Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:

🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.

👻 Mr.Robot — Канал про анонимность в сети, OSINT, социальную инженерию, пентесты и хакеров.

🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.

͏В отличие от Acer, которую выхлопали хакеры, швейцарская Acronis, по всей видимости, решила до последнего опровергать утечку, анонсированную тем же селлером, который продает данные тайваньской компании.

Компания предлагает решения для резервного копирования, аварийного восстановления, защиты от вирусов и защиты конечных точек. Представители Acronis заявили, что учетная запись одного клиента была скомпрометирована после того, как хакер слил гигабайты информации, предположительно украденной у компании.

В случае с Acronis злоумышленник опубликовал архивный файл размером 12 Гб, якобы содержащий файлы сертификатов, журналы команд, системные конфигурации и информационные журналы, архивы файловой системы, сценарии и резервные копии данных конфигурации.

После того, как об инциденте стало известно, директор по ИБ компании Кевин Рид пояснил, что утечка данных, по-видимому, полностью поступила из учетной записи одного клиента.

Основываясь на собственном расследовании, Acronis пришла к выводу, что учетные данные, использованные одним конкретным клиентом для загрузки диагностических данных в службу поддержки Acronis, были скомпрометированы.

Ни одна другая система или учетные данные не были затронуты. Нет никаких доказательств какой-либо другой успешной атаки, и в утечке нет данных, которых нет в папке этого одного клиента. Acronis также отдельно пояснила, что ни один из ее продуктов не пострадал от взлома.

К настоящему времени Acronis блокнула аккаунт на время решения проблемы, поделилась IOC с отраслевыми партнерами и ведет расследование с правоохранительными органами.

Но будем посмотреть.

Исследователи Claroty обнаружили с десяток серьезных уязвимостей в умном домофоне E11 китайской компании Akuvox.

При этом вендор не только не выпустил ни одного исправления, но и удалил описание продукта с веб-сайта (как видно из кеш Google).

Akuvox E11 - видеодомофон SIP (Session Initiation Protocol), специально разработанный для частных домовладении и квартир.

Уязвимости могут позволить злоумышленникам удаленно выполнять код, чтобы активировать и управлять камерой и микрофоном устройства, красть видео и изображения или закрепиться в сети. Среди них:

⁃ CVE-2023-0344 (CVSS: 9,1) — Akuvox E11 использует пользовательскую версию SSH-сервера dropbear. Этот сервер допускает небезопасный вариант, которого по умолчанию нет на официальном SSH-сервере dropbear.

⁃ CVE-2023-0345 (CVSS: 9,8) — сервер защищенной оболочки Akuvox E11 (SSH) включен по умолчанию, и к нему может получить доступ пользователь root. Этот пароль не может быть изменен пользователем.

⁃ CVE-2023-0352 (CVSS: 9,1) — веб-страница восстановления пароля Akuvox E11 может быть доступна без аутентификации, и злоумышленник может загрузить файл ключа устройства. Злоумышленник может затем использовать эту страницу, чтобы восстановить пароль по умолчанию.

⁃ CVE-2023-0354 (CVSS: 9,1) — к веб-серверу Akuvox E11 можно получить доступ без какой-либо аутентификации пользователя, и это может позволить злоумышленнику получить доступ к конфиденциальной информации, а также создавать и загружать перехваченные пакеты с известными URL-адресами по умолчанию.

Атаки могут проявляться либо через удаленное выполнение кода в локальной сети (LAN), либо через удаленную активацию камеры и микрофона E11, что позволяет злоумышленнику собирать и эксфильтровать мультимедиа-записи.

Третий вектор атаки использует внешний небезопасный сервер протокола передачи файлов (FTP) для загрузки сохраненных изображений и данных.

Большинство из 13 проблем до сих пор не устранены. Claroty отмечает, что Akuvox с тех пор решил проблему с разрешениями FTP-сервера, отключив возможность отображать его содержимое, чтобы злоумышленники больше не могли считывать файлы.

При отсутствии исправлений организациям, использующим домофон, рекомендуется отключить его от сети до тех пор, пока не будут устранены уязвимости, чтобы смягчить потенциальные удаленные атаки.

Также рекомендуется изменить пароль по умолчанию, используемый для защиты веб-интерфейса, и изолировать устройство Akuvox от корпоративной сети, чтобы предотвратить атаки бокового перемещения.

Исследователи из Школы кибербезопасности Корейского университета в Сеуле представили новую атаку CASPER на сети с воздушным зазором, позволяющую передавать данные на ближайший смартфон со скоростью 20 бит/сек через динамик.

