Сервера Microsoft Exchange вновь под ударом.

Red Canary сообщают об атаках BlackByte, которые взламывают корпоративные сети, эксплуатируя серверы Microsoft Exchange с помощью уязвимостей ProxyShell.

Все мы помним о комбинации трех уязвимостей Microsoft Exchange, включая CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, которые хоть и были исправлены в апреле-мае этого года, но на непропатченных системах позволяют удаленно выполнять код без проверки подлинности на сервере.

Действуя по накатанной технологии, BlackByte с помощью ProxyShell устанавливают веб-шеллы на скомпрометированные сервера Microsoft Exchange, затем цепляют Cobalt Strike, а после захвата учетных данных в системе приступают к работе со своим софтом, что отличает BlackByte от коллег, которые в основном используют сторонние инструменты для получения повышенных привилегий или развертывания ransomware.

Исполняемый файл BlackByte играет ключевую роль, обеспечивая как повышение привилегий, так и возможность бокового перемещения в скомпрометированной среде. ПО устанавливает три значения реестра: одно для повышения локальных привилегий, одно для включения совместного использования сетевого подключения между всеми уровнями привилегий и одно для разрешения длинных значений пути для путей к файлам.

Перед шифрованием malware удаляет задачу Raccine Rules Updater и стирает теневые копии напрямую через WMI с помощью обфусцированной команды PowerShell. В то время как, украденные файлы извлекаются с помощью WinRAR для архивирования файлов и анонимных платформ обмена файлами, таких как file.io или anonymfiles.com.

Результаты исследований Red Canary вряд ли порадуют, ведь стало понятно, что выпущенный Trustwave в октябре 2021 года декриптор уже бесполезен перед множеством появившихся в дикой природе более свежих версий BlackByte.

Конечно, атаками с использованиям ProxyShell к настоящему времени, казалось бы, уже никого не удивишь, но все же схема работает с точки зрения вымогателей, а значит время для применения обновлений безопасности наступило еще позавчера, прежде всего, для тех, кто еще не знаком с ransomware.

Unit42 Palo Alto Networks сообщают о новых атаках на клиентов Zoho.

Новое расследование Palo Alto дополняет их выводы о причастности китайской APT27 к нападениям на более чем 370 серверов Zoho ManageEngine в США. Как мы сообщали, атаки совершались с использованием известной 0-day уязвимости CVE-2021-40539 в ADSelfService Plus, исправленной еще 8 сентября.

Теперь же, согласно отчету Unit42, АРТ переориентировалась на эксплуатацию другой уязвимости CVE-2021-44077 в Zoho ServiceDesk Plus версий 11305 и более ранних, для которой, как известно, не существует общедоступного PoC. Группа APT самостоятельно разработала код эксплойта и использует его исключительно в своих интересах.

Уязвимость эксплуатируется отправкой двух запросов к REST API: один для загрузки исполняемого файла (msiexec.exe), а второй - для запуска полезной нагрузки. Этот процесс выполняется удаленно и не требует аутентификации на уязвимом сервере ServiceDesk. Когда ServiceDesk выполняет полезную нагрузку, создается мьютекс, и жестко запрограммированный модуль Java записывается в lib/tomcat/tomcat-postgres.jar (одна из разновидностей Godzilla), который загружается в процессы ServiceDesk.

При этом злоумышленники использовали тот же секретный ключ веб-оболочки, что и в атаках на ADSelfService Plus, но на этот раз он устанавливается как фильтр сервлетов Apache Tomcat Java, что отсутствие определенного URL-адреса, на который субъект будет отправлять свои запросы при взаимодействии с веб-оболочкой, что в целом позволит обойти фильтр безопасности в ServiceDesk Plus для сохранения доступа к файлам веб-оболочки. Для создания фильтра использовался общедоступный код под названием tomcat-backdoor, а затем к нему была добавлена модифицированная веб-оболочка Godzilla.

Несмотря на устранение RCE еще 16 сентября и публикацию 22 ноября 2021 года всех необходимых рекомендаций по безопасности, клиенты не спешат обновляться. К настоящему времени обнаружено более 600 уязвимых систем в США и еще 2100 в Индии, России, Великобритании, Турции и других странах. Причем многие из уязвимых решений применяются в госсекторе и ни объектах критической инфраструктуры. А 9 компании уже пали жертвой АРТ.

