Ресерчеры Avast в новом отчете сообщают об АРТ Workok, которая вредоносное ПО в PNG с помощью стеганографии.

Результаты исследования основан на дополнительных артефактах, полученных в ходе расследования атак Workok, и дополняют выводы ESET, первой обнаружившей и сообщившей об активности Workok в начале сентября (отчет).

Как известно, Workok нацеливается на правительственные учреждения на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.

Несмотря на то, что используемый для взлома сетей метод остается неизвестным, Avast предполагает вероятное использование неопубликованной загрузки DLL для запуска загрузчика вредоносного ПО CLRLoader в память.

Затем CLRLoader загружает DLL второго этапа отчете сообщаюткоторая извлекает байты, встроенные в файлы PNG, и использует их для сборки двух исполняемых файлов. Стеганография скрывает код внутри файлов изображений.

По данным Avast, злоумышленники использовали технику, называемую кодированием наименее значимых битов (LSB), встраивая небольшие фрагменты вредоносного кода в наименее важные биты пикселей изображения.

Первая полезная нагрузка, извлеченная из этих битов с помощью PNGLoader, — это сценарий PowerShell, который не удалось получить ни ESET, ни Avast.

Вторая полезная нагрузка, скрывающаяся в файлах PNG, представляет собой специальный похититель информации .NET C# DropBoxControl, который злоупотребляет службой размещения файлов DropBox для связи C2, извлечения файлов и многого другого.

Вредоносная программа DropBoxControl использует подконтрольную злоумышленнику учетку для загрузки файлов со взломанного компьютера или получения данных и команд, которые хранятся в зашифрованных файлах в репозитория DropBox.

Вредоносный функционал указывают на то, что Workok сосредоточена на обеспечении скрытности при проведении эксфильтрации данных, бокового перемещения и наблюдения за зараженным хостом.

Avast отмечает, что задействоваанные в атаках Workok инструменты не замечены и не распространяются в дикой природе, а используются исключительно в интересах АРТ.

Исследовательская группа Palo Alto Unit 42 обнаружила три различные уязвимости в веб-сервере OpenLiteSpeed с открытым исходным кодом, которые также затрагивают корпоративную версию LiteSpeed Web Server.

OpenLiteSpeed - это версия LiteSpeed Web Server Enterprise с открытым исходным кодом, разработанная LiteSpeed Technologies.

ПО занимает шестое место среди самых популярных веб-серверов.

По данным Palo Alto Networks Cortex Xpanse и Shodan, ПО обеспечивает примерно 2% всех приложений веб-сервера с почти 1,9 миллионами уникальных серверов по всему миру.

Среди выявленных проблем:
- удаленное выполнение кода (CVE-2022-0073) с CVSS 8.8;
- повышение привилегий (CVE-2022-0074) с CVSS 8.8;
- обход каталога (CVE-2022-0072) с CVSS 5.8.

Первая уязвимость затрагивает функцию External App Command в панеле администрирования веб-сервера OpenLiteSpeed.

Злоумышленник, которому удалось получить учетные данные для доступа к панели управления с помощью брута или социнженерии, может воспользоваться уязвимостью для выполнения кода на сервере.

Получив выполнение кода на сервере, злоумышленник может использовать вторую уязвимость для повышения привилегий с none до root.

Она обеспечивается неправильной конфигурацией в переменной окружения PATH и применением ненадежного пути поиска.

Последняя проблема могла позволить злоумышленнику обойти защиту и получить доступ к запрещенным файлам.

Злоумышленник, скомпрометировавший сервер, может создать бэкдор и использовать уязвимость для доступа к нему.

Объединяя и используя уязвимости, злоумышленники могут скомпрометировать веб-сервер и получить полностью привилегированное RCE.

После информирования ресерчерами об уязвимостях в течение двух недель к 18 октября LiteSpeed Technologies выпустила исправленную версию (v1.7.16.1).

Использующим OpenLiteSpeed версий от 1.5.11 до 1.7.16 и LiteSpeed версий от 5.4.6 до 6.0.11, рекомендуется обновить свое ПО до последней соответствующей версии — v1.7.16.1 и 6.0.12.

Не нужно откладывать на выходные то, что стоит сделать сегодня, особенно когда речь идет о внеплановых исправлениях безопасности.

Исправления были выпущены ИТ-гигантом из Купертино для обновления линейки продуктов под управлением iOS и macOS с целью устранения двух критических уязвимостей в библиотеке libxml2.

