В популярном портале для разработчиков с открытым исходным кодом Backstage от Spotify исправлена критическая RCE-уязвимость.

Продукт достаточно популярный и используется многими крупными компаниями, такими как American Airlines, Splunk, Fidelity Investments, Epic Games, Netflix, DoorDash, Roku, Expedia и другими.

О проблеме сообщили исследователи Oxeye в рамках программы Spotify bug bounty.

Ошибка получила оценку CVSS 9,8 и ее можно использовать, запустив ранее обнаруженную уязвимость в сторонней библиотеке vm2, известную как Sandbreak или CVE-2022-36067, что в итоге позволяло злоумышленнику выйти из песочницы vm2 и выполнить произвольный код.

Бага затрагивает инструмент шаблонов ПО, предназначенного для создания разработчиками компонентов в Backstage.

В ходе анализа специалисты выполнили простой запрос хеша фавиконки Backstage в Shodan и обнаружили более 500 экземпляров Backstage, доступных в Интернете.

Кроме того, эксперты определили, что уязвимость может быть использована без аутентификации на многих экземплярах, так как Backstage был развернут по умолчанию без механизма авторизации, который разрешает гостевой доступ.

Угрозу локализовали, команда разработчиков Backstage оперативно исправила недостаток, выпустив версию 1.5.1. еще августе этого года.

Группа исследователей из Мичиганского университета, Пенсильванского университета и NASA выявила потенциально серьезную уязвимость PCspoof в сетевых технологиях, используемых в космических кораблях, самолетах и промышленных системах управления.

Уязвимость затрагивает Time-Triggered Ethernet (TTE) — сетевой протокол для киберфизических систем с высокими требованиями к безопасности и доступности, который реализует планирование времени для синхронизации и доставки сетевых пакетов через Ethernet.

TTE широко используется в космических и авиационных технологиях, поскольку функция синхронизации пакетов позволяет нескольким системам безопасно сосуществовать на одном и том же оборудовании внутри критически важных устройств. 

По мнению исследовательской, атака PCspooF нарушает синхронизацию между различными системами и позволяет сетевому трафику из одной системы взаимодействовать с другими системами на одном устройстве.

Атака PCspooF эмулирует сетевые коммутаторы, которые являются крупными контроллерами трафика в сетях TTE, отправляя поддельные сообщения синхронизации.

Обычно они предназначены для того, чтобы сетевые устройства работали по общему расписанию, позволяя наиболее важным устройствам быстро обмениваться данными.

Чтобы заставить коммутатор пересылать наше вредоносное сообщение, исследователи наложили на него электромагнитные помехи по кабелю Ethernet.

После начала атаки устройства TTE начнут время от времени терять синхронизацию и неоднократно переподключаться.

Сбои постепенно приведут к удалению или задержке срочных сообщений, в результате чего системы будут работать непредсказуемо, а иногда и катастрофически.

В качестве мер по смягчению ученые предложили произвести замену медного Ethernet оптоволоконным кабелем или установку оптических изоляторов между коммутаторами и ненадежными устройствами, что должно устранить риск электромагнитных помех. Другие варианты включают в себя изменения в схеме сети.

Для демонстрации своих выводов исследователи смоделировали реальный сценарий состыковки пилотируемого космического корабля.

Используя реальное аппаратное и программное обеспечение NASA, они показали, как маленькое вредоносное устройство на борту капсулы заставило ее отклониться от курса и создать угрозу аварии.

Технические детали доступны в этой исследовательской статье (PDF).

ФБР продолжает оправдываться и категорически отрицает использование шпионского ПО Pegasus.

На этот раз, как сообщает New York Times, ФБР было совсем близко к тому, чтобы задействовать приобретенное ими коммерческое шпионское NSO Group в расследованиях, но в последний момент отказалось от этой затеи в конце 2020 года после разразившегося скандала.

В прошлый раз американские силовики утверждали, что приобрели софт для научных целей.

А вот Греция и купила шпионское ПО Predator за 7 миллионов евро, и использовала ПО для преследования конкурирующих политических партий, а также журналистов и прокуроров, расследовавших коррупцию в правительстве.

