Позиция канала SecAtor относительно подключенных к сети свистоперделок неоднократно нами озвучивалась и не поменялась - нет! Потому что, чем их больше - тем больше уязвимостей.
На этот раз китайская компания по производству умных секс-игрушек оставила одну из своих баз данных открытой в Интернете благодаря двум уязвимостям, раскрыв информацию о клиентах, которые приобрели мужские цифровые замки целомудрия.
Утечка включала адреса электронной почты, пароли в виде открытого текста, домашние адреса, IP-адреса и даже GPS-координаты некоторых из ее пользователей.
В общей сложности более пострадало 10 000 пользователей, благодаря двум уязвимостям.
Анонимный исследователь, обнаруживший баги и извлекший базу данных, сообщил об утечке поставщику девайсов и китайской CERT еще в июне, но безрезультатно.
В итоге, в поисках справедливости исследователь 23 августа оставил месседж на сайте поставщика, донеся таким образом до производителя информацию об утечке базы данных.
Компания в ответ восстановила свой сайт, но все равно не предприняла никаких мер по защите.
Компания по соображениям безопасности не называется. Но в прошлом аналогичный инцидент произошел с Qiui Cellmate.
В мобильном приложении оказался ряд уязвимостей, которые позволяли не только в течение пары дней собрать базу всех пользователей, но и дистанционно блокировать устройство в закрытом состоянии.
На этот раз китайская компания по производству умных секс-игрушек оставила одну из своих баз данных открытой в Интернете благодаря двум уязвимостям, раскрыв информацию о клиентах, которые приобрели мужские цифровые замки целомудрия.
Утечка включала адреса электронной почты, пароли в виде открытого текста, домашние адреса, IP-адреса и даже GPS-координаты некоторых из ее пользователей.
В общей сложности более пострадало 10 000 пользователей, благодаря двум уязвимостям.
Анонимный исследователь, обнаруживший баги и извлекший базу данных, сообщил об утечке поставщику девайсов и китайской CERT еще в июне, но безрезультатно.
В итоге, в поисках справедливости исследователь 23 августа оставил месседж на сайте поставщика, донеся таким образом до производителя информацию об утечке базы данных.
Компания в ответ восстановила свой сайт, но все равно не предприняла никаких мер по защите.
Компания по соображениям безопасности не называется. Но в прошлом аналогичный инцидент произошел с Qiui Cellmate.
В мобильном приложении оказался ряд уязвимостей, которые позволяли не только в течение пары дней собрать базу всех пользователей, но и дистанционно блокировать устройство в закрытом состоянии.
TechCrunch
Maker of ‘smart’ chastity cage left users’ emails, passwords, and locations exposed | TechCrunch
A hacker said they breached the maker of internet-connected chastity cages to warn about security flaws that are exposing users' data.
Патрик Гаррити из Nucleus Security отмечает, что в этом году в базу данных CISA KEV было добавлено 117 активно эксплуатируемых уязвимостей, в прогнозе - в этом году их число превысит 150.
Проанализировав статистику и оценив эксплуатируемые уязвимости, исследователь визуализировал CISA KEV и выявить некоторые новые тенденции.
Подавляющее большинство приходится на Microsoft и соответствует ежемесячному циклу PatchTuesday, за некоторыми исключениями. В виду распространенности продуктов на рынке и более пристального внимания к ПО со стороны исследователей, в последние годы в портфеле старых уязвимостей подприбавилось.
Наметилась тенденция кластерных уязвимостей, которая прослеживается у нескольких поставщиков, прежде всего, Microsoft, Apple, Samsung Electronics, Cisco, Zyxel и др., обусловленная добавлением в KEV одновременно целого ряда недостатков.
У Samsung Electronics фиксируется заметный рост числа уязвимостей, преимущественно, из-за включения нескольких 0-day 2021 года из списка Google Project Zero.
Произошло множество серьезных инцидентов безопасности с участием поставщиков, имеющих только одну уязвимость в списке, включая Fortinet, Progress MoveIT и Barracuda Networks (Citrix отличился наличием в списке двух уязвимостей).
Ресерчер подчеркнул важность надежного управления уязвимостями, внедрения дополнительных мер по смягчению последствий и соблюдения лучших практик безопасности для любых систем, подключенных к Интернету, а также формулировки стратегии быстрого реагирования.
Заметьте, в этом случае мы не говорим про Asshole Chain Attack, поскольку она относится исключительно к профессионально подготовленным специалистам.
Проанализировав статистику и оценив эксплуатируемые уязвимости, исследователь визуализировал CISA KEV и выявить некоторые новые тенденции.
Подавляющее большинство приходится на Microsoft и соответствует ежемесячному циклу PatchTuesday, за некоторыми исключениями. В виду распространенности продуктов на рынке и более пристального внимания к ПО со стороны исследователей, в последние годы в портфеле старых уязвимостей подприбавилось.
Наметилась тенденция кластерных уязвимостей, которая прослеживается у нескольких поставщиков, прежде всего, Microsoft, Apple, Samsung Electronics, Cisco, Zyxel и др., обусловленная добавлением в KEV одновременно целого ряда недостатков.
У Samsung Electronics фиксируется заметный рост числа уязвимостей, преимущественно, из-за включения нескольких 0-day 2021 года из списка Google Project Zero.