Написанная на языке программирования C и первоначально разработанная для проекта Gnome, libxml2 представляет собой программную библиотеку для анализа XML-документов.

Баги получили идентификаторы CVE-2022-40303 и CVE-2022-40304 и могут позволить потенциальному злоумышленнику вызвать неожиданное завершение работы приложения или RCE.

Обнаружить ошибки в библиотеки Apple помогли коллеги по цеху из Google Project Zero.

Apple устранила недостатки, выпустив macOS Ventura 13.0.1 и iOS 16.1.1 и iPadOS 16.1.1 (для iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, и iPad mini 5-го поколения и новее).

Заявлений от Apple об использовании в атаках не поступало.

Однако PoC, нацеленный на CVE-2022-40303, а также полные технические сведения о CVE-2022-40304, уже были опубликованы, что собственно объясняет внеплановое обновление от Apple.

͏Cisco объявила о выпуске исправлений для 33 уязвимостей высокой и средней степени серьезности, влияющих на корпоративные межсетевые экраны с ПО Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) и Firepower Management Center (FMC).

Наиболее серьезной из проблем является CVE-2022-20927 - ошибка в функциях политик динамического доступа DAP ПО ASA и FTD, позволяющая удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать состояние DoS.

Из-за неправильной обработки данных, полученных от модуля Posture (HostScan), злоумышленник может отправить сформированные данные HostScan, чтобы вызвать перезагрузку устройства.

Не менее серьезной с CVSS 8,6 является CVE-2022-20946, DoS-уязвимость в функции декапсуляции туннеля общей инкапсуляции маршрутизации GRE в ПО FTD версии 6.3.0 и более поздних. Проблема возникает из-за ошибок обработки памяти при обработке трафика GRE.

Злоумышленник может воспользоваться уязвимостью, отправив созданные полезные данные GRE через уязвимое устройство, что приведет к его перезапуску.

Три другие DoS-уязвимости высокой степени серьезности затрагивают Simple Network Management Protocol (SNMP) и клиент SSL/TLS ASA и FTD, а также обработку SSH-соединений FMC и FTD.

Согласно Cisco, эти ошибки возникают из-за недостаточной проверки ввода, неправильного управления памятью при инициации соединений SSL/TLS и неправильной обработки ошибок при сбое установления сеанса SSH соответственно.

Другие серьезные недостатки, которые Cisco устранила на этой неделе, включают проблему с дефолтными учетными данными в ASA и FMC, а также безопасный обход загрузки в Secure Firewall серии 3100 с ASA или FTD.

Cisco выпустила бюллетени по 26 уязвимостям средней степени серьезности. Наиболее важные рекомендации касаются 15 XSS-ошибок в веб-интерфейсе управления FMC.

Проблемы возникают из-за недостаточной проверки введенных пользователем данных, что позволяет злоумышленнику выполнить код в контексте уязвимого интерфейса или выкрасть информацию из браузера.

Cisco исправила недостатки с выпуском полугодового патча для ПО ASA, FTD и FMC, выпуск которого задержала почти на две недели.

Компания не располагает информацией о каких-либо общедоступных эксплойтах, нацеленных на любую из этих уязвимостей.

͏SecAtor наблюдает за тем, как российские инфосек-компании спорят, кому из них принадлежит SecAtor. В красном - GroupIB.

͏Ресерчер раскрыл уязвимость Android, которая позволяет обходить экран блокировки фактически любому пользователю, имеющему физический доступ к устройству.

Ошибка повышения привилегий отслеживается как CVE-2022-20465 и была обнаружена исследователем Дэвидом Шутцем, который получил за нее от Google вознаграждение в размере 70 000 долларов США.

Эксплуатация позволяет злоумышленнику разблокировать телефон Android, запустив механизм сброса PIN-кода SIM-карты, который требует от пользователя ввода PUK-кода.

В этом сценарии злоумышленник, имеющий физический доступ к заблокированному устройству, должен будет заменить SIM-карту на свою, а затем ввести неправильный ПИН три раза для запуска процесса его сброса. Он предполагает запрос 8-значного кода персонального ключа разблокировки PUK.

Как только злоумышленник вводит PUK-код, ему открывается полный доступ к устройству без необходимости ввода пароля или графического ключа для разблокировки.

