Обновляйте свой Chrome как можно скорее.
Google выпустил исправления для 8 ошибок безопасности в веб-браузере Chrome, включая критическую уязвимость, которая активно используется в реальных атаках.
И таким образом гигант официально исправляет первый 0-day в 2022 году. Напомним, что в прошлом году Google устранил в Chrome 17 таких недостатков.
Ошибка CVE-2022-0609 описывается как уязвимость use-after-free в компоненте Animation, которая в случае успешной эксплуатации может привести к повреждению действительных данных и выполнению произвольного кода на уязвимых системах. Багу обнаружили исследователи Адам Вайдеманн и Клеман Лесинь из группы анализа угроз Google (TAG).
При этом сам Google подтверждает информацию о том, что эксплойт для CVE-2022-0609 существует и активно применяется в дикой природе.
Помимо названного Google также устранил четыре других недостатка использования после освобождения, влияющих на файловый менеджер, файловый менеджер, ANGLE и графический процессор, а также ошибку переполнения буфера кучи в группах вкладок, целочисленное переполнение в Mojo и проблему с ненадлежащей реализацией в Gamepad API.
Пользователям Google Chrome настоятельно рекомендуется выполнить обновление до последней версии 98.0.4758.102 для Windows, Mac и Linux, чтобы избежать потенциальной угрозы.
Google выпустил исправления для 8 ошибок безопасности в веб-браузере Chrome, включая критическую уязвимость, которая активно используется в реальных атаках.
И таким образом гигант официально исправляет первый 0-day в 2022 году. Напомним, что в прошлом году Google устранил в Chrome 17 таких недостатков.
Ошибка CVE-2022-0609 описывается как уязвимость use-after-free в компоненте Animation, которая в случае успешной эксплуатации может привести к повреждению действительных данных и выполнению произвольного кода на уязвимых системах. Багу обнаружили исследователи Адам Вайдеманн и Клеман Лесинь из группы анализа угроз Google (TAG).
При этом сам Google подтверждает информацию о том, что эксплойт для CVE-2022-0609 существует и активно применяется в дикой природе.
Помимо названного Google также устранил четыре других недостатка использования после освобождения, влияющих на файловый менеджер, файловый менеджер, ANGLE и графический процессор, а также ошибку переполнения буфера кучи в группах вкладок, целочисленное переполнение в Mojo и проблему с ненадлежащей реализацией в Gamepad API.
Пользователям Google Chrome настоятельно рекомендуется выполнить обновление до последней версии 98.0.4758.102 для Windows, Mac и Linux, чтобы избежать потенциальной угрозы.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 98.0.4758.102 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended sta...
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова (securitylab.ru). Выпуск #48
Мошенники скупают свои NFT и завышают цены, используя разные кошельки, суд вынесет приговор хакерам Lurk, похитившим более ₽1 млрд в российских банках, семейную пару в США арестовали по подозрению в отмывании $4,5 млрд в криптовалюте, украденной в ходе взлома биржи Bitfinex, а хакер P4X обрушил интернет в КНДР из мести.
ООН обвинила киберпреступников в краже сотен миллионов долларов, Google за 4 месяца сократил число взломов в два раза, в, а Александр Антипов помог журналистам найти «почтового маньяка», который годами преследовал российских шахматисток. Функция Tap to Pay позволит использовать iPhone как терминал бесконтактной оплаты, а в Британии камеры будут определять возраст покупателей алкоголя.
Check Point Software увеличила общий доход в 2021 году на 5%, CrowdStrike объявила о начале продаж Falcon XDR, а Microsoft изучает покупку кибербез-компании Mandiant.
В сорок восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
https://www.youtube.com/watch?v=sKa766CgUHQ
Мошенники скупают свои NFT и завышают цены, используя разные кошельки, суд вынесет приговор хакерам Lurk, похитившим более ₽1 млрд в российских банках, семейную пару в США арестовали по подозрению в отмывании $4,5 млрд в криптовалюте, украденной в ходе взлома биржи Bitfinex, а хакер P4X обрушил интернет в КНДР из мести.
ООН обвинила киберпреступников в краже сотен миллионов долларов, Google за 4 месяца сократил число взломов в два раза, в, а Александр Антипов помог журналистам найти «почтового маньяка», который годами преследовал российских шахматисток. Функция Tap to Pay позволит использовать iPhone как терминал бесконтактной оплаты, а в Британии камеры будут определять возраст покупателей алкоголя.
Check Point Software увеличила общий доход в 2021 году на 5%, CrowdStrike объявила о начале продаж Falcon XDR, а Microsoft изучает покупку кибербез-компании Mandiant.
В сорок восьмом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю.
https://www.youtube.com/watch?v=sKa766CgUHQ
YouTube
Семейная пара поймана на отмывании $4,5 млрд, хакер лишил КНДР интернета. Security-новости #48 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://yangx.top/positive_investing
0:00 Здравствуйте, с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:23 Люди…
0:00 Здравствуйте, с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:23 Люди…
В современном мире инфосек уже давно плотно вошел в сознание общества. IT-гиганты и корпорации тратят огромные усилия по обеспечению необходимого уровня защиты своих продуктов и пользователей. Но парадокс в том, что угрозы информационной безопасности растут как на дрожжах. Печально, но это факт.
В подтверждение сказанному, в понедельник ребята из Risk Based Security опубликовали свой отчет об уязвимостях за 2021 год и показали, что в прошлом году было раскрыто рекордное количество уязвимостей — 28 695, что представляет собой значительное увеличение по сравнению с 23 269 багами, обнаруженными в 2020 году.
Из уязвимостей 2021 года, более 4100 можно использовать удаленно, для них общедоступны соответствующие эксплойты, но также доступны исправления или рекомендации для нивелирования последствий. По данным компании, которые не первый год занимаются анализом уязвимостей и утечек, только сосредоточившись на этих дырах в безопасности, организации уже могут снизить риск на 86%.
Что касается продуктов с наибольшим количеством уязвимостей, обнаруженных в 2021 году, то в первую десятку вошли в основном дистрибутивы Linux. Устройства Google Pixel также вошли в десятку "лучших". Телефоны Pixel заняли 12-е место в 2020 году и поднялись на 5-е место в 2021 году, но количество уязвимостей было примерно одинаковым за два года.
Одно существенное изменение в 2021 году заключается в том, что в топ-10 не входит ни одна версия Windows. Кроме того, в списке ведущих поставщиков Microsoft опустилась со второго места в 2020 году на пятое в 2021 году. Однако это можно объяснить тем, что 2020 год был необычайно плохим для Microsoft, тогда было обнаружено 1600 уязвимостей по сравнению с 940 в 2019.
Собственно, стоит осознать современные реалии и сделать соответствующие выводы. Ну и с кропотливой работой специалистов из Risk Based Security рекомендуем все же ознакомиться.
