SentinelOne расчехлили Avast и AVG, обнаружив две уязвимости CVE-2022-26522 и CVE-2022-26523 в драйвере защиты от руткитов aswArPot.sys их антивирусных решениях, которые могли способствовать атакам на миллионы устройств.

В частности, недостатки затрагивают обработчик подключения к сокету в драйвере ядра, который может привести к повышению привилегий за счет запуска кода в ядре от пользователя, не являющегося администратором, что потенциально может привести к сбою операционной системы.

Об уязвимостях стало известно в декабре, а в феврале они были исправлены в рамках автоматического обновления Avast и AVG до версии 22.1. Был исправлен BSoD драйвера руткита.

SentinelOne присвоила багам высокий уровень серьезности. Эксплуатация позволяет злоумышленнику с ограниченными привилегиями в целевой системе выполнять код в режиме ядра и получать полный контроль над устройством, в том числе перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.

В виду их характера, уязвимости могут быть использованы как часть атаки браузера на втором этапе или для выхода из песочницы, что может привести к далеко идущим последствиям. Среди очевидных злоупотреблений такими уязвимостями является то, что их можно использовать для обхода средств защиты.

Несмотря на то, что SentinelOne и Avast не сообщают о каких-либо атаках с использованием этих уязвимостей, пользователям рекомендуется убедиться и обновить решения до последней версии, поскольку изолированные или локальные установки, которые не обновляются автоматически, все еще могут быть уязвимы.

Напрягает другое, ведь ошибки возникли после выпуска антивируса Avast версии 12.1 еще в январе 2012 года, то есть существовали почти десятилетие, что выглядит как минимум подозрительно, но вполне объяснимо. Но полагаем, что итальянского, да и прочих регуляторов, выгораживающих российские инфосек-бренды и решения, вряд ли будут волновать такие мелочи.

Компания Google с 5 мая запретила разработчикам в России загружать и обновлять платные приложения в Google Play

— С 5 мая им запрещено загружать платные приложения в магазин Google Play и обновлять уже добавленные.

— «Вы по-прежнему можете публиковать новые бесплатные приложения и обновлять существующие бесплатные приложения. Обновления платных приложений заблокированы», – говорится на сайте.

— Пользователям с активированными подписками сообщили, что после окончания указанного в личном кабинете периода их подписки отменятся

https://www.securitylab.ru/news/531500.php

Знакомьтесь, Raspberry Robin!
 
Новая разновидность вредоносного ПО для Windows с возможностями червя, которое распространяется с помощью внешних USB-накопителей. Ресерчеры Red Canary отмечают, что кластер Raspberry Robin был замечен еще в сентябре 2021 года в сетях нескольких клиентов из технологического и производственного секторов.

Raspberry Robin распространяется в системы Windows при подключении зараженного USB-накопителя, содержащего вредоносный файл .LNK, используя cmd.exe для его запуска в качестве нового процесса.

Мальварь использует стандартный установщик Microsoft (msiexec.exe) для доступа к своим серверам управления и контроля, которые, как полагают в Red Canary, размещаются на скомпрометированных устройствах QNAP и используют выходные узлы TOR в качестве дополнительной инфраструктуры C2.

Ресерчеры хотя до конца еще не установили, но предполагают, что Raspberry Robin внедряет вредоносный DLL-файл (1, 2) на скомпрометированные машины для закрепления между перезагрузками.

Для запуска DLL малварь использует утилиты Windows: fodhelper (доверенный двоичный файл для управления функциями в настройках Windows) и odbcconf (инструмент для настройки драйверов ODBC). Первый позволяет обойти контроль учетных записей (UAC), а второй помогает выполнять и настраивать DLL.

Red Canary еще занимаются выяснением механизма заражения внешних дисков, которые необходимы ПО для пролонгирования своей активности, подразумевая, что это происходит в автономном режиме или иным образом за пределами нашей видимости.

Кроме того, неясен до конца маневр с установкой вредоносной DLL, равно как и понимание вредоносных задач на конечной стадии, судя по которой можно определить истинные цели операторов Raspberry Robin.

Пока же вся доступная техническая информация о Raspberry Robin, включая индикаторы компрометации (IOC) и ATT&CK представлена в отчете Red Canary.

Дорогие друзья, мы поздравляем всех с Днем Победы!

Настоящие подвиги никогда не будут забыты. Низкий поклон ветеранам: тем, кто пал на войне, и тем, кто выжил. Победа навсегда останется с нами. Мы гордимся и помним.

Желаем процветания, счастья и веры только в светлое будущее!

Ура, ура, ура!

Результаты исследования новых образцов REvil не оставляют сомнений в том, что банда вернулась на позиции.