И вновь, виноватыми назначили китайскую APT27, ТТР которой, как полагают Unit42, соответствуют расследуемым кампаниям и полностью коррелируют с выводами Microsoft Threat Intelligence Center (MSTIC) в отношении DEV-0322. Но несмотря на громкие заявления, официально Palo Alto продолжают атрибуцию.

Организациям же настоятельно рекомендуется как можно скорее исправить дыры в ПО Zoho и изучить файлы в каталогах ServiceDesk Plus в ретроспективе октября 2021 года.

IoT Inspector в сотрудничестве с журналом CHIP решили затестить наиболее популярные среди миллионов пользователей модели WiFi маршрутизаторов: Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys.

И ужаснулись.

Исследователи прогнали устройства по известным 5000 CVE и другим проблемам безопасности. Обнаружили в них в общей сложности 226 потенциальных уязвимостей. Лидерами антирейтинга по количеству уязвимостей стали TP-Link Archer AX6000 (32 ошибки) и Synology RT-2600ac (30 ошибок). Многие маршрутизаторы по-прежнему остаются уязвимыми для уже публично раскрытых уязвимостей даже при использовании последней версии встроенного ПО.

Из общих проблем исследователи выяв или следующие: устаревшее ядро Linux в прошивке, устаревшие функции мультимедиа и VPN, чрезмерное использование старых версий BusyBox, использование слабых паролей по умолчанию (таких как admin), наличие жестко запрограммированных учетных данных в текстовой форме.

Отдельно в качестве знакового результата тестов исследователями была представлена атака, в результате которой им удалось извлечь ключ шифрования для образов прошивки маршрутизатора D-Link.

Команда нашла способ получить локальные привилегии на D-Link DIR-X1560, обеспечив доступ к оболочке через физический интерфейс отладки UART. Затем они сбросили всю файловую систему с помощью встроенных команд BusyBox и обнаружили двоичный файл, отвечающий за процедуру дешифрования.

Анализируя соответствующие переменные и функции, исследователи в конечном итоге извлекли ключ AES для шифрования прошивки. Используя его, злоумышленник может накатывать прошивки без прохождения проверочных проверок на устройстве, заражая маршрутизатор вредоносным ПО.

Все участвовавшие в тестировании производители оперативно отреагировали на выводы исследователей и выпустили исправления для прошивки, устранили большинство недостатков безопасности, выявленных рабочей группой, но не все из них.

Главной общей проблемой безопасности остаются принцип подключи, играй и забудь, которым руководствуется большая часть пользователей. Просто ответьте на вопрос: меняли ли вы дефолтный пароль от админки при первой настройке и когда в последний раз устанавливали обновления прошивки на своем роутере.

Затрудняетесь? Тогда независимо от результатов исследования IoT Inspector и CHIP следует применить доступные обновления, включить автоматическое обновление системы и поменять пароль по умолчанию. Кроме того, следует отключить удаленный доступ, функции UPnP (Universal Plug and Play) и WPS (Wi-Fi Protected Setup), если вы не пользуетесь ими.

Исследователи ESET представили результаты изучения вредоносных фреймворков, которые встречались последние 15 лет в ходе атак на сети с воздушным зазором.

Как удалось выяснить, все фреймворки предназначены для ведения шпионажа в той или иной форме. При этом только в первой половине 2020 года были обнаружены 4 различных вредоносных фреймворка, предназначенных для атак на сети с воздушным зазором, в результате чего общее количество таких наборов инструментов достигло 17.

Все фреймворки использовали USB-накопители в качестве физической среды передачи для передачи данных в целевые сети с воздушными зазорами и из них, за все время не было обнаружено ни одного случая фактического или предполагаемого использования скрытой физической передачи.

Основное различие между подключенными и автономными фреймворками заключается в том, как в первую очередь используется накопитель. В то время как подключенные работают путем развертывания вредоносного ПО в подключенной системе, который отслеживает вставку новых USB-накопителей и автоматически размещает код атаки, необходимый для компрометации системы с воздушными зазорами, автономные фреймворки, такие как Brutal Kangaroo, EZCheese и ProjectSauron, полагаются на злоумышленников, умышленно заражающих собственные USB-накопителей с целью взлома целевой машины.

Более 75% всех фреймворков использовали вредоносные LNK-файлы или AutoRun на USB-накопителях, чтобы выполнить начальную компрометацию системы с воздушным зазором либо для бокового перемещения внутри сети с воздушным зазором.