В подтверждение сказанному, в понедельник ребята из Risk Based Security опубликовали свой отчет об уязвимостях за 2021 год и показали, что в прошлом году было раскрыто рекордное количество уязвимостей — 28 695, что представляет собой значительное увеличение по сравнению с 23 269 багами, обнаруженными в 2020 году.
Из уязвимостей 2021 года, более 4100 можно использовать удаленно, для них общедоступны соответствующие эксплойты, но также доступны исправления или рекомендации для нивелирования последствий. По данным компании, которые не первый год занимаются анализом уязвимостей и утечек, только сосредоточившись на этих дырах в безопасности, организации уже могут снизить риск на 86%.
Что касается продуктов с наибольшим количеством уязвимостей, обнаруженных в 2021 году, то в первую десятку вошли в основном дистрибутивы Linux. Устройства Google Pixel также вошли в десятку "лучших". Телефоны Pixel заняли 12-е место в 2020 году и поднялись на 5-е место в 2021 году, но количество уязвимостей было примерно одинаковым за два года.
Одно существенное изменение в 2021 году заключается в том, что в топ-10 не входит ни одна версия Windows. Кроме того, в списке ведущих поставщиков Microsoft опустилась со второго места в 2020 году на пятое в 2021 году. Однако это можно объяснить тем, что 2020 год был необычайно плохим для Microsoft, тогда было обнаружено 1600 уязвимостей по сравнению с 940 в 2019.
Собственно, стоит осознать современные реалии и сделать соответствующие выводы. Ну и с кропотливой работой специалистов из Risk Based Security рекомендуем все же ознакомиться.
Как мы и предполагали, за атакой на авиакомпанию Swissport действительно стояли вымогатели, а именно BlackCat (ALPHV), которые взяли на себя ответственность за инцидент и приступили к утечке данных.
Напомним, что атака также привела к задержкам рейсов и перебоям в обслуживании. Swissport с доходом в 3 миллиарда евро присутствует в 310 аэропортах в 50 странах, оказывая весь спектр авиауслуг. Swissport насчитывает более 66 000 сотрудников и ежегодно обслуживает до 282 миллиона пассажиров и 4,8 миллиона тонн грузов.
Пока что BlackCat выкатили пруфы, опубликовав небольшие фрагменты украденной информации. Всего же на кону 1.6 TB, которые хакеры намерены перепродать по возможности потенциальному покупателю, в частности, к реализации предлагаются: данные паспортов, внутренняя документация, и даже сведения на кандидатов на работу, с указанием ФИО, национальности, вероисповедания, контактной информации.
В общем классическая схема ransomware в действии.
Напомним, что атака также привела к задержкам рейсов и перебоям в обслуживании. Swissport с доходом в 3 миллиарда евро присутствует в 310 аэропортах в 50 странах, оказывая весь спектр авиауслуг. Swissport насчитывает более 66 000 сотрудников и ежегодно обслуживает до 282 миллиона пассажиров и 4,8 миллиона тонн грузов.
Пока что BlackCat выкатили пруфы, опубликовав небольшие фрагменты украденной информации. Всего же на кону 1.6 TB, которые хакеры намерены перепродать по возможности потенциальному покупателю, в частности, к реализации предлагаются: данные паспортов, внутренняя документация, и даже сведения на кандидатов на работу, с указанием ФИО, национальности, вероисповедания, контактной информации.
В общем классическая схема ransomware в действии.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] BlackCat (ALPHV) ransomware gang has announced "Swissport International AG (1.6TB)" on the victim list.
После своего публичного батла с вымогателями Qlocker и DeadBolt, для противодействия которым тайваньский производитель решений NAS и NVR QNAP Systems был вынужден принудительно запустить обновления устройств без ведома их владельцев, все же небольшие бонусы посыпались на клиентов.
QNAP объявили о продлении поддержки и выпуске обновления безопасности для некоторых сетевых хранилищ (NAS), которые достигли статуса окончания срока службы (EOL) до октября 2022 года.
Модели EOL зачастую не имеют необходимого объема оперативной памяти или имеют другие технические ограничения, которые не позволяют получать обновленные драйверы компонентов. QNAP обычно поддерживает обновления безопасности в течение 4 лет после того, как продукт истечет срок окончания срока службы, чтобы защитить свои устройства от современных угроз безопасности.
Но обольщаться не стоит, ведь устройства EOL будут получать только обновления безопасности, устраняющие серьезные и критические уязвимости.
QNAP также добавила, что клиентам не следует предоставлять устройствам EOL NAS доступ в Интернет и использовать службу системного администрирования напрямую с внешних IP-адресов, дабы гарантировать, что злоумышленники не скомпрометируют их, используя эксплойты, нацеленные на неисправленные уязвимости.
QNAP также выпустили рекомендации по повышению безопасности устройств NAS для блокировки вредоносных программ или других типов атак.
QNAP объявили о продлении поддержки и выпуске обновления безопасности для некоторых сетевых хранилищ (NAS), которые достигли статуса окончания срока службы (EOL) до октября 2022 года.
Модели EOL зачастую не имеют необходимого объема оперативной памяти или имеют другие технические ограничения, которые не позволяют получать обновленные драйверы компонентов. QNAP обычно поддерживает обновления безопасности в течение 4 лет после того, как продукт истечет срок окончания срока службы, чтобы защитить свои устройства от современных угроз безопасности.
Но обольщаться не стоит, ведь устройства EOL будут получать только обновления безопасности, устраняющие серьезные и критические уязвимости.
QNAP также добавила, что клиентам не следует предоставлять устройствам EOL NAS доступ в Интернет и использовать службу системного администрирования напрямую с внешних IP-адресов, дабы гарантировать, что злоумышленники не скомпрометируют их, используя эксплойты, нацеленные на неисправленные уязвимости.
QNAP также выпустили рекомендации по повышению безопасности устройств NAS для блокировки вредоносных программ или других типов атак.
QNAP Systems, Inc. - Network Attached Storage (NAS)
What are best practices for enhancing NAS security?
Applicable Products All NAS series Best Practices The highest security risks to a NAS are malware/ransomware threats from the int ...
VMware исправила несколько серьезных уязвимостей в VMware ESXi, Workstation и Fusion, которые были обнаружены на китайском хакерском конкурсе Tianfu Cup, о результатах которого мы ранее сообщали.
Расчехлить решения VMware смогли участники команды Kunlun Lab, ставших авторами широкго спектра эксплойтов на сумма в боле чем 650 000 долларов США, причем 80 000 из них ушли хакерам за за эксплойты VMware Workstation, 180 000 долларов за ESXi. Причем в последнем случае эксплойты позволяли злоумышленнику получить root-права на хосте.
