В нашей практике мы еще не сталкивались с тем, чтобы китайская инфосек-компания публиковала отчет о активности иранской АРТ, нацеленной на организации в США.
Теперь столкнулись.
Китайские исследователи NSFOCUS опубликовали отчет о недавней целевой фишинговой кампании, проведенной иранской APT34, также известной как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig.
APT34 активна, как минимум, с 2014 года и ранее была нацелена на госучреждения и компании в сфере телекоммуникаций, обороны, ТЭК, финансов, химпромышленности на Ближнем Востоке посредством фишинга в рамках операции по кибершпионажу и кибердиверсиям.
Как отмечают исследовали, APT34 обладает высоким уровнем технологии атак, способна разрабатывать уникальные методы проникновения для разных типов целей и проводить атаки на цепочку поставок.
Одной из ключевых особенностей хакерской организации является ее способность создавать новые и обновляемые инструменты, позволяющие свести к минимуму вероятность обнаружения, а также закрепляться на скомпрометированных хостах на длительный период времени.
После того, как основные инструменты атаки этой группы были раскрыты в утечке в 2019 году, она начала разрабатывать новые инструменты атаки, включая RDAT, SideTwist и Saitama.
SideTwist использовался APT34 впервые в апреле 2021 года. Исследователи Check Point описали его как имплант, способный загружать/выгружать файлы и выполнять команды.
Новая кампания была нацелена на организации США и привела к заражению жертв новой версией трояна SideTwist.
Цепочка атак, выявленная NSFOCUS, начиналась с документа-приманки Microsoft Word, который встраивается во вредоносный макрос, который, в свою очередь, извлекал и запускал полезные данные в кодировке Base64.
Полезная нагрузка представляла собой вариант SideTwist, который был скомпилирован с использованием GCC и устанавливал связь с удаленным сервером (11.0.188[.]38) для получения дальнейших команд.
Специфика этого IP-адреса, по мнению ресерчеров, предполагает, что злоумышленник APT34, вероятно, использовал его в качестве проверки и не демонстрируя реальный адрес C2.
Особенно, если учесть, что принадлежал сегменту 11.0.188.0/22, принадлежащему Министерству обороны США.
По нашему мнению, подобный отчет может быть свидетельством противодействия китайской стороны наметившемуся политическому сближению Ирана и США, в рамках которого штаты даже разморозили конфискованные у Ирана 6 млрд.дол. для их использования в гуманитарных целях.
Но будем посмотреть.
Теперь столкнулись.
Китайские исследователи NSFOCUS опубликовали отчет о недавней целевой фишинговой кампании, проведенной иранской APT34, также известной как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig.
APT34 активна, как минимум, с 2014 года и ранее была нацелена на госучреждения и компании в сфере телекоммуникаций, обороны, ТЭК, финансов, химпромышленности на Ближнем Востоке посредством фишинга в рамках операции по кибершпионажу и кибердиверсиям.
Как отмечают исследовали, APT34 обладает высоким уровнем технологии атак, способна разрабатывать уникальные методы проникновения для разных типов целей и проводить атаки на цепочку поставок.
Одной из ключевых особенностей хакерской организации является ее способность создавать новые и обновляемые инструменты, позволяющие свести к минимуму вероятность обнаружения, а также закрепляться на скомпрометированных хостах на длительный период времени.
После того, как основные инструменты атаки этой группы были раскрыты в утечке в 2019 году, она начала разрабатывать новые инструменты атаки, включая RDAT, SideTwist и Saitama.
SideTwist использовался APT34 впервые в апреле 2021 года. Исследователи Check Point описали его как имплант, способный загружать/выгружать файлы и выполнять команды.
Новая кампания была нацелена на организации США и привела к заражению жертв новой версией трояна SideTwist.
Цепочка атак, выявленная NSFOCUS, начиналась с документа-приманки Microsoft Word, который встраивается во вредоносный макрос, который, в свою очередь, извлекал и запускал полезные данные в кодировке Base64.
Полезная нагрузка представляла собой вариант SideTwist, который был скомпилирован с использованием GCC и устанавливал связь с удаленным сервером (11.0.188[.]38) для получения дальнейших команд.
Специфика этого IP-адреса, по мнению ресерчеров, предполагает, что злоумышленник APT34, вероятно, использовал его в качестве проверки и не демонстрируя реальный адрес C2.
Особенно, если учесть, что принадлежал сегменту 11.0.188.0/22, принадлежащему Министерству обороны США.
По нашему мнению, подобный отчет может быть свидетельством противодействия китайской стороны наметившемуся политическому сближению Ирана и США, в рамках которого штаты даже разморозили конфискованные у Ирана 6 млрд.дол. для их использования в гуманитарных целях.
Но будем посмотреть.
NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks.
APT34 Unleashes New Wave of Phishing Attack with Variant of SideTwist Trojan - NSFOCUS, Inc., a global network and cyber security…
NSFOCUS Security Labs captured a new APT34 phishing attack. In the attack, APT34 attackers disguised as a marketing services company launched attacks against enterprise targets and released a variant of SideTwist Trojan to achieve long-term control of the…
Google теперь уже в рамках еженедельного обновления исправила серьезные уязвимости в Chrome 116.
Первая ошибка, отслеживаемая как CVE-2023-4761, описывается как проблема доступа к памяти за пределами границ в API FedCM (Federated Credential Management).
Ошибка доступа к памяти за пределами буфера в конечном итоге может позволить злоумышленнику вызвать DoS или воспользоваться дополнительными уязвимостями для выполнения кода.
Второй недостаток — это проблема путаницы типов в движке JavaScript V8. Уязвимость, отслеживаемая как CVE-2023-4762, может привести к выходу за пределы доступа к памяти.
Третья ошибка, CVE-2023-4763, связана с проблемой использования после освобождения в компоненте «сети» Chrome. Она может быть использована для RCE или DoS, и в сочетании с другими - привести к полной компрометации системы.
Четвертая уязвимость, исправленная в этом обновлении Chrome 116, - CVE-2023-4764, зптрагивает пользовательский интерфейс безопасности в BFCache, позволяющий удаленному злоумышленнику использовать созданную HTML-страницу для подмены содержимого URL-строки.
Google не сообщает о использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Последняя версия Chrome теперь выпускается как 116.0.5845.179 для macOS и Linux и как версии 116.0.5845.179/.180 для Windows.
Первая ошибка, отслеживаемая как CVE-2023-4761, описывается как проблема доступа к памяти за пределами границ в API FedCM (Federated Credential Management).
Ошибка доступа к памяти за пределами буфера в конечном итоге может позволить злоумышленнику вызвать DoS или воспользоваться дополнительными уязвимостями для выполнения кода.