CASPER задействует динамики целевого компьютера в качестве канала передачи данных и высокочастотный звук, не улавливаемый человеческим ухом, транслируя двоичный код или азбуку Морзе на микрофон на расстоянии до 1,5 м.

Принимающий микрофон может находиться в смартфоне в кармане злоумышленника или ноутбуке в том же помещении.

Как и в случае почти всех аналогичных атак, нацеленных на изолированные от сети компьютеры, инсайдер или злоумышленник, имеющий физический доступ к цели, должен сначала заразить ее вредоносным ПО.

Хоть этот сценарий и может показаться мифическим, однако примеры успешных атак все же есть: Stuxnet (поразивший иранский завод по обогащению урана в Натанзе), Agent.BTZ (атаковавший военную базу США) и модульный бэкдор Remsec (более пяти лет тайно собирал информацию из закрытых правительственных сетей).

Вредоносное ПО может автономно сканировать файловую систему цели, находить файлы или типы файлов, которые соответствуют жестко заданному списку, и проводить их эксфильтрацию.

Более реалистичен, конечно же, кейлоггинг, который более подходит для низкой скорости передачи данных.

Вредоносное ПО кодирует данные для извлечения, в двоичном коде или согласно Морзе передает их через внутренний динамик с помощью частотной модуляции, достигая незаметного ультразвука в диапазоне от 17 кГц до 20 кГц.

Исследователи проэкспериментировали, используя компьютер на базе Linux (Ubuntu 20.04) в качестве цели и Samsung Galaxy Z Flip 3 в качестве приемника.

В эксперименте с азбукой Морзе исследователи установили длину на бит 100 мс и использовали 18 кГц для точек и 19 кГц для тире. Смартфон находился на расстоянии 50 см и смог расшифровать присланное слово.

В эксперименте с двоичными данными длина на бит была установлена равной 50 мс, при этом нули передаются на частоте 18 кГц и единицы на частоте 19 кГц. Стартовый/конечный бит длительностью 50 мс также использовался на частоте 17 кГц для обозначения начала нового сообщения.

На основании проведенных тестов максимальное расстояние до приемника составляет 1,5 метра (4,9 фута) при длине на бит 100 мс.

Общие результаты эксперимента показывают, что максимальная надежная скорость передачи битов 20 бит/с достижима, когда длина на бит составляет 50 мс.

При такой скорости вредоносное ПО может передать стандартный 8-символьный пароль примерно за 3 секунды, а 2048-битный ключ RSA — за 100 секунд.

Все, что свыше, например, небольшой файл размером 10 КБ, потребует более часа для эксфильтрации.

Решением проблемы низкой скорости передачи данных было бы изменение полосы частот для нескольких одновременных передач, однако внутренние динамики могут воспроизводить звук только в одной полосе частот, поэтому атака практически ограничена.

Исследователи поделились способами защиты от атаки CASPER, самым простым из которых оказалось удаление внутреннего динамика с критически важных компьютеров. В качестве альтернативы - установка фильтра верхних частот.

Неутешительные прогнозы представителей инфосек-отрасли сбылись: банда вымогателей Clop приступила к вымогательству выкупа с компаний, чьи данные были украдены ими с помощью 0-day в Fortra GoAnywhere MFT.

Как мы уже сообщали ранее, злоумышленники заявляли, что в числе их жертв может оказаться как минимум 130 организаций.

С тех пор две компании, Community Health Systems (CHS) и Hatch Bank сообщили о киберинцидентах, сопровождавшихся утечками данных в ходе атак GoAnywhere MFT.

В качестве пруфов Clop приступили к публичному раскрытию жертв атак GoAnywhere, добавив уже семь новых компаний на свой сайт DLS.

Неясно, сколько требуют злоумышленники сейчас, но в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в результате аналогичных атак с использованием 0-day в Accellion FTA.

На тот момент от деятельности вымогателей пострадало более 100 компаний по всему миру, включая Shell, Qualys, Kroger, и было украдено неимоверное количество данных, которые злоумышленники медленно сливали в сеть, требуя выкуп в миллионы долларов.

Голландская инфосек-компания EclecticIQ в своем новом отчете поделилась подробностями февральских атак АРТ Dark Pink, направленных на правительственные и военные организации в странах Юго-Восточной Азии с помощью вредоносного ПО KamiKakaBot.

Dark Pink, также известный как Saaiwc, был достаточно четко изучен и описан исследователями Group-IB еще в начале этого года, включая набор пользовательских инструментов TelePowerBot и KamiKakaBot, применявшихся для запуска команд и кражи информации.