Вышедший бюллетень содержит описания следующих уязвимостей:
- CVE-2021-22040 — уязвимость использования после освобождения в USB-контроллере XHCI ESXi, Workstation и Fusion, которая позволяет злоумышленнику с правами локального администратора на виртуальной машине (ВМ) выполнять код в качестве процесса VMX ВМ, работающего на хосте;
- CVE-2021-22041 — уязвимость двойной выборки в UHCI USB-контроллере ESXi, Workstation и Fusion, которая позволяет локальному злоумышленнику с правами администратора на виртуальной машине выполнять код как процесс VMX, запущенный на хосте;
- CVE-2021-22042 — уязвимость несанкционированного доступа settingsd в ESXi — связана с тем, что VMX имеет доступ к билетам авторизации settingsd, что позволяет злоумышленнику с привилегиями внутри процесса VMX получить доступ к сервису settingsd, запущенному от имени пользователя с высокими привилегиями;
- CVE-2021-22043 — уязвимость settingsd TOCTOU в ESXi — связана с тем, как обрабатываются временные файлы, позволяет злоумышленнику повышать привилегии, записывая произвольные файлы.
Помимо исправлений для ESXi, Workstation, Fusion и Cloud Foundation, VMware также разработали обходные пути.
Кстати первоначально, VMware сделали отметку о том, что выявленные уязвимости после обнаружения стали достоянием китайского правительства согласно законодательству КНР, но позже это упоминание исчезло из документа. Согласно вновь принятому в КНР закону исследователи обязаны передавать подробности 0-day в правительство и передавать их за пределы страны исключительно поставщику.
Сделаем оговорку - вероятно, с согласия правительства. Может быть этим и объясняется, что конкурс прошел еще в октябре, а исправления вышли спустя 4 месяца. Хотя журналисты со ссылкой на анонимного источника из числа китайских ресерчеров опровергают существование нормативных требований по раскрытию уязвимостей.
Но как бы ни было, мы присоединяемся к VMware и советуем клиентам немедленно принять меры по устранению уязвимостей.
Расчехлить решения VMware смогли участники команды Kunlun Lab, ставших авторами широкго спектра эксплойтов на сумма в боле чем 650 000 долларов США, причем 80 000 из них ушли хакерам за за эксплойты VMware Workstation, 180 000 долларов за ESXi. Причем в последнем случае эксплойты позволяли злоумышленнику получить root-права на хосте.
Вышедший бюллетень содержит описания следующих уязвимостей:
- CVE-2021-22040 — уязвимость использования после освобождения в USB-контроллере XHCI ESXi, Workstation и Fusion, которая позволяет злоумышленнику с правами локального администратора на виртуальной машине (ВМ) выполнять код в качестве процесса VMX ВМ, работающего на хосте;
- CVE-2021-22041 — уязвимость двойной выборки в UHCI USB-контроллере ESXi, Workstation и Fusion, которая позволяет локальному злоумышленнику с правами администратора на виртуальной машине выполнять код как процесс VMX, запущенный на хосте;
- CVE-2021-22042 — уязвимость несанкционированного доступа settingsd в ESXi — связана с тем, что VMX имеет доступ к билетам авторизации settingsd, что позволяет злоумышленнику с привилегиями внутри процесса VMX получить доступ к сервису settingsd, запущенному от имени пользователя с высокими привилегиями;
- CVE-2021-22043 — уязвимость settingsd TOCTOU в ESXi — связана с тем, как обрабатываются временные файлы, позволяет злоумышленнику повышать привилегии, записывая произвольные файлы.
Помимо исправлений для ESXi, Workstation, Fusion и Cloud Foundation, VMware также разработали обходные пути.
Кстати первоначально, VMware сделали отметку о том, что выявленные уязвимости после обнаружения стали достоянием китайского правительства согласно законодательству КНР, но позже это упоминание исчезло из документа. Согласно вновь принятому в КНР закону исследователи обязаны передавать подробности 0-day в правительство и передавать их за пределы страны исключительно поставщику.
Сделаем оговорку - вероятно, с согласия правительства. Может быть этим и объясняется, что конкурс прошел еще в октябре, а исправления вышли спустя 4 месяца. Хотя журналисты со ссылкой на анонимного источника из числа китайских ресерчеров опровергают существование нормативных требований по раскрытию уязвимостей.
Но как бы ни было, мы присоединяемся к VMware и советуем клиентам немедленно принять меры по устранению уязвимостей.
Вслед за американскими компании-разработчику шпионского ПО NSO Group припаяют еще и европейские.
Служба защиты конфиденциальности Европейского союза (EDPS) призвала чиновников ЕС запретить использование ПО Pegasus в Европе, сославшись на беспрецедентные риски и ущерб личным свободам и верховенству закона.
С момента начала продаж в качестве коммерческого продукта в начале 2010-х годов NSO Group продавала свой инструмент только официальным правоохранительным органам. Во всех случаях ПО реализовывалось в качестве коммерческого пакета «наблюдение как услуга», позволяя заказчикам заражать пользователей, извлекать данные с их устройств и отслеживать их перемещения, а также сетевую активность в режиме реального времени.
Но согласно последним расследованиям инцидентов, связанных с Pegasus, стало понятно, что шпионское ПО использовалось вопреки заявленным целям и обнаруживалось на телефонах журналистов, политиков и активистов в Венгрии, Польше, Сальвадоре, Финляндии и Израиле.
Именно в свете последних разоблачений EDPS в консультативном порядке призвал законодателей ЕС по вопросам защиты данных и конфиденциальности запретить использование шпионского программного обеспечения в странах ЕС.
В качестве мотивировки своего решения EDPS указала расширенные функции шпионского ПО, его способность получать неограниченный доступ к телефонам и возможность удаленного заражения. При этом EDPS полагает, что Pegasus нельзя использовать в Европе без каких-либо ограничений или надзора, что поощряет злоупотребления со стороны клиентов NSO.
EDPS вместе с тем, оставили вопрос открытым для рассмотрения в части запрета. Но, как мы полагаем, помимо запрета конкретно Pegasus, под жесткие рамки попадет и другой софт, предназначенный для решения спецзадач.
Служба защиты конфиденциальности Европейского союза (EDPS) призвала чиновников ЕС запретить использование ПО Pegasus в Европе, сославшись на беспрецедентные риски и ущерб личным свободам и верховенству закона.
С момента начала продаж в качестве коммерческого продукта в начале 2010-х годов NSO Group продавала свой инструмент только официальным правоохранительным органам. Во всех случаях ПО реализовывалось в качестве коммерческого пакета «наблюдение как услуга», позволяя заказчикам заражать пользователей, извлекать данные с их устройств и отслеживать их перемещения, а также сетевую активность в режиме реального времени.
Но согласно последним расследованиям инцидентов, связанных с Pegasus, стало понятно, что шпионское ПО использовалось вопреки заявленным целям и обнаруживалось на телефонах журналистов, политиков и активистов в Венгрии, Польше, Сальвадоре, Финляндии и Израиле.
Именно в свете последних разоблачений EDPS в консультативном порядке призвал законодателей ЕС по вопросам защиты данных и конфиденциальности запретить использование шпионского программного обеспечения в странах ЕС.
