- Партнёрский пост -

В поисках надёжного корпоративного файрвола следующего поколения?
Регистрируйтесь на вебинар «Всё о FortiGate 2022 опыт известных компаний, реальные кейсы», который пройдет 10 февраля в 12:00.

Узнайте обо всех преимуществах межсетевого экрана FortiGate. Практический опыт и реальные кейсы за 45 минут

На этом вебинаре:
🔹 узнаете как работает контроль приложений и сайтов
🔹 научитесь контролировать файлообменники с привязкой пользователей по AD
🔹 покажем как при помощи FortiGate настроить VPN
🔹 расскажем как быстро и безопасно соединить несколько офисов при помощи SD-WAN
🔹 объясним как обеспечить безопасность удаленных пользователей с помощью FortiClient
🔹 разберемся как внедрить многофакторную аутентификацию при помощи FortiToken и FortiAuthenticator
🔹 покажем как при помощи FortiAnalyzer легко настроить сбор и анализ логов для отчетности
✅ услышите ответы на ваши вопросы

Регистрируйтесь на вебинар: «Всё о FortiGate 2022 опыт известных компаний, реальные кейсы» ⏩ https://clck.ru/aocmZ

Группа хактивистов Адалат Али («Правосудие Али») дважды за неделю взломали Национальный телеканал Ирана, который принадлежит Радиовещательной компании Исламской Республики Иран (IRIB).

Инцидент произошел 1 февраля и был напрямую связан с Telewebion, представляющую собой веб-платформу потокового телевидения и радио IRIB. Компания признала инцидент, выпустив соответствующее заявление.

Прямая трансляция футбольного матча Иран-ОАЭ была прервана 50-секундным видео провокационного содержания, в котором бывшие правители Республики пропагандировали протест против правящего режима Хаменеи. Не будем пересказывать, можете сами увидеть. Причем ролик повторялся с различными интервалами в течение нескольких часов, прежде чем Telewebion восстановил управлением над платформой. 

Пикантности ситуации придает тот факт, что это уже второй за неделю случай, когда хакеры прерывали трансляцию IRIB. Прошлая атака произошла 27 января, когда группа неизвестных хакеров в течение 10 секунд прокручивала по ТВ изображения главных иранских оппозиционеров Марьям и Масуда Раджави, лидеров организации моджахедов Халк (MKO), на фоне которых произносились радикальные протестные лозунги.

Что сказать, похоже, что среди Unit8200 появились настоящие фанаты иранского телевидения.

Подъехала порция обновлений от компаний, кто призван защищать спокойствие и бизнес клиентов в телекоммуникационном поле.

Японский поставщик решений по информационной безопасности Trend Micro исправил очередные две критические уязвимости, затрагивающие ряд ее продуктов линейки Hybrid Cloud Security.

Ошибки были обнаружены специалистами швейцарско-немецкой компании по кибербезопасности Modzero, которая выпустила соответствующие рекомендации и PoC-эксплойты в тот же день, когда Trend Micro объявила об исправлениях.

Уязвимости отслеживаются как CVE-2022-23119 и CVE-2022-23120, влияют на решения Deep Security и Cloud One для обеспечения безопасности рабочих нагрузок, в частности на компонент агента Linux.

Исследователи Modzero обнаружили, что Deep Security Agent для Linux подвержен уязвимости обхода каталога, которая позволяет злоумышленнику читать произвольные файлы, а также использовать ошибку внедрения кода, которую можно применить для повышения привилегий и выполнения команд от пользователя root. Однако для реализации коварного замысла необходимо иметь доступ к целевой системе, а также при условии что агент не был активирован или настроен.

В рекомендациях Modzero также упоминается, что с Deep Security Agent поставляется закодированный X.509 сертификат авторизации по умолчанию и соответствующий закрытый ключ. Сертификат используется для связи с сервером до активации агента. Поскольку этот сертификат поставляется с закрытым ключом, злоумышленник может создать и подписать свой собственный сертификат сервера, а также имитировать сервер и отправлять команды клиентскому программному обеспечению.

Разумеется Trend Micro проинформировала клиентов об ошибках и тянуть с обновлениями не стоит, так как уязвимости в продуктах японской компании уже не раз использовались злоумышленниками в дикой природе, особенно недостатки в продуктах Apex One.

Параллельно работу над ошибками провела антивирусная компания ESET, которая устранила уязвимость локального повышения привилегий CVE-2021-37852, влияющую на клиентов Windows.

Как говорится в бюллетене по безопасности злоумышленник может воспользоваться этой уязвимостью, чтобы неправомерно использовать функцию сканирования AMSI для повышения привилегий в определенных сценариях.