Произошло множество серьезных инцидентов безопасности с участием поставщиков, имеющих только одну уязвимость в списке, включая Fortinet, Progress MoveIT и Barracuda Networks (Citrix отличился наличием в списке двух уязвимостей).
Ресерчер подчеркнул важность надежного управления уязвимостями, внедрения дополнительных мер по смягчению последствий и соблюдения лучших практик безопасности для любых систем, подключенных к Интернету, а также формулировки стратегии быстрого реагирования.
Заметьте, в этом случае мы не говорим про Asshole Chain Attack, поскольку она относится исключительно к профессионально подготовленным специалистам.
Linkedin
Patrick Garrity 👾🛹💙 on LinkedIn: #cybersecurity #infosecurity #riskmanagement #cisa… | 24 comments
Over the weekend, I took some time to reflect on my work evaluating the Cybersecurity and Infrastructure Security Agency's (CISA) Known Exploited… | 24 comments on LinkedIn
Сентябрьские обновления безопасности Google для Android устраняют 32 уязвимости, включая одну активно эксплуатируемую ошибку высокой степени серьезности.
Android Zero-Day, получившая обозначение CVE-2023-35674, связана с повышением привилегий в компоненте Android Framework.
Согласно рекомендациям Google, для использования этой ошибки не требуется никаких дополнительных прав на выполнение или взаимодействия с пользователем.
Кроме того, компания обнаружила свидетельства, указывающие на то, что CVE-2023-35674 может подвергаться ограниченному целенаправленному использованию, не раскрывая подробностей о наблюдаемых атаках.
Вероятно, речь идет о целевых атаках, которые реализуются с использованием spyware, как это уже было ранее с предыдущими исправленными 0-day Android.
В Framework были устранены еще 5 уязвимостей высокой степени серьезности: 3 из них приводили к повышению привилегий, а 2 — к раскрытию информации.
Все 6 проблем были решены в рамках обновления безопасности Android от 2023-09-01, которое также включает исправления для 14 уязвимостей в системных компонентах.
Из них три (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) являются критическими ошибками, которые могут привести к RCE без необходимости дополнительных привилегий и взаимодействия с пользователем, а остальные являются ошибками высокой степени серьезности: 6 приводят к повышению привилегий, 4 — к раскрытию информации и 1 — к DoS.
Google также объявила, что две другие проблемы были закрыты в компонентах Project Mainline с помощью обновлений, доставленных в фоновом режиме через Google Play.
Вторая часть обновлений для Android, выпущенного в этом месяце, поставляется на устройствах в виде патча безопасности от 05 сентября 2023, в котором исправлены 12 других уязвимостей в компонентах Qualcomm.
Последний уровень исправлений включает в себя все исправления безопасности из исходного набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра, которые могут не относиться ко всем устройствам Android.
Android Zero-Day, получившая обозначение CVE-2023-35674, связана с повышением привилегий в компоненте Android Framework.
Согласно рекомендациям Google, для использования этой ошибки не требуется никаких дополнительных прав на выполнение или взаимодействия с пользователем.
Кроме того, компания обнаружила свидетельства, указывающие на то, что CVE-2023-35674 может подвергаться ограниченному целенаправленному использованию, не раскрывая подробностей о наблюдаемых атаках.
Вероятно, речь идет о целевых атаках, которые реализуются с использованием spyware, как это уже было ранее с предыдущими исправленными 0-day Android.
В Framework были устранены еще 5 уязвимостей высокой степени серьезности: 3 из них приводили к повышению привилегий, а 2 — к раскрытию информации.
Все 6 проблем были решены в рамках обновления безопасности Android от 2023-09-01, которое также включает исправления для 14 уязвимостей в системных компонентах.
Из них три (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) являются критическими ошибками, которые могут привести к RCE без необходимости дополнительных привилегий и взаимодействия с пользователем, а остальные являются ошибками высокой степени серьезности: 6 приводят к повышению привилегий, 4 — к раскрытию информации и 1 — к DoS.
Google также объявила, что две другие проблемы были закрыты в компонентах Project Mainline с помощью обновлений, доставленных в фоновом режиме через Google Play.
Вторая часть обновлений для Android, выпущенного в этом месяце, поставляется на устройствах в виде патча безопасности от 05 сентября 2023, в котором исправлены 12 других уязвимостей в компонентах Qualcomm.
Последний уровень исправлений включает в себя все исправления безопасности из исходного набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра, которые могут не относиться ко всем устройствам Android.
Исследователи BugProve обнаружили десятки неисправленных уязвимостей в широко распространенных камерах видеонаблюдения китайской компании Zavio.
До 2022 года Zavio являлся крупных китайским производителем систем видеонаблюдения гражданского и промышленного назначения с достаточно большой долей на мировом рынке.
К настоящему времени поставщик прекратил свою деятельность, но, как сообщается, ее камеры видеонаблюдения до сих пор используются, преимущественно, в США и Европе, представлены и в России.
В связи с ее закрытием исследователям пришлось координировать процесс раскрытия уязвимости с CCTV Camera Pros, основным дистрибьютором камер Zavio в Северной Америке и представителями CISA.
В совокупности BugProve выявила более 34 уязвимостей, связанных с повреждением памяти и внедрением команд, затрагивающих различные модели IP-камер Zavio, а также Onvif, который используется для интеграции с различными системами наблюдения.