В качестве мотивировки своего решения EDPS указала расширенные функции шпионского ПО, его способность получать неограниченный доступ к телефонам и возможность удаленного заражения. При этом EDPS полагает, что Pegasus нельзя использовать в Европе без каких-либо ограничений или надзора, что поощряет злоупотребления со стороны клиентов NSO.
EDPS вместе с тем, оставили вопрос открытым для рассмотрения в части запрета. Но, как мы полагаем, помимо запрета конкретно Pegasus, под жесткие рамки попадет и другой софт, предназначенный для решения спецзадач.
European Data Protection Supervisor
EDPS Preliminary Remarks on Modern Spyware
The revelations made about the Pegasus spyware raised very serious questions about the possible impact of modern spyware tools on fundamental rights, and particularly on the rights to privacy and data protection. This paper aims to contribute to the ongoing…
Forwarded from Russian OSINT
🇷🇺 По данным "Лаборатории Касперского" в 2021 году в России с применением программ-шифровальщиков было атаковано почти 🩸16'000 компаний
Лаборатория Касперского сообщила об обнаружении 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всем мире в 2021. Примечательно, что локеры стали чаще использовать сборки Linux систем, чтобы увеличить поверхность атак.
"Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик", - комментирует эксперт по кибербезопасности "Лаборатории Касперского" Федор Синицын
Кто говорил, что шифровальщики не атакуют СНГ?🤔
Лаборатория Касперского сообщила об обнаружении 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всем мире в 2021. Примечательно, что локеры стали чаще использовать сборки Linux систем, чтобы увеличить поверхность атак.
"Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объемами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик", - комментирует эксперт по кибербезопасности "Лаборатории Касперского" Федор Синицын
Кто говорил, что шифровальщики не атакуют СНГ?🤔
Исследователи DevOps-компании JFrog раскрыли подробности уже исправленной серьезной уязвимости в Apache Cassandra, которая может быть использована для удаленного выполнения кода (RCE).
Apache Cassandra — это распределенная система управления базами данных NoSQL с открытым исходным кодом для управления очень большими объемами структурированных данных на обычных серверах.
Как отмечают исследователи, уязвимость в системе безопасности Apache достаточно легко использовать, но, к счастью, проявляется только в нестандартных конфигурациях Cassandra.
CVE-2021-44521 (оценка CVSS: 8,4) связана с конкретным сценарием, в котором включена конфигурация определяемых пользователем функций (UDF), что позволяет злоумышленнику эффективно использовать движок Nashorn JavaScript, чтобы выйти из песочницы и добиться выполнения ненадежного кода.
К такой конфигурации относятся следующие параметры cassandra.yaml: enable user defined functions: true; enable scripted user defined functions: true; enable user defined functions threads: false.
Когда для параметра enable user defined functions hreads установлено значение false, все вызываемые UDF-функции выполняются в Cassandra daemon, у которого есть менеджер безопасности с некоторыми разрешениями. Тем самым позволяя злоумышленнику отключить менеджера безопасности, выйти из песочницы и запускать произвольные команды оболочки на сервере.
Пользователям Apache Cassandra рекомендуется обновиться до версий 3.0.26 , 3.11.12 и 4.0.2, чтобы избежать возможной эксплуатации. В новом исполнении для allow extra insecure udfs устанавливается по умолчанию значение false и блокируется отключение менеджера безопасности.
Apache Cassandra — это распределенная система управления базами данных NoSQL с открытым исходным кодом для управления очень большими объемами структурированных данных на обычных серверах.
Как отмечают исследователи, уязвимость в системе безопасности Apache достаточно легко использовать, но, к счастью, проявляется только в нестандартных конфигурациях Cassandra.
CVE-2021-44521 (оценка CVSS: 8,4) связана с конкретным сценарием, в котором включена конфигурация определяемых пользователем функций (UDF), что позволяет злоумышленнику эффективно использовать движок Nashorn JavaScript, чтобы выйти из песочницы и добиться выполнения ненадежного кода.
К такой конфигурации относятся следующие параметры cassandra.yaml: enable user defined functions: true; enable scripted user defined functions: true; enable user defined functions threads: false.
Когда для параметра enable user defined functions hreads установлено значение false, все вызываемые UDF-функции выполняются в Cassandra daemon, у которого есть менеджер безопасности с некоторыми разрешениями. Тем самым позволяя злоумышленнику отключить менеджера безопасности, выйти из песочницы и запускать произвольные команды оболочки на сервере.
Пользователям Apache Cassandra рекомендуется обновиться до версий 3.0.26 , 3.11.12 и 4.0.2, чтобы избежать возможной эксплуатации. В новом исполнении для allow extra insecure udfs устанавливается по умолчанию значение false и блокируется отключение менеджера безопасности.
JFrog
CVE-2021-44521: Exploiting Apache Cassandra User-Defined Functions for Remote Code Execution
JFrog Security disclosed CVE-2021-44521 remote code execution vulnerability in Apache Cassandra noSQL database. Learn who is impacted and how to fix >
Исследователи из Secureworks подробно разобрали вредоносное ПО ShadowPad.
ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.
В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.
ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.
ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.
Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.
Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.
Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.
Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.
В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.
По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).
Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.
ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.
В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.
ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.
ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.
Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.
Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.
Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.
Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.
В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.
По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).
Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.
Secureworks
ShadowPad Malware Analysis
In this threat analysis, ShadowPad samples reveals clusters of activity linked to threat groups affiliated with the Chinese Ministry of State Security (MSS) civilian intelligence agency and the People's Liberation Army (PLA).
Forwarded from Social Engineering
❗️ Релиз Kali Linux 2022.1
Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.
В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.
Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.
• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.
• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile
• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/
‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.
Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.
🖖🏻 Приветствую тебя user_name.• Состоялся релиз дистрибутива Kali Linux 2022.1. Для загрузки подготовлены несколько вариантов iso-образов, размером 471 МБ, 2.8 ГБ, 3.5 ГБ и 9.4 ГБ — это полная сборка "kali-linux-everything", включающая все имеющиеся пакеты (кроме Kaboxer) для самодостаточной установки на системы, не имеющие подключения к сети. Размер сборки 9.4 ГБ и она доступна для загрузки только через BitTorrent.
В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.
Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.
• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.
• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile
• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/
‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.
Наверное прозвучит забавно и не так пафосно как мы привыкли. Но! Нигерийские хакеры … Да, да и такие есть, ведут активную противоправную деятельность в многолетних атаках в сфере авиации и транспорта организаций Северной Америки, Европы и Ближнего Востока.
О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).
Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.
Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.
Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.
Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.
Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.
О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).
Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.
Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.
Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.
Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.
Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.
CrowdStrike представили отчет о глобальных угрозах по итогам 2021 года.
Как заключили эксперты, в 2021 году значительно увеличилось количество утечек данных и интерактивных вторжений, связанных с ransomware.