Предполагается, что субъект имеет азиатско-тихоокеанское происхождение и был активен как минимум с середины 2021 года, а с 2022 года усилил активность.

Как отмечает EclecticIQ, последние наблюдавшиеся атаки были почти идентичны предыдущим.

Основное отличие февральской кампании заключается в улучшенной процедуре обфускации вредоносного ПО, которое стало более эффективно уклоняться от средств защиты.

Атаки реализуются посредством социальной инженерии, приманки содержат вложения файлов ISO-образов к email-сообщениям для доставки вредоносного ПО.

Образ ISO включает исполняемый файл (Winword.exe), загрузчик (MSVCR100.dll) и документ-приманку Microsoft Word, последний из которых поставляется с полезной нагрузкой KamiKakaBot.

Загрузчик, со своей стороны, предназначен для загрузки вредоносного ПО KamiKakaBot путем использования метода боковой загрузки DLL для обхода средств защиты и загрузки его в память двоичного файла Winword.exe.

KamiKakaBot, в первую очередь, предназначен для кражи данных, хранящихся в веб-браузерах, и удаленного выполнения кода с помощью командной строки (cmd.exe), а также для применения методов уклонения, сливаясь с окружением жертвы и затрудняя обнаружение.

Постоянство на скомпрометированном узле достигается путем злоупотребления вспомогательной библиотекой Winlogon для внесения вредоносных изменений в ключ реестра Windows.

Собранные данные впоследствии эксфильтрируются в Telegram-бот в виде ZIP-архива.

При этом исследователи отмечают, что использование легальных веб-сервисов в качестве C2 (таких как Telegram), остается приоритетом для различных субъектов угроз, начиная от обычных киберпреступников и заканчивая продвинутыми АРТ.

Атрибуция была основана на схожести TTPs, хотя ресерчеры и признают, что есть вероятность отнесения новой кампании к группе с аналогичными признаками.

Вместе с тем, в февральских атаках использовалась та же инфраструктура С2, что и в январе 2023 года, идентичны и методы доставки и выполнения вредоносных программ.

Хотя KamiKakaBot и загрузчик являются универсальным типом вредоносного ПО, в настоящее время продолжают использоваться лишь Dark Pink APT.

͏Главное - надежная сегментация сети.

Лучшие инфосек практики на канале SecAtor.

И снова "большие братья" следят за тобой. Платформа телемедицины Cerebral сообщила об утечке медицинских данных, которая затронула более 3,1 миллиона пользователей.

Cerebral — это сервис, специализирующийся на виртуальном лечении психических заболеваний, тревоги и депрессии.

Сервис стал крайне популярен в разгар пандемии и для продвижения, как многие, использовал технологии отслеживания Facebook, Google, TikTok.

Через месяц после того, как группа сенаторов начала расследование в отношении Cerebral, разработчики платформы выпустили уведомление о нарушении в отношении более чем 3 миллионов пациентов.

В уведомлении указано, что несанкционированное раскрытие данных о здоровье пациентов началось в 2019 году.

Cerebral обвиняется в регулярном обмене данными с третьими лицами в рекламных целях без согласия пациентов, несмотря на обещания пользователям, что данные, которые они ввели на платформу, останутся конфиденциальными.

Cerebral признала, что собирала и передавала имена пользователей, номера телефонов, адреса электронной почты, даты рождения, IP-адреса и другие демографические данные, а также данные, собранные в ходе онлайн-консультаций психического состояния и услуги, которые выбрал пациент.

По итогу сервис пренебрег врачебной тайной стал виновником раскрытия информации, за что вполне вероятно понесет ответственность.

Это раскрытие информации произошло всего через несколько дней после того, как Федеральная торговая комиссия США (FTC) достигла соглашения в размере 7,8 млн долларов с сервисом онлайн-консультаций BetterHelp за обмен конфиденциальными медицинскими данными с такими рекламодателями, как Facebook, Snapchat, Criteo и Pinterest.

Все трекеры, активные на платформе Cerebral, были удалены или перенастроены, чтобы предотвратить раскрытие конфиденциальных данных.

В компании также заявили, что не знают о каком-либо неправомерном использовании конфиденциальной медицинской информации.

Кроме того, фирма покроет расходы для лиц, подверженных риску кражи личных данных и мошенничества.

Неизвестный злоумышленник атакует государственные учреждения и крупные организации используя 0-day в ПО Fortinet FortiOS.

Как заявили исследователи, использование уязвимости приводит к потере данных и повреждению ОС, а сложность эксплойта предполагает, что за атаками стоит продвинутый субъект, нацеленный преимущественно на правительственные или связанные с ними организации.