По данным компании, семь уязвимостей могут быть использованы для удаленного выполнения кода без аутентификации с правами root, позволяя злоумышленникам получить полный контроль над целевым устройством.
IP-камеры могут быть использованы для перехвата видеопотока, но в реальной жизни - чаще становятся объектами атак ботнетов и задействуется в дальнейшем для DDoS-кампаний.
Несмотря на то, что BugProve обнаружила множество отдельных уязвимостей, CISA присвоила только два идентификатора CVE — CVE-2023-4249 и CVE-2023-3959 с учетом того, что недостатки связаны с теми же основными проблемами.
Поскольку затронутые камеры Zavio не получат исправлений, пользователям рекомендуется заменить устройства, чтобы избежать хакерских атак, о чем CCTV Camera Pros уже информирует клиентов, предлагая альтернативы.
Уязвимости были обнаружены еще в конце 2022 года, но процесс раскрытия затянулся из-за отсутствия ответа со стороны поставщика и длительной проверки уязвимостей со стороны CISA.
Технические подробности всех выявленных недостатков в продуктах Zavio исследователи BugProve в своем блоге.
До 2022 года Zavio являлся крупных китайским производителем систем видеонаблюдения гражданского и промышленного назначения с достаточно большой долей на мировом рынке.
К настоящему времени поставщик прекратил свою деятельность, но, как сообщается, ее камеры видеонаблюдения до сих пор используются, преимущественно, в США и Европе, представлены и в России.
В связи с ее закрытием исследователям пришлось координировать процесс раскрытия уязвимости с CCTV Camera Pros, основным дистрибьютором камер Zavio в Северной Америке и представителями CISA.
В совокупности BugProve выявила более 34 уязвимостей, связанных с повреждением памяти и внедрением команд, затрагивающих различные модели IP-камер Zavio, а также Onvif, который используется для интеграции с различными системами наблюдения.
По данным компании, семь уязвимостей могут быть использованы для удаленного выполнения кода без аутентификации с правами root, позволяя злоумышленникам получить полный контроль над целевым устройством.
IP-камеры могут быть использованы для перехвата видеопотока, но в реальной жизни - чаще становятся объектами атак ботнетов и задействуется в дальнейшем для DDoS-кампаний.
Несмотря на то, что BugProve обнаружила множество отдельных уязвимостей, CISA присвоила только два идентификатора CVE — CVE-2023-4249 и CVE-2023-3959 с учетом того, что недостатки связаны с теми же основными проблемами.
Поскольку затронутые камеры Zavio не получат исправлений, пользователям рекомендуется заменить устройства, чтобы избежать хакерских атак, о чем CCTV Camera Pros уже информирует клиентов, предлагая альтернативы.
Уязвимости были обнаружены еще в конце 2022 года, но процесс раскрытия затянулся из-за отсутствия ответа со стороны поставщика и длительной проверки уязвимостей со стороны CISA.
Технические подробности всех выявленных недостатков в продуктах Zavio исследователи BugProve в своем блоге.
Bugprove
CVE-2023-3959, CVE-2023-4249 - Multiple critical vulnerabilities in Zavio IP cameras
BugProve uncovers seven pre-authentication remote code execution flaws and 26 post-authentication code execution vectors in Zavio IP cameras. Despite repeated warnings, Zavio remained unresponsive, necessitating intervention from CISA.
В нашей практике мы еще не сталкивались с тем, чтобы китайская инфосек-компания публиковала отчет о активности иранской АРТ, нацеленной на организации в США.
Теперь столкнулись.
Китайские исследователи NSFOCUS опубликовали отчет о недавней целевой фишинговой кампании, проведенной иранской APT34, также известной как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig.
APT34 активна, как минимум, с 2014 года и ранее была нацелена на госучреждения и компании в сфере телекоммуникаций, обороны, ТЭК, финансов, химпромышленности на Ближнем Востоке посредством фишинга в рамках операции по кибершпионажу и кибердиверсиям.
Как отмечают исследовали, APT34 обладает высоким уровнем технологии атак, способна разрабатывать уникальные методы проникновения для разных типов целей и проводить атаки на цепочку поставок.
Одной из ключевых особенностей хакерской организации является ее способность создавать новые и обновляемые инструменты, позволяющие свести к минимуму вероятность обнаружения, а также закрепляться на скомпрометированных хостах на длительный период времени.
После того, как основные инструменты атаки этой группы были раскрыты в утечке в 2019 году, она начала разрабатывать новые инструменты атаки, включая RDAT, SideTwist и Saitama.
SideTwist использовался APT34 впервые в апреле 2021 года. Исследователи Check Point описали его как имплант, способный загружать/выгружать файлы и выполнять команды.
Новая кампания была нацелена на организации США и привела к заражению жертв новой версией трояна SideTwist.
Цепочка атак, выявленная NSFOCUS, начиналась с документа-приманки Microsoft Word, который встраивается во вредоносный макрос, который, в свою очередь, извлекал и запускал полезные данные в кодировке Base64.
Полезная нагрузка представляла собой вариант SideTwist, который был скомпилирован с использованием GCC и устанавливал связь с удаленным сервером (11.0.188[.]38) для получения дальнейших команд.
Специфика этого IP-адреса, по мнению ресерчеров, предполагает, что злоумышленник APT34, вероятно, использовал его в качестве проверки и не демонстрируя реальный адрес C2.