Проблема обусловлена ошибкой в функции .dismiss(), вызываемой после ввода PUK-кода и затрагивает устройства под управлением Android 10, 11, 12 и 13. Она предназначена для закрытия текущего экрана безопасности, который должен был быть подсказкой PUK.

Из-за этой уязвимости компонент, отслеживающий состояние SIM-карты в фоновом режиме, меняет экран безопасности прямо перед вызовом функции .dismiss(), что приводит к закрытию экрана PIN-кода/пароля и в итоге - к разблокировке телефона.

Для исправления Google изменил функцию, добавив новый параметр, в котором вызывающая функция указывает, какой тип экрана безопасности следует закрыть.

Но интересно другое: исследователь сообщил об уязвимости в Google еще в середине июня. Через пару месяцев ему ответили, что отчет является дубликатом и отклонил его.

Однако Шутц решил не останавливаться и продемонстрировал проблему на публичном мероприятий ESCAL8 в Лондоне, что не осталось незамеченным и участниками из инженерного состава Google.

В итоге гигант был вынужден признать ошибку и выплатить гонорар. Уязвимость была закрыта с выпуском ноябрьских исправлений для Android.

Дело в том, что это вовсе не бага, а фитча, и, вероятно, предназначенная для узкого круга посвященных, учитывая предельную скорость и простоту эксплуатации, как показано на видео

Многочисленные RCE-ошибки использования после освобождения были устранены в ПО для чтения PDF-документов Foxit Reader.

Исследователи Cisco Talos опубликовали информацию о четырех уязвимостях в механизме JavaScript Foxit Reader, которые могут быть использованы для выполнения произвольного кода.

CVE-2022-32774, CVE-2022-38097, CVE-2022-37332 и CVE-2022-40129 имеют оценку CVSS 8,8 и описываются как уязвимости, требующие использования после освобождения. О них Cisco сообщила в Foxit еще в сентябре. 

Как поясняют ресерчеры Cisco, специально созданный PDF-документ может инициировать повторное использование ранее освобожденной памяти, что может привести к выполнению произвольного кода.

Злоумышленнику, желающему воспользоваться этими уязвимостями, потребуется обманом заставить пользователя открыть вредоносный файл.

Если расширение подключаемого модуля браузера Foxit включено, ошибки могут быть вызваны, когда пользователь переходит на вредоносный веб-сайт.

Foxit выпустила исправленную версию 12.0.1.124306 устраняющую все проблемы. Пользователям рекомендуется как можно скорее обновиться.

͏Серьезные удары по финансовым организациям нанесли вымогатели.

Брокер первоначального доступа 0x_dump взломал Deutsche Bank и реализует через телегу доступ к его системам, включая DA, 21 тыс. хостов, файловые сервера с 16 ТБ внутренних данных, корпоративные чаты.

Заявленная IAB цена составляет 7.5 БТС или 150 тыс. долларов. Причем этот же IAB ранее выставлял на продажу доступ к системам австралийской Medibank. Учитывая, что прайс небольшой - можно считать, что сеть банка скоро зарансомится.

LV атаковали аргентинский ConsuMax Bank с доходом в 68 млн. дол. Команда BlackCat добавила Центральный банк Гамбии на свой DLS, выбрав более 2 ТБ конфиденциальных данных.

BlackCat также отличилась атакой на Motional, специализирующейся на беспилотных технологиях с доходом в 271 млн. дол.

В то время как, Hive поделилась очередным успехом, поместив на DLS итальянского Landi Renzo, мирового лидера по поставкам экологичных топливных систем с доходом в 227 млн. дол.

Странные дела вновь происходят в рядах REvil. DLS команды опустел, все жертвы исчезли, блог пуст.

Все произошло через несколько дней после того, как REvil слили данные о взломе Medibank. Но это уже другая история.

Давно не было инсайдов в канале SecAtor. А все потому, что инфосек уехал. Не весь, конечно, так, частями. Оставшиеся пойдут на SOC-Форум. Поэтому вот тема для обсуждения.

Согласно активно циркулирующим слухам недавно созданная МТС инфосек компания Серенити (а куда Светлячка дели, нехристи?) активно пылесосит рынок в поисках специалистов. Топам уже положили по полмиллиона долларов бонуса, а сотрудникам пониже обещают психолога и массажный кабинет (мы не шутим, кстати). Дошли до того, что ведут переговоры с Шаровым о поглощении Dr.Web со стороны Серенити.

В общем - такой здоровенный инхаус инфосек в МТС, который может серьезно перекроить рынок, Бизоны не дадут соврать. С учетом того, что Серенити позиционирует себя как поставщика SOC-сервисов и разработчика ПО, то сначала следовало бы напрячься Соларам. Потом - всем остальным.

Существенную часть топов набрали из Касперского - от Наумовой и Прибочего до неоднозначного Черешнева. Подозреваем, что Евгений Валентинович негодуэ.

Единственное, что настораживает - за прошедшие 3 месяца с анонсированного создания компании от Серенити никакой активности не видно. Ни роадмапов, ни релизов, ни сайта, в конце концов.

С другой стороны, как мы отметили в начале поста, - инфосек-специалисты стайно улетели в далекие края, поэтому набрать сейчас штат в новую компанию задача непростая. Ведь с учетом необходимости обслуживания чувствительной инфраструктуры - персонал надо набирать из оставшихся. А не, как некоторые, держать пентестеров в странах ближнего и дальнего зарубежья.

По такому поводу мы решили обратиться к подписчикам - какие ценностные предложения надо добавить HR Серенити в соцпакет к массажному кабинету, чтобы создать непринужденную атмосферу тимбилдинга и управления талантами? Может директор по стратегии Серенити @bladerunnerblues поделится? Можно прямо в почту...

(гулять так гулять, решили приоткрыть комменты).

Пей, гуляй, люби гусей!

Разгневанное утечкой Medibank правительство Австралии решило выписать «Licence To Kill» для враждебных хакерских групп по всему миру.

Австралийцы просто решили нанести ответный удар, выследить злоумышленников и вывести их из строя, прежде чем они снова смогут напасть на страну.

По словам министра внутренних дел Клэр О'Нила новая инициатива будет результатом совместной работы Федеральной полиции (AFP) и Управления связи (ASD), куда планируется привлечь около 100 лучших и наиболее способных киберэкспертов, которые будут участвовать в наступательных действиях.

Первыми на прицел взяли причастных к инциденту с Medibank, вызвавшему широкий общественный резонанс. Особенно после того как в компании отказались платить, а банда вымогателей BlogXX, которая считается ответвлением группировки REvil, приступила к сливу историй болезней клиентов и в сеть просочились файлы с пометкой «аборты».

Премьер-министр Австралии Энтони Альбанезе, данные которого также оказались в утечке Medibank, заявил, что AFP доподлинно известно, где базируются киберпреступники и потребовал немедленного привлечения к ответственности.

Он отметил, что и страна, из которой исходят эти нападения, также должна понести наказание за атаки и разглашение личной информации.

Громогласные заявления прозвучали в тот же день, когда AFP опубликовало пресс-релиз с заявлением о нахождении виновников на территории России. Публично имена разумеется не озвучивались, но комиссар AFP Рис Кершоу заявил, что в скором времени ожидаются контакты с российскими силовиками.

Кроме того, в правительстве также было предложено рассмотреть законопроект, полностью запрещающий платежи бандам-вымогателям дабы, задушит финансовые стимулы, стоящие за большинством атак преступных групп.

План у австралийского правительства амбициозен, но ситуаций, когда правоохранительным органам удавалось взламывать самих хакеров достаточно немного.

Успехами могут похвастаться спецслужбы США после атак на Pipeline и Kaseya, когда была перехвачена инфраструктура хакеров Darkside и REvil.

Учитывая столь неоднозначное исчезновение и столь же удивительное возвращение REvil, теперь за брендом может стоять кто угодно и, прежде всего, последние владельцы, которые и помогли AFP состряпать обвинения в адрес российской стороны.

Словацкая инфосек компания ESET опубликовала отчет об угрозах APT-групп за второй триместр (с мая по август) 2022 года.

Весь отчет делится ровно на 5 (пять) частей:
- активность российских APT;
- активность китайских APT;
- активность иранских APT;
- активность северокорейских APT;
- компот заключение.

Исходя из изложенного мы, в свою очередь, можем предположить 3 (три) версии:
- во всех остальных странах, кроме вышеперечисленных, демократия и эльфы, высокие травы и заливные луга, пацифизм и пони;
- во всех остальных странах, кроме вышеперечисленных, отсутствуют подготовленные IT-специалисты, способные организовывать технические проникновения;
- бабка врет.