Исследователи Secureworks Counter Threat Unit (CTU) пришли к выводу о том, что разработчик загруженных VirusTotal образцов ransomware имеет доступ к исходному коду REvil, само ПО содержит разные модификации при отсутствии официальной новой версии, указывающие на нахождение группы в фазе новой активной разработки.

Образец REvil от 22 марта содержит в своей конфигурации артефакты, которые указывают на вероятную ссылку на жертву, опубликованную на сайте утечки REvil в апреле. Несмотря на значение версии 1,00, образец имеет отметку времени компиляции 2022-03-11 и включает функциональные возможности из образца версии 2.08, обнаруженного исследователями CTU в октябре 2021 года.

При этом мартовский образец включает следующие особенности, в отличие от его октябрьского предшественника:
⁃ обновлена логика расшифровки строк;
⁃ обновлены жестко запрограммированные открытые ключи;
⁃ изменено место хранения конфигурации;
⁃ изменен формат данных отслеживания партнерских программ;
⁃ удалена проверка запрещенного региона;
⁃ использован элемент конфигурации «accs»;
⁃ добавлены новые домены Tor для чата по выкупу;
⁃ изменены значения параметра безопасного режима;
⁃ обновлен раздел реестра и значения.

В недавних отчетах утверждалось, что образец от апреля 2022 года не шифровал файлы, а вместо этого переименовывал их в случайное расширение. CTU выяснили, что это было вызвано ошибкой после модификации автором вредоносной программы функционала переименования зашифрованных файлов.

Инициирование REvil новой разработки говорит о том, что после задержания операторов в результате совместной операции российских и американских силовиков, костяк банды вернулся к работе после перегруппировки и возможного обновления своего состава.

Новые дерзкие атаки впереди. Будем посмотреть.

Мы, как причастный к информационной безопасности канал, не можем обойти вниманием произошедшие в праздничные дни кибератаки. Мыслей будет несколько.

Во-первых, что касается Rutube. Масса комментаторов в ТГ и вообще в сети пишут что в голову взбредет. Даже The Village стали экспертами в области информационной безопасности, my ass. Особенно нравится частое использование модного хипстерского термина "кибербез" (очень похоже на "комбидресс", бггг) далекими от инфосека людьми.

Судя по тому, что нам известно (сразу скажем, что не слишком много), атака на Rutube была мощная и комплексная. То есть не 2,5 анона забежали через незакрытый RDP и оставили на рабочем столе документ под название "хуй войне.doc", а работала профессиональная группа с хорошим OpSec и грамотным планированием. Допускаем, что украинцы при поддержке американских APT. Тем более, последние такое практикуют.

Проблемы стандартные - недостаточно оперативное реагирование SOC, непродуманная сегментация сети etc. Позитивный момент - подключились Позитивы.

Ждем подробностей.

Во-вторых, неожиданно будем дефить Жарова с Моисеевым (нет, мы не получали денег от ГПМ). Вы будете смеяться, но в данном случае абсолютно применимо выражение "не мы такие - жизнь такая".

Мы не первый год кричим о том, что практикуемый в России на всех уровнях подход к обеспечению информационной безопасности не соответствует реалиям. Это проблема общая. И если кто-то думает, что от APT-атаки сможет защититься другая компания или госорган, то спешим вас разочаровать. 99% организаций не смогут.

Можно ли что-то сделать с этим? Наверное, да. Для начала создать российский аналог CISA с соответствующими полномочиями выпускать правила и ТРЕБОВАТЬ их исполнения от всех организаций, государственных и коммерческих. Но пока ничего не меняется.

Исходя из второго пункта проистекает пункт третий. Самый главный.

Про атаку на Rutube практически никто из цивильных западных инфосек изданий не написал. А те, кто написали, сделали это с пояснениями, что это результат действий "возмущенных российской агрессией украинских кибердружин". То есть это как-бы нехорошо, но в данном случае нормально.

А поэтому вангуем (хотя и надеемся, что окажемся неправы, но практика показывает противоположное) - российские информационные ресурсы объявлены законной целью для всех желающих. Никакого преследования лиц, осуществляющих любые атаки на российскую информационную инфраструктуру, на Западе проводиться не будет. А в отдельных случаях будет оказываться профессиональная поддержка.

С учетом неготовности к отражению сложных (а зачастую и простых) кибератак в подавляющем большинстве российских организаций нас ждет серия громких взломов отечественных ресурсов. Допускаем, что со временем, докатятся и до атак на объекты критической инфраструктуры и АСУ ТП, которые могут привести к человеческим жертвам (очень этого не хочется, но вероятность существует).

Такая вот ситуация нынче, касатики.

Очередной PatchTuesday от Microsoft с критическими обновлениями содержит исправления для 75 уязвимостей, в том числе 3 0-day и 8 критических, в экосистеме Windows, некоторые из которых активно эксплуатируются в дикой природе в ходе атак man-in-the-middle.