Второй недостаток — это проблема путаницы типов в движке JavaScript V8. Уязвимость, отслеживаемая как CVE-2023-4762, может привести к выходу за пределы доступа к памяти.
Третья ошибка, CVE-2023-4763, связана с проблемой использования после освобождения в компоненте «сети» Chrome. Она может быть использована для RCE или DoS, и в сочетании с другими - привести к полной компрометации системы.
Четвертая уязвимость, исправленная в этом обновлении Chrome 116, - CVE-2023-4764, зптрагивает пользовательский интерфейс безопасности в BFCache, позволяющий удаленному злоумышленнику использовать созданную HTML-страницу для подмены содержимого URL-строки.
Google не сообщает о использовании какой-либо из этих уязвимостей в злонамеренных атаках.
Последняя версия Chrome теперь выпускается как 116.0.5845.179 для macOS и Linux и как версии 116.0.5845.179/.180 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.179 for Mac and Linux and 116.0.5845.179/.180 for Windows, which will...
Исследователи из Рурского университета в Бохуме, DFKI, Лаборатории социальной информатики NTT и Университета Тохоку разработали новую систему безопасности, которая позволяет эффективно противодействовать атакам по побочным каналам, приводящим к утечке данных из кэш-памяти процессора.
Названная функцией рандомизации безопасного кэша (Secure CAche Randomization Function), или SCARF, система реализует рандомизированную структуру кэша (дифференцированное сопоставление адреса с индексом кэша), которая не позволяет злоумышленникам создавать минимальные наборы вытеснения, которые являются фундаментальными для подобных атак.
В то же время рандомизированные кэши сохраняют гибкость традиционных кэшей, что делает их широко применимыми для различных типов процессоров. Это главное преимущество перед подходами к секционированию кэша.
Исследовательская группа утверждает, что SCARF превосходит аналогичные системы, которые в значительной степени полагаются на шифрование кэша.
SCARF реализует первый специализированный шифр рандомизации кэша, который обеспечивает низкую задержку и является криптографически безопасным в модели злоумышленника кэша.
Названная функцией рандомизации безопасного кэша (Secure CAche Randomization Function), или SCARF, система реализует рандомизированную структуру кэша (дифференцированное сопоставление адреса с индексом кэша), которая не позволяет злоумышленникам создавать минимальные наборы вытеснения, которые являются фундаментальными для подобных атак.
В то же время рандомизированные кэши сохраняют гибкость традиционных кэшей, что делает их широко применимыми для различных типов процессоров. Это главное преимущество перед подходами к секционированию кэша.
Исследовательская группа утверждает, что SCARF превосходит аналогичные системы, которые в значительной степени полагаются на шифрование кэша.
SCARF реализует первый специализированный шифр рандомизации кэша, который обеспечивает низкую задержку и является криптографически безопасным в модели злоумышленника кэша.
Forwarded from Russian OSINT
На прошлой неделе при проверке📱устройства одного из сотрудников общественной организации в США, Citizen Lab обнаружила активно эксплуатируемую уязвимость "zero-click", которая использовалась для развертывания шпионского ПО Pegasus от компании NSO Group на устройство жертвы.
"Цепочка эксплойтов [BLASTPASS] была способна скомпрометировать iPhone, работающие под управлением последней версии iOS (16.6), без какого-либо вмешательства со стороны жертвы", - пишет Citizen Lab.
СItizen Lab назвала цепочку эксплойтов "BLASTPASS", поскольку в ней задействован PassKit - фреймворк, позволяющий разработчикам включать Apple Pay в свои приложения. Apple выпустила обновления безопасности и порекомендовала срочно обновиться.
https://support.apple.com/en-us/HT213905
Please open Telegram to view this post
VIEW IN TELEGRAM
Ботнет Mirai эволюционировал и миллионы устройств для потоковой передачи мультимедиа снова под угрозой.
Новая версия Mirai теперь заражает недорогие приставки Android TV и, по данным исследователей Dr. Web, представляет собой модифицированный вариант бэкдора Pandora, впервые появившегося в 2015 году.
Основными целями вредоносной кампании стали ТВ-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, которые оснащены четырехъядерными процессорами, позволяющими проводить оператором мощные DDoS-атаки даже при небольшом количестве задействованных ботов.
Основным каналом доставки малвари на устройства выступают фейковые обновления прошивки, подписанное общедоступными тестовыми ключами, а также вредоносные приложения на сайтах с пиратским контентом.
Поэтому стоит иметь в виду, что обещанная безлимитная халява с медиа контентом может выйти боком и ваша приставка верой и правдой будет служить на стороне зла.
Вредоносная служба скрывается в файле boot.img, который содержит компоненты ядра и виртуального диска, загружаемые во время загрузки системы Android, что является отличным механизмом для сохранения устойчивости.
На старте в фоновом режиме запускается служба GoMediaService и настраивается автозапуск при загрузке устройства.
Далее служба вызывает программу gomediad.so, которая распаковывает несколько файлов, включая интерпретатор командной строки, работающий с повышенными привилегиями (Tool.AppProcessShell.1) и установщик бэкдора Pandora (.tmp.sh).
После активации бэкдор связывается с сервером C2, заменяет файл HOSTS, обновляется, а затем переходит в режим ожидания, ожидая входящих команд от операторов ботнета.
Специалисты полагают, что вредоносное ПО может выполнять DDoS-атаки по протоколам TCP и UDP, например генерировать SYN, ICMP и DNS-флуд-запросы, а также открывать обратную оболочку, монтировать системные разделы для модификации и многое другое.
Новая версия Mirai теперь заражает недорогие приставки Android TV и, по данным исследователей Dr. Web, представляет собой модифицированный вариант бэкдора Pandora, впервые появившегося в 2015 году.
Основными целями вредоносной кампании стали ТВ-приставки Tanix TX6 TV Box, MX10 Pro 6K и H96 MAX X3, которые оснащены четырехъядерными процессорами, позволяющими проводить оператором мощные DDoS-атаки даже при небольшом количестве задействованных ботов.
Основным каналом доставки малвари на устройства выступают фейковые обновления прошивки, подписанное общедоступными тестовыми ключами, а также вредоносные приложения на сайтах с пиратским контентом.
Поэтому стоит иметь в виду, что обещанная безлимитная халява с медиа контентом может выйти боком и ваша приставка верой и правдой будет служить на стороне зла.
Вредоносная служба скрывается в файле boot.img, который содержит компоненты ядра и виртуального диска, загружаемые во время загрузки системы Android, что является отличным механизмом для сохранения устойчивости.
На старте в фоновом режиме запускается служба GoMediaService и настраивается автозапуск при загрузке устройства.
Далее служба вызывает программу gomediad.so, которая распаковывает несколько файлов, включая интерпретатор командной строки, работающий с повышенными привилегиями (Tool.AppProcessShell.1) и установщик бэкдора Pandora (.tmp.sh).