Продукты, подверженные уязвимости, включают несколько версий ESET NOD32 Antivirus, Internet Security, Smart Security и Smart Security Premium, Endpoint Antivirus и Endpoint Security для Windows, Server Security и File Security для Windows Server, Server Security для Azure, Security для SharePoint Server и Mail Security для IBM Domino и для Exchange Server. ESET выпустила серию исправлений для решения этой проблемы еще в декабре 2021 года, а в январе 2022 вышли патчи для более старых версий продуктов компании.

Список конечно внушительный, но в компании ESET заверили, что в природе не существует эксплойтов, использующих эту уязвимость. Это кончено не может не радовать, но пренебрегать своевременными обновлениями все же не нужно.

После публикации журналистамии NY расследования, о котором мы упоминали, Федеральное бюро расследований США подтвердило приобретение шпионского ПО Pegasus от NSO Group.

Все это случилось сразу после того, как PegasusGate таким же образом накрыл, в том числе и израильских силовиков, которые публично покаялись и признались, что неправомерно использовали спецсофт для слежки за телефонами своих граждан, о чем мы также сообщали.

Как мы и изначально предполагали, выяснить, для каких целей и как он использовался софт американскими силовиками вряд ли получится.

Свой опрометчивый шаг ФБР объяснило тем, что лицензия на Pegasus им была необходима для научных целей: чтобы «быть в курсе новых технологий и мастерства». Агентство добавило в заявлении, что оно получило ограниченную лицензию от израильской фирмы «только для тестирования и оценки продукта» и не применяло его в своих расследованиях.

Кончено, агентство лукавит и, пожалуй, не обманывает, но явно не договаривает.

Безусловно, в следственных или прочих официальных бумагах вряд ли удастся найти какие-либо упоминания о Pegasus или взломах, но другое дело применение софта, скажем так, в оперативных целях, результаты такой работы докладываются особым порядком и, соответсвенно, грифом.

Отметим, что компетенция ФБР ограничена исключительно внутренней юрисдикцией и распространяется на граждан страны. В данном случае сомнительным в принципе выглядит любая закупка такого софта даже для тестирования, ведь результатом таких процессов должен стать аналогичный продукт.

С другой стороны, у США есть разведка и еще десяток спецслужб, задачи которых и заключаются в изучении передовых технологий в национальных интересах. Полагаем и в NSO у американской разведки были свои «глаза и уши».

ФБР не сообщают официально, сколько и когда агентство заплатило NSO Group за Pegasus, но журналисты The New York Times называют сумму в размере перечисленных в 2019 году $5 млн. При этом The Guardian добавили со ссылкой на собственный источник, что лицензия продлялась еще за 4 миллиона долларов (видимо времени на изучение не хватило).

Мало того, что таким образом США серьезно финансировали систему незаконной слежки за пользователями и инструменты нарушения прав человека, за которые они так сильно топят, но, как мы полагаем, применяли Pegasus в необходимых случаях, к примеру, за наблюдением за трампистами в ходе протестов у здания Капитолия США, переросших в вооружённое столкновение.

Д - Демократия.

​👨🏻‍💻 Бесплатные курсы на русском языке: Cisco ССNA 200-301 и Comp TIA A+.

🖖🏻 Приветствую тебя user_name.

• Каждая компания вне зависимости от того, какие функции и цели она преследует, состоит из локальной вычислительной сети (LAN). LAN – это фундамент, без которого организация не может существовать. Локальная сеть отвечает за взаимодействие сотрудников между собой или с интернетом, автоматизацию работы, предоставление услуг клиентам.

• Пентестеру необходимо знать предполагаемую структуру, средства защиты и вид оборудования. Очень часто приходится действовать по принципу «черного ящика». Следовательно, надо быть готовыми к любым сюрпризам, а также знать особенности крупных поставщиков сетевого оборудования (Cisco, Juniper, Huawei). Именно данные устройства будут составлять костяк любой продвинутой сети.

• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано достаточно материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке.

Курс ССNA 200-301
➖ Урок 1 (Сертификация Cisco)
➖ Урок 2 (Switch & Router)
➖ Урок 3 (Точки доступа)
➖ Урок 4 (Firewalls)
➖ Урок 5 (скорость и объем)
➖ Урок 6 (Кабели)
➖ Урок 7 (методы коммуникаций)
➖ Урок 8 (Маска подсети)
➖ Урок 9 (Default gateway & DNS Server)
➖ Урок 10 (NAT, Public & Private addresses)
➖ Урок 11 (виды IP коммуникаций)
➖ Урок 12 (протоколы TCP, UDP, ICMP)
➖ Урок 13 (Инструменты инженера)
➖ Урок 14 (Distribution switches)
➖ Урок 15 (Модели OSI и TCP)
➖ Урок 16 (введение в IOS)
➖ Урок 17 (подключение по консоли)
➖ Урок 18 (Режимы IOS)
➖ Урок 19 (Базовые команды)
➖ Урок 20 (Файловая система IOS)
➖ Урок 21 (Базовая конфигурация)
➖ Урок 22 (SSH)
➖ Урок 23 (Interface Syntax)
➖ Урок 24 (Switching fundamentals)
➖ Урок 25 (STP Protocol)
➖ Урок 26 (STP root bridge)
➖ Урок 27 (STP Best route)
➖ Урок 28 (Настройка STP)
➖ Урок 29 (STP portfast & BPDU Guard)
➖ Урок 30 (L2 Security)
➖ Урок 31 (Etherchannel)
➖ Урок 32 (Etherchannel config)
➖ Урок 33 (Лицензирование IOS)
➖ Урок 34 (Таблица маршрутизации)