Уязвимость, о которой идет речь отслеживается как CVE-2022-41328 и представляет собой ошибку обхода пути в FortiOS, которая может привести к выполнению произвольного кода с помощью специально созданных команд CLI.

Этот недостаток затрагивает версии FortiOS с 6.0, 6.2, с 6.4.0 по 6.4.11, с 7.0.0 по 7.0.9 и с 7.2.0 по 7.2.3. Исправления доступны в версиях 6.4.12, 7.0.10 и 7.2.4 соответственно.

Раскрытие информации произошло через несколько дней после того, как Fortinet выпустила исправления для устранения 15 недостатков безопасности, включая CVE-2022-41328 и критическую проблему CVE-2023-25610 (оценка CVSS: 9,3), влияющую на FortiOS и FortiProxy.

По данным компании, несколько устройств FortiGate, принадлежащих неназванному клиенту, уже пострадали от внезапной остановки системы и последующего сбоя.

Анализ инцидента показал, что злоумышленники модифицировали образ прошивки устройства, включив в него новую полезную нагрузку («/bin/fgfm»), чтобы она всегда запускалась до начала процесса загрузки.

Вредоносное ПО /bin/fgfm предназначено для установления контакта с удаленным сервером для загрузки файлов, эксфильтрации данных со взломанного хоста и предоставления доступа к удаленному центру управления.

Причем, изменения, внесенные в прошивку, предоставляют злоумышленнику постоянный доступ и контроль, не говоря уже об отключении проверки прошивки при запуске.

В Fortinet заявили, что атака была таргетированной и доказательства указывают на участие АРТ.

Учитывая сложность эксплойта, злоумышленник глубоко разбирается в FortiOS и базовом оборудовании, обладая расширенными возможностями для реверса и проектирования различных компонентов FortiOS.

͏Lockbit ransomware продолжает удивлять и бить все рекорды. Банда заявила о получении данных SpaceX после того, как они взломали другую американскую компанию, пригрозив Илону Маску сливом чувствительной технической документации.

Помимо этого, команда Lockbit добавила 8 новых жертв. Одна из них — гонконгская авиастроительная компания, а другая - авиакомпания Таиланда Nok Air. При этом ни одна из жертв не сообщила о кибератаке.

Medusa указала на своем сайте утечки Управление аэропортов Кении в списке жертв.

Хакеры также атаковали еще одну крупную цель - MPS, которая по итогу не заплатила выкуп, а расследование показало, что личная информация клиентов была затронута.

Отметились и Monti, добавив первую жертву - транспортное агентство Чикаго, отвечающее за региональный финансовый надзор, финансирование и планирование транзита.

Тем временем, ALPHV зарансомили Ring LLC, специализирующуюся на технологиях умного дома и принадлежащую Amazon.

Play успешно атаковали сеть города Окленд, администрация до сих пор не может оправиться от последствий инцидента.

Bian Lian нанесли удар по крупной компании из Испании, которая является одним из ведущих мировых операторов парков отдыха с доходом в 2,3 млрд. долл.

После двухмесячного отпуска Snatch препарировали двух крупных жертв: одна - реализует платежные решения из Франции, а другая - технологические услуги с доходом в 1,2 миллиарда долларов из США.

Вчера премьер-министр Великобритании товарищ Сунак (на самом деле он, конечно, же никакой нам не товарищ) сообщил о создании нового правительственного агентства NPSA (National Protective Security Authority), которое теперь заменит британский Центр по защите национальной инфраструктуры (CPNI), но с более широкими полномочиями.
 
NPSA будет подчиняться MI5, британской контрразведке, и станет третьим госорганом в UK, непосредственно занимающимся информационной безопасностью.

Агентство, как сообщается, нацелено в основном на борьбу с угрозами, создаваемыми прогосударственными APT, для критической инфраструктуры, бизнеса и научно-исследовательских организаций Британии.
 
Несмотря на то, что Великобритания в текущем историческом периоде, равно как и в подавляющем большинстве других, является нашим принципиальным геополитическим противником, не можем не отметить, что выводы из анализа текущей обстановки они делать явно умеют.

Понаблюдав за происходящим обострением в киберпространстве, которое неизбежно сопровождает в современном мире обострение в мире реальном, британцы почесали тыковку и стали укреплять свою информационную безопасность. В вопросах которой, заметим, они и без этого были на ведущих ролях.
 
Чем же ответит Россия, спросит пытливый подписчик?
 
А все уже продумано! Мы запретим аниме!!!