В новых сообщениях греческой прессы рассказывается, как правительство Афин заплатило Intellexa 7 миллионов евро за доступ к платформе, а также дополнительные 150 000 евро за возможность подключения до 10 новых целей в ежемесячно.

На фоне греческого кейса европейский регулятор European Data Protection Supervisor намерен и вовсе запретить высокотехнологичное шпионское ПО, чего, конечно же, вряд ли удастся добиться, но подвинуть неугодных - получится.

Передел рынка коммерческого шпионажа продолжается, будем посмотреть.

Mozilla объявила о выпуске обновленной Firefox 107, в которой исправлено значительное количество уязвимостей.

В общей закрыто 19 CVE, девяти из них был присвоен рейтинг высокого степени серьезности.

К серьезным недостаткам относятся ошибка безопасности памяти и проблемы использования после освобождения, которые могут привести к раскрытию информации.

Кроме того, серьезная уязвимость обхода полноэкранных уведомлений приводит к спуфинговым атакам, сбоям в работе или RCE.

Проблемы средней степени серьезности могут привести к обходу системы безопасности, межсайтовой трассировке, выполнению кода, компрометации через загрузку файлов, утечке нажатий клавиш и атакам спуфинга.

Незначительные проблемы, исправленные в Firefox, связаны с исключениями безопасности и спуфингом.

Некоторые уязвимости затрагивают лишь Firefox для Android, в то время как другие влияют на все ОС на базе Unix.

Многие из баг в безопасности были также исправлены в Thunderbird с выпуском версии 102.5.

Несмотря на меньшую востребованность Firefox среди хакеров по сравнению с тем Chrome, его популярность среди пользователей по-прежнему делает заманчивой целью.

При этом ранее в этом году две критические уязвимости браузера CVE-2022-26485 и CVE-2022-26486 уже использовались в реальных атаках.

Исследователи Rapid7 выявили ряд уязвимостей безопасности, влияющих на продукты F5.

Rapid7 сообщили о выводах поставщику в середине августа и раскрыли детали после того, когда F5 выпустила бюллетени и исправления.

Двум RCE-уязвимостям высокой степени серьезности были присвоены идентификаторы CVE, а остальные проблемы описаны как методы обхода безопасности, которые F5 не посчитала ошибками.

Наиболее серьезной уязвимостью является CVE-2022-41622, представляющая проблему подделки межсайтовых запросов (CSRF) и затрагивающая продукты BIG-IP и BIG-IQ.

Эксплуатация может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить root-доступ к интерфейсу управления устройством, даже если этот интерфейс не подключен к Интернету.

Однако для эксплуатации требуется, чтобы злоумышленник имел некоторые знания о целевой сети, и ему необходимо убедить вошедшего в систему администратора посетить вредоносный веб-сайт, настроенный для использования CVE-2022-41622.

По мнению ресерчеров Rapid7, в случае эксплуатации уязвимость может поставить под угрозу всю систему.

Вторая уязвимость CVE-2022-41800 позволяет злоумышленнику с правами администратора выполнять произвольные команды оболочки через файлы спецификации RPM.

Кроме того, Rapid7 выявила несколько проблем с безопасностью, в том числе локальную эскалацию привилегий через неправильные разрешения сокетов Unix и два метода обхода SELinux.

Rapid7 полагает, что широкое использование этих уязвимостей маловероятно.

Тем не менее, клиенты F5 не должны игнорировать их, учитывая, что устройства BIG-IP, как известно, довольно часто становятся объектов атак.

Группа ученых из Канады и США представили подробности новой атаки Wi-Peep, в которой используются лазейки в протоколе WiFi 802.11 для локализации WiFi-устройств цели в заранее определенном пространстве.

Wi-Peep опрашивает устройства в Wi-Fi сети, используя новую схему измерения времени пролета для обнаружения этих устройств.

Wi-Peep работает без каких-либо аппаратных или программных модификаций на целевых устройствах и не требует доступа к физическому пространству, в котором они развернуты.

Атакующий подделывает маяки, предоставляя буферизованный трафик для всех клиентов, которые его запрашивают и раскрывают свой MAC-адрес.