Курс Comp TIA A+
➖ Урок 1 (Принцип работы компьютера)
➖ Урок 2 (Биос)
➖ Урок 3 (Чипсет)
➖ Урок 4 (Слоты)
➖ Урок 5 (Оперативная память)
➖ Урок 6 (Карты расширения)
➖ Урок 7 (Устройства хранения данных)
➖ Урок 8 (Процессор)
➖ Урок 9 (Коннекторы)
➖ Урок 10 (Блок питания)
➖ Урок 11 (Индивидуальная конфигурация)
➖ Урок 12 (Виды экранов)
➖ Урок 13 (Кабели и адаптеры)
➖ Урок 14 (Периферийные устройства)
➖ Урок 15 (Принтеры)
➖ Урок 16 (Обслуживание принтеров)
➖ Урок 17 (Операционные системы)
➖ Урок 18 (Методы загрузки)
➖ Урок 19 (Разделы и файловые системы)

📌 Дополнительная информация: https://yangx.top/Social_engineering/1648

‼️ Еще больше материала, доступно по хештегам: #Сети #tcpdump #Nmap #Cisco #Сети #WireShark. А так же, делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.

Разработчики Cisco исправили ошибки в VPN-маршрутизаторах Small Business серий RV160, RV260, RV340 и RV345. Некоторые из них могли привести к выполнению произвольного кода с привилегиями root.

Самая серьезная дыра — это ошибка удаленного выполнения кода CVE-2022-20699 (с оценкой CVSS 10,0). Уязвимость в модуле SSL VPN гигабитных VPN-маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве.

Основной причиной уязвимости являются недостаточная проверка границ, выполняемая при обработке определенных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные HTTP-запросы на уязвимое устройство, выступающее в роли шлюза SSL VPN. Успешный эксплойт может позволить злоумышленнику выполнить код с привилегиями root.

Компания также устранила две критические проблемы в веб-интерфейсе управления маршрутизаторами Small Business RV: CVE-2022-20700 (с оценкой CVSS 10) и CVE-2022-20701 (с оценкой CVSS 9,0).

Эти уязвимости связаны с недостаточной эффективностью механизмов принудительной авторизации. Злоумышленник может воспользоваться багами, отправив определенные команды на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику повысить привилегии до root и выполнять произвольные команды в уязвимой системе». читает рекомендацию.

Среди других исправлены также критические уязвимости CVE-2022-20708 (с оценкой CVSS 10,0) и CVE-2022-20703 (с оценкой CVSS 9,3), которые были связаны с внедрением команд и обходом проверки цифровой подписи соответственно.

Прокачены и другие уязвимости высокой и средней степени серьезности, которые позволяли выполнить произвольный код или команды, вызвать состояние отказа в обслуживании (DoS), получить частичные административные привилегии, просмотреть или изменить информацию, перезаписать или загрузить определенные файлы.

Необходимо поскорее накатить обновления для линейки Cisco Small Business, ведь PoC под некоторых серьезные баги уже доступен общественности. При этом отметим, что обходные пути для решения этих проблем отсутствуют.

Специальный бэкдор xPack позволял APT Antlion оставаться незамеченными и иметь обширный доступ к сетям жертв в течение 18 месяцев в ходе кампании кибершпионажа в отношении финансовых организаций и производственных компаний в Тайване в период с 2020 по 2021 год.

Обнаружить и изучить зловред смогли исследователи из Symantec. Исследователи проанализировали одну из атак, проведенных APT, которая оставалась в скомпрометированной сети производственной организации в течение 175 дней. В другой атаке на финансовую организацию группа APT провела 250 дней в сети цели. Все благодаря использованию нестандартных и малоизвестных вредоносных программ.

xPack — это загрузчик .NET, который извлекает и выполняет зашифрованные AES полезные нагрузки, он поддерживает несколько команд. Пароль для дешифрования предоставляется в виде аргумента командной строки (строка в кодировке Base64), а бэкдор xPack может работать как отдельное приложение или как служба (вариант xPackSvc).

Бэкдор позволял злоумышленникам удаленно запускать команды WMI, использовать эксплойты EternalBlue и подключать общие ресурсы через SMB для передачи данных на C2. Злоумышленники также использовали вредоносное ПО для просмотра веб-страниц, вероятно, используя его в качестве прокси-сервера для маскировки своего IP-адреса.