За последние 10 лет было обнаружено более 10 уязвимостей удаленного выполнения кода в Windows критической степени серьезности, связанных с LNK, которые затем были исправлены Microsoft. При этом все фреймворки были созданы для атак на системы Windows. Исследователи не обнаружили никаких доказательств наличия реальных или предполагаемых вредоносных компонентов, предназначенных для других ОС.

Учитывая, что воздушный зазор является одним из наиболее распространенных способов защиты SCADA и промышленных систем управления (ICS), многие APT все чаще обращают внимание на критически важную инфраструктуру в «воздухе».

Так, некоторые фреймворки были отнесены к четко определенным, хорошо известным злоумышленникам: Retro (DarkHotel aka APT-C-06 or Dubnium), Ramsay (DarkHotel), USBStealer (Fancy Bear), USBFerry (Tropic Trooper aka APT23 or Pirate Panda), Fanny (Equation Group), USBCulprit (Goblin Panda aka Hellsing or Cycldek), PlugX (Mustang Panda) и Agent.BTZ (Turla Group).

В качестве мер противодействия подобным атакам компаниям рекомендуется предотвращать прямой доступ к электронной почте в подключенных системах, отключать USB-порты и проверять USB-накопители, ограничивая выполнение файлов на съемных дисках и проводить периодический анализ закрытых систем на наличие каких-либо признаков аномальной активности.

Ведь, даже воздушные зазоры не спасут от устаревшего ПО или самого банального человеческого фактора.

—Партнерский пост—

Несмотря на жизненные ненастья Group-IB умеет и продолжает в инфосек.

Вчера на ежегодном CyberCrimeCon’2021 компания представила традиционный отчет Hi-Tech Crime Trends, который теперь выходит в формате нескольких частей (для лучшего усвоения материала).

Основываясь на данных системы Threat Intelligence&Attribution, про которую мы уже рассказывали, исследователи проанализировали рынок продаж доступов в скомпрометированные сети за последние 15 лет (пацаны вообще ребята). В полученных результатых встречаются любопытные скриншоты даже от 2006 года.

Из актуального:
- в даркнете выставлено на продажу 1099 доступов к сетям различных компаний;
- за год количество продавцов выросло на 205% (!), основная часть — русскоязычные;
- в этот же период были атакованы компании из 68 стран, по российскому сегменту почти не работают. А в Азербайджане подломили нефтяной холдинг;
- объем мирового рынка продаж взломов - $7 млн, но это нижняя планка. Вероятнее всего сумма существенно больше;
- лидеры по подломам - финсектор, производство и образование;
- партнерские программы вымогателей (RaaS) - серьезный бустер для рынка продаж взломов.

Про ransomware подробнее обещают в следующей части отчета. План публикаций очередных частей следующий:

9 декабря — отчет “Киберимперия шифровальщиков”
13 декабря — отчет “Киберугрозы для финсектора”
16 декабря — отчет “Военные операции” (ограниченный доступ)
20 декабря — отчет “Скам и фишинг”.

Энергетическая компания Delta-Montrose Electric Association в Колорадо США уже месяц пытается оправиться от разрушительной кибератаки, в результате которой было выведено из строя почти 90% ее внутренних систем, потеряны данные за последние 25 лет, а телефонная связь и электронная почта не работали в течение нескольких недель.

Со слов представителей компании, первые проблемы возникли 7 ноября, когда в результате атаки было отключено большинство внутренних сетевых сервисов. Атака затронула все системы поддержки, процессинговый центр обработки платежей, биллинговые платформы и другие инструменты, предоставляемые клиентам.

Руководство заявило, что хакеры были нацелены на определенные части внутренней сети и повредили сохраненные документы, электронные таблицы и формы с 25-летней историей!, что указывает на то, что это мог быть инцидент с ransomware. Для пресечения угрозы и расследования инцидента энергетическая компания наняла экспертов по кибербезопасности, но почти за месяц работы до сих пор возникают проблемы с восстановлением. Интересно, почему-то компания не заявляет, что инфраструктура была зашифрована, а тактично говорит, что данные были "повреждены". Кем, как и какие преследовались интересы пока умалчивается.

Тем не менее в компании считают, что конфиденциальные данные клиентов и сотрудников не были скомпрометированы, но для полноценного контроля и тарификации услуг всем придется пройти поэтапное восстановление. Добрые энергетики предупредили, что какое-то время большинство клиентов могут получать повторные счета за электроэнергию и что они не будут отключать услуги за неуплату или начислять пени до 31 января 2022 года.