Жертве отправляются поддельные кадры, а время прохождения ответа используется для локализации.

Атака может быть реализована с использованием портативного дрона DJI mini 2 с двумя легкими чипами Wi-Fi на борту: ESP8266 и ESP32.

Меньше чем сотню долларов атакующий сможет определить точное местоположение Wi-Fi камер или иных передающих устройств безопасности внутри интересующего периметра с точностью до метра.

Техническое описание представлено здесь - PDF.

​📦 BackBox. Penetration Testing Distribution.

BackBox Linux is a penetration testing and security assessment oriented Linux distribution providing a network and systems analysis toolkit.

🖖🏻 Приветствую тебя user_name.

• BackBox является отличной ОС для начинающих пентестеров и отлично подходит в качестве повседневного использования (благодаря оболочке XFCE). Если делать сравнение с Kali Linux, то BackBox проигрывает по многим пунктам, однако для первых шагов в #ИБ тебе будет этого достаточно.

• Спустя 2 года после публикации предыдущей версии, команда BackBox выпустила обновление, которое включае в себя апдейт системных компонентов с Ubuntu 20.04 до 22.04. Ядро Linux обновлено до выпуска 5.15. Обновлены версии входящих в состав инструментов и компоненты окружения рабочего стола: https://blog.backbox.org/2022/11/15/backbox-linux-8-released/

• Перед использованием, рекомендую ознакомиться с документацией: https://wiki.backbox.org

• С сайта доступны для скачивания два варианта — ISO и Torrent: https://www.backbox.org/download/

• Важный плюс — все инструменты очень удобно сгруппированы в меню. Даже если ты не знаешь ни одного инструмента, например, для атак на Wi-Fi, ты с легкостью сможешь найти их. Существует режим — Anonymous mode – весь системный трафик пропускается через #TOR. Скрипт запуска меняет MAC-адрес системы и hostname, также при выключении режима все временные файлы удаляются с помощью интегрированного пакета BleachBit.

• Описание других ОС:
- Parrot OS • CSI Linux • Kali Linux • MOFO Linux • Whonix • Obscurix • OS Tails • Kodachi • Tsurugi •

@S.E. #BackBox #ИБ

Ведущие инфосек-компании подогнали отчеты об активности АРТ.

Ресерчеры Лаборатории Касперского в новом отчете сообщили о результатах своих наблюдений за тем, как Lazarus Group использовала бэкдор DTrack в последние несколько лет с момента его первоначального обнаружения в 2019 году.

Бэкдор DTrack продолжает активно использоваться группой Lazarus, претерпев изменения в способе упаковки вредоносного ПО, что указывает на его задействовании АРТ в качестве важного актива в своем арсенале.

При анализе виктимологии становится ясно, что операции АРТ распространились также на Европу и Латинскую Америку.

Китайская Anheng Hunting Labs опубликовала отчет о новых атаках XDSpy в отношении российских организаций, в том числе Министерства обороны.

APT была впервые обнаружена в 2020 году Национальным центром реагирования Республики Беларусь и исследователями ESET, однако до настоящего времени связать ее с каким-либо конкретным правительством затруднительно, несмотря на то, что субъект активен как минимум с 2011 года.

Китайская QiAnXin представила в своем отчете результаты анализа новых недавних атаках 2021 года вьетнамской OceanLotus, нацеленных на китайские организации.

В отчете подробно описывается использование группой трех 0-day: одна - в неназванном антивирусном решении и две - в неназванной системе управления рабочими станциями.

QiAnXin также подтвердила ранее представленные выводы Weibu, согласно которым OceanLotus использовала устройства IoT в качестве плацдарма для своих атак.

Причем Weibu  смогли четко увязать АРТ с ботнетом Torii.

Исследовательская группа Symantec представила отчет о деятельности APT-группы, которую она отслеживает как Billbug (ака Thrip или Lotus Blossom).

По данным ресерчеров, АРТ причастна к компрометации как минимум одного центра сертификации (CA), а также нескольких правительственных учреждений в азиатской стране в рамках кампании, которая продолжается как минимум с марта 2022 года.