Siemens и Schneider Electric выпустили ежемесячные исправления для устранения более 100 уязвимостей за март 2023 года.

Siemens представила 7 новых бюллетеней с описанием в общей сложности 92 уязвимостей. Подавляющее большинство из них обусловлено использованием сторонних компонентов.

В Ruggedcom и Scalance было исправлено 65 уязвимостей, затрагивающих такие компоненты, как ядро Linux, Busybox, OpenSSL и OpenVPN. Использование этих недостатков может привести к DoS или RCE.

В устройствах Scalance исправлены 17 уязвимостей, затрагивающих сторонние компоненты. Использование недостатков в безопасности может привести к DoS или раскрытию конфиденциальных данных.

Siemens также объявила об устранении нескольких уязвимостей OpenSSL в устройствах Scalance W1750D.

В Siprotec 5 была исправлена серьезная уязвимость DoS, затрагивающая Wind River VxWorks.

В дополнение к уязвимостям, затрагивающим сторонние компоненты, Siemens проинформировала клиентов о критической проблеме обхода аутентификации, затрагивающей модуль Mendix SAML.

Компания также сообщила об ошибках повышения привилегий, раскрытия информации и SQL-инъекций в устройствах Ruggedcom Crossbow, в том числе о проблемах высокой степени серьезности. 

Стоит отметить, что Siemens все еще работает над закрытием некоторых из описанных уязвимостей. По ряду проблем в настоящее время доступны только меры по смягчению.

Schneider Electric опубликовала 3 новых бюллетеня, охватывающих в общей сложности 10 уязвимостей. 

В одном из них описывается критическая уязвимость в измерителях мощности PowerLogic. Проблема может быть использована для DoS-атак или RCE.

В другом бюллетене описаны 8 ошибок в продукте IGSS SCADA. Различные модули решения подвержены проблемам DoS и RCE, которым присвоены высокий и средний рейтинги серьезности. 

Последнее уведомление информирует пользователей о проблеме перехвата сеанса, влияющей на продукт EcoStruxure Power Monitoring Expert.

Кроме того, Siemens и Schneider обновили десятки предыдущих рекомендаций и проинформировали клиентов о доступности новых исправлений и CVE, а также внесли изменения в списки уязвимых продуктов.

В новом PatchTuesday за март 2023 года Microsoft выпустила исправления для 83 уязвимостей, в том числе и для двух активно эксплуатируемых 0-day.

Девять уязвимостей классифицированы как «критические» из-за возможности RCE, атак типа DoS или повышения привилегий. В целом же: 21 относится к повышению привилегий, 2 - обхода функций безопасности, 27 - RCE, 15 - раскрытия информации, 4 - DoS, 10 - спуфинга и 1 — проблема Chromium. Еще 21 уязвимость закрыта в Microsoft Edge.

Первая из двух активно эксплуатируемых уязвимостей отслеживается как CVE-2023-23397 и связана с повышением привилегий в Microsoft Outlook.

Ошибка позволяет посредством специально созданных электронных писем заставлять целевое устройство подключаться к удаленному URL-адресу и передавать хэш Net-NTLMv2 учетной записи Windows.

Microsoft предупреждает, что уязвимость будет активирована  до того, как письмо будет прочитано на панели предварительного просмотра, поскольку уязвимость срабатывает автоматически, когда она извлекается и обрабатывается почтовым сервером.

По данным Microsoft Threat Intelligence (MSTI), бага Outlook использовалась АРТ STRONTIUM. Злоумышленники собирали целевые хэши NTLM для взлома сетей жертв, откуда похищали электронные письма определенных учетных записей.

Вторая исправленная CVE-2023-24880 связана с обходом функции безопасности Windows SmartScreen. 0-day можно использовать для создания исполняемых файлов, которые обходят предупреждения Windows Mark of the Web.

Уязвимость была обнаружена Google TAG, которая также нашла следы ее эксплуатации Magniber ransomware.

Проанализировав ее, Google TAG пришли к выводу, что она представляет собой был обход предыдущей исправленной в Microsoft в декабре CVE-2022-44698, на которую нацеливались вымогатели.

В рамках эксплуатации CVE-2022-44698 злоумышленники использовали автономные файлы JavaScript (.JS) с искаженной подписью. При этом Windows SmartScreen выдавал ошибку и обходил предупреждения MoTW.

После того, как Microsoft исправила CVE-2022-44698 в декабре, Google увидели, как Magniber переключились на использование искаженных подписей аутентификации в файлах MSI, чтобы обойти исправление.