0-day CVE-2022-26925 был обнаружен Рафаэлем Джоном из Bertelsmann Printing Group и сейчас стал новым вектором атаки NTLM relay. Бага затрагивает все версии Windows, включая клиентские и серверные платформы, начиная с Windows 7 и Windows Server 2008 и заканчивая Windows 11 и Windows 2022.

Ошибка представляет уязвимость спуфинга Windows LSA, открывает злоумышленникам, не прошедшим проверку подлинности, путь для аутентификации на контроллерах домена с использованием Windows NT LAN Manager (NTLM). Но для этого они должны сначала внедриться в логический сетевой путь между целью и ресурсом, запрошенным жертвой, чтобы прочитать или изменить сетевые сообщения.
 
Несмотря на сложности атаки с использованием уязвимости CVE-2022-26925, она может быть реализована в связке с с другими атаками NTLM Relay, такими как PetitPotam. В этом случае оценка ее серьезности может быть увеличена с присвоенной CVSSv3 8,1 до 9,8 (уровня критической). Традиционно Microsoft обошлись парой слов об эксплуатации, не представив никаких дополнительных подробностей об эксплойтах или каких-либо IOC. Разработчики
 
Обновление включает функционал обнаружения и блокирования анонимных подключений в LSARPC. В дополнение доступны способы смягчения ретрансляционных атак NTLM против служб сертификации Active Directory. Но следует помнить о проблемах в работе ПО для резервного копирования от некоторых поставщиков, которые могут возникнуть при инсталляции обновлений в Windows 7 с SP1 и Windows Server 2008 R2 с SP1.

Кроме того, исправлены несколько уязвимостей диспетчера очереди печати, включая две уязвимости раскрытия информации (CVE-2022-29114, CVE-2022-29140) и две - повышения привилегий (CVE-2022-29104, CVE -2022-29132).

Ошибки диспетчера очереди печати оцениваются как «важные», и две из трех считаются более вероятными для использования. Следует помнить, что диспетчер печати Windows продолжает оставаться мишенью для злоумышленников с тех пор, как почти год назад был раскрыт PrintNightmare.

PatchTuesday также устраняет уязвимости в .NET и Visual Studio, Microsoft Exchange Server, Microsoft Office, Windows Hyper-V, BitLocker, клиента удаленного рабочего стола, сетевой файловой системы Windows, NTFS и протокола туннелирования Windows.

Учитывая совокупную критическую массу ошибок NTLM relay, рекомендуем обновиться и изучить рекомендации по защити от атак.

С трудом вспоминается, но так и не вспомнится никак, когда после кибератак на территории целого государства вводилось бы чрезвычайное положение.

Но именно такая ситуация сложилась в Коста-Рике, руководитель которой Родриго Чавес ввел режим ЧП после кибератак  вымогателей Conti на объекты в госсекторе. Это случилось сразу после вступления им в должность Президента 8 мая, ранее Чавес занимал пост министра финансов.

Следуя тактике двойного вымогательства, хакеры слили большую часть украденных данных, представленных на DLS. В паблике оказалось 97% дампа объемом 672 ГБ, который содержит данные, принадлежащие правительственным учреждениям Коста-Рики. Утечка последовала после отказа правительства Коста-Рики выплатить выкуп в размере 10 миллионов долларов.

В числе жертв: Министерства финансов, труда и социальной защиты, науки, инноваций, технологий и связи, Национальный метеорологический институт, Коста-риканский фонд соцобеспечения, Фонд соцразвития и семейных пособий, Административный совет электротехнической службы провинции Картаго и Межвузовская штаб-квартира Алахуэлы.

Анализ представленных Conti данных не оставляет сомнений в подлинности образцов исходного кода и базы данных SQL.

Официально на такой шаг вновь избранного президента подтолкнули непрекращающиеся уже на протяжении месяца атаки с использованием ransomware, которые затрагивает производственный сектор и цифровые услуги Минфина.

Но учитывая, что первой жертвой вымогателей как раз и стало ранее подшефное новому главе ведомство, можно предположить, что причинами ЧП могли стать вовсе не атаки, а скорее последствия утечки информации, прежде всего, финансовой. Или же смутить могли угрозы операторов Conti провести более серьезные атаки.

Но, на нашей памяти, пожалуй, это первый случай реагирования на атаку в масштабе целого государства.

͏Как говорится кто не успел, тот опоздал. Мы уже не раз писали о последствиях несоблюдения правила 72 часов при обновлении своих инфраструктур после обнаружения ошибок и публикации PoC.

Собственно злая роль и череда необратимых последствий обрушилась на компании использующие в своих решениях семейство продуктов F5 BIG-IP.