При этом нацеливание на центр сертификации примечательно тем, что если бы актору удалось получить доступ к сертификатам, то потенциально АРТ могла бы использовать их для подписи вредоносного ПО и избегать обнаружения в системах жертв.

Однако Symantec не обнаружила никаких доказательств того, что у них получилось добраться до них.

Сам по себе факт ареста в Европе украинских киберпреступников не вызвал бы нашего интереса, если бы не одно но.

По данным коллег, арестованный в Швейцарии лидер JabberZeus 40-летний гражданин Украины Вячеслав Пенчуков был по совместительству и одним из менеджеров Maze и Egregor ransomware (по факту это одно и тоже, но только перелицованное).

И как мы помним, Egregor прекратил свое существование после того, как на Украине были арестованы несколько его участников.

Арест Пенчукова лишний раз подтверждает, что обе ransomware-группы, которые были самыми крупными по результатам 2020 года (Maze даже создавала целый картель), корнями уходят на Украину.

Поэтому русскоязычность хакерской группы далеко не всегда означает, что она связана с Россией.

Ресерчер Marcin Noga (ака Icewall) из Cisco Talos обнаружил уязвимость, связанную с двойным освобождением атрибута класса в Microsoft Office Excel.

Ошибку TALOS-2022-1591 выявили 24 августа 2022 года, ей был присвоен CVE-2022-41106 и рейтинг 7.8 по CVSS 3.0.

Уязвимость позволяет злоумышленнику с использованием специально созданного искаженного файла добиться выполнения произвольного кода.

После анализа и подтверждения 08 ноября Microsoft выпустила исправления.

Пользователям рекомендуется как можно скорее обновить следующие уязвимые версии Microsoft Office Excel: 2019 x86 - версия 2207, сборка 15427.20210 и 365 - версия 2202, сборка 14931.20660.

Кстати, команда Cisco Talos 15 ноября 2022 года зарезервировала 3 позиции для 0-day, обнаруженных в решениях VMware (TALOS-2022-1658) и Apple (TALOS-2022-1660 и ТАЛОС-2022-1659).

Днем ранее 7 аналогичных ошибок (TALOS-2022-1651 - TALOS-2022-1657) попали в отчеты ресерчеров и затрагивают OpenImageIO.

Сейчас над отчетами работают разработчики и производители, так что в ближайшей перспективе, вероятно, ожидаются экстренные исправления для вновь обнаруженных критических уязвимостей.

Будем посмотреть.

Немного новостей с полей ransomware.

CISA, ФБР и HHS опубликовали совместный отчет в отношении группировки Hive.

По данным американских спецслужб, по состоянию на ноябрь 2022 года жертвами вымогателей стали жертвами более чем 1300 компаний по всему миру, которые заплатили хакерам в совокупности около 100 млн. дол. в качестве выкупа.

В списке жертв широкий спектр организаций из самых разных секторов критической инфраструктуры: госучреждения, связь и IT, здравоохранение и промышленность.

При этом сумма выкупа может оказаться выше заявленной, если учитывать высокую латентность ransomware-инцидентов.

Microsoft в своем отчете сообщают о новом субъекте под условным именованием DEV-0569, который , по данным ресерчеров, является одним из операторов недавно появившейся Royal ransomware.

Актор реализуют развертывание развертывание ransomware в сетях «престижных» организациях, которые заражаются с помощью вредоносной рекламы и фишинговых схем.

Исследователи  AhnLab и Symantec, обнаружили и изучили новый штамм ransomware под названием Dagon Locker, активно распространяемый в дикой природе.

В настоящее время команда Dagon еще не запустила DLS, и не удаляет теневые копии томов, что позволяет восстановить некоторые зашифрованные данные.

При этом, по оценкам ресерчеров, код Dagon имеет большую схожесть на код вымогателей MountLocker и Quantum.

BlackBerry представила отчет и указала на появление новой программы-вымогателе ARCrypter.

Именно данный штамм использовался в атаках на Колумбийский национальный институт по надзору за пищевыми продуктами и лекарствами в прошлом месяце и на Чилийскую национальную службу защиты прав потребителей в августе.