В настоящее время первоначальный вектор заражения не ясен. Однако в одной из атак они заметили, что злоумышленники использовали службу MSSQL для выполнения системных команд.

И похоже, что вредоносное ПО xPack и связанная с ним полезная нагрузка использовались для первоначального доступа, выполнения системных команд, последующего удаления вредоносных программ и инструментов, а также подготовки данных для эксфильтрации. Помимо прочего злоумышленники также использовали специальный кейлоггер и три пользовательских загрузчика.

Исследователи Symantec обнаружили следующие специальные инструменты, используемые Antlion в этой кампании: загрузчики пользовательский загрузчик EHAGBPSL, клиентский загрузчик JpgRun, собственный загрузчик CheckID, инструменты NetSessionEnum и ENCODE MMC, а также несколько готовых и самостоятельных инструментов (LoL) (PowerShell, WMIC, ProcDump, LSASS и PsExec).

Для повышения привилегий в системе и запуска своего бэкдора злоумышленники использовали CVE-2019-1458. Применяли также WinRAR для кражи данных и пакетные сценарии для автоматизации процесса сбора данных.  Кроме того, как выяснили исследователи, злоумышленники периодически возвращались в скомпрометированную сеть для запуска xPack и кражи учетных данных.

Symantec полагают, что Antlion активен в сфере кибершпионажа по крайней мере с 2011 года. Интерес актора к тайваньским фирмам и TTP указывают, по мнению исследователей, на его связь с КНР, а характер деятельности свидетельствует о кооперации с другими АРТ, которым могла передаваться для дальнейшей работы добытая Antlion информация об учетных данных.

Специалисты из небольшой американской инфосек компании Volexity обнаружили далеко не маленькую угрозу информационной безопасности, да не а бы кого, а новую китайскую APT, которая посягнула на конфиденциальность представителей Европейского правительства.

Специалистами установлено, что мишенью китайских хакеров являлись корпоративные электронные адреса веб-почты Zimbra, где использовалась 0-day уязвимость нулевого дня, для получения доступа к почтовым ящикам правительственных организаций европейских государств и медиа-агентств.

Атаки были обнаружены еще в прошлом месяце с соответствующим уведомлением Zimbra. Однако компания до сих пор не выпустила патч для своего продукта. Кроме того, Volexity выпустила технический отчет об инцидентах в надежде привлечь внимание к этой проблеме и позволить организациям, использующим почтовый сервер Zimbra, проверить, не стали ли они жертвами атак.

По данным Volexity, злоумышленники начали использовать этот 0-day c 14 декабря 2021, когда были обнаружены первоначальные атаки на некоторых из клиентов. Специалисты отметили, что атаки были разделены на два этапа. В первом случае хакеры отправляли безобидное электронное письмо, предназначенное для проведения разведки и определения того, активны ли учетные записи и открывают ли пользователи странные электронные письма от неизвестных адресов.

Фактическая атака происходила во втором электронном письме, когда хакеры включали ссылку в тело электронного письма. И если пользователи переходили по URL-адресу, то они попадали на удаленный веб-сайт, где вредоносный код JavaScript выполнял XSS-атаку на приложение веб-почты Zimbra их организации.

Уязвимости подвержены клиенты под управлением версий 8.8.15 P29 и P30 и позволяют злоумышленникам украсть файлы cookie сеанса Zimbra, а затем подключиться к учетной записи, откуда возможно получить доступ к электронной почте и осуществить последующие фишинговые рассылки контактам пользователя с заманчивым предложением загрузить вредоносное ПО.

В настоящее время к Интернету подключено более 33 000 серверов Zimbra и представители Volexity заявили, что нулевой день не затрагивает последнюю версию платформы Zimbra 9.x, а это означает, что поверхность атаки не такая большая, как предполагалось изначально.

Основываясь на инфраструктуре злоумышленника, используемой в этих атаках, исследователи по безопасности связали актора с APT китайского происхождения, которого назвали TEMP_Heretic.

Европол подтвердил новые кибератаки на объекты топливной сферы, на этот раз в Бельгии.

Инцидент произошел сразу после того, как на прошлой неделе в Германии в результате атак с использованием ransomware работа группы компаний Marquard & Bahls была основательно парализована, фактически спровоцировав топливный кризис в стране, о чем мы уже писали, если помните.

Бельгийская прокуратура уже начала расследование взлома нефтяных объектов на морских путях страны. Одной из главных жертв, по-видимому, стал трансграничный голландско-бельгийский центр торговли нефтью Амстердам-Роттердам-Антверпен, где атаке подверглись ИТ-системы компании. Кроме того, под удар попал SEA-Tank Terminal в Антверпене.

Согласно сообщению AFP, злоумышленникам удалось приостановить разгрузку барж в пострадавших европейских портах. По сути, операционная система перестала не работать.