Стоило F5 Networks выпустить информационный бюллетень со списком нескольких уязвимостей, в том числе CVE-2022-1388 с оценкой CVSSv3 9,8 - багой связанной с критическим обходом аутентификации, которая приводит к удаленному выполнению кода в iControl REST, как многие исследователи стали публиковать доказательство концепции (PoC).

Так, например в понедельник, 9 мая 2022 г., Horizon3 выпустила полное доказательство концепции, которое успешно выполняется и позволяет получить полный root. Другие группы также разработали эксплойты и выложили их на Twitter и GitHub, в том числе и коллеги из Positive Technologies.

Все бы ничего, как всегда намерения были благими, но за последние несколько дней BinaryEdge обнаружили рост числа сканирований и эксплуатаций F5 BIG-IP. Из-за простоты использования этой уязвимости, общедоступного кода эксплойта и того факта, что он предоставляет root-доступ, количество попыток эксплуатации, вероятно будет еще расти.

Причем применение эксплойта сугубо вандальное и использовалось в деструктивных атаках с целью стереть файловую систему устройства и сделать сервер непригодным для использования. Одна команда «rm -rf /*» на целевом устройстве BIG-IP и все что было "нажито непосильным трудом" испарилось в одночасье. Более изощрённые злоумышленники использовали уязвимость с целью удаления веб-оболочки для начального доступа к сетям и кражи ключей SSH.

Из-за критического характера ошибки F5 призвал администраторов установить обновления как можно скорее.

Для тех клиентов, которые не могут установить исправленные версии компания предоставила временные меры, порекомендовав блокировать доступ iControl REST через собственный IP-адрес, ограничить доступ REST к iControl через интерфейс управления и изменить конфигурацию BIG-IP httpd.

Пользователей Chrome 101 порадовали новым обновлением.

Google объявила о выпуске обновления для браузера Chrome, которое устраняют в общей сложности 13 уязвимостей. Семь из них представляют собой ошибки использования после освобождения - эти типы уязвимостей могут привести к выполнению произвольного кода.

По оценке серьезности и согласно выплаченным вознаграждениям в рамках bugbounty, наиболее значимой багой является CVE-2022-1633 с высокой степенью серьезности, которая затрагивает Sharesheet.

Об ошибке сообщил Халил Жани, за что получил 5000 долларов США. Он же обнаружил другую CVE-2022-1634 высокой степени серьезности, связанную с использованием после освобождения в пользовательском интерфейсе браузера, за что ему было начислено еще 3000 долларов.

Исправлена CVE-2022-1635 с высокой степенью серьезности, также обусловленная использованием серьезности после освобождения в запросах на разрешение, о которой сообщил анонимный исследователь, получивший вознаграждение в размере 3000 долларов США.

Бесплатно поработал исследователь Сет Бренит из Microsoft, который обнаружил не менее серьезную CVE-2022-1636 (использование после освобождения) в API производительности, что согласно политике Google находится вне рамок корпоративной программы bugbounty. Обнаружил и на том, спасибо.

В вышедшей бюллетене Google сообщает о еще 4 уязвимостях высокой степени серьезности, исправленных текущим обновлением, за которые оплата будет начислена позже. К ним относятся CVE-2022-1637 (недопустимая реализация в веб-контенте), CVE-2022-1638 (переполнение буфера кучи при интернационализации V8), CVE-2022-1639 (использование после освобождения в ANGLE) и CVE-2022-1640 (использование после освобождения в Sharing).

Девятая уязвимость, устраненная с помощью обновления браузера, и седьмая уязвимость, связанная с использованием после освобождения, имеют среднюю степень серьезности. Google не упоминает об использовании каких-либо из уязвимостей в дикой природе, но как говорится еще не вечер.

Обновление Chrome 01.0.4951.64 доступно для пользователей Windows, Mac и Linux, чем и предлагаем воспользоваться.

Канадский оборонный подрядчик Top Aces Inc стал жертвой атаки с использованием ransomware. Отличились LockBit, на DLS которых теперь красуется эксклюзивный поставщик для вооруженных сил Канады и Германии.

Top Aces Inc - оборонный подрядчик из Монреаля (Квебек), который реализует услуги по обучению воздушно-десантных войск (CATS) Канады, имеет крупнейший в мире собственный парк модернизированных истребителей для репликации угроз Red Air, обучения JTAC, тренировочного сброса боеприпасов, обучения стрельбе в воздухе и буксировки морских целей для канадских и немецких вооруженных сил.

Кроме того, Top Aces обеспечивает обучение радиоэлектронной борьбе Королевских ВВС Канады (RCAF) в рамках контракта CATS, предлагая в том числе расширенные испытания радаров в приближенных к боевым условиям. С 2017 года Top Aces также принимает участие в обучении Сил обороны Австралии, а с 2019 - ВВС США, контракт с которыми включает в качестве отдельного пункта обучение защите от российского вооружения. 