Количество инцидентов с ransomware, связанных с утечкой данных, увеличилось с 1474 в 2020 году до 2686 в 2021 году, что представляет собой увеличение на 82%. При этом наиболее пострадавшими от атак вымогателей в 2021 году стали объекты промышленности, машиностроения, производства и IT.
Число интерактивных хакерских вторжений в 2021 году увеличилось на 45%, при этом 62% атак не были связаны с вредоносным ПО, а лишь с физическими манипуляциями. Почти половина интерактивных вторжений была совершена киберпреступниками, ориентированными на получение прибыли eCrime.
При этом среднее время взлома в ходе атак eCrime (время, которое потребовалось злоумышленнику для горизонтального перехода от первоначально скомпрометированной системы к другому хосту в сети жертвы) составило 1 час 38 минут.
Несмотря на то, что многие банды ransomware прекратили свою деятельность в 2021 году, общее количество действующих семейств программ-вымогателей тем не менее увеличилось. Если в прошлом году CrowdStrike добавила в свою базу данных 21 нового названного противника, то теперь компания отслеживает в общей сложности более 170 групп угроз.
Отдельными блоками в отчете представлен обзор акторов, связанных с Ираном и Китаем, что по большей части несет более пропагандистский, нежели исследовательский взгляд, когда нужные цифры подводятся под нужные факты.
Относительно активности проиранских групп CrowdStrike делает акцент на применяемой тактике «блокировки и утечки» в ходе нападений на организации в США, Израиле и регионе MENA. Мнение исследователей в итоге сводится к тому, что действующие в интересах Ирана как преступные или хактивистские группы, акторы будут только наращивать свою активность в отношении целевых стран.
Китай в отчете отмечен лидером по эксплуатации уязвимостей: количество использованных новых дыр в 2021 году, составило 12, что в шесть раз больше, чем в 2020 году. Ранее китайские хакеры нередко разрабатывали эксплойты для целевых вторжений, в основе которых лежало взаимодействие с пользователем (открытие вредоносных документов, доступ к веб-сайтам и пр.), но в 2021 году они, сконцентрировались на баги в устройствах или службах.
Без внимания, как вы поняли, не оставили и «русских хакеров», которым посвящена целая страница антирейтинга. Но как говорится, боятся - значит уважают.
Отбросив всю лирику, в целом общие тренды представлены достаточно наглядно, полный отчет доступен здесь.
Как заключили эксперты, в 2021 году значительно увеличилось количество утечек данных и интерактивных вторжений, связанных с ransomware.
Количество инцидентов с ransomware, связанных с утечкой данных, увеличилось с 1474 в 2020 году до 2686 в 2021 году, что представляет собой увеличение на 82%. При этом наиболее пострадавшими от атак вымогателей в 2021 году стали объекты промышленности, машиностроения, производства и IT.
Число интерактивных хакерских вторжений в 2021 году увеличилось на 45%, при этом 62% атак не были связаны с вредоносным ПО, а лишь с физическими манипуляциями. Почти половина интерактивных вторжений была совершена киберпреступниками, ориентированными на получение прибыли eCrime.
При этом среднее время взлома в ходе атак eCrime (время, которое потребовалось злоумышленнику для горизонтального перехода от первоначально скомпрометированной системы к другому хосту в сети жертвы) составило 1 час 38 минут.
Несмотря на то, что многие банды ransomware прекратили свою деятельность в 2021 году, общее количество действующих семейств программ-вымогателей тем не менее увеличилось. Если в прошлом году CrowdStrike добавила в свою базу данных 21 нового названного противника, то теперь компания отслеживает в общей сложности более 170 групп угроз.
Отдельными блоками в отчете представлен обзор акторов, связанных с Ираном и Китаем, что по большей части несет более пропагандистский, нежели исследовательский взгляд, когда нужные цифры подводятся под нужные факты.
Относительно активности проиранских групп CrowdStrike делает акцент на применяемой тактике «блокировки и утечки» в ходе нападений на организации в США, Израиле и регионе MENA. Мнение исследователей в итоге сводится к тому, что действующие в интересах Ирана как преступные или хактивистские группы, акторы будут только наращивать свою активность в отношении целевых стран.
Китай в отчете отмечен лидером по эксплуатации уязвимостей: количество использованных новых дыр в 2021 году, составило 12, что в шесть раз больше, чем в 2020 году. Ранее китайские хакеры нередко разрабатывали эксплойты для целевых вторжений, в основе которых лежало взаимодействие с пользователем (открытие вредоносных документов, доступ к веб-сайтам и пр.), но в 2021 году они, сконцентрировались на баги в устройствах или службах.
Без внимания, как вы поняли, не оставили и «русских хакеров», которым посвящена целая страница антирейтинга. Но как говорится, боятся - значит уважают.
Отбросив всю лирику, в целом общие тренды представлены достаточно наглядно, полный отчет доступен здесь.
После серии международных скандалов, связанных с расследованием в отношении высокопоставленных клиентов NSO Group и не менее представительных жертв шпионского ПО Pegasus, волна уголовных, административных и прочих мер возмездия должна накрыть дистрибьюторов и поставщиков специализированного софта.
На днях в ходе расследования американских силовиков свою вину признал мексиканский бизнесмен, который обвиняется в сговоре с целью продажи и использования спецтехнологий от разработчиков из Италии, Израиля и других стран.
Карлос Герреро, проживавший в Чула-Виста (Калифорния, США) родом из Тихуаны (Мексика) владел и управлял несколькими компаниями в США и Мексике, через которые, согласно следственным документам, реализовывал средства наблюдения мексиканским государственным, коммерческим и частным клиентам.
В период с 2014 по 2015 год он поставлял на американский рынок технологии мониринга геолокации, разработанной итальянской компанией, а позже продавал оборудование и услуги израильских компаний.
Несмотря на то, что официально наименования поставщиков шпионского ПО не разглашаются, но, скорее всего, ими являются ныне прекратившая свою деятельность итальянская Hacking Team и находящаяся на стадии банкротства израильская NSO Group.
Сообщается также, что в 2016 и 2017 годах Герреро также продавал глушилки сигнала, решения для контроля Wi-Fi, перехватчики IMSI, технологии взлома переписки WhatsApp потенциальным клиентам в США и Мексике.
Герреро признал, что ему было известно о том, что в некоторых случаях его мексиканские правительственные клиенты планировали использовать оборудование в политических и коммерческих целях, и не имели отношения к правоохранительному блоку.
Ему также вменяется реализованный по заказу мэра одного из городов Мексики несанкционированный доступ к учетным записям Twitter, Hotmail и iCloud его политического соперника.
При этом Герреро сам использовал приобретенное у производителя оборудование для перехвата телефонных звонков американского соперника в Южной Калифорнии и в Мексике. Кроме того, его компания помогла мексиканскому предприятию контролировать телефон и электронную почту торгового представителя из Флориды, за что он получил гонорар в размере 25 000 долларов.