Похоже, что в Европе назревает свой MiniPipeline.

Похоже, что для Европы настала черная полоса, прежде всего, в вопросах ИБ. Сразу вслед за Германией и Бельгией с вымогателями познакомились и Швейцарцы.

Swissport International подверглась атаке ransomware, в результате которой произошли сбои авиасообщения.

Швейцарская компания предоставляет транспортные услуги в 310 аэропортах 50 стран мира. Ежегодно авиаперевозчик обслуживает 282 миллиона пассажиров и 4,8 миллиона тонн грузов, что делает его жизненно важным звеном в европейской и общемировой схеме авиаперевозок.

Атака оперативно была в значительной степени локализована, начаты работы по восстановлению IT-систем. Swissport не сообщали подробностей, и не раскрывали актора. Компания нет установила факта хищения конфиденциальных сведений. На данный момент ни одна группа вымогателей не заявила об атаке на Swissport и не поместила их на DLS.

Но, уверены, это обязательно произойдет. Как и новые более дерзкие нападения, которые, как мы ранее предполагали, будут предприниматься хакерами в ответ на операции спецслужб и все большее давление на бизнес ransomware.

Американский медиагигант News Corp, владельцем которого является Руперт Мердок, стал жертвой целевой кибератаки. Необходимые документы об инциденте направлены в SEC.

News Corp признала, что хакерам удалось эксфильтровать корпоративные данные, при этом, согласно официальному заявлению, клиентская и финансовая информация скомпрометирована не была. Среди пострадавших активов холдинга: Wall Street Journal, Dow Jones, New York Post, филиалы в Великобритании и штаб-квартира News Corp. В ходе атаки злоумышленники получили доступ к электронной почте и документам сотрудников и журналистов.

Тем не менее, медиагигант, заявил, что не может оценить финансовые последствия инцидента, и отметил, что его полис страхования кибер-рисков может не покрыть все убытки.

К расследованию были привлечены специалисты Mandiant, которые отмониторили вредоносную активность в январе 2022 года.

По оценкам Mandiant, актор связан с Китаем, и, вероятно, причастен к шпионской деятельности для сбора разведданных. Впрочем, обвинения КНР в шпионаже за журналистами звучат уже лет как десять. Примечательно, что наряду с New York Time и Bloomberg, китайские АРТ взламывали Wall Street Journal еще в 2013 году.

Верить заголовкам мы не привыкли, подождем отчета. Но, к сожалению, тенденция такова, что последние расследования атрибутируют угрозы по принципу «пальца в небо».

Издание The Record, принадлежащее американской инфосек компании Recorded Future, дало статью по материалам интервью с представителем владельца ransomware ALPHV (BlackCat), о работе которой мы уже делали обзор.

А, главное интервьюер достойный - тот самый инфосек блогер и журналист Дмитрий Смилянец, которого в 2013 году с подельником приняли в Нидерландах, потом экстрадировали в США, где осудили в 2018 году и сразу освободили из зала суда (в то время как его подельник улетел на 12 лет тюрьмы).

Но, собственно, вернемся к интервью, в котором представитель BlackCat рассказал об истории группы, намерениях и планах на будущее. Пересказывать нету смыла, остановимся на главных деталях.

Во-первых, правильнее именовать группу ALPHV, именно под таким брендом хакеры двигаются в даркнете, BlackCat - по утверждению интервьюируемого было присвоено исследователями The Record.

Во-вторых, ALPHV подтвердили свои связи с REvil и DarkSide, предположения на счет которых высказывали исследователи MalwareHunterTeam, но достаточно уклончиво или даже лукаво.

Но мы знаем, что в инфосеке на этот счет есть другие теории: по мнению аналитиков из Emsisoft, за ALPHV стоят те же разрабы, что занимались в свое время DarkSide (BlackMatter). На этот счет ALPHV заверяют, что лишь пострадали от действий Emsisoft и правоохранителей, связанных с угоном инфраструктуры и утратой «клиентской базы» в результате выпуска декриптора.

Как отметил в интервью представитель ALPHV, новый бренд - это самостоятельная RaaS, а не продукт ребрендинга. Взяв лучшее от всех, владельцы ransomware, без преувеличения, считают себя the best of the best, полагая, что находятся в другой весовой категории нежели их коллеги по цеху Conti или LockBit.

Втретьих, BlackCat выстраивают сотрудничество исключительно с русскоязычными партнерами, а к настоящему времени и вовсе содержат их на испытательном периоде, по результатам которого с некоторыми участниками картеля придется попрощаться.

BlackCat заявили The Record, что они не могут контролировать, на кого нападают их партнеры, и блокировать тех, кто не соответствует политике банды: под табу государственные, медицинские и образовательные учреждения.

Интересный момент - это работа с посредниками на переговорах по поводу выкупа. На практике переговорщики ускоряют процесс по выплате гонора вымогателям, за что наиболее отличившиеся получают персональные скидки от 20 до 40%, а весь такой процесс восстановления занимает не более 24 часов с момента первого контакта.