Особенно, если учесть, что принадлежал сегменту 11.0.188.0/22, принадлежащему Министерству обороны США.
По нашему мнению, подобный отчет может быть свидетельством противодействия китайской стороны наметившемуся политическому сближению Ирана и США, в рамках которого штаты даже разморозили конфискованные у Ирана 6 млрд.дол. для их использования в гуманитарных целях.
Но будем посмотреть.
Теперь столкнулись.
Китайские исследователи NSFOCUS опубликовали отчет о недавней целевой фишинговой кампании, проведенной иранской APT34, также известной как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig.
APT34 активна, как минимум, с 2014 года и ранее была нацелена на госучреждения и компании в сфере телекоммуникаций, обороны, ТЭК, финансов, химпромышленности на Ближнем Востоке посредством фишинга в рамках операции по кибершпионажу и кибердиверсиям.
Как отмечают исследовали, APT34 обладает высоким уровнем технологии атак, способна разрабатывать уникальные методы проникновения для разных типов целей и проводить атаки на цепочку поставок.
Одной из ключевых особенностей хакерской организации является ее способность создавать новые и обновляемые инструменты, позволяющие свести к минимуму вероятность обнаружения, а также закрепляться на скомпрометированных хостах на длительный период времени.
После того, как основные инструменты атаки этой группы были раскрыты в утечке в 2019 году, она начала разрабатывать новые инструменты атаки, включая RDAT, SideTwist и Saitama.
SideTwist использовался APT34 впервые в апреле 2021 года. Исследователи Check Point описали его как имплант, способный загружать/выгружать файлы и выполнять команды.
Новая кампания была нацелена на организации США и привела к заражению жертв новой версией трояна SideTwist.
Цепочка атак, выявленная NSFOCUS, начиналась с документа-приманки Microsoft Word, который встраивается во вредоносный макрос, который, в свою очередь, извлекал и запускал полезные данные в кодировке Base64.
Полезная нагрузка представляла собой вариант SideTwist, который был скомпилирован с использованием GCC и устанавливал связь с удаленным сервером (11.0.188[.]38) для получения дальнейших команд.
Специфика этого IP-адреса, по мнению ресерчеров, предполагает, что злоумышленник APT34, вероятно, использовал его в качестве проверки и не демонстрируя реальный адрес C2.
Особенно, если учесть, что принадлежал сегменту 11.0.188.0/22, принадлежащему Министерству обороны США.
По нашему мнению, подобный отчет может быть свидетельством противодействия китайской стороны наметившемуся политическому сближению Ирана и США, в рамках которого штаты даже разморозили конфискованные у Ирана 6 млрд.дол. для их использования в гуманитарных целях.
Но будем посмотреть.
NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks.
APT34 Unleashes New Wave of Phishing Attack with Variant of SideTwist Trojan - NSFOCUS, Inc., a global network and cyber security…
NSFOCUS Security Labs captured a new APT34 phishing attack. In the attack, APT34 attackers disguised as a marketing services company launched attacks against enterprise targets and released a variant of SideTwist Trojan to achieve long-term control of the…
Google теперь уже в рамках еженедельного обновления исправила серьезные уязвимости в Chrome 116.
Первая ошибка, отслеживаемая как CVE-2023-4761, описывается как проблема доступа к памяти за пределами границ в API FedCM (Federated Credential Management).
Ошибка доступа к памяти за пределами буфера в конечном итоге может позволить злоумышленнику вызвать DoS или воспользоваться дополнительными уязвимостями для выполнения кода.
Второй недостаток — это проблема путаницы типов в движке JavaScript V8. Уязвимость, отслеживаемая как CVE-2023-4762, может привести к выходу за пределы доступа к памяти.
Третья ошибка, CVE-2023-4763, связана с проблемой использования после освобождения в компоненте «сети» Chrome. Она может быть использована для RCE или DoS, и в сочетании с другими - привести к полной компрометации системы.
Четвертая уязвимость, исправленная в этом обновлении Chrome 116, - CVE-2023-4764, зптрагивает пользовательский интерфейс безопасности в BFCache, позволяющий удаленному злоумышленнику использовать созданную HTML-страницу для подмены содержимого URL-строки.
Google не сообщает о использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Последняя версия Chrome теперь выпускается как 116.0.5845.179 для macOS и Linux и как версии 116.0.5845.179/.180 для Windows.
Первая ошибка, отслеживаемая как CVE-2023-4761, описывается как проблема доступа к памяти за пределами границ в API FedCM (Federated Credential Management).
Ошибка доступа к памяти за пределами буфера в конечном итоге может позволить злоумышленнику вызвать DoS или воспользоваться дополнительными уязвимостями для выполнения кода.
Второй недостаток — это проблема путаницы типов в движке JavaScript V8. Уязвимость, отслеживаемая как CVE-2023-4762, может привести к выходу за пределы доступа к памяти.
Третья ошибка, CVE-2023-4763, связана с проблемой использования после освобождения в компоненте «сети» Chrome. Она может быть использована для RCE или DoS, и в сочетании с другими - привести к полной компрометации системы.
Четвертая уязвимость, исправленная в этом обновлении Chrome 116, - CVE-2023-4764, зптрагивает пользовательский интерфейс безопасности в BFCache, позволяющий удаленному злоумышленнику использовать созданную HTML-страницу для подмены содержимого URL-строки.