Ждем результатов расследования, так как интересно узнать мотивы кибератаки, ведь требований о выкупе до сих пор не поступало.

Исследователь безопасности Nusenu отследил тайного оператора тысяч вредоносных серверов сети Tor, позволявших ему проводить Sybil attack.

Опытный и достаточно обеспеченный специалист, которого условно именуют KAX17, по крайней мере с 2017 года запустил и админил тысячи вредоносных серверов на входных, промежуточных и выходных позициях сети Tor.

По скромным подсчетам злоумышленник запускал более 900 вредоносных серверов в Tor, в то время как на в среднем сеть включала до 9 000–10 000 в день таких узлов, реализующих шифрование и анонимизацию пользовательского трафика.

Как правило, добавленные в сеть Tor серверы имеют контактную информацию: по минимуму - email для связи с администрацией для решения различных вопросов, связанных с неправильной конфигурацией или различными злоупотреблениями.

Nusenu еще в 2019 году удалось выявить закономерность ретрансляторов Tor без контактной информации и проанализировать ее вплоть до 2017 года. Группируя серверы, стало понятно, что злоумышленник постоянно добавлял серверы без контактных данных в сеть Tor в промышленных масштабах, администрируя по несколько сотен узлов одновременно.

Размещались сервера в ЦОДах по всему миру, получая конфигурацию, в первую очередь, как входные и средние точки, что не соответствует обычным преступным устремлениям хакеров, которые предпочитают контролировать выходные узлы, что позволяет им изменять трафик пользователя. Например, злоумышленник, отслеживаемый как BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы заменять адреса биткойн-кошельков в веб-трафике и перехватывать платежи пользователей.

По его наводке Nusenu руководство проекта Tor, в октябре 2020 года группа безопасности Tor удалила все реле выхода KAX17.

Однако следующая партия выходных ретрансляторов была вновь подключена сразу после чистки. В 2021 году представители Tor Project вновь отключали до сотни серверов KAX17 в октябре и ноябре, инициировав собственное расследование.

Вместе с тем, Nusenu благодаря ошибке OpSec, смогли отследить реальный адрес электронной почты злоумышленника. KAX17 использовал его для подписки на рассылки Tor Project, а также принимал участие в обсуждениях, пытаясь понять причины удаления вредоносных серверов.

Таким образом, KAX17 обладал возможностью контроля посредством собственных узлов трафика любого подключенного к сети пользователя с вероятностью до 35%. Исследователи пришли к выводу о том, что злоумышленник занимался деанонимизацией и идентификацией как пользователей Tor, так и сервисов внутри сети, обладая для этого серьезным техническим и финансовым потенциалом.

Positive Technologies представили матрицу MITRE ATT&CK на русском языке.

Отличительной особенностью стал интерактивный формат популярнейшей среди специалистов по ИБ базы знаний корпорации MITRE. В виде таблицы структурированы списки тактик, для каждой из которых указаны возможные техники. В адаптированной версии помимо прочего можно ознакомиться с тем, какие из угроз могут быть выявлены с помощью PT Network Attack Discovery.

Не взирая на маркетинговую ориентированность, более наглядная и практичная русифицированная версия MITRE ATT&CK весьма актуальна и востребована, ведь, согласно опросам, более 37% специалистов по ИБ намерены применять матрицу в повседневной работе и в рамках расследования атак.

Очевидно, что профиль АРТ-групп и их кампаний помогает четко понять, какие инструменты и TTP используют злоумышленники, что с точки зрения ИБ позволяет заблаговременно спрогнозировать и обезопасить вероятную точку входа.

К изучению и руководству – рекомендуем.

ФБР США совместно с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) выпустили экстренное предупреждение о кубинских вымогателях.

По данным спецслужб, кубинские хакеры атаковали не менее 49 критически важных объектов, располагающихся на территории штатов, включая госсектор, финансовый рынок, здравоохранение, промышленность и IT, заработав по скромным прикидкам более 43,9 миллионов зеленых (из 74 миллионов выставленных счетов на выкуп). Cuba активна по крайней мере с января 2020 года. У операторов есть сайт утечки, вымогатель шифрует файлы в целевых системах, используя расширение «.cuba».

