логики. Захваченные устройства могут распространять вредоносное ПО в сети, где они обмениваются данными. То есть хакеры могут с легкостью нарушить работу системы отопления, вентиляции и кондиционирования воздуха в здании или захватить контроллеры, используемые в технологическом цикле другой критически важной инфраструктуры.

Все версии NicheStack до 4.3 уязвимы для INFRA:HALT. Ошибки затрагивают более 6400 OT-устройств, большая часть из которых расположена в Канаде, США, Испании, Швеции и Италии.

Разработчики библиотеки HCC Embedded для NicheStack оперативно выпустили исправление, однако пройдет еще много времени пока поставщики подготовят обновления прошивок, которые, в свою очередь, будет проблематично накатить из-за логистики цепочки поставок и критического характера устройств OT.

Учитывая характер возможных негативных последствий пусть даже одного из 6 тысяч • потенциальных инцидентов, настоятельно рекомендуем ИБ воспользоваться предложенными Forescout средствами и мерами защиты промышленных систем. А после ждать обновлений и новых подгончиков от исследователей: ведь в деле со стеками - еще совсем не вечер.

На сайте Мионобороны нашли паспортные данные россиян в открытом доступе

В сети оказались протоколы продажи высвобождаемого имущества министерства.

Выяснилось, что в них прописаны паспортные данные претендентов на участие в торгах.

Эти протоколы можно найти прямо в Google — нужно просто ввести запрос «паспорт серия site:mil.ru/files filetype:pdf».

Только в одном из таких протоколов содержится серия, номер паспорта и прописка автора заявки на конкурс.

Видимо, оборона личных данных у министерства обороны стоит не на первом месте.

Cisco выкатили обновления для VPN-маршрутизаторов серий RV160, RV260 и RV340.

Среди прочих устранены две критические уязвимости - CVE-2021-1609, оценка критичности 9,8 из 10 по CVSS, и CVE-2021-1602, с оценкой критичности 8,2 соответственно. Обе ошибки содержатся в веб-интерфейсе маршрутизаторов и связаны с некорректной проверкой HTTP-запросов.

Первая касается RV340 и позволяет неаутентифицированному злоумышленнику удаленно выполнить код на устройстве (RCE) либо добиться DoS (что уже не так важно после RCE).

Вторая дырка CVE-2021-1602 также позволяет неаутентифицированному пользователю добиться RCE.

И хотя Cisco заявляют, что не наблюдали эксплуатацию этих уязвимостей "in the wild", мы всегда помним про золотые 72 часа, которые требуются в среднем хакерам на реинжиниринг обновлений и разработку эксплойта.

Поэтому если вы используете уязвимые маршрутизаторы - обновляйтесь срочно.

​🔑 #Shodan и дефолтные пароли.

Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.

🖖🏻 Приветствую тебя user_name.

• Устройства на которых не изменены дефолтные пароли, великое множество. Даже в крупных организациях есть вероятность найти камеру, принтер, роутер, IP-телефоны, сетевые устройства или другое оборудование с дефолтными паролями.

• Мы уже говорили про такие инструменты как Passhunt, Login Hunter и другие полезные сервисы. Сегодня мы поговорим о #Shodan. Ниже будут представлены готовые запросы и описание, благодаря этой информации ты можешь найти дефолтные пароли различных устройств:

• admin 1234 – basic very unsecure credentials.
• “default password” – speaks for itself…
• test test port:”80″ – generic test credentials over HTTP.
• “authentication disabled” “RFB 003.008” – no authentication necessary.
• “root@” port:23 -login -password -name -Session – accounts already logged in with root privilege over Telnet, port 23.
• port:23 console gateway – remote access via Telnet, no password required.
• html:”def_wirelesspassword” – default login pages for routers.
• “polycom command shell” – possible authentication bypass to Polycom devices.
• “authentication disabled” port:5900,5901 – VNC services without authentication.
• “server: Bomgar” “200 OK” – Bomgar remote support service.

‼️ Не забывай про другую полезную информацию, которую ты сможешь найти в нашем канале по хештегам #OSINT #Shodan и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.