Полагаем ALPHV вызовут еще много дискуссий и полемик, но взять «второй условный» Colonial Pipeline новой группе уже удалось, немцы не дадут соврать.

Пока взор мировой общественности был сосредоточен на компании NSO Group и связанных с ней интриг вокруг Pegasus, другая израильская фирма спокойненько продавала аналогичный шпионский софт.

Как стало известно, недавно исправленная уязвимость безопасности в iOS, которая как раз таки использовалась NSO Group, также была использована другим поставщиком шпионского ПО для взлома устройств Apple. Речь идет о небольшой компании QuaDream - менее известной, но которая также разрабатывает инструменты для взлома смартфонов в интересах государственных клиентов.

Об этом сообщило агентство Reuters со ссылкой на неназванные источники, отметив, что две конкурирующие компании в прошлом году получили такую же возможность удаленной компрометации телефонов Apple, при этом владельцам устройств не нужно было открывать никаких вредоносных ссылок.

Для компрометации применялся эксплойт FORCEDENTRY, который был связан с недостатком в iMessage и использовался для обхода средств защиты iOS и установки шпионского ПО, которое позволяло злоумышленникам собирать огромное количество информации: контакты, электронные письма, файлы, сообщения и фотографии, а также получать доступ к камере и микрофону телефона. Специалисты из Google Project Zero назвали FORCEDENTRY (CVE-2021-30860, оценка CVSS: 7,8) одним из наиболее технически сложных эксплойтов.

Шпионское ПО от QuaDream под названием REIGN работает аналогично Pegasus и предоставляет своим пользователям полный контроль над устройством. Как известно Apple устранила ошибку в сентябре 2021 года, а затем подала в суд на NSO Group за злоупотребление эксплойтом для атак на устройства iPhone.

Подождем и посмотрим какие интриги и расследования настигнут эту компанию, так как пока нет сведений о клиентах и потенциальных потерпевших от шпионского ПО.

Кроме того, Reuters неоднократно пыталось связаться с QuaDream для получения комментариев, отправляя сообщения руководителям и деловым партнерам. Один из журналистов вовсе посетил офис QuaDream в пригороде Тель-Авива Рамат-Ган на прошлой неделе, но никто не открыл дверь. Израильский юрист Вибеке Данк, чей адрес электронной почты указан в регистрационной форме компании QuaDream, также не ответил на сообщения. В Apple пока тоже отмалчиваются и не дают комментариев по поводу QuaDream и возможных действий в отношении компании.

Второй сезон PegasusGate на подходе.

За 12 дней до начала Национальных игр Китая, прошедшие с 15 по 27 сентября 2021 года в провинции Шэньси, неизвестная АРТ взломала их веб-инфраструктуру, включая публичный сервер и базу SQL.

К расследованию подключили чешских спецов из Avast. Инцидент был оперативно локализован до начала игр.

Как им удалось выяснить, 3 сентября хакеры получили удаленный доступ и получили постоянный плацдарм в целевой сети посредством Behinder и уязвимостей веб-сервера. Перед тем, как закрепиться злоумышленники экспериментировали с типами файлов, загружаемых на сервер, и по итогу остановились на файлах изображений с исполняемым кодом.

С помощью инструмента пост-эксплуатации, грузили Tomcat с полным оснащением, а, получив доступ, злоумышленники пытались пройти через сеть, используя эксплойты и сервисы брутфорса в автоматическом режиме.

Среди других инструментов, загруженных на сервер, были и сетевой сканер и настраиваемая среда эксплуатации, написанная на Go, которая позволяла им выполнять боковое перемещение и автономно взламывать другие устройства в той же сети.

Avast не смогли определить характер информации, украденной хакерами, но отметили, что у них есть все основания полагать, что актор либо являются носителями китайского языка, или, как минимум, демонстрирует хорошее владение китайским языком.

Вероятно, в деле АРТ, ориентированная на Тайвань или Сингапур, что на нашей практике встречалось уж крайне редко.

Главный редактор Securitylab.ru Александр Антипов еженедельно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.

В сорок седьмом выпуске:

— Хакеры используют утекшие данные операционных технологий в кибератаках на промышленные предприятия
— Цифровые отпечатки GPU позволяют отслеживать пользователей в Сети
— Ученые разработали невидимые для человеческого глаза идентификационные метки
— 277 тыс. маршрутизаторов уязвимы к атакам UPnProxy через UPnP
— Microsoft отразила DDoS-атаку рекордной мощности
— Charming Kitten использует новый PowerShell-бэкдор в целях кибершпионажа
— Из-за проблем с bug bounty Microsoft уязвимость 0-day 2 года оставалась неисправленной
— Более 20 тыс. систем управления дата-центрами уязвимы к хакерским атакам
— Две нефтяные компании в Германии подверглись кибератаке
— Исследование Cisco показывает очевидную отдачу от инвестиций в безопасность
— В 2022 году ожидается рост угроз кибербезопасности
— Binance создала страховой фонд объемом $1 млрд для своих клиентов

https://www.youtube.com/watch?v=oJ60YzU73as

Avast выпустили инструмент для расшифровки ransomware TargetCompany, позволяющий жертвам восстанавливать файлы.