После активации бэкдор связывается с сервером C2, заменяет файл HOSTS, обновляется, а затем переходит в режим ожидания, ожидая входящих команд от операторов ботнета.
Специалисты полагают, что вредоносное ПО может выполнять DDoS-атаки по протоколам TCP и UDP, например генерировать SYN, ICMP и DNS-флуд-запросы, а также открывать обратную оболочку, монтировать системные разделы для модификации и многое другое.
Dr.Web
Pandora's box is now open: the well-known Mirai trojan arrives in a new disguise to Android-based TV sets and TV boxes
Doctor Web has identified a family of Android.Pandora trojans that compromise Android devices, either during firmware updates or when applications for viewing pirated video content are installed. This backdoor inherited its advanced DDoS-attack capabilities…
Вернемся к Apple.
Как уже было отмечено, две 0-day, использовались как часть цепочки эксплойтов iMessage с нулевым щелчком BLASTPASS для развертывания Pegasus от NSO Group на полностью пропатченных девайсах через вложения PassKit.
Ошибки затрагивают в платформы Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружена Apple).
Первая уязвимость связана с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к RCE на непропатченных устройствах.
Другая, CVE-2023-41061, - это проблема проверки, которую можно использовать с помощью вредоносного вложения для RCE на целевых устройствах.
Список затронутых устройств достаточно обширен, поскольку обе ошибки затрагивают как старые, так и новые модели, включая: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Ventura и Apple Watch Series 4 и новее.
В экстренном порядке Apple выпустила исправления в рамках macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Всего же с начала года компания закрыла 13 активно эксплуатируемых уязвимостей. Вероятно, это еще не предел.
По всей видимости, в КНР уже что-то знали или знают.
Ведь непосредственно перед раскрытием новых «шпионских» 0-day в Apple, правительство КНР ввело запрет на использование iPhone и других устройств иностранных брендов госслужащими.
При этом чиновники сослались на необходимость защитить правительственную среду от иностранного шпионажа.
И все это напоминает историю, когда в АП РФ сотрудникам запретили яблочную технику, а несколько месяцев спустя общественность благодаря Лаборатории Касперского узнала об Операции Триангуляции и сотрудничестве Apple с АНБ в рамках реализации кибершпионажа за российскими пользователями.
Но будем посмотреть.
Как уже было отмечено, две 0-day, использовались как часть цепочки эксплойтов iMessage с нулевым щелчком BLASTPASS для развертывания Pegasus от NSO Group на полностью пропатченных девайсах через вложения PassKit.
Ошибки затрагивают в платформы Image I/O и Wallet и отслеживаются как CVE-2023-41064 (обнаружена исследователями безопасности Citizen Lab) и CVE-2023-41061 (обнаружена Apple).
Первая уязвимость связана с переполнением буфера, которая срабатывает при обработке вредоносных изображений и может привести к RCE на непропатченных устройствах.
Другая, CVE-2023-41061, - это проблема проверки, которую можно использовать с помощью вредоносного вложения для RCE на целевых устройствах.
Список затронутых устройств достаточно обширен, поскольку обе ошибки затрагивают как старые, так и новые модели, включая: iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, iPad mini 5-го поколения и новее, компьютеры Mac под управлением macOS Ventura и Apple Watch Series 4 и новее.
В экстренном порядке Apple выпустила исправления в рамках macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 и watchOS 9.6.2, улучшив логику и обработку памяти.
Всего же с начала года компания закрыла 13 активно эксплуатируемых уязвимостей. Вероятно, это еще не предел.
По всей видимости, в КНР уже что-то знали или знают.
Ведь непосредственно перед раскрытием новых «шпионских» 0-day в Apple, правительство КНР ввело запрет на использование iPhone и других устройств иностранных брендов госслужащими.
При этом чиновники сослались на необходимость защитить правительственную среду от иностранного шпионажа.
И все это напоминает историю, когда в АП РФ сотрудникам запретили яблочную технику, а несколько месяцев спустя общественность благодаря Лаборатории Касперского узнала об Операции Триангуляции и сотрудничестве Apple с АНБ в рамках реализации кибершпионажа за российскими пользователями.
Но будем посмотреть.
Apple Support
About the security content of macOS Ventura 13.5.2
This document describes the security content of macOS Ventura 13.5.2.
Cisco выпустила исправления для критической уязвимости обхода аутентификации в платформе BroadWorks и BroadWorks Xtended Services Platform.
Cisco BroadWorks — это платформа облачных коммуникационных услуг для бизнеса, а два упомянутых компонента используются для управления приложениями и их интеграции.
Обнаруженная инженерами по безопасности Cisco, уязвимость отслеживается как CVE-2023-20238, имеет оценку CVSS 10,0 и затрагивает реализацию единого входа (SSO).
Она могла быть использована удаленными злоумышленниками, не прошедшими проверку подлинности, для подделки учетных данных и доступа к затронутым системам.
Воспользовавшись этой уязвимостью, они могут свободно выполнять команды, получать доступ к конфиденциальным данным, изменять пользовательские настройки и совершать мошенничество с междугородной связью.
Как отмечает поставщик, для использования уязвимости злоумышленнику потребуется действительный идентификатор пользователя, связанный с затронутой системой BroadWorks.
Проблема охватывает выпуски BroadWorks, использующие AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrival, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel или Xsi-VTR.
Cisco BroadWorks и BroadWorks версии AP.platform.23.0.1075.ap385341 устраняют уязвимость.
Cisco также анонсировала независимые выпуски 2023.06_1.333 и 2023.07_1.332, содержащие необходимые исправления. Обходные пути для этой ошибки отсутствуют.
Кроме того, Cisco выпустила исправления для серьезной DoS-уязвимости в Identity Services Engine (ISE), затрагивающей версии ISE 3.1 и 3.2 (исправлена в ISE 3.1P7 и 3.2P3).
CVE-2023-20243 возникает из-за того, что некоторые запросы учета RADIUS не обрабатываются должным образом.
Злоумышленник, отправляющий специально созданные запросы устройству доступа к сети, которое напрямую использует Cisco ISE, может вызвать перезапуск процесса RADIUS, лишив пользователя доступа к сети или услуге.
К настоящему времени сообщений об активной эксплуатации уязвимости в реальной среде не поступало, однако системным администраторам следует как можно скорее установить доступные обновления.
Cisco BroadWorks — это платформа облачных коммуникационных услуг для бизнеса, а два упомянутых компонента используются для управления приложениями и их интеграции.
Обнаруженная инженерами по безопасности Cisco, уязвимость отслеживается как CVE-2023-20238, имеет оценку CVSS 10,0 и затрагивает реализацию единого входа (SSO).