Представители Top Aces подтвердили начало расследования инцидента. Теперь у компании осталось два дня, чтобы решить проблему выкупа, иначе 15 мая 44 ГБ эксфильтрованных данных порадуют разведки всех стран.

Последний факт беспокоит не только военных, опасения высказывают и ресерчеры. В числе которых отметился аналитик Emsisoft Бретт Кэллоу, который высказал возрастающую опасность атак на компании в сфере оборонно-промышленного комплекса, последние из которых включают инциденты с Visser Precision (поставщик запчастей для Lockheed Martin) и Westech International (военный подрядчик в области ядерных технологий Minuteman III).

Не разделяем переживания коллег по поводу того, что украденные в ходе атак сведения могут попасть не в те руки. Поверьте - попадут туда, куда нужно.

Еще раз подчеркнем латентный характер криминальной ransomware-индустрии. По данным наших коллег из Russian OSINT, группировка LockBit недавно засветила скриншот панели с указанием 12 125 компаний в качестве жертв при том, что на DLS опубликовано 850+ компаний. В денежном эквиваленте совокупный доход группировки может составить: 12 125 x $100,000 (минимум) = $1,212,500,000.

Поэтому Emsisoft точно не стоит переживать и за возрастающее количество инцидентов в военной или другой сфере - их и без того достаточно.

Вслед за недавними исправлениями целых наборов уязвимостей в UEFI производитель компьютеров HP выпускает новое обновление BIOS.

На этот раз поводом послужили две серьезные уязвимости, затрагивающие широкий спектр в более чем 200 моделях ПК и ноутбуков, которые позволяют запускать код с привилегиями ядра, включая управление драйверами и доступ к BIOS.

Уязвимости отслеживаются как CVE-2021-3808 и CVE-2021-3809, и имеют базовую оценку CVSS 8,8. На данный момент HP не раскрывает технических подробностей, заявляя лишь, что в число уязвимых продуктов входят бизнес-ноутбуки Zbook Studio, ZHAN Pro, EliteBook, ProBook и Elite Dragonfly, настольные ПК EliteDesk и ProDesk, компьютеры PoS Engage, рабочие станции Z1 и Z2 и тонкие клиентские ПК.
 
Баги были обнаружены еще ноябре 2021 года благодаря исследователю Николасу Старке, который пояснил в своем блоге, что уязвимость может позволить злоумышленнику, работающему с привилегиями уровня ядра (CPL == 0), повысить привилегии до режима управления системой (SMM). При этом SMM дает злоумышленнику полные привилегии над хостом для дальнейших атак.

Проблема заключается в том, что обработчик SMI может запускаться из среды ОС, например, через драйвер ядра Windows. Поэтому злоумышленнику необходимо найти адрес памяти функции LocateProtocol и перезаписать его вредоносным кодом. Он может инициировать выполнение кода, дав на это команду обработчику SMI.

Для использования уязвимости злоумышленнику необходимо иметь привилегии уровня root/SYSTEM в целевой системе и выполнять код в режиме управления системой (SMM). Кроме того, yекоторые модели компьютеров HP имеют средства защиты, которые злоумышленнику необходимо для обойти, чтобы эксплойт сработал, например, система HP Sure Start, которая отключит хост при повреждении памяти.

При достижении конечной цели злоумышленник, перезаписав UEFI (BIOS), может добиться устойчивого закрепления вредоносного ПО на машине, которое невозможно будет впоследствии удалить с помощью антивирусных средств или переустановки ОС.

Так что, всем владельцам железа НР, не желающим стать частью операций АРТ, практикующих атаки посредством UEFI, рекомендуем обновить BIOS, пока его не обновили без вашего участия.

Немецкий и французский конгломераты на пару выпустили аж 15 новых бюллетеней по исправлению 43 уязвимостей, в числе которых были и критические.

Львиную долю взял на себя Siemens и описал проблемы в отношении 35 уязвимостей. Основываясь на оценках CVSS, наиболее важные рекомендации охватывают 11 недостатков, затрагивающих веб-сервер устройств SICAM P850 и P855.

Одна из ошибок является критической и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код или запустить атаку типа «отказ в обслуживании» (DoS). Пять уязвимостей высокой степени серьезности, о которых говорится в бюллетене, могут привести к DoS-атакам, выполнению кода, захвату трафика и вмешательству в работу устройства, атакам с XSS или доступу к интерфейсу управления устройством.

В устройствах Desigo PXC3, PXC4, PXC5 и DXR2 также были обнаружены критические баги, которые могут быть использованы для выполнения произвольного кода и атак с "распылением паролей" или заполнением учетных данных.