BlackBerry также предупреждает, что ARCrypter в настоящее время расширяет свою деятельность за пределы Латинской Америки и теперь нацелен на различные организации по всему миру, включая Китай, Канаду, Германию, США и Францию.

Хотя субъект утверждает, что крадет данные во время своих атак, у ARCrypter в настоящее время нет сайта DLS, а средний чек выкупа составляет 5 тыс. дол.

Samba выпустила исправления для уязвимости целочисленного переполнения, которая потенциально может привести к RCE.

С 1992 года Samba предоставляет безопасные и быстрые службы файлов и печати для всех клиентов, использующих протокол SMB/CIFS.

Samba является важным компонентом для беспрепятственной интеграции серверов и рабочих столов Linux/Unix в среды Active Directory.

CVE-2022-42898 влияет на несколько выпусков Samba и затрагивает обработчик Service for User to Proxy (S4U2proxy).

Функция ограниченного делегирования основана на сообщениях запросов и ответов от службы Kerberos (TGS).

Библиотеки Heimdal и MIT Kerberos обеспечивают поддержку Kerberos и реализуют Центр распространения ключей (KDC).

Уязвимые библиотеки предоставляют механизм проверки подлинности с помощью билетов, которые могут содержать сертификаты атрибутов привилегий PAC.

Ошибка может быть вызвана отправкой специально созданного запроса на сервер KDC.

Из-за уязвимости в 32-разрядных системах злоумышленник, прошедший проверку подлинности, может переполнить буфер 16-байтовыми блоками контролируемых им данных.

Успешное использование этой ошибки может привести к DoS или RCE. 64-битные системы не уязвимы.

По мнению команды Samba, KDC является наиболее уязвимым сервером, так как он анализирует контролируемый злоумышленником PAC в обработчике S4U2Proxy.

Вторичный риск связан с установками файловых серверов с поддержкой Kerberos в сфере, отличной от AD.

Heimdal KDC, не относящийся к AD, контролирующий такую область, может передать PAC, контролируемый злоумышленником, в сервисном билете.

Samba 4.15.12, 4.16.7 и 4.17.3 были выпущены с исправлениями для уязвимости безопасности. Heimdal 7.7.1 также устраняет эту ошибку.

Не следует пренебрегать рекомендациями Samba и при необходимости принять меры, ведь использование уязвимости может привести к полному захвату системы.

Atlassian исправила критические уязвимости в своих продуктах Crowd и Bitbucket.

В службе хостинга репозитория исходного кода закрыта CVE-2022-43781, представляющая собой критическую багу внедрения команд, которая затрагивает Bitbucket Server и Data Center версии 7 и, в некоторых случаях, версии 8.

Сайты Atlassian Cloud при этом не затронуты.

Злоумышленник с разрешением на управление своим именем пользователя может использовать эту проблему, чтобы получить выполнение кода и выполнить его в системе.

В случае платформы безопасности приложений Crowd, которая обрабатывает аутентификацию и авторизацию для веб-приложений, Atlassian исправила CVE-2022-43782, критическую проблему неправильной настройки безопасности, затрагивающую все версии, начиная с 3.0.0.

Уязвимость позволяет злоумышленнику, подключающемуся с IP-адреса из списка разрешенных, пройти аутентификацию в качестве крауд-приложения, минуя проверку пароля, что позволяет ему вызывать привилегированные конечные точки в Crowd REST API по пути управления пользователями.

Несмотря на критичность ошибки, ей могут воспользоваться только с IP-адреса из списка разрешенных приложений Crowd в конфигурации удаленных адресов.

Кроме того, проблема влияет только на новые установки — пользователи, которые обновили свою установку с версии до 3.0.0, не затрагиваются.

Злоумышленники нередко используют уязвимости в продуктах Atlassian в своих атаках.

В августе исправленная в Bitbucket уязвимость уже становилась целью атак. При этом попытки эксплуатации начались через несколько недель после выпуска патчей.

Вместе с тем, о доказательств злонамеренного использования вновь исправленных баг не получено. Во всяком случае, пока.