Google не сообщает о использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Последняя версия Chrome теперь выпускается как 116.0.5845.179 для macOS и Linux и как версии 116.0.5845.179/.180 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.179 for Mac and Linux and 116.0.5845.179/.180 for Windows, which will...
Исследователи из Рурского университета в Бохуме, DFKI, Лаборатории социальной информатики NTT и Университета Тохоку разработали новую систему безопасности, которая позволяет эффективно противодействовать атакам по побочным каналам, приводящим к утечке данных из кэш-памяти процессора.
Названная функцией рандомизации безопасного кэша (Secure CAche Randomization Function), или SCARF, система реализует рандомизированную структуру кэша (дифференцированное сопоставление адреса с индексом кэша), которая не позволяет злоумышленникам создавать минимальные наборы вытеснения, которые являются фундаментальными для подобных атак.
В то же время рандомизированные кэши сохраняют гибкость традиционных кэшей, что делает их широко применимыми для различных типов процессоров. Это главное преимущество перед подходами к секционированию кэша.
Исследовательская группа утверждает, что SCARF превосходит аналогичные системы, которые в значительной степени полагаются на шифрование кэша.
SCARF реализует первый специализированный шифр рандомизации кэша, который обеспечивает низкую задержку и является криптографически безопасным в модели злоумышленника кэша.
Названная функцией рандомизации безопасного кэша (Secure CAche Randomization Function), или SCARF, система реализует рандомизированную структуру кэша (дифференцированное сопоставление адреса с индексом кэша), которая не позволяет злоумышленникам создавать минимальные наборы вытеснения, которые являются фундаментальными для подобных атак.
В то же время рандомизированные кэши сохраняют гибкость традиционных кэшей, что делает их широко применимыми для различных типов процессоров. Это главное преимущество перед подходами к секционированию кэша.
Исследовательская группа утверждает, что SCARF превосходит аналогичные системы, которые в значительной степени полагаются на шифрование кэша.
SCARF реализует первый специализированный шифр рандомизации кэша, который обеспечивает низкую задержку и является криптографически безопасным в модели злоумышленника кэша.
Forwarded from Russian OSINT
На прошлой неделе при проверке📱устройства одного из сотрудников общественной организации в США, Citizen Lab обнаружила активно эксплуатируемую уязвимость "zero-click", которая использовалась для развертывания шпионского ПО Pegasus от компании NSO Group на устройство жертвы.
"Цепочка эксплойтов [BLASTPASS] была способна скомпрометировать iPhone, работающие под управлением последней версии iOS (16.6), без какого-либо вмешательства со стороны жертвы", - пишет Citizen Lab.
СItizen Lab назвала цепочку эксплойтов "BLASTPASS", поскольку в ней задействован PassKit - фреймворк, позволяющий разработчикам включать Apple Pay в свои приложения. Apple выпустила обновления безопасности и порекомендовала срочно обновиться.
https://support.apple.com/en-us/HT213905
Please open Telegram to view this post
VIEW IN TELEGRAM
Ботнет Mirai эволюционировал и миллионы устройств для потоковой передачи мультимедиа снова под угрозой.
Новая версия Mirai теперь заражает недорогие приставки Android TV и, по данным исследователей Dr. Web, представляет собой модифицированный вариант бэкдора Pandora, впервые появившегося в 2015 году.
Основными целями вредоносной кампании стали ТВ-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, которые оснащены четырехъядерными процессорами, позволяющими проводить оператором мощные DDoS-атаки даже при небольшом количестве задействованных ботов.
Основным каналом доставки малвари на устройства выступают фейковые обновления прошивки, подписанное общедоступными тестовыми ключами, а также вредоносные приложения на сайтах с пиратским контентом.
Поэтому стоит иметь в виду, что обещанная безлимитная халява с медиа контентом может выйти боком и ваша приставка верой и правдой будет служить на стороне зла.
Вредоносная служба скрывается в файле boot.img, который содержит компоненты ядра и виртуального диска, загружаемые во время загрузки системы Android, что является отличным механизмом для сохранения устойчивости.
На старте в фоновом режиме запускается служба GoMediaService и настраивается автозапуск при загрузке устройства.
Далее служба вызывает программу gomediad.so, которая распаковывает несколько файлов, включая интерпретатор командной строки, работающий с повышенными привилегиями (Tool.AppProcessShell.1) и установщик бэкдора Pandora (.tmp.sh).
После активации бэкдор связывается с сервером C2, заменяет файл HOSTS, обновляется, а затем переходит в режим ожидания, ожидая входящих команд от операторов ботнета.
Специалисты полагают, что вредоносное ПО может выполнять DDoS-атаки по протоколам TCP и UDP, например генерировать SYN, ICMP и DNS-флуд-запросы, а также открывать обратную оболочку, монтировать системные разделы для модификации и многое другое.
Новая версия Mirai теперь заражает недорогие приставки Android TV и, по данным исследователей Dr. Web, представляет собой модифицированный вариант бэкдора Pandora, впервые появившегося в 2015 году.
Основными целями вредоносной кампании стали ТВ-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, которые оснащены четырехъядерными процессорами, позволяющими проводить оператором мощные DDoS-атаки даже при небольшом количестве задействованных ботов.