Одноименная ransomware доставляется с помощью загрузчик Hancitor (Chancitor), широко востребованный еще с 2016 года среди хакеров инструмент для распространения помимо прочего Vawtrak, Pony, Ficker stealer, NetSupport RAT и прочих приблуд, а в последнее время - Cobalt Strike. Hancitor распространяется через фишинговые электронные письма или с использованием скомпрометированных учетных данных, применяя уязвимости Microsoft Exchange или инструменты RDP для получения первоначального доступа к сети жертвы.

Закрепившись в системе посредством Hancitor, кубинские операторы запускают CobaltStrike через службы Windows (например, PowerShell, PsExec и др.) для развертывания полезной нагрузки в виде ransomware и последующего шифрования файлов.

По факту уведомление стало ничем иным, как меморандумом о войне с кубинскими вымогателями.

ФБР обратилось за помощью к инфосек сообществу для сбора дополнительных техданных в отношении группы. Спецслужбу интересуют платежные реквизиты, образцы полированных файлов, дешифраторы, журналы IP-соединений с пограничных точек и другая информация, которая может вывести на след хакеров.

Предупреждение ФБР также включает индикаторы компрометации и необходимые рекомендации по безопасности.

​​Не так давно криптовалютный мир и хакерское сообщество наблюдало за феерией самого грандиозного ограбления с последующим не менее грандиозным возвращением похищенных средств. Напомним, в августе этого года Мистер Белая шляпа позаимствовал у Poly Network токенов на сумму более 600 млн. долларов.

Тогда все обошлось, держатели криптоактивов выдохнули, а трухакеры похлопали в ладоши. Но сегодня совсем другая история - компания BitMart после выходных не досчиталась 150 миллионов долларов и стала вторым потерпевшим по величине крипто-ограблении в этом году.

В BitMart заявили, что на выходных их взломали и вывели криптоактивы в ETH и BSC на сумму около 150 миллионов долларов. Клиентам не стоит беспокоится, так как в компания заверили, что покроют убытки за счет собственных средств.

Со слов генерального директора BitMart Шелдона Ся, взлом произошел после того, как злоумышленник получил доступ к некоторым закрытым ключам компании - «Мы выявили серьезное нарушение безопасности, связанное с одним из наших горячих кошельков ETH и BSC».

Как хакеры получили доступ к этим ключам, остается неизвестным, но в настоящее время основной версией является компрометация учетной записи сотрудника. Вывод средств на платформе все еще заморожен, пока специалисты по безопасности BitMart не завершает расследование инцидента.

Вряд ли это очередные происки Белой Шляпы или его вдохновленных последователей, и BitMart повезет также как PolyNetwork. Скорее всего инцидент займет второе место в строчке по величине реализованных хищений и первое место по фактическому ущербу от действий третьих лиц.

​​Как мы и предполагали с самого начала, одним из поводов столь жестких нападок на израильского производителя шпионского ПО Pegasus могла стать слежка за американскими дипломатами.

По данным Apple, яблочные девайсы 11 американских дипломатов в Уганде или Восточной Африке были атакованы с помощью того самого ПО от компании NSO Group, которая после соответствующего публичного заявления начала свое расследование по этому факту. Сотрудники Госдепартамента США были уведомлены Apple о компрометации их телефонов с использованием эксплойта ForcedEntry под iOS в рамках анонсированной функции производителя.

NSO не подтверждает использование ее технологии, однако перекрыла доступ «соответствующих клиентов к системе» после того, как новый скандал вышел в плоскость авторитетных изданий Reuters и Washington Post. В NSO отказались при этом разглашать кого конкретно из клиентов им пришлось отключить.

Все это стало продолжением черной полосы в жизни производителя сразу по попадания под торговые санкции со стороны Министерства торговли США за «предоставлением иностранным правительствам проводить транснациональные репрессии» и поданного в ноябре иска в суд от Apple, намеренной таким образом отбиться от репутационных и хакерских нападок со стороны израильтян, которые могли получать доступ к устройствам пользователей в ходе атак с нулевым щелчком.

Сама Apple отказалась комментировать ситуацию, добавив лишь о намерении продолжать уведомлять всех пользователей, ставших жертвами атак шпионского ПО.

Вполне себе вероятно, что список жертв и будет пополняться и авторитетными фигурами, дабы еще более четко прояснить участникам правила игры на рынке экспорта киберуслуг.

Телевизоры следят за пользователями, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку.

Эти и другие новости недели, а также розыгрыш уникальных призов для подписчиков нашего канала в нашем новом Youtube выпуске от главного редактора Александра Антипова.