Опубликован PoC для двух активно эксплуатируемых с сентября 2022 года уязвимостей высокой степени серьезности в Microsoft Exchange, известных как ProxyNotShell.

Как известно, CVE-2022-41082 и CVE-2022-41040 затрагивают Microsoft Exchange Server 2013, 2016 и 2019 и позволяют злоумышленникам повышать привилегии для запуска PowerShell в контексте системы и получать RCE на скомпрометированные серверы.

Microsoft выпустила обновления безопасности для устранения ProxyNotShell в рамках ноябрьского PatchTuesday.

И уже через неделю после выпуска патча, исследователь Janggggg выпустил PoC для ProxyNotShell, которым злоумышленники пользовались в дикой природе для компрометации серверов Exchange.

Авторитетный Уилл Дорманн из ANALYGENCE протестировал эксплойт и подтвердил его работоспособность в отношении систем, работающих под управлением Exchange Server 2016 и 2019.

Правда добавил, что код нуждается в некоторой настройке для его нацеливания на Exchange Server 2013.

GreyNoise отслеживает использование ProxyNotShell с конца сентября и предоставила список IP-адресов, связанных с этими атаками.

Как выяснили ресерчеры, злоумышленники связывают обе уязвимости для развертывания веб-оболочек Chopper на скомпрометированных серверах для сохранения и кражи данных, а также для бокового перемещения в сетях своих жертв.

Редмонд также подтвердил, что 30 сентября они подвергались активным злоупотреблениям, заявив, что знает об ограниченных целевых атаках с использованием двух уязвимостей для проникновения в системы пользователей.

В связи со всеми последними событиями, разработчик рекомендует немедленно установить обновления для защиты от атак.

При этом клиенты Exchange Online уже защищены от уязвимостей и им не нужно предпринимать каких-либо действий, кроме обновления каких-либо серверов Exchange в своей среде.

Ресерчер ProxyLife обнаружил, что в ходе новой фишинговой кампании QBot злоумышленники переключились на 0-day в Windows, распространяя JS-файлы с искаженными подписями для обхода предупреждений безопасности Mark of the Web.

В прошлом месяце команда HP видела, как в ходе аналогичной фишинговой атаки с использованием JavaScript развертывалось ransomware Magniber, о чем также предупреждал Уилл Дорманн из ANALYGENCE, который и обнаружил новую уязвимость MoTW, связанную с подписью.

Ранее QBot распространяли защищенные паролем ZIP-архивы, содержащие образы ISO, которые включали ярлык Windows и библиотеки DLL для установки вредоносного ПО.

В ноябрьском патче Microsoft исправила исправили эту ошибку, в результате чего флаг MoTW стал распространяться на все файлы внутри открытого образа ISO, устраняя этот обход безопасности.

Новая фишинговая кампания начинается с электронного письма, которое содержит ссылку на предполагаемый документ и пароль к файлу.

При нажатии на ссылку загружается защищенный паролем ZIP-архив, содержащий еще один ZIP-файл, за которым следует файл IMG.

В Windows 10 и более поздних версиях при двойном щелчке файла образа диска, например IMG или ISO, операционная система автоматически монтирует его с новой буквой диска.

IMG содержит файл .js («WW.js»), текстовый файл («data.txt») и еще одну папку с DLL, переименованный в файл .tmp («подобие.tmp») [VirusTotal].

Файл JS включает сценарий VB, который считывает файл data.txt, содержащий строку «vR32», и добавляет содержимое к параметру команды shellexecute для загрузки DLL-файла «port/resemblance.tmp». 

Поскольку JS подписан с использованием искаженного ключа, Windows позволяет скрипту запускать и загружать вредоносное ПО QBot без отображения каких-либо предупреждений безопасности.

Через короткий промежуток времени загрузчик вредоносных программ внедряет QBot DLL в процессы wermgr.exe или AtBroker.exe, избегая обнаружения.

Ожидается, что Microsoft закроют новый вариант уязвимости MoTW с выпуском декабрьского патча, но это только надежды, ведь об эксплуатации 0-day разработчик в курсе еще с октября.