Она могла быть использована удаленными злоумышленниками, не прошедшими проверку подлинности, для подделки учетных данных и доступа к затронутым системам.
Воспользовавшись этой уязвимостью, они могут свободно выполнять команды, получать доступ к конфиденциальным данным, изменять пользовательские настройки и совершать мошенничество с междугородной связью.
Как отмечает поставщик, для использования уязвимости злоумышленнику потребуется действительный идентификатор пользователя, связанный с затронутой системой BroadWorks.
Проблема охватывает выпуски BroadWorks, использующие AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrival, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel или Xsi-VTR.
Cisco BroadWorks и BroadWorks версии AP.platform.23.0.1075.ap385341 устраняют уязвимость.
Cisco также анонсировала независимые выпуски 2023.06_1.333 и 2023.07_1.332, содержащие необходимые исправления. Обходные пути для этой ошибки отсутствуют.
Кроме того, Cisco выпустила исправления для серьезной DoS-уязвимости в Identity Services Engine (ISE), затрагивающей версии ISE 3.1 и 3.2 (исправлена в ISE 3.1P7 и 3.2P3).
CVE-2023-20243 возникает из-за того, что некоторые запросы учета RADIUS не обрабатываются должным образом.
Злоумышленник, отправляющий специально созданные запросы устройству доступа к сети, которое напрямую использует Cisco ISE, может вызвать перезапуск процесса RADIUS, лишив пользователя доступа к сети или услуге.
К настоящему времени сообщений об активной эксплуатации уязвимости в реальной среде не поступало, однако системным администраторам следует как можно скорее установить доступные обновления.
Cisco
Cisco Security Advisory: Cisco BroadWorks Application Delivery Platform and Xtended Services Platform Authentication Bypass Vulnerability
A vulnerability in the single sign-on (SSO) implementation of Cisco BroadWorks Application Delivery Platform and Cisco BroadWorks Xtended Services Platform could allow an unauthenticated, remote attacker to forge the credentials required to access an affected…
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.• Сразу хочу отметить, что этот бесплатный курс был опубликован более 6 лет назад. Однако, курс включает в себя огромное кол-во актуальной информации касательно сетей и #Wireshark.
• Кстати, на днях будет опубликована большая подборка материала, которая поможет разобраться в сетях с самого начального уровня и прокачать свои знания до уровня эксперта. А пока, рекомендую к изучению курс ниже:
• Анализатор сети Wireshark;
• Канальный уровень в Wireshark;
• Wi-Fi джунгли;
• Протокол IP;
• Инкапсуляция;
• Протокол DHCP в Wireshark;
• Протокол ARP;
• Протокол ICMP в Wireshark;
• Протокол ICMP, утилита traceroute;
• Порты на транспортном уровне;
• Установка соединения в TCP;
• Протокол DNS в Wireshark;
• Типы записей DNS в Wireshark;
• DNS: итеративный и рекурсивный режим;
• HTTP в текстовом режиме;
• SMTP в текстовом режиме;
• POP3 в текстовом режиме;
• IMAP в текстовом режиме;
• FTP в Wireshark;
• Протокол IPv6;
• Протокол NDP;
• Web сокеты.
S.E. ▪️ infosec.work ▪️ #Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Emsisoft просит своих клиентов обновить антивирусное ПО и другие продукты безопасности, а также перезагрузить систему из-за неправильно выданного цифрового сертификата для их подписи.
Проблема, по словам компании, затрагивает ее сертификат подписи кода расширенной проверки (EV), который был продлен 23 августа и использовался для подписи всех программных файлов, скомпилированных после этой даты, включая последнюю версию ПО, выпущенную 4 сентября.
Выдавший сертификат центр GlobalSign 4 сентября уведомил Emsisoft, что при выдаче был указан неправильный номер, после чего выпустил новый и 8 сентября отзывал неправильно выданный сертификат.
Emsisoft повторно подписала все файлы, используя новый сертификат, и предоставила обновления для своих продуктов, ожидая автоматической доставки новой версии до того, как старый сертификат будет отозван.
На самом деле основная проблема заключается в том, что Emsisoft также использовала ранее выданный сертификат для подписи компонента драйвера, а его обновление требует перезагрузки системы.
При этом когда центр сертификации отзывает сертификат, все файлы ПО, подписанные им, выдают предупреждение безопасности, а драйверы могут вообще не загружаться, что существенно нарушает защиту, в том числе возможность запуска онлайн-обновлений.
По мнению Emsisoft, в этом случае пользователям придется вручную переустановить уязвимые Emsisoft Anti-Malware, Emsisoft Business Security и Emsisoft Enterprise Security для восстановления защиты.
Поэтому компания призывает всех своих пользователей перезагрузить системы после обновления продуктов безопасности, а сделать это необходимо до 22 сентября этого года.
Теперь после такого (косяка) случая новозеландский поставщик антивирусного ПО непременно должен пополнить тот самый список как Emsisoft - хуисисофт.
Проблема, по словам компании, затрагивает ее сертификат подписи кода расширенной проверки (EV), который был продлен 23 августа и использовался для подписи всех программных файлов, скомпилированных после этой даты, включая последнюю версию ПО, выпущенную 4 сентября.
Выдавший сертификат центр GlobalSign 4 сентября уведомил Emsisoft, что при выдаче был указан неправильный номер, после чего выпустил новый и 8 сентября отзывал неправильно выданный сертификат.
Emsisoft повторно подписала все файлы, используя новый сертификат, и предоставила обновления для своих продуктов, ожидая автоматической доставки новой версии до того, как старый сертификат будет отозван.
На самом деле основная проблема заключается в том, что Emsisoft также использовала ранее выданный сертификат для подписи компонента драйвера, а его обновление требует перезагрузки системы.
При этом когда центр сертификации отзывает сертификат, все файлы ПО, подписанные им, выдают предупреждение безопасности, а драйверы могут вообще не загружаться, что существенно нарушает защиту, в том числе возможность запуска онлайн-обновлений.
По мнению Emsisoft, в этом случае пользователям придется вручную переустановить уязвимые Emsisoft Anti-Malware, Emsisoft Business Security и Emsisoft Enterprise Security для восстановления защиты.
Поэтому компания призывает всех своих пользователей перезагрузить системы после обновления продуктов безопасности, а сделать это необходимо до 22 сентября этого года.
Теперь после такого (косяка) случая новозеландский поставщик антивирусного ПО непременно должен пополнить тот самый список как Emsisoft - хуисисофт.
Emsisoft | Cybersecurity Blog
Critical software update
We urge all our customers to make sure automatic updates in their Emsisoft Anti-Malware, Emsisoft Business Security and Emsisoft Enterprise Security are enabled and reboot their computers before September 22nd, 2023.