Более 200 отелей в Скандинавии, Финляндии и странах Балтии под брендами Comfort, Quality и Clarion со штатом более 16 000 сотрудников стали жертвой атаки с использованием ransomware.

Компания Nordic Choice Hotels подтвердила кибератаку на свои системы, апогей которой случился 2 декабря, когда из строя вышли вся IT-инфраструктура, включая систему бронирования (регистрацией заезда, отъезда, оплата) и управления доступом к номерам.

Сотрудники перешли к ручному управлению бизнесом. Клиенты к настоящему времени не могут войти в свои учетные записи Nordic Choice Hotels для управления бронированием, а также для применения бонусных баллов, проблема также затронула членов Nordic Choice Club.

К расследованию инцидента подключилось Норвежское управление по защите данных и Норвежское управление национальной безопасности. По официальным данным, утечки данных не допущено, даже несмотря на то, что ранее компания признала компрометацию сведений по бронированию, включающую имена, адреса электронной почты, номера телефонов, даты визита и платежные данные.

Администрация холдинга воздержалась от переговоров. Вместе с тем, по предварительным данным, ответственность за инцидент лежит на Conti, пока что не опубликовавшей релиза с указанием Nordic Choice Hotels на своем сайте утечек.

Тем временем, отельеры восстанавливают свои системы и намерены к концу недели вернуться к нормальному режиму работы. Достаточно оперативно, что в совокупности с отсутствием анонсов у Conti наводит на определенные мысли.

​​Уже годик минул с момента вскрытия атаки неизведанной APT на компанию SolarWinds и соответствующих обвинений в адрес "русских хакеров", а какой-либо внятной аргументации в пользу этой связи никто так и не привел. Ну вот нет ничего.

Свое мнение касательно этой истории мы неоднократно транслировали и наиболее полно отразили здесь.

Тем временем тема хакерской группы Nobelium, которую Microsoft называют исполнителем атаки на SolarWinds и связывают с российскими разведчиками (тысячи их!), опять всплывает в трендах инфосек новостей.

(В рот нам ноги, как вспоминаем "атрибуцию фишинговой кампании Nobelium" от американцев из Volexity, вот прямо головой бьемся о стену. Железные докозательства - использование документа-приманки на тему американских выборов и Cobalt Strike. Кокаинум, чтоб его! А корейские слова в коде и время компиляции - это ложный флаг!)

Во-первых, французский CERT со ссылкой на французское же Агентство национальной кибербезопасности (ANSSI) сообщил, что Nobelium с февраля этого года осуществляет широкую фишинговую кампанию, направленную на различные иностранные организации с использованием заранее подломанных французских НКО. И обратно - французские учреждения были целями для фишинга со стороны скомпрометированных иностранных почтовых серверов.

Во-вторых, Mandiant описывают новую кибершпионскую кампанию , которую они связывают с Nobelium. Эти, правда, поумнее - они везде подчеркивают "предполагаемый" характер связи APT с Россией, а в конце отчета ставят дисклеймер об "отсутствии достаточных доказательств".

Cherche le Nobellium, пилят.

Индийская IT компания Zoho предупреждает своих клиентов о новой уязвимости нулевого дня и призывает срочно обновить сервера ManageEngine, так как в настоящее время бага активно эксплуатируется злоумышленниками в атаках.

Уязвимость CVE-2021-44515, затрагивает продукт Zoho ManageEngine Desktop Central - решение для управления сетью организации и устройствами сотрудников. Масштаб угроз внушительный, так как по заявлению Zoho, продукт используется более чем в 40 тыс. крупных компаниях по всему миру. В настоящее время в сети около 3100 серверов Zoho ManageEngine Desktop Central, готовых к эксплуатации.

В рекомендациях по безопасности компания заявила, что исправила ошибку, которая позволяла хакерам обходить аутентификацию и запускать вредоносный код на серверах Desktop Central.

Пока индийский разработчик не раскрывает инциденты, связанные с использования данной ошибки, но как известно, ранее в дикой природе использовались две другие уязвимости программных компонентов Zoho, а именно в ADSelfService Plus (CVE-2021-40539) и ServiceDesk Plus (CVE-2021-44077) причем не абы кем, а Китайскими APT.

По данным Palo Alto Networks, под ударом находились несколько организаций оборонного сектора США. Считается, что целью этих атак являлся кибершпионаж и кража данных.