Мексиканца, конечно, отправят по этапу, что знаменует начавшуюся охоту на дилеров второго эшелона, с подачи которых спецтехнологии уже реализовывались куда только можно себе представить.
На днях в ходе расследования американских силовиков свою вину признал мексиканский бизнесмен, который обвиняется в сговоре с целью продажи и использования спецтехнологий от разработчиков из Италии, Израиля и других стран.
Карлос Герреро, проживавший в Чула-Виста (Калифорния, США) родом из Тихуаны (Мексика) владел и управлял несколькими компаниями в США и Мексике, через которые, согласно следственным документам, реализовывал средства наблюдения мексиканским государственным, коммерческим и частным клиентам.
В период с 2014 по 2015 год он поставлял на американский рынок технологии мониринга геолокации, разработанной итальянской компанией, а позже продавал оборудование и услуги израильских компаний.
Несмотря на то, что официально наименования поставщиков шпионского ПО не разглашаются, но, скорее всего, ими являются ныне прекратившая свою деятельность итальянская Hacking Team и находящаяся на стадии банкротства израильская NSO Group.
Сообщается также, что в 2016 и 2017 годах Герреро также продавал глушилки сигнала, решения для контроля Wi-Fi, перехватчики IMSI, технологии взлома переписки WhatsApp потенциальным клиентам в США и Мексике.
Герреро признал, что ему было известно о том, что в некоторых случаях его мексиканские правительственные клиенты планировали использовать оборудование в политических и коммерческих целях, и не имели отношения к правоохранительному блоку.
Ему также вменяется реализованный по заказу мэра одного из городов Мексики несанкционированный доступ к учетным записям Twitter, Hotmail и iCloud его политического соперника.
При этом Герреро сам использовал приобретенное у производителя оборудование для перехвата телефонных звонков американского соперника в Южной Калифорнии и в Мексике. Кроме того, его компания помогла мексиканскому предприятию контролировать телефон и электронную почту торгового представителя из Флориды, за что он получил гонорар в размере 25 000 долларов.
Мексиканца, конечно, отправят по этапу, что знаменует начавшуюся охоту на дилеров второго эшелона, с подачи которых спецтехнологии уже реализовывались куда только можно себе представить.
TechCrunch
Spyware dealer who sold WhatsApp-hacking tech pleads guilty
Prosecutors say the dealer sold hacking tools to the Mexican government and private customers.
Крупнейшие канадские банки Royal Bank of Canada (RBC), BMO (Bank of Montreal), Scotiabank, TD Bank Canada и Canadian Imperial Bank of Commerce (CIBC) массово ушли в оффлайн, заблокировав все онлайн сервисы и операции, по загадочным причинам.
Представители банковского сектора признали инцидент, не сообщая деталей и ссылаясь на технические проблемы. Несмотря на последующие заявления о восстановлении онлайн-сервисов, клиенты РБК и BMO продолжили сталкиваться с проблемами в обслуживании.
При этом CIBC не признал каких-либо проблем с их онлайн-банкингом в принципе, а пользователи банковского приложения TD Bank оказались заблокированы, что представители учреждения категорически отрицали. Многие клиенты также столкнулись с проблемами в работе банкоматов.
Причина массового сбоя до сих пор остается не известной. Но если взглянуть на это с другой стороны, то что-то может указывать на возможную связь инцидента с решением о введении премьер-министром Канады Трюдо в действие закона о чрезвычайных ситуациях на фоне продолжающихся протестов Конвоя свободы.
Если вспомнить ранее мы писали, как краудфандинговый сервис GiveSendGo был взломан сразу после перехода на платформу Конвоя Свободы для сбора пожертвований. Как мы помним, дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.
Как рах в понедельник в Парламентском холме вице-премьер Христя Фриланд объяснила новые правила, которым должны следовать операторы платежных услуг. Новый закон наделяет широкими полномочиями Центр анализа финансовых операций и отчетов Канады (FINTRAC). Все краудфандинговые платформы и поставщики платежных услуг должны предоставлять в надзорный орган сведения обо всех операциях, а равно выполнять их директивы по блокировке подозрительных платежей.
Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, позже сняли.
Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать, но и правды тоже не расскажет.
Представители банковского сектора признали инцидент, не сообщая деталей и ссылаясь на технические проблемы. Несмотря на последующие заявления о восстановлении онлайн-сервисов, клиенты РБК и BMO продолжили сталкиваться с проблемами в обслуживании.
При этом CIBC не признал каких-либо проблем с их онлайн-банкингом в принципе, а пользователи банковского приложения TD Bank оказались заблокированы, что представители учреждения категорически отрицали. Многие клиенты также столкнулись с проблемами в работе банкоматов.
Причина массового сбоя до сих пор остается не известной. Но если взглянуть на это с другой стороны, то что-то может указывать на возможную связь инцидента с решением о введении премьер-министром Канады Трюдо в действие закона о чрезвычайных ситуациях на фоне продолжающихся протестов Конвоя свободы.
Если вспомнить ранее мы писали, как краудфандинговый сервис GiveSendGo был взломан сразу после перехода на платформу Конвоя Свободы для сбора пожертвований. Как мы помним, дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.
Как рах в понедельник в Парламентском холме вице-премьер Христя Фриланд объяснила новые правила, которым должны следовать операторы платежных услуг. Новый закон наделяет широкими полномочиями Центр анализа финансовых операций и отчетов Канады (FINTRAC). Все краудфандинговые платформы и поставщики платежных услуг должны предоставлять в надзорный орган сведения обо всех операциях, а равно выполнять их директивы по блокировке подозрительных платежей.
Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, позже сняли.
Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать, но и правды тоже не расскажет.
Twitter
RBC
@TheCJWest We are currently experiencing technical issues with our online and mobile banking, as well as our phone systems. Our experts are investigating and working to get this fixed as quickly as possible, but we have no ETA to provide at this time. We…
Группировка Moses Staff в очередной раз решила потрепать нервы израильским компаниям.
Специалистами установлено, что APT использует специальный многокомпонентный набор инструментов с целью осуществления шпионажа против своих целей в рамках новой кампании, направленной исключительно на израильские организации.
Известность группировка получила не так давно, а именно в конце 2021 года, когда атаковала три технологические компании Израиля . По мнению экспертов, Moses Staff спонсируется правительством Ирана, при этом помимо Израиля сообщалось об атаках на организации в Италии, Индии, Германии, Чили, Турции, ОАЭ и США.
В этом месяце группа хакеров использовала ранее недокументированный троян удаленного доступа (RAT) под названием StrifeWater, который маскируется под приложение Windows Calculator, чтобы избежать обнаружения.
Как говорят специалисты из FortiGuard Labs группа осуществляет деятельность с чрезвычайно низким уровнем обнаружения, что позволяло ей оставаться незамеченной длительное время. Внимательное изучение показало, что группа активна более года, т.е. намного раньше, чем была зафиксирована их первая активность.