Cisco предупреждает о 0-day в Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), которую с августа активно эксплуатирует Akira ransomware для получения первоначального доступа к корпоративным сетям.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
CVE-2023-20269 (оценка CVSS 5,0, средняя степень серьезности) затрагивает функцию VPN, позволяя неавторизованным удаленным злоумышленникам проводить атаки методом перебора на существующие учетные записи.
Она связана с неправильным разделением аутентификации, авторизации, учета (AAA) и других функций ПО, что приводит к сценариям, в которых злоумышленник может отправлять запросы аутентификации в интерфейс веб-служб.
Уязвимость можно использовать для брута, если на уязвимом устройстве:
- по крайней мере один пользователь настроен с паролем в базе данных LOCAL или аутентификация управления HTTPS указывает на действительный сервер AAA.
- SSL VPN включен хотя бы на одном интерфейсе или IKEv2 VPN включен хотя бы на одном интерфейсе.
Если на целевом устройстве используется ПО Cisco ASA версии 9.16 или более ранней, злоумышленник может установить бесклиентский сеанс SSL VPN без дополнительной авторизации после успешной аутентификации, но при соблюдении ряда условий: необходимы действительные учетные данные, SSL VPN должен быть включен хотя бы на одном интерфейсе и разрешен бесклиентский протокол SSL VPN.
Устройства под управлением Cisco FTD не подвержены этой атаке, поскольку FTD не поддерживает бесклиентские сеансы SSL VPN.
Cisco (PSIRT) впервые обнаружила проблему в прошлом месяце в рамках расследования атак Akira, в ходе которых некоторые клиенты компании были скомпрометированы через VPN Cisco, в которых отсутствовала многофакторная аутентификация.
Тогда еще SentinelOne предположила, что это могло произойти через неизвестную уязвимость. Неделю спустя Rapid7 сообщила, что Lockbit, помимо Akira, также использовала недокументированную проблему безопасности в устройствах Cisco VPN. Однако точная природа проблемы оставалась неясной.
Компания настоятельно рекомендует клиентам перейти на фиксированную версию ПО, чтобы устранить эту уязвимость, как только она станет доступна, а тем временем применить одно из обходных решений.
Cisco также предоставила список индикаторов компрометации (IoC), чтобы помочь организациям выявить потенциальную вредоносную активность, а также подробную информацию о том, как организации могут защититься от использования ошибки бесклиентским сеансом SSL VPN.
Cisco
Cisco Security Advisory: Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized…
A vulnerability in the remote access VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct a brute force attack in an attempt to identify…
РТ-Солар нечасто нас радует интересными материалами, в основном публикуя квартальные отчеты об угрозах. А между тем, размещение в паблике и дальнейшее обсуждение в сообществе хороших расследований - первое дело в части создания положительного образа инфосек кампании. Товарищ Ляпунов, берите пример с Бизонов, Позитивов (нестабильны, но в последнее время исправляются), представителей сингапурского расового инфосека во главе с Волковым и отпочковавшегося от них криптовендора F.A.C.C.T. Про Касперских вообще молчим, эти запузыривают по паре отчетов каждую неделю. С Дсеков пример не берите, у них информационная повестка протухла, они с весны транслируют 6 историй успешного успеха и обновляют телефоны.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
(И ради бога, уберите чат-бот с сайта, ну это ж просто кринж)
Но! Сегодня у нас праздник! Солары в конце прошлой недели разместили результаты анализа ransomware HardBit, в котором не только связали разработчиков с более ранними штаммами Poteston и Styxeber (мы про таких, честно говоря,не слышали), но и, что важнее, любезно предоставили ссылку на созданный ими декриптор. Точнее, полудекриптор - работает он только на версиях HardBit 2.0 и 3.0, более раннюю версию 1.0, к сожалению, не берет и требует точного сохранения конфигурации, которая была на момент атаки.
Сам HardBit не сильно распространенный штамм, появился в октябре прошлого года и переодически попадал в зону внимания инфосек компаний. Мы даже один раз про него писали.
РТ-Солар же пожелаем почаще выпускать интересные отчеты, а не на CNews пастись. И сайт поправьте, а то у вас развитие в сентябре 2021 года остановилось.
rt-solar.ru
Анализ версий шифровальщика семейства HardBit и декриптор – скачать отчет
Эксперты Solar JSOC CERT проанализировал шифровальщики семейства HardBit и поделился дешифратором для его последних версий. Скачать отчет анализ шифровальщика семейства HardBit
Атака с использованием ransomware привела к тотальному шифрованию серверов электронной почты правительства Шри-Ланки и значительной потере данных.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
Агентство информационных и коммуникационных технологий (ICTA) официально подтвердило серьезный инцидент, затронувший все правительственные учреждения, использующие почтовый домен gov[.]lk, включая канцелярию Кабинета министров.
Более 5000 госслужащих Шри-Ланки утратили всю электронную корреспонденцию за период с 17 мая по 26 августа этого года.
Теперь над восстановлением утерянных данных усиленно трудятся ICTA совместно национальной группой реагирования SLCERT.
Последняя также предупредила общественность о потенциальной фишинговой кампании, нацеленной на граждан Шри-Ланки.
В процессе расследования инцидента выяснилось, что негативных последствий в виде безвозвратной утраты документов можно было бы избежать, если своевременно производить резервное копирование.
Поэтому первым делом, в ответ на этот инцидент ICTA решила ввести процедуру ежедневного автономного резервного копирования.
Ведь, как говорится у коренных шриланкийцев: пока хохлатый ли за попу не укусит, мужик мантру не зачтет.
adaderana.lk
ICTA confirms data loss of “gov.lk” email domains
The Information and Communication Technology Agency (ICTA) has officially confirmed a severe data loss incident affecting all government offices using the “gov
Исследователи из Positive Technologies рассказали, что такое Time-based атаки и как им противодействовать.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хакеры постоянно совершенствуют методы атак, используя информацию о принципах работы систем защиты, что обусловила появление целого направления техник обхода песочниц, среди наиболее продвинутых - временные атаки, учитывающие особенности работы гипервизора для детектирования виртуального окружения.
Главное в такой атаке ― замерить время выполнения определенных действий в виртуальной среде и сравнить его с результатами, полученными при выполнении тех же действий на реальном устройстве.
Например, реализация инструкции CPUID на реальном компьютере в среднем занимает 100–200 процессорных тиков, а на виртуальной машине (VM) — более 2000 тиков в зависимости от используемого гипервизора. В качестве другого метода замера времени может использоваться RDTSC.
Примеры временных проверок можно найти в открытых инструментах Pafish и Al-Khaser. В обоих присутствует проверка с замером времени выполнения CPUID с той лишь разницей, что Pafish вызывает Sleep после каждого этапа. В Pafish можно также найти другой вариант проверки, в котором не используется CPUID. Она рассчитана на гипервизоры, эмулирующие счетчик TSC.