Правда с оговоркой: декриптор работает при определенных обстоятельствах, а процесс взлома может занимать до десятков часов.

Но расшифровщик позволяет также периодически сохранять прогресс и возобновлять его позже. Утилита расшифровки имеет простой интерфейс, инструктируя пользователей в процессе расшифровки.

Кроме того, доступна опция сохранения всего зашифрованного массива в виде резервной копии. Причём функция включена по умолчанию.

Как известно, TargetCompany активны с июня 2021 года, после шифрования файла ПО добавляет расширение mallox, exploit, architek или brg к именам зашифрованных файлов.

Как и другие программы-вымогатели, TargetCompany удаляет теневые копии на всех дисках и прекращает некоторые процессы, которые могут содержать открытые ценные файлы, такие, например как базы данных.

После завершения процесса шифрования он отбрасывает файл заметки о выкупе под названием КАК ВОССТАНОВИТЬ.TXT во всех папках, содержащих зашифрованные файлы.

Если вы все же столкнулись однажды с TargetCompany, то возможно вам пригодится эта утилита

Специалисты из Trend Micro обнаружили новую тулзу в арсенале хакерской APT ориентированной на военные и дипломатические учреждения Индии.

Новая малварь под названием CapraRAT, представляет собой троян удаленного доступа для Android причем очень похожий на другое вредоносное ПО под Windows CrimsonRAT, связанный с группировкой Earth Karkaddan, также отслеживаемой под псевдонимами APT36, Operation C-Major, PROJECTM, Mythic Leopard и Transparent Tribe.

Первые конкретные признаки существования APT36 появились еще в 2016 году, когда группа начала распространять вредоносное ПО для кражи информации через фишинговые электронные письма с вредоносными вложениями в формате PDF, нацеленными на индийских военных и государственных служащих. Считается, что группа имеет пакистанское происхождение и действует как минимум с 2013 года.

По мнению экспертов хакерская группа очень последовательна в свой работе и проводит атаки в основном посредством социальной инженерии, а также с помощью малвари на USB накопителях в качестве точек входа.

Активно используемый группировкой троян CrimsonRAT для Windows выполнен в виде бинарного файла NET, основной целью которого является получение и удаление информации из целевых систем Windows, включая снимки экрана, нажатия клавиш и файлы со съемных носителей, а также их загрузка на C2 злоумышленника. Новым дополнением к арсеналу группировки как раз таки стал пользовательский CapraRAT для Android, развертываемый с помощью фишинговых ссылок.

CapraRAT маскируется под приложение YouTube и считается модифицированной версией RAT с открытым исходным кодом под названием AndroRAT и поставляется с различными функциями для кражи данных, включая возможность сбора сведений о местоположении устройства, телефонных журналов и контактной информации.

Собственно это далеко не первый раз, когда хакерская группа использует Android RAT в своих целях и дабы не попасть под контроль злоумышленников, пользователям рекомендуется следить за нежелательными электронными письмами, не переходить по ссылкам и не загружать вложения электронной почты от неизвестных отправителей, а также устанавливать приложения только из надежных источников и проявлять осторожность, когда дело доходит до предоставления разрешений, запрашиваемых приложениями.

Microsoft отключает Интернет-макросы в приложениях Office по умолчанию, чтобы блокировать атаки вредоносных программ.

Отключаются макросы Visual Basic в приложениях (VBA) по умолчанию во всех своих продуктах, включая Word, Excel, PowerPoint, Access и Visio, для документов, загруженных из Интернет.

Это, по мнению разработчика, поможет закрыть целый класс атак. Для незначащих Microsoft поясняет, что оказывается, макросы в файлах Office доставляют вредоносные полезные нагрузки.

Но теперь, Microsoft будет оповещать пользователей сообщением Microsoft заблокировала выполнение макросов, поскольку источник файла ненадежен, если производится загрузка и открытие ненадежного файла Office. Обратная опция также доступна, достаточно разблокировать макросы для любого загруженного файла в надстройках ПО.

На такой хитроумный шаг производитель Windows пошел после того, как макросы были отключены по умолчанию в Excel 4.0 (XLM). Ожидается, что обновления будут применены в апреле 2022 года, а в будущем планируется перенести эту магическую функцию в Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.

А тем временем Khaby Lame уже снимает новый ролик в TikTok.

Bloomberg пишут, что Microsoft ведет переговоры о приобретении Mandiant.