Серьезные проблемы с выполнением кода не обошли стороной промышленные продукты Siemens Simcenter Femap, JT2Go и Teamcenter Visualization использующие уязвимости в библиотеке cURL. Угрозе DoS-атак подвержены контроллеры Desigo DXR и PXC, модули коммуникационных процессоров CP 44x-1 RNA, Teamcenter и другие промышленные продукты, использующие OPC Local Discovery Server. Также серьезная уязвимость обнаружена в SIMATIC WinCC.

Компания Siemens уже начала выпускать исправления для описанных уязвимостей, но к сожалению исправления доступны пока не для всех продуктов.

В Schneider Electric выпустили три бюллетеня для информирования клиентов о 8 уязвимостях, 6 из которых затрагивают некоторые продукты Wiser Smart Home Automation, включая критическую проблему с жестко запрограммированными учетными данными и баги с высокой степенью серьезности, которую можно использовать в атаках с перебором паролей для захвата учетной записи администратора.

Компания также проинформировала клиентов о DoS-уязвимости в продуктах удаленного терминала Saitel DP, а также о серьезной уязвимости удаленного выполнения кода в инженерном инструменте для измерительных устройств PowerLogic ION Setup.

Для продуктов Saitel DP RTU и PowerLogic ION обновления имеются, а вот в случае с Wiser Smart затронутые продукты увы достигли конца срока службы и больше не получают исправлений, но компания предоставила некоторые меры по смягчению последствий.

Все бы ничего, но танцы с бубном нашим соотечественникам обеспечены, так как мы знаем, что сие европейские мастодонты ограничили обслуживание на территории РФ, а некоторые, как заявляют вовсе ушли.

Зафиксирована новая активность со стороны APT Bitter (азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю, за которой предположительно, стоит Индия).

На этот раз группа замечена аналитиками Cisco Talos в кибершпионской кампании на правительство Бангладеш, реализуемой с помощью нового вредоносного ПО с возможностью удаленного выполнения файлов. Операция проводится с августа 2021 года и представляет собой стандартный таргетинг Bitter, который остается неизменным с 2013 года.

Исследователи атрибутируют эту кампанию с Bitter по большей части на основе совпадения IP-адресов C2 с ранее наблюдаемыми активностями группы, особенностей шифрования строк и схемы именования модулей.

Атаки на правительственные цели названной страны включали две цепочки заражения, обе из которых начинались с целевого фишинга на канале электронной почты. Разница заключалась в типе файлов, прикрепленных к вредоносному письму: одни представляли собой документ в формате .RTF, а у другие - в формате .XLSX.

Отправитель эмулировался под пакистанские правительственные организации. Во многом благодаря использованию уязвимости в почтовом сервере Zimbra, которая позволяла злоумышленникам отправлять сообщения с несуществующей учетной записи/домена электронной почты. Тематика отправлений касалась проверки подлинности мобильных номеров в соответствии с вновь принятым в Бангладеш регламентом идентификации оборудования или NEIR для блокировки телефонного мошенничества.

Документы RTF использовались для эксплуатации CVE-2017-11882 и запуска удаленного выполнения кода на компьютерах с уязвимыми версиями Microsoft Office. При открытии файла в Microsoft Word, запускалось приложение Equation Editor и выполась формула уравнения, содержащая гаджеты возвратно-ориентированного программирования (ROP).

После этого ROP загружал и выполнял шелл-код, расположенный в maldocs в зашифрованном формате, обеспечивая подключение к вредоносному хосту olmajhnservice[.]com для загрузки полезной нагрузки.

В случае электронной таблицы Excel открытие этого файла инициировало эксплойт для CVE-2018-0798 и CVE-2018-0802, что приводило к удаленному выполнению кода в устаревших версиях Microsoft Office. В этом случае извлечение полезной нагрузки осуществлялось запуском двух созданных эксплойтом задач, которые с пятиминутным интервалом после заражения инициировали подключения к хост-серверу и загрузку трояна, которые Cisco Talos назвали ZxxZ.

Это 32-разрядный исполняемый файл Windows, который загружает и выполняет модули с общими именами файлов, такими как «Update.exe», «ntfsc.exe» или «nx.exe». Они либо загружаются, либо помещаются в локальную папку данных приложения жертвы и запускаются как обновление безопасности Windows со средней целостностью для повышения привилегий обычного пользователя.

Вредоносная программа имеет функции защиты от обнаружения, а также отсекает активные процессы Windows Defender и других антивирусных решений.

После этого активируется функция эксфильтрации информации, которая сбрасывает данные профиля жертвы в буфер памяти и отправляет их на сервер управления и контроля. Затем C2 отвечает переносимым исполняемым файлом, хранящимся в «%LOCALAPPDATA%\Debug\». В случае сбоев при получении этого исполняемого файла ZxxZ повторяет попытку еще 225 раз, прежде чем завершает работу.