Основным каналом доставки малвари на устройства выступают фейковые обновления прошивки, подписанное общедоступными тестовыми ключами, а также вредоносные приложения на сайтах с пиратским контентом.
Поэтому стоит иметь в виду, что обещанная безлимитная халява с медиа контентом может выйти боком и ваша приставка верой и правдой будет служить на стороне зла.
Вредоносная служба скрывается в файле boot.img, который содержит компоненты ядра и виртуального диска, загружаемые во время загрузки системы Android, что является отличным механизмом для сохранения устойчивости.
На старте в фоновом режиме запускается служба GoMediaService и настраивается автозапуск при загрузке устройства.
Далее служба вызывает программу gomediad.so, которая распаковывает несколько файлов, включая интерпретатор командной строки, работающий с повышенными привилегиями (Tool.AppProcessShell.1) и установщик бэкдора Pandora (.tmp.sh).
После активации бэкдор связывается с сервером C2, заменяет файл HOSTS, обновляется, а затем переходит в режим ожидания, ожидая входящих команд от операторов ботнета.
Специалисты полагают, что вредоносное ПО может выполнять DDoS-атаки по протоколам TCP и UDP, например генерировать SYN, ICMP и DNS-флуд-запросы, а также открывать обратную оболочку, монтировать системные разделы для модификации и многое другое.
Dr.Web
Pandora's box is now open: the well-known Mirai trojan arrives in a new disguise to Android-based TV sets and TV boxes
Doctor Web has identified a family of Android.Pandora trojans that compromise Android devices, either during firmware updates or when applications for viewing pirated video content are installed. This backdoor inherited its advanced DDoS-attack capabilities…
Вернемся к Apple.
Как уже было отмечено, две 0-day, использовались как часть цепочки эксплойтов iMessage с нулевым щелчком BLASTPASS для развертывания Pegasus от NSO Group на полностью пропатченных девайсах через вложения PassKit.
Ошибки затрагивают в платформы Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружена Apple).
Первая уязвимость связана с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к RCE на непропатченных устройствах.
Другая, CVE-2023-41061, - это проблема проверки, которую можно использовать с помощью вредоносного вложения для RCE на целевых устройствах.
Список затронутых устройств достаточно обширен, поскольку обе ошибки затрагивают как старые, так и новые модели, включая: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Ventura и Apple Watch Series 4 и новее.
В экстренном порядке Apple выпустила исправления в рамках macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Всего же с начала года компания закрыла 13 активно эксплуатируемых уязвимостей. Вероятно, это еще не предел.
По всей видимости, в КНР уже что-то знали или знают.
Ведь непосредственно перед раскрытием новых «шпионских» 0-day в Apple, правительство КНР ввело запрет на использование iPhone и других устройств иностранных брендов госслужащими.
При этом чиновники сослались на необходимость защитить правительственную среду от иностранного шпионажа.
И все это напоминает историю, когда в АП РФ сотрудникам запретили яблочную технику, а несколько месяцев спустя общественность благодаря Лаборатории Касперского узнала об Операции Триангуляции и сотрудничестве Apple с АНБ в рамках реализации кибершпионажа за российскими пользователями.
Но будем посмотреть.
Как уже было отмечено, две 0-day, использовались как часть цепочки эксплойтов iMessage с нулевым щелчком BLASTPASS для развертывания Pegasus от NSO Group на полностью пропатченных девайсах через вложения PassKit.
Ошибки затрагивают в платформы Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружена Apple).
Первая уязвимость связана с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к RCE на непропатченных устройствах.
Другая, CVE-2023-41061, - это проблема проверки, которую можно использовать с помощью вредоносного вложения для RCE на целевых устройствах.
Список затронутых устройств достаточно обширен, поскольку обе ошибки затрагивают как старые, так и новые модели, включая: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Ventura и Apple Watch Series 4 и новее.
В экстренном порядке Apple выпустила исправления в рамках macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Всего же с начала года компания закрыла 13 активно эксплуатируемых уязвимостей. Вероятно, это еще не предел.
По всей видимости, в КНР уже что-то знали или знают.
Ведь непосредственно перед раскрытием новых «шпионских» 0-day в Apple, правительство КНР ввело запрет на использование iPhone и других устройств иностранных брендов госслужащими.
При этом чиновники сослались на необходимость защитить правительственную среду от иностранного шпионажа.
И все это напоминает историю, когда в АП РФ сотрудникам запретили яблочную технику, а несколько месяцев спустя общественность благодаря Лаборатории Касперского узнала об Операции Триангуляции и сотрудничестве Apple с АНБ в рамках реализации кибершпионажа за российскими пользователями.
Но будем посмотреть.
Apple Support
About the security content of macOS Ventura 13.5.2
This document describes the security content of macOS Ventura 13.5.2.
Cisco выпустила исправления для критической уязвимости обхода аутентификации в платформе BroadWorks и BroadWorks Xtended Services Platform.
Cisco BroadWorks — это платформа облачных коммуникационных услуг для бизнеса, а два упомянутых компонента используются для управления приложениями и их интеграции.
Обнаруженная инженерами по безопасности Cisco, уязвимость отслеживается как CVE-2023-20238, имеет оценку CVSS 10,0 и затрагивает реализацию единого входа (SSO).
Она могла быть использована удаленными злоумышленниками, не прошедшими проверку подлинности, для подделки учетных данных и доступа к затронутым системам.