Китайская АРТ Mustang Panda широко раскинула свои сети и держит в страхе госкомпании по всему миру.

Согласно отчету Trend Micro, АРТ была замечена в серии целевых фишинговых атаках, направленных на правительственные, образовательные и исследовательские учреждения стран Азиатско-Тихоокеанского региона в период с мая по октябрь 2022 года, включая Мьянму, Австралию, Филиппины, Японию и Тайвань.

Вообще же APT орудует по меньшей мере с июля 2018 года и также известна как Bronze President, Earth Preta, HoneyMyte и Red Lich. Группа известна тем, что использует вредоносные ПО China Chopper и PlugX для сбора данных из скомпрометированных сред.

Последние данные Trend Micro показывают, что Mustang Panda постоянно развивают свою тактику, чтобы избежать обнаружение и внедрить процедуры заражения, которые приводят к развертыванию специализированного семейства вредоносных программ TONEINS, TONESHELL и PUBLOAD.

Для доставки вредоносного ПО хакеры используют учетные записи электронной почты Google с приманкой для загрузки малвари по ссылке на Google Drive или Dropbox.

Ссылки уже ведут к загрузке RAR, ZIP или JAR-файлов с пользовательскими штаммами вредоносных программ ToneShell, ToneIns и PubLoad, которые способны загружать полезную нагрузку следующего этапа и оставаться незамеченными.

При этом TONESHELL - основной бэкдор, используемый в атаках, устанавливается через TONEINS и представляет собой загрузчик шелл-кода.

Ранняя версия малвари была обнаружена в сентябре 2021 года, что предполагает постоянные усилия со стороны APT по регулярному обновлению своего арсенала.

Специалисты Trend Micro полагают, что в атаках хакеры использовали сообщения с геополитической тематикой, а большинство из них (84%) были нацелены на правительственные организации.

Последняя кампания наглядно демонстрирует признаки улучшения набора инструментов и возможностей для расширения векторов атаки, что повышает способность китайских хакеров взламывать цели и собирать разведданные.

͏Если Вы еще не решили уйти жить в тайгу подальше от цивилизации, то вот вам весомый аргумент.

Исследователи NorthSec опубликовали подробную техническую информацию о CVE-2022-35803, которая представляет собой уязвимость в службе ведения журналов Windows Common Log File System (CLFS).

Общая файловая система журналов CLFS реализована в ядре Windows через clfs.sys.

Из-за синтаксического анализа файла непосредственно через драйвер и сложности самой структуры файла журнала за многие годы было обнаружено множество проблем с безопасностью, которые становятся распространенной поверхностью атаки в ядре Windows.

Microsoft исправила последнюю из них сентябрьским патчем, добавляя проверку поля контекста cType в CClfsBaseFile::GetSymbol, чтобы предотвратить проблему путаницы типов.

Исследователь SecuRing Войцех Регула раскрыл технические подробности и представил PoC для уязвимости в терминале macOS.

CVE-2022-26696 имеет оценку CVSS 7,8, была обнаружена еще в прошлом году и исправлена после выпуска macOS Monterey 12.4. Ее можно использовать для выхода из песочницы macOS.

Основная причина ошибки заключается в том, что macOS позволяет изолированным приложениям запускать процессы, которые не наследуют профиль песочницы основного приложения.

Для успешного использования уязвимости злоумышленник должен иметь возможность выполнять код с низким уровнем привилегий в целевой системе.

А ресерчеры Binarly решили подробно изучить, как последние обновления безопасности OpenSSL отразились на экосистеме цепочки поставок встроенного ПО UEFI, и насколько разнообразно широкое использование версий OpenSSL в контексте встроенного ПО.

Выводы оказались не очень.

Согласно отчету, немецкий производитель чипов Infineon, по-видимому, продолжает использовать восьмилетнюю версию OpenSSL для модуля доверенной платформы (TPM) в некоторых из своих чипов.

Кроме того, ресерчерами обнаружено, что другие компании, такие как Lenovo, Dell и HP, также используют чрезвычайно старые версии OpenSSL.

При этом Lenovo и Dell используют версию OpenSSL, выпущенную еще в 2009 году.