Как в индийском кино, APT Bitter не перестает удивлять своей гиперактивностью, обновляя свой арсенал новыми инструментами и прилагая больше усилий для сокрытия своего присутствия в скомпрометированных системах.

Исследователи Rapid7 обнаружили критическую уязвимость CVE-2022-30525 (с оценкой CVSS v3: 9,8) в брандмауэре Zyxel. Критические уязвимости брандмауэра могут позволить злоумышленникам получить полный доступ к устройствам и внутренним корпоративным сетям, которые они как бы защищают.

Уязвимость представляет собой возможность ввода удаленной команды без проверки подлинности через интерфейс HTTP в межсетевых экранах Zyxel, поддерживающих Zero Touch Provisioning (ZTP), затрагивая версии встроенного ПО от ZLD5.00 до ZLD5.21.

Выявленная уязвимость эксплуатируется через URI /ztp/cgi-bin/handler. Команды при этом могут выполняться от имени пользователя «nobody». Уязвимая функциональность вызывается командой setWanPortSt. Злоумышленник может ввести произвольные команды в параметр mtu или data.

Типичными последствиями такой атаки будут модификация файлов и выполнение команд ОС, что позволит злоумышленникам получить первоначальный доступ к сети и распространиться по сети. Эксплуатация CVE-2022-30525, прежде всего, позволит злоумышленнику закрепиться во внутренней сети жертвы.

Среди уязвимых моделей: USG FLEX 50, 50W, 100W, 200, 500, 700 с прошивкой 5.21 и ниже; USG20-VPN и USG20W-VPN с прошивкой 5.21 и ниже; ATP 100, 200, 500, 700, 800 с прошивкой 5.21 и ниже, которые в основном используются в небольших офисах и штаб-квартирах для организации VPN, проверки SSL, защиты от вторжений, электронной почты и веб-фильтрации.

Об ошибке ресерчеры сообщили разработчику 13 апреля 2022 года. Изучив представленные исследователи материалы Zyxel подтвердили серьезность уязвимости и пообещали исправить в июне 2022 года, но выпустили исправления в виде автоматического обновления уже 28 апреля 2022 года, не предоставив при этом каких-либо технических подробностей или рекомендаций по смягчению последствий.

Позже, конечно же разработчики исправились и разместили соответствующие указания клиентам.
 
На днях Rapid 7 опубликовали отчет  с раскрытием технических деталей и соответствующим модулем Metasploit, который используя CVE-2022-30525, вводит команды в поле MTU. Кроме того, открывший багу исследователь Джейк Бейнс продемонстрировал видео с ее эксплуатацией.

Поскольку технические детали и Metasploit доступны и уже изучаются хакерами всех мастей, администраторам необходимо обновить как можно скорее свои устройства, начнется активное использование уязвимости. А это произойдёт однозначно, поскольку на момент всей этой истории в сети обнаруживается до 17 тысяч доступных уязвимых систем.

Выводы делайте сами.

Intel выпустила исправлений для множества уязвимостей в линейке своих продуктов, в том числе для ряда серьезных уязвимостей в прошивке BIOS процессоров.

В общей сложности 10 серьезных ошибок затрагивают несколько процессоров Intel Xeon, Pentium Silver, Rocket Lake Xeon, Core и Core X. Наиболее серьезными из них являются 4 ошибки, которые могут привести к повышению привилегий через локальный доступ: CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 и CVE-2021-0190, имеют оценку CVSS 8,2.

Остальные 5 уязвимостей высокой степени серьезности, описанные в опубликованном бюллетене, также могут привести к эскалации привилегий через локальный доступ, но имеют несколько более низкие оценки CVSS. В бюллетене Intel также описаны 2 баги средней степени серьезности.
 
Кроме того, Intel исправила серьезную ошибку в Boot Guard и Trusted Execution Technology (TXT). Они отслеживается как CVE-2022-0004 и имеет оценку CVSS 7,3. Уязвимость может быть использована для повышения привилегий в уязвимой системе.
 
Режимы аппаратной отладки и настройка процессора INIT, которые позволяют переопределять блокировки для некоторых процессоров в Intel Boot Guard и Intel TXT, могут позволить пользователю, не прошедшему проверку подлинности, потенциально включить эскалацию привилегий посредством физического доступа.
 
Проблема затрагивает несколько моделей процессоров Intel, в том числе последние три поколения процессоров Intel Core, некоторые модели Celeron, Atom, Pentium, Xeon, Gold и Silver, а также наборы микросхем нескольких серий.
 
Компания рекомендует обновить Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки ЦП при включенном Boot Guard, а также деактивировать бит BSP (Bootstrap Processor) INIT (DBI).
 
Производитель опубликовал рекомендации для восьми уязвимостей в продуктах Optane SSD и Intel Optane SSD Data Center (DC), в том числе 3 с рейтингом высокой серьезности и 5 - средней.
 