Воспользовавшись этой уязвимостью, они могут свободно выполнять команды, получать доступ к конфиденциальным данным, изменять пользовательские настройки и совершать мошенничество с междугородной связью.
Как отмечает поставщик, для использования уязвимости злоумышленнику потребуется действительный идентификатор пользователя, связанный с затронутой системой BroadWorks.
Проблема охватывает выпуски BroadWorks, использующие AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrival, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel или Xsi-VTR.
Cisco BroadWorks и BroadWorks версии AP.platform.23.0.1075.ap385341 устраняют уязвимость.
Cisco также анонсировала независимые выпуски 2023.06_1.333 и 2023.07_1.332, содержащие необходимые исправления. Обходные пути для этой ошибки отсутствуют.
Кроме того, Cisco выпустила исправления для серьезной DoS-уязвимости в Identity Services Engine (ISE), затрагивающей версии ISE 3.1 и 3.2 (исправлена в ISE 3.1P7 и 3.2P3).
CVE-2023-20243 возникает из-за того, что некоторые запросы учета RADIUS не обрабатываются должным образом.
Злоумышленник, отправляющий специально созданные запросы устройству доступа к сети, которое напрямую использует Cisco ISE, может вызвать перезапуск процесса RADIUS, лишив пользователя доступа к сети или услуге.
К настоящему времени сообщений об активной эксплуатации уязвимости в реальной среде не поступало, однако системным администраторам следует как можно скорее установить доступные обновления.
Cisco BroadWorks — это платформа облачных коммуникационных услуг для бизнеса, а два упомянутых компонента используются для управления приложениями и их интеграции.
Обнаруженная инженерами по безопасности Cisco, уязвимость отслеживается как CVE-2023-20238, имеет оценку CVSS 10,0 и затрагивает реализацию единого входа (SSO).
Она могла быть использована удаленными злоумышленниками, не прошедшими проверку подлинности, для подделки учетных данных и доступа к затронутым системам.
Воспользовавшись этой уязвимостью, они могут свободно выполнять команды, получать доступ к конфиденциальным данным, изменять пользовательские настройки и совершать мошенничество с междугородной связью.
Как отмечает поставщик, для использования уязвимости злоумышленнику потребуется действительный идентификатор пользователя, связанный с затронутой системой BroadWorks.
Проблема охватывает выпуски BroadWorks, использующие AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrival, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel или Xsi-VTR.
Cisco BroadWorks и BroadWorks версии AP.platform.23.0.1075.ap385341 устраняют уязвимость.
Cisco также анонсировала независимые выпуски 2023.06_1.333 и 2023.07_1.332, содержащие необходимые исправления. Обходные пути для этой ошибки отсутствуют.
Кроме того, Cisco выпустила исправления для серьезной DoS-уязвимости в Identity Services Engine (ISE), затрагивающей версии ISE 3.1 и 3.2 (исправлена в ISE 3.1P7 и 3.2P3).
CVE-2023-20243 возникает из-за того, что некоторые запросы учета RADIUS не обрабатываются должным образом.
Злоумышленник, отправляющий специально созданные запросы устройству доступа к сети, которое напрямую использует Cisco ISE, может вызвать перезапуск процесса RADIUS, лишив пользователя доступа к сети или услуге.
К настоящему времени сообщений об активной эксплуатации уязвимости в реальной среде не поступало, однако системным администраторам следует как можно скорее установить доступные обновления.
Cisco
Cisco Security Advisory: Cisco BroadWorks Application Delivery Platform and Xtended Services Platform Authentication Bypass Vulnerability
A vulnerability in the single sign-on (SSO) implementation of Cisco BroadWorks Application Delivery Platform and Cisco BroadWorks Xtended Services Platform could allow an unauthenticated, remote attacker to forge the credentials required to access an affected…
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.• Сразу хочу отметить, что этот бесплатный курс был опубликован более 6 лет назад. Однако, курс включает в себя огромное кол-во актуальной информации касательно сетей и #Wireshark.
• Кстати, на днях будет опубликована большая подборка материала, которая поможет разобраться в сетях с самого начального уровня и прокачать свои знания до уровня эксперта. А пока, рекомендую к изучению курс ниже:
• Анализатор сети Wireshark;
• Канальный уровень в Wireshark;
• Wi-Fi джунгли;
• Протокол IP;
• Инкапсуляция;
• Протокол DHCP в Wireshark;
• Протокол ARP;
• Протокол ICMP в Wireshark;
• Протокол ICMP, утилита traceroute;
• Порты на транспортном уровне;
• Установка соединения в TCP;
• Протокол DNS в Wireshark;
• Типы записей DNS в Wireshark;
• DNS: итеративный и рекурсивный режим;
• HTTP в текстовом режиме;
• SMTP в текстовом режиме;
• POP3 в текстовом режиме;
• IMAP в текстовом режиме;
• FTP в Wireshark;
• Протокол IPv6;
• Протокол NDP;
• Web сокеты.
S.E. ▪️ infosec.work ▪️ #Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Emsisoft просит своих клиентов обновить антивирусное ПО и другие продукты безопасности, а также перезагрузить систему из-за неправильно выданного цифрового сертификата для их подписи.
Проблема, по словам компании, затрагивает ее сертификат подписи кода расширенной проверки (EV), который был продлен 23 августа и использовался для подписи всех программных файлов, скомпилированных после этой даты, включая последнюю версию ПО, выпущенную 4 сентября.