Google объяснила, что обход был обусловлен тем, что Microsoft исправила только изначально заявленное злоупотребление файлом JavaScript, а не исправила основную причину возникновения ошибки.

Полный список исправленных уязвимостей и рекомендаций Microsoft доступен здесь.

Ресерчеры ESET раскрывают причастность Tick APT к кибершпиорнской кампанией, связанной со взломом восточноазиатской DLP-компании и ее клиентов, прежде всего, из числа правительственных и военных организаций.

Злоумышленники скомпрометировали внутренние серверы обновлений компании DLP для доставки вредоносного ПО в сеть разработчика ПО, и троянизировали установщики легальных инструментов, используемых компанией, что в конечном итоге привело к запуску вредоносного ПО на компьютерах клиентов компании.

Tick, также известная как Bronze Butler, Stalker Panda, REDBALDKNIGHT и Stalker Taurus, предположительно, связанна с КНР и нацелена на государственные, производственные и биотехнологические компании в Японии. Субъект активен как минимум с 2006 года.

Среди других менее известных целей АРТ - российские, сингапурские и китайские предприятия. Цепочки атак обычно включают фишинговые электронные письма и веб-компрометации (SWC) в качестве точки входа.

В конце февраля 2021 года Tick использовали недостатки ProxyLogon в Microsoft Exchange Server в качестве 0-day для установки бэкдора на основе Delphi на веб-сервер южнокорейской ИТ-компании.

Примерно в то же время АРТ получил доступ к сети восточноазиатской компании-разработчика ПО неизвестным образом. Название компании не разглашается.

За этим последовало развертывание поддельной версии приложения Q-Dir для распространения бэкдора VBScript с открытым исходным кодом под названием ReVBShell в дополнение к ранее недокументированному загрузчику ShadowPy.

Последний представляет собой загрузчик Python, который отвечает за выполнение скрипта, полученного с удаленного сервера.

Также во время вторжений доставлялись различные версии бэкдора Delphi под названием Netboy (он же Invader или Kickesgo), который поставляется с возможностями сбора информации и обратной оболочки, а также еще один загрузчик под названием Ghostdown.

Постояннство злоумышленники обеспечивают благодаря развертыванию вредоносных DLL-загрузчиков совместно с легальными подписанными приложениями, уязвимыми для перехвата порядка поиска DLL. Целью этих DLL является декодирование и внедрение полезной нагрузки в назначенный процесс.

Впоследствии, в феврале и июне 2022 года, троянизированные установщики Q-Dir посредством инструментов удаленной поддержки helpU и ANYSUPPORT были поставлены двум клиентам компании - инженерной и производственной фирмам, расположенным в Восточной Азии.

Словацкие исследователи полагают, что главная цель заключалась не в том, чтобы реализовать атаку на цепочки поставок в отношении нижестоящих клиентов, а добиться вовлечения модифицированного установщика в работу по технической поддержке.

Инцидент также, вероятно, связан с другим неатрибутированным кластером угроз, подробно описанным AhnLab в мае 2022 года, который отметился с использованием Microsoft Compiled HTML Help (.CHM) для сброса имплантата ReVBShell.

Список потерпевших от уязвимости Fortra GoAnywhere пополнился еще на одну строчку.

В этот раз под раздачу попала компания Rubrik, которая сообщила, что ее данные были украдены с помощью уязвимости нулевого дня в платформе безопасной передачи файлов.

Rubrik — это служба управления облачными технологиями, которая предлагает услуги резервного копирования и восстановления корпоративных данных, а также решения для аварийного восстановления.

В заявлении директора по информационным технологиям компании говорится, что они стали жертвами масштабной атаки на устройства GoAnywhere MFT по всему миру с использованием 0-day.

Специалисты обнаружили несанкционированный доступ к ограниченному объему информации в одной из непроизводственных ИТ-сред для тестирования.

Представители компании хотели отмолчаться и не сообщать об инциденте, но пришлось публично обозначиться после того, как банда вымогателей Clop добавила Rubrik на свой DLS, поделившись образцами украденных файлов.

Скриншоты, которыми поделились злоумышленники, представляют собой электронные таблицы, содержащие, по-видимому, внутренние данные Rubrik, включая имена, адреса электронной почты и сведения о местонахождении сотрудников.

Инцидент практически не имел значимых последствий, так как по данным расследования, установлено, что несанкционированный доступ не включал каких-либо защищаемых клиентских данных Rubrik.

Ситуацию спасло то, что субъект угрозы не успел распространиться на внутренние системы, так как тестовая среда была немедленно отключена, чтобы предотвратить дальнейшее вторжение.

Как на самом деле, будем посмотреть.

Исследователи Cisco Talos обнаружили нового злоумышленника YoroTrooper, нацеленного на правительственные и энергетические организации в Азербайджане, Таджикистане, Кыргызстане и других странах СНГ.

Начиная с июня 2022 года новому субъекту угрозы удалось взломать учетные записи, связанные с агентством здравоохранения Европейского Союза и Всемирной организацией интеллектуальной собственности.

Кроме того, им были атакованы Посольства Туркменистана и Азербайджана, где операторы пытались получить интересующие документы и развернуть дополнительные вредоносные программы.

Согласно отчету Cisco Talos, в ходе атак актор похищал учетные данные из нескольких приложений, историю браузера и файлы cookie, а также собирал системную информацию и производил снимки экрана.

Арсенал инструментов YoroTrooper включает скрипты на Python, созданные на заказ грабберы информации Stink, упакованные в исполняемые файлы через среду Nuitka и PyInstaller.

Помимо этого YoroTrooper использовал различные стандартные вредоносные инструменты такие, как AveMaria/Warzone RAT, LodaRAT и Meterpreter для обеспечения удаленного доступа.

Как удалось выяснить Cisco Talos, цепочка заражения YoroTrooper базируется на фишинговых электронных письмах с вложенным файлом - обычно архивом, включающим: файл ярлыка (LNK) и файл-приманки в формате PDF.

Для обмана своих жертв, злоумышленники регистрировали вредоносные домены и затем создавали поддомены, а также применяли домены с опечатками, схожими с легитимными.

Ресерчеры полагают, что участники YoroTrooper - русскоязычные, но с учетом виктимологии в зоне СНГ - не обязательно находятся в стране или являются гражданами России.

Согласно проанализированным TTP, шпионаж является основной мотивацией для этого субъекта угрозы.

Созданный RAT на основе Python, используемый YoroTrooper - относительно прост и полагается на Telegram в качестве C2, а также содержит функции для запуска произвольных команд и загрузки файлов, представляющих интерес для злоумышленника.

IOC исследования также можно найти в репозитории Github (здесь).

Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:

🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.

👻 Mr.Robot — Канал про анонимность в сети, OSINT, социальную инженерию, пентесты и хакеров.

🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

🔥 Russian OSINT — всё об OSINT, хакерах, информационных войнах и кибербезопасности.

Веб-сервер Microsoft Internet Information Services (IIS) неназванного федерального агентства США в период с ноября 2022 г. по начало января 2023 г. был взломан, как минимум, двумя злоумышлленниками (один из них — вьетнамская XE Group), а помогла им RCE-уязвимость трехлетней давности.

Согласно бюллетеню CISA, ФБР и MS-ISAC, хакеры воспользовались критической CVE-2019-18935 десериализации .NET в пользовательском интерфейсе Progress Telerik для AJAX-компонента ASP.NET для проникновения в сеть агентства.

После взлома сервера они развернули вредоносную полезную нагрузку в папке C:\Windows\Temp\ для сбора и передачи информации на подконтрольные злоумышленникам серверы управления и контроля.

Вредоносная программа, установленная на скомпрометированном сервере IIS, также могла развертывать дополнительные полезные нагрузки, избегая обнаружения, удаляя свои следы в системе и открывая обратные оболочки для сохранения устойчивости.

Мальварь также можно использовать для развертывания веб ASPX, кокоторая предоставляет интерфейс для просмотра локальной системы, загрузки и выгрузки файлов и выполнения удаленных команд.

Однако, как указано в бюллетене, веб-оболочки не были удалены в целевой системе, вероятно, из-за злоупотребления служебной учетной записью, имеющей ограничительные разрешения на запись.

При всем при этом, уязвимость пользовательского интерфейса Telerik CVE-2019-18935 также была включена в список 25 основных ошибок безопасности, которыми злоупотребляют китайские хакеры, по версии АНБ, а также в перечень основных целевых уязвимостей ФБР.

В ноябре 2021 года CISA также добавила уязвимость безопасности пользовательского интерфейса Progress Telerik CVE-2019-18935 в свой каталог известных эксплуатируемых уязвимостей (KEV).

В соответствии с обязательной операционной директивой (BOD 22-01) от ноября 2021 года, федеральные агентства, включенные в список KEV CISA, должны были исправить багу до 3 мая 2022 года.

Однако, основываясь на IOC, связанных с этим взломом, федеральное агентство США так и не смогло (или не захотело) защитить свой сервер Microsoft IIS.