На фоне этих новостей акции Mandiant выросли на 18% и даже Microsoft прибавили 1,2% стоимости.

Напомним, что в прошлом году Mandiant отпочковалась от FireEye, в составе которой пребывала в течение 8 лет. Основной бизнес FireEye отошел весьма интересному инвестиционному консорциуму Symphony Technology Group, который ранее приобрел корпоративный бизнес McAfee и RSA Security и из-за которого весьма крупно торчат уши АНБ.

Mandiant же в виде киберразведки и расследования киберинцидентов остался самостоятельной организацией. А теперь возможно войдет в состав Microsoft.

Хорошо это или плохо? По нашему мнению - однозначно плохо и вот почему.

Mandiant при всей своей ангажированности и ЦРУшном бэкграунде все же старались соблюдать хотя бы видимость объективности. К примеру, будучи первой инфосек компанией, заявившей о выявлении атаки на SolarWinds и весьма основательно ее расследовавшей, FireEye Mandiant ни разу не атрибутировали ответственного за атаку актора, названного ими UNC2452, как связанного с российскими спецслужбами. В отличие от множества других "инфосек экспертов", которые, впрочем, больше чем за год так и не смогли предоставить ни одного доказательства.

Киберрасследования Microsoft же уже давно превратились в шоу Бенни Хилла, в рамках которого CEO компании рассказывает про "тысячу инженеров из российских спецслужб, атаковавших SolarWinds". И примеров таких не подкрепленных объективными данными заявлений множество.

Так что будем надеяться, что не договорятся.

Польша тоже хочет стать strong.

Польское правительство объявило сегодня о создании нового киберподразделения в составе своих вооруженных сил, в функционал которого будут входить разведывательные, оборонительные и при необходимости наступательные операции.

Новая структура Cyberspace Defense Forces (CDF) получит условное наименование Wojska Obrony Cyberprzestrzeni или на русском Силы защиты киберпространства. Идея создания подразделения появилась впервые еще в 2019 году.

Все делается под эгидой защиты Вооруженных сил Польши от кибератак, которые (дословно) «стали одним из инструментов агрессивной политики, который использует и наш сосед». Роль новой структуры имеет фундаментальное, ключевое значение для вооруженных сил Польши.

Министр обороны Польши Мариуш Блащак уже назначил руководителя подразделения в статусе генерала армии, которым стал Кароль Моленда. Церемония прошла в клубе Военно-технического университета в Варшаве во вторник. Вновь назначенному генералу поручено тесно взаимодействовать с Национальным центром кибербезопасности (National Cyber Security Centre, NCSC), главой которого он и также является.

При этом он будет руководить обоими подразделениями, и CDF и NCSC, при этом CDF сосредоточится на военных кибероперациях, а NCSC продолжит заниматься исследованиями и разработками в области ИБ и криптографии.

Таким образом, Польша становится одной из немногих стран в мире, официально создавших кибервойска, следуя парадигме оценки киберпространства как области для ведения военных операций, которая впервые была озвучена НАТО на саммите в Варшаве в 2016 году.

Поляки также заявили о создании крупнейшего киберполигона в Европе, анонсировали свое участие в совместных операциях, а также не стали скрывать того, что намерены закупать необходимые для ведения кибервойн технологии.

Microsoft выпустили февральский Patch Tuesday с исправлениями для 51 задокументированной CVE в системе безопасности, некоторые из которых настолько серьезны, что могут способствовать атакам с полным захватом системы.

Однако ни одна из них не классифицирована как критическая. Из них: 16 уязвимостей повышения привилегий, 3 уязвимости обхода функций безопасности, 16 уязвимостей удаленного выполнения кода, 5 уязвимостей раскрытия информации, 5 уязвимостей отказа в обслуживании, 3 уязвимости спуфинга.

Кроме того, Redmond также исправили около 20 различных баг в своем веб-браузере Microsoft Edge (на основе Chromium).

Согласно Microsoft Security Response Center (MSRC), в февральских обновлениях исправлена одна публично раскрытая 0-day в ядре Windows, способствующая повышению привилегий (CVE-2022-21989). Успешная атака может быть выполнена из AppContainer с низким уровнем привилегий. Злоумышленник может повысить свои привилегии и выполнить код или получить доступ к ресурсам на более высоком уровне целостности, чем у среды выполнения AppContainer.

В целом, перечень пропатченных уязвимостей на этот раз затрагивает широкий спектр продуктов и компонентов Windows, включая проблемы с удаленным выполнением кода в DNS-сервере Windows, Windows Hyper-V, Microsoft SharePoint, видеорасширениях HEVC, Microsoft Dynamics 365 и Microsoft Office.

Microsoft также предоставила исправление уязвимости безопасности Office для Mac, которая позволяет использовать панель предварительного просмотра для раскрытия конфиденциальных пользовательских данных.

Полный список исправленных уязвимостей и выпущенных рекомендаций в в рамках - представлен здесь.