Если CPUID всегда вызывает VM exit, то для RDTSC такое поведение опционально. Согласно спецификации Intel, RDTSC тоже может вызывать выход в гипервизор при условии, что включен флаг RDTSC_EXITING.
Временные проверки в ВПО реализованы в FatalRat, который единоразово проверяет разницу между двумя последовательными считываниями счетчика TSC на превышение 255 тиков.
IcedID использует слегка другой подход. В цикле измеряется и аккумулируется время на выполнение последовательностей RDTSC → CPUID → RDTSC и RDTSC → RDTSC, после чего вычисляется их отношение. При этом для повышения надежности проверки применяется вызов SwitchToThread() (аналогичный Sleep в Pafish).
GuLoader использует две временных проверки. Первая заключается в замере времени выполнения все того же CPUID, однако в качестве источника используется не счетчик TSC, а поле SystemTime из структуры KUSER_SHARED_DATA.
Вторая проверка похожа на первую, но вызов RDTSC находится в отдельной функции. Замеры выполняются 100 000 раз, на каждом этапе результат добавляется к общему. Кроме того, отдельно проверяются случаи, когда дельта составила менее 49 тиков.
Интересным также является тот факт, что проверки выполняются, пока не будут успешно пройдены, то есть до получения результата, характерного для реального устройства. За счет этого в некоторых песочницах GuLoader бесконечно работает вхолостую, не доходя до развертывания полезной нагрузки.
В целом, в большинстве ВПО и инструментов для совершения атак используется совокупность вызовов RDTSC и CPUID.
Почти всегда эти вызовы расположены в рамках одной функции, идут подряд или на небольшом расстоянии друг от друга, чтобы минимизировать шанс переключения контекста во время проверки. Инструкция RDTSC может вызывать VM exit при включенном флаге RDTSC_EXITING.
Существуют разные методы обхода временных атак. Исследователи Positive Technologies в своей статье подробно рассмотрели один из вариантов сокрытия VM на базе связки Xen и DRAKVUF.
Описанный подход, конечно, неидеален и не покрывает все потенциально возможные сценарии, но представляет скорее proof of concept сокрытия гостевой VM от простых вариантов временных атак.
Хабр
Time-based атаки во вредоносном ПО и противодействие им
Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц : такие...
Более 60 000 пользователей Android стали жертвой шпионского ПО, установив на свой девайс клон Telegram из Google Play.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Как сообщают ресерчеры из Лаборатории Касперского, «более быстрая» альтернатива обычному приложению, по утверждениям поставщика, использует распределенную сеть ЦОДов по всему миру, а в реальности крадет сообщения пользователей, списки контактов и другие конфиденциальные данные.
Вредоносные приложения, судя по всему, нацелены для китайскоязычную аудиторию из числа уйгурского этнического меньшинства..
Evil Telegram содержали имена пакетов org.telegram.messenger.wab и org.telegram.messenger.wob, в то время как легитимный мессенджер использует - org.telegram.messenger.web.
При этом ресерчеры отмечают, что клоны внешне идентичны с оригинальным Telegram: большинство пакетов выглядят так же, как и стандартные. Но содержат дополнительные функции в коде для кражи данных.
В частности, нетипичный для Telegram пакет под названием com.wsys реализует доступ к контактам пользователя, а также собирает его имя, ID и номер телефона, после чего приложение подключается к командному серверу.
Еще один неприятный сюрприз ждет пользователя при получении сообщения: шпионское ПО отправляет копию прямо на C2 оператора по адресу «sg[.]telegrnm[.]org» Извлеченные данные шифруются перед передачей и включают сообщения, название и ID чата/канала, а также имя и ID отправителя.
Аналогичным образом в случае получения или отправки файла пользователем, приложение создает его зашифрованную копию, которая затем пересылается на учетную запись злоумышленников, находящуюся в одном из популярных облачных хранилищ.
Вредоносная функциональность приложения не ограничивается кражей сообщений, собирается и отправляется информация о контактах пользователя: идентификаторах, никнеймах, именах и номерах телефонов.
Шпионское приложение также отслеживает изменения в имени пользователя и ID, а также изменения в списке контактов и, если что-то меняется, вредонос отправляет актуальную информацию.
После уведомления Лабораторией почти все выявленные вредоносные приложения уже удалены из Google Play, а разработчики были заблокированы.
Тем не менее, новая находка вполне может быть продолжением нацеленной китайскоязычных пользователей на кампании, связанной с вредоносным ПО BadBazaar, о которой совсем недавно сообщали ESET.
Правда, пока об этом можно говорить лишь с определенной степенью уверенности.
Но будем посмотреть.
Securelist
Spyware Telegram mod distributed via Google Play
Spyware Telegram mod in Uighur and Chinese spreads through Google Play stealing messages and other user data.
Forwarded from SecurityLab.ru
Главред SecurityLab.ru в новом докфильме о тайнах Telegram!
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews
➕20 сентября выйдет документальный фильм «Анонимная телега», раскрывающий тайны анонимных Telegram-каналов.
➕Участие экспертов, журналистов и самих создателей каналов, чьи имена остаются интригой.
➕Рассмотрены влияние каналов на общественное мнение, их юридические аспекты и воздействие на карьеры и жизни людей.
#АнонимнаяТелега #TelegramСекреты #ПремьераФильма @SecLabNews
Google выпустила обновление безопасности для исправления 0-day в Chrome 116.
CVE-2023-4863, имеющая уровень критической серьезности, описывается как проблема переполнения буфера кучи в компоненте WebP, которую можно использовать для сбоя приложения и потенциального выполнения произвольного кода.
WebP - это формат изображений, который обеспечивает улучшенное сжатие и качество по сравнению с известными форматами JPEG и PNG и поддерживается всеми современными браузерами, включая Chrome, Firefox, Safari, Edge и Opera.
Согласно заявлениям Google, эксплойт для CVE-2023-4863 существует и используется в дикой природе.
Об уязвимости стало известно 6 сентября после сообщения Apple Security Engineering and Architecture (SEAR) и Citizen Lab, которая, как известно, специализируется последнее время на раскрытии деятельности поставщиков spyware.
Как обычно, Google воздержалась от предоставления технических подробностей, а также обстоятельств наблюдаемой эксплуатации. Но учитывая, что за раскрытием стояли SEAR и Citizen Lab, с большой долей вероятности, уязвимость была использована одним из поставщиков шпионского ПО.
Причем патч Google Chrome появился всего через несколько дней после того, как Apple объявила об исправлении 0-day в iOS и macOS, которую обнаружили Citizen Lab в ходе анализа ее эксплуатации, связанной со шпионским ПО Pegasus от NSO Group.