Пожалуй, такой инцидент определенно достоин включения в перечень худших инфосек-практик по версии канала SecAtor.

SAP выпустила обновления безопасности для 19 уязвимостей, пять из которых являются критическими.

Исправленные недостатки, затрагивают целую линейку продуктов, при этом критические ошибки влияют на SAP Business Objects Business Intelligence Platform (CMC) и SAP NetWeaver.

Одна из них CVE-2023-25616 - критическая ошибка с рейтингом 9.9 по CVSS связанная с проблемой внедрения кода в SAP Business Intelligence Platform, позволяющая злоумышленнику получить доступ к ресурсам, доступным только для привилегированных пользователей. Уязвимость затрагивает версии 420 и 430.

Другая критическая CVE-2023-23857 (CVSS v3: 9.8) связана с раскрытием информации, манипулированием данными и DoS, влияя на SAP NetWeaver AS для Java, версии 7.50.

Недостаток позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированные операции, подключаясь к открытому интерфейсу и получать доступ к службам через API каталога.

CVE-2023-27269 - критическая ошибка (CVSS v3: 9.6) представляет собой проблему обхода каталога и влияет на сервер приложений SAP NetWeaver для ABAP.

Уязвимость позволяет пользователю без прав администратора перезаписывать системные файлы. Недостаток затрагивает версии 700 - 702, 731, 740, 750 - 757 и 791.

CVE-2023-27500 имеет CVSS v3: 9.6) и обусловлена обходом каталога в SAP NetWeaver AS для ABAP.

Злоумышленник может использовать уязвимость в SAPRSBRO для перезаписи системных файлов, что приведет к повреждению уязвимой конечной точки. Удары версий 700 - 702, 731, 740, 750 - 757.

И, наконец, последняя из критических CVE-2023-25617 (CVSS v3: 9.0) кроется в платформе SAP Business Objects Business Intelligence, версии 420 и 430.

Уязвимость позволяет удаленному злоумышленнику выполнять произвольные команды в ОС с помощью панели запуска BI, центрального управления через консоль или пользовательское приложение на основе общедоступного Java SDK при определенных условиях.

Помимо вышеперечисленных, исправлений безопасности SAP устранила 4 уязвимости высокой степени серьезности и 10 средней.

Учитывая тот факт, что SAP является крупнейшим поставщиком ERP, имеющим 24% доли мирового рынка с 425 000 клиентов в 180 странах, а 90% компаний входит в список Forbes Global 2000, использующих ее продукты, то администраторам необходимо применить исправления как можно скорее, чтобы снизить связанные с ними риски.

Mayday! Mayday! Критическая уязвимость в наборе приложений Microsoft Outlook 365 активно используется в дикой природе и требует срочного исправления.

Ошибка CVE-2023-23397 с рейтингом CVSS 9.8, позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, взломать системы, просто отправив специально созданное электронное письмо, которое создаст условия для кражи учетных данных получателя.

В Microsoft уже опубликовали информацию о критической уязвимости, которая может привести к удаленному захвату пароля домена без участия пользователя.

Уязвимость позволяет перехватить хэш NTLMv2 и последующую попытку восстановления пароля домена с помощью брута.

В ситуации, когда злоумышленник имеет доступ к локальной сети жертвы, также возможно прямое использование хэша NTLMv2 для входа в другие сервисы без необходимости его взлома.

Для проведения атаки жертве достаточно получить электронное письмо, содержащее специально созданное событие календаря или задачу, которая будет ссылаться на путь UNC, контролируемый злоумышленником.

Взаимодействие с пользователем не требуется. Атака может быть осуществлена дистанционно.

Полученный доменный пароль можно использовать для входа в другие общедоступные сервисы компании, например, VPN. Если двухфакторная аутентификация не используется, это может привести к тому, что злоумышленник получит доступ к корпоративной сети.

Все версии Microsoft Outlook для платформы Windows уязвимы и специалисты рекомендуют немедленно обновить клиенты Outlook в соответствии с рекомендациями.

В дополнении Microsoft выпустила сценарий Powershell, который позволяет проверить, получали ли пользователи в вашей организации сообщения, позволяющие использовать уязвимость.

Если инструмент показывает объекты с внешними UNC-путями, возможно, ваша компания подверглась атаке и не лишним будет воспользоваться этим инструментом администраторам серверов Exchange.

Доподлинно известно, что уязвимость активно использовалась в атаках одной из APT-группировок как минимум с апреля 2022 года, а учитывая, что детали уязвимости уже описаны публично ожидается рост массовых атак с ее использованием в ближайшие время.