В настоящее время не подтверждено, что за использованием третьей уязвимости стоят одни и те же группы, но компаниям следует проявить бдительность и как можно скорее обновить свои серверы Zoho.

Microsoft заявила, что ее юридическая служба успешно добилась очередного судебнего ордера на арест 42 доменов, используемых китайской APT в недавних кибероперациях, направленных против организаций в США и 28 других странах.

Nickel или известная группа как APT15, Ke3Chang, Mirage или Vixen Panda орудует уже с 2012 года и имеет на своем счету огромное количество операций против широкого круга целей.

Microsoft заявиляют, что домены использовались для сбора разведданных от правительственных структур, аналитических центров и правозащитных организаций. Контроль над вредоносными веб-сайтами и перенаправление трафика с этих ресурсов на защищенные серверы Microsoft поможет защитить существующих и потенциальных будущих жертв, а также получить больше свежений о деятельности Nickel.

Вряд ли это помешает Nickel продолжить другие хакерские операции, но микромягкие считают, что они таким образом удалили ключевую часть инфраструктуры, на которую злоумышленники полагалась в последней волне атак.

Согласно техническому отчету, который фигурировал в судебном иске, потерпевшие от деятельности APT были взломаны с использованием скомпрометированных VPN или украденных учетных данных, полученных в результате целевых фишинговых кампаний, что согласуется с аналогичными отраслевыми отчетами, подробно описывающими тактику работы китайскими шпионскими группировками.

По словам производителя ОС, попытки эксплуатации были нацелены на системы Microsoft Exchange и SharePoint, а также на Pulse Secure VPN.

Лучше бы с таким же рвением рапортовали о закрытии дыр, которые Microsoft все никак не могут исправить, выпуская один патч за другим, а то и вовсе ничего не выпуская.

Google выпустила обновления безопасности для Chrome, исправив в общей сложности 20 уязвимостей. При этом 16 из них были обнаружены сторонними специалистами по программе вознаграждений.

Из 16 ошибок 15 имеют высокий уровень серьезности, почти все они явились своего рода результатом исправления других недостатков в различных компонентах браузера.

Наиболее серьезная из проблем касается компонента веб-приложений. CVE-2021-4052 раскрыл Вэй Юань из MoyunSec VLab, заработав 15 000 долларов. Следующая CVE-2021-4053 в компоненте пользовательского интерфейса Chrome принесла исследователю 10 000. А 5000 и 1000 долларов по bug bounty были выплачены за обнаружение CVE-2021-4054 и CVE-2021-4055, связанных переполнением буфера в расширениях и недостатками автозаполнения.

Остальные награды не раскрываются, но известно, что вознаграждения ушли за выявление 5 уязвимостей использования после освобождения, исправленными в компонентах: API, инструменты разработчика, захват экрана, автозаполнение и оконный менеджер. Другие баги также включают переполнение буфера кучи (в ANGLE и BFCache), путаницу типов (в загрузчике и V8), недостаточную проверку данных в загрузчике и целочисленное опустошение в ANGLE.

Google также решил проблему низкой степени серьезности CVE-2021-4068, описанную как «недостаточная проверка ненадежного ввода на странице новой вкладки», которая принесла исследователю (пусть даже символическое, но) вознаграждение в размере 500 зеленых своему автору.

Обновленная версия Chrome 96.0.4664.93 доступна для пользователей ОС Windows, Mac и Linux, и ждет ваших кликов.

​​Сбербанк заявил о кадровой катастрофе в сфере информационной безопасности.

​​Похоже, что Google сегодня в ударе.

Вслед за Microsoft и Facebook компания на основании поданного судебного иска нанесла разрушительный удар по инфраструктуре ботнета Glupteba, который до настоящего времени насчитывал более миллиона зараженных хостов.

Glupteba - модульный malware с поддержкой блокчейна, который нацелен на устройства Windows по всему миру, включая США, Индию, Бразилию и страны Юго-Восточной Азии. Ботнет использует механизм резервного копирования цепочки биткойнов для повышения устойчивости, если основные серверы C2 перестают отвечать.

Malware нацелен исключительно на системы Windows и распространяется преимущественно посредством схем с оплатой за установку (PPI) для заражения своих пользователей, а также трафик, приобретаемый из TDS, маскируясь под пиратский софт и развлекательный контент.