Последняя злонамеренная активность группы включает в себя вектор атаки, который использует уязвимость ProxyShell на серверах Microsoft Exchange в качестве начального уровня заражения для развертывания двух веб-оболочек с последующей эксфильтрацией файлов данных Outlook (.PST) со взломанного сервера. Другие этапы уже осуществляют попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows (Lsass.exe), перед удалением и загрузкой бэкдора StrifeWater (broker.exe).
Установка, используемого для выполнения команд имплантата broker.exe, облегчается загрузчиком, который маскируется под «Службу быстрой остановки жестких дисков», получившим название DriveGuard (drvguard.exe). Кроме того, загрузчик отвечает за запуск контролирующего механизма («lic.dll»), который гарантирует, что его собственная служба никогда не прервется, путем перезапуска DriveGuard каждый раз, а также гарантирует, что загрузчик настроен на автоматический запуск при запуске системы.
Сам бэкдор может удалять себя с диска, делать снимки экрана и обновлять вредоносное ПО. StrifeWater также известен своими попытками оставаться незамеченным, выдавая себя за приложение Windows Calculator (calc.exe), а исследователи FortiGuard Labs вовсе обнаружили два более старых образца, датируемых концом декабря 2020 года, что позволяет предположить, что кампания работала в течение года.
Атрибуция Moses Staff основана на сходстве веб-оболочек, используемых в ранее раскрытых атаках, а также модели виктимологии.
Пока группа ориентирована на осуществление шпионской деятельности т.к. используют уязвимости нулевого дня для начальной стадии вторжения, но эксперты не исключают сценария когда группа начнет осуществлять деструктивные действия в отношении своих жертв. Собственно о чем и предупреждают эксперты - группа высоко мотивирована, способна и нацелена на нанесение ущерба израильским организациям.
Специалистами установлено, что APT использует специальный многокомпонентный набор инструментов с целью осуществления шпионажа против своих целей в рамках новой кампании, направленной исключительно на израильские организации.
Известность группировка получила не так давно, а именно в конце 2021 года, когда атаковала три технологические компании Израиля . По мнению экспертов, Moses Staff спонсируется правительством Ирана, при этом помимо Израиля сообщалось об атаках на организации в Италии, Индии, Германии, Чили, Турции, ОАЭ и США.
В этом месяце группа хакеров использовала ранее недокументированный троян удаленного доступа (RAT) под названием StrifeWater, который маскируется под приложение Windows Calculator, чтобы избежать обнаружения.
Как говорят специалисты из FortiGuard Labs группа осуществляет деятельность с чрезвычайно низким уровнем обнаружения, что позволяло ей оставаться незамеченной длительное время. Внимательное изучение показало, что группа активна более года, т.е. намного раньше, чем была зафиксирована их первая активность.
Последняя злонамеренная активность группы включает в себя вектор атаки, который использует уязвимость ProxyShell на серверах Microsoft Exchange в качестве начального уровня заражения для развертывания двух веб-оболочек с последующей эксфильтрацией файлов данных Outlook (.PST) со взломанного сервера. Другие этапы уже осуществляют попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows (Lsass.exe), перед удалением и загрузкой бэкдора StrifeWater (broker.exe).
Установка, используемого для выполнения команд имплантата broker.exe, облегчается загрузчиком, который маскируется под «Службу быстрой остановки жестких дисков», получившим название DriveGuard (drvguard.exe). Кроме того, загрузчик отвечает за запуск контролирующего механизма («lic.dll»), который гарантирует, что его собственная служба никогда не прервется, путем перезапуска DriveGuard каждый раз, а также гарантирует, что загрузчик настроен на автоматический запуск при запуске системы.
Сам бэкдор может удалять себя с диска, делать снимки экрана и обновлять вредоносное ПО. StrifeWater также известен своими попытками оставаться незамеченным, выдавая себя за приложение Windows Calculator (calc.exe), а исследователи FortiGuard Labs вовсе обнаружили два более старых образца, датируемых концом декабря 2020 года, что позволяет предположить, что кампания работала в течение года.
Атрибуция Moses Staff основана на сходстве веб-оболочек, используемых в ранее раскрытых атаках, а также модели виктимологии.
Пока группа ориентирована на осуществление шпионской деятельности т.к. используют уязвимости нулевого дня для начальной стадии вторжения, но эксперты не исключают сценария когда группа начнет осуществлять деструктивные действия в отношении своих жертв. Собственно о чем и предупреждают эксперты - группа высоко мотивирована, способна и нацелена на нанесение ущерба израильским организациям.
Cisco устранили серьезную уязвимость, позволяющую удаленным злоумышленникам вывести из строя устройства Cisco Secure Email с помощью вредоносных сообщений электронной почты. Бага была обнаружена исследователями Rijksoverheid Dienst ICT Uitvoering (DICTU).
CVE-2022-20653 связана с недостаточной обработкой ошибок при разрешении имен DNS и затрагивает DNS-аутентификацию именованных объектов (DANE), программный компонент Cisco AsyncOS, используемый Cisco Secure Email для проверки электронной почты на наличие спама, фишинга, вредоносных программ и других угроз.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой багой, отправив специально созданные электронные письма на уязвимые устройства, что позволяет ему сделать устройство недоступным для интерфейсов управления или обрабатывать дополнительные сообщения электронной почты в течение определенного периода времени, что приведет к DoS.
Группа реагирования на инциденты (PSIRT) заявила, что не обнаружила никаких доказательств злонамеренного использования в дикой природе. С оговоркой: до того, как в среду были опубликованы рекомендации по безопасности.
Эта проблема затрагивает только продукты Cisco ESA, работающие под управлением программного обеспечения AsyncOS, с включенной функцией DANE (которая отключена по умолчанию) и с нижестоящими почтовыми серверами, настроенными на отправку сообщений о возврате.
Чтобы предотвратить использование этой ошибки, клиенты могут настроить сообщения о возврате от Cisco ESA, а не от нижестоящих зависимых почтовых серверов. Понять, настроен ли DANE, проверьте на странице веб-интерфейса Mail Policies > Destination Controls > Add Destination и проверьте, включен ли параметр DANE Support.
Компания выпустила исправления безопасности Cisco AsyncOS Software Release 13.5.4.102, а также обходные пути для устранения уязвимости.
CVE-2022-20653 связана с недостаточной обработкой ошибок при разрешении имен DNS и затрагивает DNS-аутентификацию именованных объектов (DANE), программный компонент Cisco AsyncOS, используемый Cisco Secure Email для проверки электронной почты на наличие спама, фишинга, вредоносных программ и других угроз.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой багой, отправив специально созданные электронные письма на уязвимые устройства, что позволяет ему сделать устройство недоступным для интерфейсов управления или обрабатывать дополнительные сообщения электронной почты в течение определенного периода времени, что приведет к DoS.