С учетом того, что упомянутый список стран чуть более чем полностью совпадает с обозначенной в свое время Бушем-младшим "Осью зла" (просто за 20 лет Ирак поменяли на Китай), то склоняемся в последнему варианту.

"Н" - независимое мнение.

Ресерчеры Trend Micro опубликовали отчет об уязвимости в macOS PackageKit Framework, которая может использоваться вредоносными приложениями для изменения защищенных частей файловой системы.

Компонент PackageKit используется для исталяции пакетов установщика ПО (файлы PKG).

Ошибка отслеживается как CVE-2022-32895 и является разновидностью более старой уязвимости CVE-2019-8561.

25 марта 2019 года Apple устранила ошибку, которая могла привести к повышению привилегий root, обходу подписи и, в конечном итоге, обходу защиты целостности системы Apple (SIP).

Однако после глубокого изучения фреймворка PackageKit ресерчерам удалось вновь ей воспользоваться. В итоге Apple вновь устранила эту уязвимость в macOS 13 (Ventura) уже как CVE-2022-32895 24 октября 2022 года.

CVE-2019-8561 злоупотребляет классической проблемой времени проверки до времени использования TOCTTOU, которая возникает при установке файла PKG, подписанного Apple.

Разработчик смог решить проблему внедрив ожидаемое свойство контрольной суммы подпути файла PKG через доверенный указатель XAR, который возвращается безопасным API «xar_open_digest_verify».

Затем вместо прямого чтения из inputFD реализовано использование экземпляра класса ObjC IASInputStream для чтения inputStream. Во время извлечения он одновременно обновляет дайджест inputStream.

После извлечения он проверяет, равна ли реальная контрольная сумма inputStream ожидаемому значению. Если это так, то установка продолжается, в противном случае - прерывается весь процесс.

Проигнорировавшие обновление ОС пользователи рискуют оказаться уязвимыми для повышения привилегий до суперпользователя, обхода подписи и SIP.

Уязвимость в решениях Aiphone открывает злоумышленникам доступ к управлению СКУД для обеспечения беспрепятственного прохода в целевое помещение.

Aiphone является одним из крупнейших мировых производителей систем безопасности и связи, включая аудио- и видеосистемы для защиты жилых и корпоративных зданий.

Ресерчеры Promon сообщили об уязвимости раскрытия информации CVE-2022-40903 в устройствах Aiphone серии GT-DMB, GT-DMB-N и GT-DMB-LVN (с версиями прошивки до 3.00) и GT-DB-VN (с версиями 2.00 или более ранними).

Проблема была выявлена в июне 2021 года и может позволить злоумышленнику легко взломать систему входа с помощью тега NFC.

Суть проблемы заключается в том, что система не имеет защиты от брута, позволяя злоумышленнику с доступом к сети и мобильным устройством с NFC перебрать все возможные четырехзначные комбинации кода для извлечения пароля администратора.

Как только пароль администратора становится известен, злоумышленник может использовать его для добавления нового тега NFC в систему для организации доступа в здание.

Учитывая, что уязвимые продукты Aiphone не хранят журналы доступа, целевая организация рискует остаться в неведении о каком-либо несанкционированном доступе.

Но главная проблема заключается в том, что уязвимость не устраняется с помощью обновления ПО, требуя полной замены оборудования.

10 ноября Aiphone опубликовала на своем веб-сайте уведомление об уязвимости, заявив, что модели устройств, выпущенные после 7 декабря 2021 года, исправлены.

Поставщик обнадежил клиентов, заявив, что не получал сообщений об уязвимости, используемой в реальных атаках.

Google все же обезжирили и заставили выплатить рекордные 391,5 млн. дол. для урегулирования споров с 40 штатами США за сбор данных о местоположении пользователей.

Рекордные они только для заголовка, ведь только за третий квартал общая выручка компании составила в размере 69,09 млрд. дол. США и чистая прибыль - 13,9 млрд. дол. США.

Согласно заявлению генпрокурора штата Орегон Эллена Розенблюма, техно-гигант вводил пользователей в заблуждение, заставляя их думать, что они отключили отслеживание в настройках своей учетной записи, однако на самом деле Google продолжала собирать информацию о местоположении.

Расследование последовало после отчета Associated Press за 2018 год, в котором утверждалось, что Google продолжала отслеживать местоположение пользователей на Android и iOS, даже после дезактивации функции в настройках аккаунта, что фактически нарушало условия политики конфиденциальности.

Кроме того, данные о местоположении, собранные Google, агрегировались с другой личной и поведенческой информацией в отношении пользователей для формирования более эффективного таргета.

Сама Google обвинила расследователей в использовании в основе анализа устаревших сведений и политик, отметив, что новое соглашение о конфиденциальности предоставляет пользователям дополнительную информацию при включении или отключении параметра, связанного с местоположением.

Как это было и ранее, Google пообещала все исправить и обеспечить упрощенные настройки для удаления данных о местоположении.

Не далеко от Google в вопросах конфиденциальности ушла и Apple, которая в скором времени также предстанет ответчиком в суде за игнорирование пользовательских настроек.

Два независимых разработчика приложений обнаружили, что Apple собирает данные обо всех своих пользователях, даже если они установили флажок «отключить общий доступ к аналитике устройств» в настройках App Store.

После чего было подано два коллективных иска против техно-гиганта в Калифорнии и Филадельфии соответственно.

This is nothing personal, it's just business.

Эксперты из центра GReAT Лаборатории Касперского представили ежегодный прогноз с ключевыми трендами APT-атак и значимыми событиями в инфосеке на 2023 год.

Коротко о том, что нас ждет:

1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.

В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.

2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.

В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.

Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.

3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.

Предвидеть появление очередного зловреда такого типа практически невозможно.

Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.

4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.

Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.

5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.

6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.

7. Для доставки вредоносного кода могут задействоваться средства SIGINT.

Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.

8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.

Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.

Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.

Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).

Приступ правды канала Secator продолжается. Сегодня будем расчехлять словацкую ESET.

Как и многие другие иностранные IT-компании в марте словаки объявили об уходе с российского рынка, в связи с чем их главный продукт - антивирус NOD32 - перестал продаваться на территории России.

Однако в отличие от англичан, которые уходят, не попрощавшись, словаки решили попрощаться, но не уходить.

И уже в апреле подали заявки в Роспатент на регистрацию нового товарного знака - PRO32. Сам антивирус в реестр российского ПО естественно, не включен.

А в июне запустили сайт - pro32[.]com, на котором начали продавать софт под новым именем от лица компании, которая ранее была их представителем в России и СНГ.

При этом до июня к домену были прикручены разные не имеющие к отношения инфосеку сайты (webarchive не даст соврать).

После того, как бизнес в России под «прикрышкой» налажен - можно опять приступать к яростному разоблачению деятельности российских АРТ.

Update: в комментах нас поправляют, что Pro32 взяли за основу технологии индийского производителя К7.

Ресерчеры Varonis выяснили, что уязвимость внедрения SQL-кода в Zendesk Explore могла позволить злоумышленнику украсть информацию об учетной записи клиента с включенным Explore.

Zendesk Explore — это служба аналитики и отчетности Zendesk, популярного решения для поддержки клиентов, предоставляющего ПО как услугу.

Успешная эксплуатация двух уязвимостей в Zendesk Explore открывала доступ к разговорам, комментариям, адресам электронной почты, заявкам и другой информации.

Для этого злоумышленник должен был сначала зарегистрироваться в Zendesk в качестве внешнего пользователя, а у учетки должна быть активирована Explore.

По умолчанию параметр отключен, хотя необходим для аналитики.

Анализируя продукты, Varonis обнаружили использование нескольких API-интерфейсов GraphQL. Один из типов объектов содержат несколько вложенных кодировок.

Дальнейшее исследование выявило наличие незашифрованного XML-документа, содержащего атрибуты имен, уязвимые для атаки путем внедрения кода SQL.

В итоге ресерчеры смогли извлечь список таблиц из экземпляра Zendesk RDS и продолжить эксфильтрацию всей информации, хранящейся в базе данных, включая адреса электронной почты пользователей, интересы и сделки из CRM, живые разговоры агентов, билеты, статьи справочного центра, и многое другое.

Копнув глубже, исследователи выявили уязвимость логического доступа, которая позволяла им красть данные из любой таблицы в RDS целевой учетной записи Zendesk без необходимости использования SQLi.

Доказательств или свидетельств компрометации какой-либо из учетных записей клиентов Zendesk Explore не получено, разработчик достаточно быстро решил проблему, и в Explore больше нет недостатка.

От клиентов при этом не требуется предпринимать никаких действий.