После заражения хоста Glupteba загружает различные модули, которые могут выполнять специализированные задачи: добыча криптовалюты, кража учетных данных и файлов cookie, развёртывание прокси-серверов в системах Windows и устройствах IoT, которые впоследствии продаются как «резидентные прокси». Один из модулей Glupteba использовался для заражения маршрутизаторов MikroTik во внутренних сетях, в том числе в ходе сборки ботнета Meris, ставшего источником недавних резонансных масштабных DDoS-атак.

Glupteba долгие годы оставался незамеченным для большинства фирм и является одним из старейших вредоносных ботнетов, впервые попав в поле зрения инфосек экспертов еще в 2011, когда был упомянут в отчете ESET.

Результатом крестового похода Google Threat Analysis Group стало удаление более 63 миллионов используемых для распространения вредоносного ПО файлов Google Docs, бан 1183 учетных записей, 870 рекламных кабинетов и 908 облачных аккаунтов. При поддержке хостинг-операторов, в том числе Cloudflare, IT-гигант смог перехватить управление ключевой инфраструктурой управления и контроля (C2) Glupteba.

Кроме того, жертвами меча корпорации станут в самое ближайшее время стоявшие за атаками Glupteba 17 хакеров, в том числе 2 россиянина: Дмитрий Старовиков и Александр Филиппов, которых Google упоминает в судебных документах в качестве создателей ботнета.

Хакеры развернули несколько сервисов (dont.farm, awmproxy, extracard, AWMProxy.net, vd.net, abm.net) для реализации украденных через ботнет учетных данных к аккаунтам Google и Facebook, данных кредитных карт, а также доступ к виртуальным машинам и прокси, которые использовались в других преступных схемах: незаконной добыче криптовалюты, компьютерном мошенничестве, нарушении прав на товарный знак, показ вредоносной рекламы и др.

Вместе с тем, децентрализованный характер блокчейна, вероятно, позволит ботнету в скором времени восстановиться после контратаки Google, используя закодированный в цепочке блоков биткойнов резервный механизм управления и контроля, которым непременно воспользуются операторы Glupteba, следующие передовым практикам мире организованной киберпреступности.

Но как бы не сложилась судьба вредоносного ПО, а уголовная перспектива для создателей ботнета все же маячит на горизонте, ведь после удовлетворения гражданского иска Google по линии Интерпола и спецслужб последует уголовное дело со всеми вытекающими.

​​- Партнёрский пост -

🔥 Впервые с момента создания Python EH 🔥

Получи бесплатный ознакомительный доступ на 14 дней к первым урокам курса.

Курс «Python для пентестера» это:

✔️ 27 подробных уроков
✔️ 11 часов видео
✔️ 197 выпускников курса

Узнать подробнее о курсе http://python-eh.ru/

Ты сможешь:

1. Эффективно использовать базы данных и сеть Интернет;
2. Получать данные от сайтов в автоматическом режиме;
3. С нуля писать прикладные программы на Python.

Запишись на пробные уроки

#Вау! #Python

Если вы являетесь пользователем производителя QNAP и Ваш девайс торчит в Интернет, то спешим предупредить о продолжающихся атаках, нацеленных на устройства NAS (сетевые хранилища), с использованием вредоносных программ для добычи криптовалюты.

Как заявил производитель, криптомайнер, развернутый на взломанном устройстве, создаст новый процесс с именем oom_reaper, который будет майнить биткоин. Во время работы малварь может занимать до 50% всех ресурсов ЦП и имитировать процесс ядра с PID выше 1000.

Профилактики ради, клиентам, подозревающим, что их NAS заражен майнером, рекомендуется для начала перезагрузить устройство, что возможно удалит вредоносное ПО. Далее QNAP рекомендует принять следующие меры:

- Обновить QTS или QuTS hero до последней версии.
- Установить и обновить Malware Remover до последней версии.
- Поменять и использовать более надежные пароли для учетных записей администратора и других пользователей.
- Обновить все установленные приложения до последних версий.
- Не подключать NAS к Интернету, ну а если все же это необходимо, и не использовать номера портов по умолчанию 443 и 8080.

Инциденты с QNAP давно не ноу-хау, так как устройства NAS являются привлекательной целью для злоумышленников и это не первый раз, когда сетевые хранилища производителя использовались для майнинга криптовалют.

Про атаки с ransomware и не напоминаем, коих и так было достаточно за последнее время.

Собственно, чтобы не доводить дело до печали, клиентам QNAP, которые хотят защитить свои NAS-устройства от атак, рекомендуется следовать рекомендациям производителя.