Группа реагирования на инциденты (PSIRT) заявила, что не обнаружила никаких доказательств злонамеренного использования в дикой природе. С оговоркой: до того, как в среду были опубликованы рекомендации по безопасности.
Эта проблема затрагивает только продукты Cisco ESA, работающие под управлением программного обеспечения AsyncOS, с включенной функцией DANE (которая отключена по умолчанию) и с нижестоящими почтовыми серверами, настроенными на отправку сообщений о возврате.
Чтобы предотвратить использование этой ошибки, клиенты могут настроить сообщения о возврате от Cisco ESA, а не от нижестоящих зависимых почтовых серверов. Понять, настроен ли DANE, проверьте на странице веб-интерфейса Mail Policies > Destination Controls > Add Destination и проверьте, включен ли параметр DANE Support.
Компания выпустила исправления безопасности Cisco AsyncOS Software Release 13.5.4.102, а также обходные пути для устранения уязвимости.
Cisco
Cisco Security Advisory: Cisco Email Security Appliance DNS Verification Denial of Service Vulnerability
A vulnerability in the DNS-based Authentication of Named Entities (DANE) email verification component of Cisco AsyncOS Software for Cisco Email Security Appliance (ESA) could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition…
Как мы все помним, в понедельник было объявлено о выявлении в Adobe Commerce и Magento RCE-уязвимости CVE-2022-24086, которая была экстренно закрыта внеочередным патчем.
А вчера Adobe добавили, что они обнаружили, что исправление можно обойти (CVE-2022-24087), и выпустили второй внеочередной патч. Сама по себе ситуация из разряда "не часто, но бывает".
Но есть одна пикантная особенность.
По сообществу расходится информация, что первоткрывателями CVE-2022-24087 являются швейцарские исследователи Eboda и Blaklis.
А пару часов назад Позитивы сообщили в Twitter, что они тоже обошли апдейт и передали информацию в Adobe (при этом указали, что были не первыми).
И вот нам интересно - укажут Adobe позитивовских экспертов в качестве авторов CVE наряду со швейцарцами? Или "тактично" промолчат и присоединятся к петушиному кутку, в котором уже сидят Citrix, а также SAP?
А вчера Adobe добавили, что они обнаружили, что исправление можно обойти (CVE-2022-24087), и выпустили второй внеочередной патч. Сама по себе ситуация из разряда "не часто, но бывает".
Но есть одна пикантная особенность.
По сообществу расходится информация, что первоткрывателями CVE-2022-24087 являются швейцарские исследователи Eboda и Blaklis.
А пару часов назад Позитивы сообщили в Twitter, что они тоже обошли апдейт и передали информацию в Adobe (при этом указали, что были не первыми).
И вот нам интересно - укажут Adobe позитивовских экспертов в качестве авторов CVE наряду со швейцарцами? Или "тактично" промолчат и присоединятся к петушиному кутку, в котором уже сидят Citrix, а также SAP?
Twitter
Blaklis
A new patch have been published for Magento 2, to mitigate the pre-authenticated remote code execution. If you patched with the first patch, THIS IS NOT SUFFICIENT to be safe. Please update again! helpx.adobe.com/security/produ… @ptswarm (as you had a PoC…
Intel устранили 18 уязвимостей высокой степени опасности в программном и микропрограммном обеспечении, большинство из которых могут способствовать повышению привилегий. Другие могут привести к раскрытию информации или отказу в обслуживании (DoS).
Согласно представленным данным производителя, прошивка BIOS для некоторых процессоров Intel подвержена 10 уязвимостям повышения привилегий высокой степени серьезности.
Один из серьезных недостатков при этом обнаружен в микропрограмме набора микросхем Intel в службах серверной платформы (SPS), технологии активного управления (AMT) и контроллере управления питанием (PMC).
Проблемы высокой степени серьезности также были обнаружены в проекте с открытым исходным кодом Kernelflinger, компонентах Intel Quartus Prime, продуктах PROSet/Wireless WiFi и Killer WiFi, а также в AMT SDK, программном обеспечении для настройки и SCS, а также в расширениях BIOS Management Engine (MEBx).
Использование всех пропатченных уязвимостей требует локального доступа к целевому устройству.
Производитель выпустил в общей сложности 22 рекомендации по безопасности, в том числе семь с общим рейтингом серьезности «высокий». Кроме того, описываются более дюжины уязвимостей средней и низкой степени серьезности, которые компания устранила в этом месяце.
С одной стороны, учитывая широкое распространение программного и микропрограммного обеспечения Intel, уязвимости такого типа в большой долей вероятности могут быть весьма полезными для злоумышленников.
Но статистика говорит об обратном. Так, в каталоге известных эксплуатируемых уязвимостей CISA с описанием эксплуатировавшихся за последнее десятилетие на деле более 370 уязвимостей сообщается лишь об одной уязвимости Intel (CVE-2017-5689).
Кстати, в прошлом году Intel исправила в общей сложности 226 уязвимостей в своих продуктах, при этом две уязвимости, исправленные в 2021 году, были оценены как критические, а 52 имели высокая степень серьезности.
Но не будем забывать о том, что это лишь официальная статистика.
Согласно представленным данным производителя, прошивка BIOS для некоторых процессоров Intel подвержена 10 уязвимостям повышения привилегий высокой степени серьезности.
Один из серьезных недостатков при этом обнаружен в микропрограмме набора микросхем Intel в службах серверной платформы (SPS), технологии активного управления (AMT) и контроллере управления питанием (PMC).
Проблемы высокой степени серьезности также были обнаружены в проекте с открытым исходным кодом Kernelflinger, компонентах Intel Quartus Prime, продуктах PROSet/Wireless WiFi и Killer WiFi, а также в AMT SDK, программном обеспечении для настройки и SCS, а также в расширениях BIOS Management Engine (MEBx).
Использование всех пропатченных уязвимостей требует локального доступа к целевому устройству.
Производитель выпустил в общей сложности 22 рекомендации по безопасности, в том числе семь с общим рейтингом серьезности «высокий». Кроме того, описываются более дюжины уязвимостей средней и низкой степени серьезности, которые компания устранила в этом месяце.
С одной стороны, учитывая широкое распространение программного и микропрограммного обеспечения Intel, уязвимости такого типа в большой долей вероятности могут быть весьма полезными для злоумышленников.
Но статистика говорит об обратном. Так, в каталоге известных эксплуатируемых уязвимостей CISA с описанием эксплуатировавшихся за последнее десятилетие на деле более 370 уязвимостей сообщается лишь об одной уязвимости Intel (CVE-2017-5689).
Кстати, в прошлом году Intel исправила в общей сложности 226 уязвимостей в своих продуктах, при этом две уязвимости, исправленные в 2021 году, были оценены как критические, а 52 имели высокая степень серьезности.
Но не будем забывать о том, что это лишь официальная статистика.
Intel
Security Center