CVE-2023-4863 - это уже четвертая 0-day, исправленная Google в Chrome в этом году после устранения CVE-2023-3079 (путаница типов в движке V8) в июне, а также CVE-2023-2033 (путаница типов в движке V8) и CVE-2023-2136 (целочисленное переполнение в Skia) в апреле.
Последняя версия Chrome теперь доступна пользователям как 116.0.5845.187 для macOS и Linux и как версии 116.0.5845.187/.188 для Windows.
CVE-2023-4863, имеющая уровень критической серьезности, описывается как проблема переполнения буфера кучи в компоненте WebP, которую можно использовать для сбоя приложения и потенциального выполнения произвольного кода.
WebP - это формат изображений, который обеспечивает улучшенное сжатие и качество по сравнению с известными форматами JPEG и PNG и поддерживается всеми современными браузерами, включая Chrome, Firefox, Safari, Edge и Opera.
Согласно заявлениям Google, эксплойт для CVE-2023-4863 существует и используется в дикой природе.
Об уязвимости стало известно 6 сентября после сообщения Apple Security Engineering and Architecture (SEAR) и Citizen Lab, которая, как известно, специализируется последнее время на раскрытии деятельности поставщиков spyware.
Как обычно, Google воздержалась от предоставления технических подробностей, а также обстоятельств наблюдаемой эксплуатации. Но учитывая, что за раскрытием стояли SEAR и Citizen Lab, с большой долей вероятности, уязвимость была использована одним из поставщиков шпионского ПО.
Причем патч Google Chrome появился всего через несколько дней после того, как Apple объявила об исправлении 0-day в iOS и macOS, которую обнаружили Citizen Lab в ходе анализа ее эксплуатации, связанной со шпионским ПО Pegasus от NSO Group.
CVE-2023-4863 - это уже четвертая 0-day, исправленная Google в Chrome в этом году после устранения CVE-2023-3079 (путаница типов в движке V8) в июне, а также CVE-2023-2033 (путаница типов в движке V8) и CVE-2023-2136 (целочисленное переполнение в Skia) в апреле.
Последняя версия Chrome теперь доступна пользователям как 116.0.5845.187 для macOS и Linux и как версии 116.0.5845.187/.188 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.187 for Mac and Linux and 116.0.5845.187/.188 for Windows, which will...
Зампред правления Сбербанка Станислав Кузнецов заявил в кулуарах ВЭФ, что мошенники научились отправлять в мессенджерах "псевдосообщения", используя простые способы. Если выполнить инструкции, то на гаджет загружается зловредный вирус, а вся информация с него перекачивается мошенникам. "Этот вид мошенничества, к сожалению, развивается в настоящее время", - заключил Кузнецов.
На третий день Орлиный глаз заметил, что в сарае нет стены На 28-й год существования фишинга его переоткрыл зампред Сбербанка Кузнецов. А еще разработал "продукт, который в ближайшие недели будет запущен, чтобы защищать наших клиентов".
Все, тушим свет и закрываем инфосек. Сбербанк опять всех спас (нет)
Кстати, Позитивы как раз сегодня выдали отчет о киберугрозах в Азии, в котором прямо написано, что доля фишинга посредством мессенджеров достигает невероятных 2%. Допускаем, что в России пропорции могут отличаться. Но точно не на порядок.
Умение с уверенным видом нести херню - это ведь тоже своего рода искусство ☝️
Все, тушим свет и закрываем инфосек. Сбербанк опять всех спас (нет)
Кстати, Позитивы как раз сегодня выдали отчет о киберугрозах в Азии, в котором прямо написано, что доля фишинга посредством мессенджеров достигает невероятных 2%. Допускаем, что в России пропорции могут отличаться. Но точно не на порядок.
Умение с уверенным видом нести херню - это ведь тоже своего рода искусство ☝️
Ptsecurity
Analytics
Discover our in-depth analysis and expert insights into the latest cybersecurity trends, threats, and solutions. Stay ahead of the curve and keep your organization safe using the comprehensive and actionable information on this page provided by our experienced…
Ресерчеры из Лаборатории Касперского представили анализ Cuba ransomware, рассмотрев историю группировки и характерные TTPs.
Группировка попала в поле зрения в 2020 году, когда еще именовалась Tropical Scorpius. Среди других имен: ColdDraw, Fidel и V Is Vendetta.
Cuba нацелена на организации в США, Канаде и Европе, реализовав серию резонансных атак на нефтяные компании, финансовые службы, госорганы и поставщиков медицинских услуг. Но были жертвы и в Канаде, Европе, Азии и Австралии.
Как и большинство кибервымогателей, кубинская банда шифрует файлы жертв, требуя выкуп в обмен на ключ дешифрования, действуя в формате RaaS с привлечением партнеров в обмен на долю выкупа.
Примечательна своими сложными тактиками и методами проникновения в сети жертв, среди которых эксплуатация уязвимостей ПО и социнженерия. Для первоначального доступа используются скомпрометированные RDP.
Точное происхождение банды и личности ее участников неизвестны, но среди исследователей бытует мнение, что она может быть преемницей Babuk.
Вымогатель Cuba представляет собой файл без дополнительных библиотек. Образцы часто имеют поддельную временную метку компиляции: те, что были найдены в 2020 году, имели отметку 4 июня 2020 года, а более поздние — 19 июня 1992 года.
Группа использует классическую модель двойного вымогательства, крадя и затем шифруя данные с помощью симметричного алгоритма Xsalsa20, а ключ шифрования — с помощью асимметричного алгоритма RSA-2048.
Образцы программ-вымогателей Cuba не шифруют файлы со следующими расширениями имен: exe, dll, sys, ini, lnk, vbm и cuba, а также ряд системных папок.
Для экономии времени программа-вымогатель шифрует документы, изображения, архивы и другие документы Microsoft Office в каталоге %AppData%\Microsoft\Windows\Recent\. Она также завершает работу всех служб SQL для шифрования всех доступных баз данных. Ищет данные как локально, так и внутри общих сетевых ресурсов.
Помимо шифрования, группа крадет конфиденциальные данные, которые обнаруживает внутри организации жертвы. Тип данных, которые ищут хакеры, зависит от отрасли, к которой принадлежит целевая компания.
Группа использует как известные «классические» инструменты доступа к учетным данным, так и самописные приложения: из ПО: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, из инструментов: Mimikatz, PowerShell, PsExec, Remote Desktop Protocol.
Эксплуатируются уязвимости в ПО, преимущественно уже известные проблемы, такие как комбинация ProxyShell и ProxyLogon для атаки на серверы Exchange, а также дыры в безопасности в службе резервного копирования и восстановления данных Veeam.
Входящие и исходящие платежи в биткойн-кошельках, идентификаторы которых хакеры указывают в своих записках о выкупе, в общей сложности превышают 3600 BTC, или более 103 000 000 долларов США.
В отчете ресерчеры приводят результаты расследования одного из инцидентов с акцентом на анализ ПО, включая и ранее недокументрованного, и TTPs группы, а также делятся индикаторами компрометации и правилами Sigma и YARA.
Группировка попала в поле зрения в 2020 году, когда еще именовалась Tropical Scorpius. Среди других имен: ColdDraw, Fidel и V Is Vendetta.
Cuba нацелена на организации в США, Канаде и Европе, реализовав серию резонансных атак на нефтяные компании, финансовые службы, госорганы и поставщиков медицинских услуг. Но были жертвы и в Канаде, Европе, Азии и Австралии.
Как и большинство кибервымогателей, кубинская банда шифрует файлы жертв, требуя выкуп в обмен на ключ дешифрования, действуя в формате RaaS с привлечением партнеров в обмен на долю выкупа.
Примечательна своими сложными тактиками и методами проникновения в сети жертв, среди которых эксплуатация уязвимостей ПО и социнженерия. Для первоначального доступа используются скомпрометированные RDP.
Точное происхождение банды и личности ее участников неизвестны, но среди исследователей бытует мнение, что она может быть преемницей Babuk.
Вымогатель Cuba представляет собой файл без дополнительных библиотек. Образцы часто имеют поддельную временную метку компиляции: те, что были найдены в 2020 году, имели отметку 4 июня 2020 года, а более поздние — 19 июня 1992 года.
Группа использует классическую модель двойного вымогательства, крадя и затем шифруя данные с помощью симметричного алгоритма Xsalsa20, а ключ шифрования — с помощью асимметричного алгоритма RSA-2048.
Образцы программ-вымогателей Cuba не шифруют файлы со следующими расширениями имен: exe, dll, sys, ini, lnk, vbm и cuba, а также ряд системных папок.
Для экономии времени программа-вымогатель шифрует документы, изображения, архивы и другие документы Microsoft Office в каталоге %AppData%\Microsoft\Windows\Recent\. Она также завершает работу всех служб SQL для шифрования всех доступных баз данных. Ищет данные как локально, так и внутри общих сетевых ресурсов.
Помимо шифрования, группа крадет конфиденциальные данные, которые обнаруживает внутри организации жертвы. Тип данных, которые ищут хакеры, зависит от отрасли, к которой принадлежит целевая компания.
Группа использует как известные «классические» инструменты доступа к учетным данным, так и самописные приложения: из ПО: Bughatch, Burntcigar, Cobeacon, Hancitor (Chanitor), Termite, SystemBC, Veeamp, Wedgecut, RomCOM RAT, из инструментов: Mimikatz, PowerShell, PsExec, Remote Desktop Protocol.
Эксплуатируются уязвимости в ПО, преимущественно уже известные проблемы, такие как комбинация ProxyShell и ProxyLogon для атаки на серверы Exchange, а также дыры в безопасности в службе резервного копирования и восстановления данных Veeam.
Входящие и исходящие платежи в биткойн-кошельках, идентификаторы которых хакеры указывают в своих записках о выкупе, в общей сложности превышают 3600 BTC, или более 103 000 000 долларов США.
В отчете ресерчеры приводят результаты расследования одного из инцидентов с акцентом на анализ ПО, включая и ранее недокументрованного, и TTPs группы, а также делятся индикаторами компрометации и правилами Sigma и YARA.
Securelist
Analysis of Cuba ransomware gang activity and tooling
The article analyzes the malicious tactics, techniques and procedures (TTP) used by the operator of the Cuba ransomware, and details a Cuba attack incident.
Словацкие киберсеки из ESET обнаружили новую волну атак на различные организации в Бразилии, Израиле и ОАЭ с использованием ранее неизвестного бэкдора Sponsor.
Основным подозреваемым обозначен иранский злоумышленник, известный как Charming Kitten, деятельность которого отслеживается в рамках кластера угроз под общим названием Ballistic Bobcat.
Модели виктимологии позволяют предположить, что группа, в первую очередь, ориентирована на образовательные, правительственные и медицинские организации, а также на правозащитников и журналистов.
Согласно отчету, последняя кампания, получившая кодовое обозначение Sponsoring Access, включает в себя получение первоначального доступа путем использования известных уязвимостей в серверах Microsoft Exchange для проведения дальнейших действий после компрометации.
Так, в одном из инцидентов, описанных ESET, некая израильская компания, работающая на страховом рынке, была скомпрометирована злоумышленником в августе 2021 года, а доставка следующих этапов нагрузки, таких как PowerLess, Plink, ряд инструментов для пост-эксплуатации с открытым исходным кодом на языке Go осуществлялся в течение нескольких месяцев.
Сам бэкдор Sponsor написан на C++ и предназначен для сбора информации о хосте и обработки команд, полученных от удаленного сервера, результаты которых отправляются обратно на сервер.
Как заключили специалисты, Ballistic Bobcat продолжает работать по модели сканирования и эксплуатации, отыскивая возможности с неисправленными уязвимостями на серверах Microsoft Exchange, доступных из сети, используя новый и разнообразный арсенал инструментов.
Основным подозреваемым обозначен иранский злоумышленник, известный как Charming Kitten, деятельность которого отслеживается в рамках кластера угроз под общим названием Ballistic Bobcat.
Модели виктимологии позволяют предположить, что группа, в первую очередь, ориентирована на образовательные, правительственные и медицинские организации, а также на правозащитников и журналистов.
Согласно отчету, последняя кампания, получившая кодовое обозначение Sponsoring Access, включает в себя получение первоначального доступа путем использования известных уязвимостей в серверах Microsoft Exchange для проведения дальнейших действий после компрометации.
Так, в одном из инцидентов, описанных ESET, некая израильская компания, работающая на страховом рынке, была скомпрометирована злоумышленником в августе 2021 года, а доставка следующих этапов нагрузки, таких как PowerLess, Plink, ряд инструментов для пост-эксплуатации с открытым исходным кодом на языке Go осуществлялся в течение нескольких месяцев.
Сам бэкдор Sponsor написан на C++ и предназначен для сбора информации о хосте и обработки команд, полученных от удаленного сервера, результаты которых отправляются обратно на сервер.
Как заключили специалисты, Ballistic Bobcat продолжает работать по модели сканирования и эксплуатации, отыскивая возможности с неисправленными уязвимостями на серверах Microsoft Exchange, доступных из сети, используя новый и разнообразный арсенал инструментов.
Welivesecurity
Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor
ESET Research uncovers the Sponsoring Access campaign, which utilizes an undocumented Ballistic Bobcat backdoor we have named Sponsor.