В числе прочих исправлены серьезные дыры в безопасности прошивки NUC и программном обеспечении In-Band Manageability, а также ошибки средней степени серьезности в Advisor, XTU, Killer Control Center, Manageability Commander и платформе SGX.

К атаке на Rutube могут быть причастны бывшие сотрудники видеохостинга

— Причастность к взлому Rutube бывших разработчиков видеосервиса в настоящий момент является одной из версий, которые разрабатывает следствие.

— По его словам, недоступность видеохостинга в течение двух суток была связана с так называемыми программными «закладками», которые оставили злоумышленники.

— На текущий момент специалисты завершили наиболее важный этап восстановления платформы, видеохостинг постепенно наращивает нагрузку.

https://www.securitylab.ru/news/531621.php

С завидной регулярностью исследователи из Proofpoint обнаруживают новые RAT и порой задумываешься, что они их сами штампуют. Шутка конечно.

В этот раз под прицел специалистов попал новый Nerbian RAT, который распространяется через спам кампании с использованием тем про COVID и Всемирную организацию здравоохранения.

Те, кто кроме инфосека увлекался еще и литературой наверное обратил внимание на название RAT, которое происходит от именованной функции в исходном коде вредоносного ПО и Нербия — это вымышленное место из романа «Дон Кихот» .

Nerbian RAT написан на языке программирования Go, скомпилирован для 64-битных систем, что делает вредоносное ПО кроссплатформенным. Причем троян далеко не простой и реализует сложные методы уклонения и защиты от анализа антивирусных средств.

Электронные письма содержат "заряженное" вложение Word, которое иногда сжимают с помощью RAR. При включении макросов документ показывает информацию, касающуюся безопасности от COVID-19 и мерах по самоизоляции инфицированных лиц и т.п. Для правдоподобности документ содержит логотипы Управления здравоохранения правительства Ирландии и Национального совета Ирландии (NCBI).

После открытия документа такого «письма счастья» и включения макроса bat-ник запускает PowerShell, действующий как загрузчик для дроппера Goland с именем «UpdateUAV.exe». Исполняемый файл UpdateUAV является дроппером для Nerbian RAT и не мудрствуя лукаво, как оказалось заимствует код из различных проектов на GitHub.

Nerbian поддерживает множество различных функций, таких как регистрация нажатий клавиш и захват изображений с экрана, а также управление связью через SSL.

Как говорят специалисты рассылка условно целевая, так как было менее 100 сообщений и была нацелена на несколько отраслей в странах Европы преимущественно на организации в Италии, Испании и Великобритании. Так же в Proofpoint с высокой степенью уверенности заявили, что и дроппер, и RAT были созданы одним и тем же объектом. Соответствующие детали исследования и индикаторы компрометации представлены в отчете.

Как мы и предполагали, хакеры приступили к активной эксплуатации недавно исправленной критической уязвимости CVE-2022-30525 (оценка 9,8) в брандмауэре Zyxel и VPN для предприятий, которая позволяет удаленному злоумышленнику удаленно вводить произвольные команды без аутентификации.

И по стечению обстоятельств проблемы у администраторов уязвимых решений начались именно в пятницу 13-го, а днем ранее Zyxel выпустила бюллетень по безопасности для CVE-2022-30525 и необходимые исправления. В свою очередь, обнаруживший уязвимость исследователь Rapid7 также представил технические подробности и Metasploit, продемонстрировав как при этом злоумышленник может установить reverse shell, используя обычный bash GTFOBin.

О первых попутках эксплуатации CVE-2022-30525 сообщили эксперты Shadowserver Foundation.

Компания провела собственное сканирование, обнаружив в открытой сети не менее 20 800 моделей брандмауэров Zyxel (в то время как, ранее Rapid7 указывали на 15 000 с помощью Shodan), которые потенциально подвержены уязвимости, из них более 15 000 являются моделями USG20-VPN и USG20W-VPN. Модели достаточно часто используются для подключений VPN в структурных подразделениях или филиалах.

Большая часть уязвимых устройств найдено во Франции и Италии, а также других странах ЕС.

Учитывая всю серьезность ситуации и высокую популярность устройств, исследователи выпустили код, позволяющий администраторам обнаружить уязвимость и возможные попытки ее эксплуатации.

RedTeam испанской телекоммуникационной компании Telefónica опубликовали сканер уязвимостей Nuclei для обнаружения CVE-2022-30525, который доступен на GitHub. Другой исследователь BlueNinja выпустил скрипт для обнаружения внедрения неаутентифицированной удаленной команды в продукты Zyxel firewall и VPN и также опубликовал его на GitHub.

Решения есть, патчи доступны, осталось только пинка раздать.