Выдавший сертификат центр GlobalSign 4 сентября уведомил Emsisoft, что при выдаче был указан неправильный номер, после чего выпустил новый и 8 сентября отзывал неправильно выданный сертификат.
Emsisoft повторно подписала все файлы, используя новый сертификат, и предоставила обновления для своих продуктов, ожидая автоматической доставки новой версии до того, как старый сертификат будет отозван.
На самом деле основная проблема заключается в том, что Emsisoft также использовала ранее выданный сертификат для подписи компонента драйвера, а его обновление требует перезагрузки системы.
При этом когда центр сертификации отзывает сертификат, все файлы ПО, подписанные им, выдают предупреждение безопасности, а драйверы могут вообще не загружаться, что существенно нарушает защиту, в том числе возможность запуска онлайн-обновлений.
По мнению Emsisoft, в этом случае пользователям придется вручную переустановить уязвимые Emsisoft Anti-Malware, Emsisoft Business Security и Emsisoft Enterprise Security для восстановления защиты.
Поэтому компания призывает всех своих пользователей перезагрузить системы после обновления продуктов безопасности, а сделать это необходимо до 22 сентября этого года.
Теперь после такого (косяка) случая новозеландский поставщик антивирусного ПО непременно должен пополнить тот самый список как Emsisoft - хуисисофт.
Проблема, по словам компании, затрагивает ее сертификат подписи кода расширенной проверки (EV), который был продлен 23 августа и использовался для подписи всех программных файлов, скомпилированных после этой даты, включая последнюю версию ПО, выпущенную 4 сентября.
Выдавший сертификат центр GlobalSign 4 сентября уведомил Emsisoft, что при выдаче был указан неправильный номер, после чего выпустил новый и 8 сентября отзывал неправильно выданный сертификат.
Emsisoft повторно подписала все файлы, используя новый сертификат, и предоставила обновления для своих продуктов, ожидая автоматической доставки новой версии до того, как старый сертификат будет отозван.
На самом деле основная проблема заключается в том, что Emsisoft также использовала ранее выданный сертификат для подписи компонента драйвера, а его обновление требует перезагрузки системы.
При этом когда центр сертификации отзывает сертификат, все файлы ПО, подписанные им, выдают предупреждение безопасности, а драйверы могут вообще не загружаться, что существенно нарушает защиту, в том числе возможность запуска онлайн-обновлений.
По мнению Emsisoft, в этом случае пользователям придется вручную переустановить уязвимые Emsisoft Anti-Malware, Emsisoft Business Security и Emsisoft Enterprise Security для восстановления защиты.
Поэтому компания призывает всех своих пользователей перезагрузить системы после обновления продуктов безопасности, а сделать это необходимо до 22 сентября этого года.
Теперь после такого (косяка) случая новозеландский поставщик антивирусного ПО непременно должен пополнить тот самый список как Emsisoft - хуисисофт.
Emsisoft | Cybersecurity Blog
Critical software update
We urge all our customers to make sure automatic updates in their Emsisoft Anti-Malware, Emsisoft Business Security and Emsisoft Enterprise Security are enabled and reboot their computers before September 22nd, 2023.
Cisco предупреждает о 0-day в Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), которую с августа активно эксплуатирует Akira ransomware для получения первоначального доступа к корпоративным сетям.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
Cisco
Cisco Security Advisory: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized…
A vulnerability in the remote access VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify…
РТ-Солар нечасто нас радует интересными материалами, в основном публикуя квартальные отчеты об угрозах. А между тем, размещение в паблике и дальнейшее обсуждение в сообществе хороших расследований - первое дело в части создания положительного образа инфосек кампании. Товарищ Ляпунов, берите пример с Бизонов, Позитивов (нестабильны, но в последнее время исправляются), представителей сингапурского расового инфосека во главе с Волковым и отпочковавшегося от них криптовендора F.A.C.C.T. Про Касперских вообще молчим, эти запузыривают по паре отчетов каждую неделю. С Дсеков пример не берите, у них информационная повестка протухла, они с весны транслируют 6 историй успешного успеха и обновляют телефоны.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
rt-solar.ru
Анализ версий шифровальщика семейства HardBit и декриптор – скачать отчет
Эксперты Solar JSOC CERT проанализировал шифровальщики семейства HardBit и поделился дешифратором для его последних версий. Скачать отчет анализ шифровальщика семейства HardBit
Атака с использованием ransomware привела к тотальному шифрованию серверов электронной почты правительства Шри-Ланки и значительной потере данных.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
adaderana.lk
ICTA confirms data loss of “gov.lk” email domains
The Information and Communication Technology Agency (ICTA) has officially confirmed a severe data loss incident affecting all government offices using the “gov
Исследователи из Positive Technologies рассказали, что такое Time-based атаки и как им противодействовать.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хабр
Time-based атаки во вредоносном ПО и противодействие им
Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц : такие...
Более 60 000 пользователей Android стали жертвой шпионского ПО, установив на свой девайс клон Telegram из Google Play.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Securelist
Spyware Telegram mod distributed via Google Play
Spyware Telegram mod in Uighur and Chinese spreads through Google Play stealing messages and other user data.
Forwarded from SecurityLab.ru
Главред SecurityLab.ru в новом докфильме о тайнах Telegram!
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews