Интересный разбор уязвимости CVE-2020-8437 в uTorrent, приводящей к его крашу, от одного из авторов.

В двух словах - uTorrent использует протокол BitTorrent (BTP) для того, чтобы узлы сети общались друг с другом. Для инициирования такого общения узлы обмениваются рукопожатиями, в рамках которого они могут передавать друг другу расширенные пакеты для сообщения информации о поддерживаемых дополнительных расширениях (такая вот тавтология). Расширенный пакет может включать в себя специальный словарь, который может содержать подсловарь, а в нем другой подсловарь и т.д.

Исследователи выяснили, что для отслеживания уровня словаря, который uTorrent анализирует, он использует поле размером в 32 бита. И если передаваемый в расширенном пакете словарь содержит более 32 вложенных уровней подсловарей, то uTorrent весело вылетает.

Ресерчеры разработали два вектора атаки с использованием этой уязвимости. Первый - когда один из узлов сети рассылает другим узлам подобные пакеты, второй - когда uTorrent открывает специальным образом сформированный файл .torrent.

Мы, как люди искушенные, сразу придумали следующий сценарий использования CVE-2020-8437 - некий правообладатель, недовольный тем, что его интеллектуальная собственность распространяется посредством торрентов, входит в сетку пиров, участвующих в раздаче принадлежащего ему контента, и рассылает другим участникам вредоносные пакеты, из-за чего все, кто раздает или качает - уходят в краш.

К счастью, исследователи сразу сообщили разработчику uTorrent об ошибке и к настоящему времени она устранена. Уязвимы версии 3.5.5 и более ранние.

​​Свободные и независимые личности. Смотрите на всех дорогах страны.

Microsoft Security Intelligence сообщает, что прямо сейчас наблюдает хакерскую активность по использованию эксплойта уязвимости CVE-2020-1472 aka Zerologon.

Об этом, собственно, мы и говорили. Кто не успел обновить свой Windows Server - получит скомпрометированную сеть.

Как сообщает BleepingComputer, американская компания Tyler Technoligies подверглась атаке ransomware.

Со вчерашнего дня сайт компании находится на техническом обслуживании и, как выяснили журналисты издания, служба технической поддержки Tyler Technoligies также недоступна.

Согласно источникам BleepingComputer, за атакой стоит ransomware RansomExx, оператор которого в августе отметился успешной атакой на ресурсы технологического гиганта Konica Minolta.

И мы вряд ли бы обратили внимание на эту новость, несмотря даже на то, что Tyler Technoligies является весьма крупной организацией с доходом в 1,2 млрд. долларов. В конце концов, на сегодняшний день такие атаки вымогателей стали обыденностью. Но, как в известном анекдоте, есть один нюанс.

Tyler Technoligies - один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США. По идее, такие компании должны иметь хорошо защищенный внешний периметр, поскольку могут стать целью атак на цепочку поставок, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы.

И тем не менее, коммерческие хакеры смогли пробиться во внутреннюю сеть компании. Это плохие новости для информационной безопасности американских госорганов.

​​В конце февраля мы писали о том, что исследователи из голландской команды ThreatFabric выявили новую версию банковского трояна Cerberus для Android, который которая научилась обходить 2FA аутентификацию, а точнее похищать одноразовые пароли OTP, сгенерированные специализированным приложением Google Authenticator.

Таким образом, хакеры могли с помощью Cerberus осуществить "от и до" поддельную банковскую транзакцию с позиции скомпрометированного Android устройства.

Тогда голландцы сообщали, что выявили лишь тестовую версию, которая не продавалась на специализированных ресурсах.

С тех пор прошло более полугода, Cerberus исдох, а его владелец выложил исходники на хакерском форуме xss .is.

И вот неожиданно ThreatFabric выпустили отчет, в котором сообщили, что выявленная в феврале версия Cerberus оказалась отдельным проектом, который продолжает успешно развиваться и обладает впечатляющим набором функционала. Голландцы дали ей название Alien.

Новый троян позволяет собирать с зараженного смартфона различные данные, имеет функцию кейлоггера, обходит 2FA аутентификацию, позволяет осуществлять удаленный доступ через устанавливаемый TeamViewer, но, что более интересно, поддерживает отображение страницы входа для 226 других Android-приложений, большинство из которых банковские. Таким образом, Alien может красть учетные данные пользователя для дальнейшего осуществления хакером мошеннических действий.

Кроме того, в список этих приложений входят мессенджеры (WhatsApp, Telegram и др.) и приложения для работы с криптовалютой. Насколько мы успели просмотреть список - российских банковских приложений там нет.

ThreatFabric сообщает, что Alien работает по схеме MaaS (Malware-as-a-Service), но не раскрывают информации об основных путях его распространения. Вероятно, в большинстве случаев это сторонние сайты, хотя иногда вредонос может встречаться и в Play Store.

WhatsApp утверждает, что все сообщения защищены сквозным шифрованием, однако стоит тебе сделать резервную копию, как все твои данные cтанут доступны спецслужбам.

А теперь представь себе, что все твои сообщения, тайные интриги и откровенные медиафайлы стали достоянием общественности. Да, именно общественности, ведь не только ФСБ, но и кто угодно может получить доступ ко всем твоим перепискам просто через бэкдор в видеозвонке.

Об этом и многом другом можно узнать на Эксплойте. Это один из лучших каналов по кибербезопасности в Telegram. Автор пишет о самых изощренных способах слить по ошибке свои данные в сеть, на которые ты 100% попадался, но даже не знал об этом.

И, поверь нам, таких историй, как c WhatsApp, там сотни, если не больше.

Читай Эксплойт, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.

И помни, что «За безопасность необходимо платить, а за её отсутствие - расплачиваться» (Уинстон Черчилль)

​​"Родители Юдоколиса сказали ему - не унывай, сынок, ситуация может быть намного хуже. Он приободрился. И ситуация действительно стала намного хуже." (с) Kaveret - Hamakolet

Израильтяне напоминают нам про прописные истины информационной безопасности.

Из инфосек сообщества приходят интересные инсайды по поводу атаки ransoware DoppelPaymer на сеть Университетской больницы в Дюссельдорфе (UKD), в результате которой погиб не получивший своевременной неотложной помощи пациент.

Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix, но бэкдор уже сидел внутри.

А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета, поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают.

Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD.

Мы думаем, что из этого последует следующее.

Во-первых, Evil Corp., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми.

Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp. и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо.

И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation. Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.

Израильская инфосек компания Check Point опубликовала технические подробности уязвимости CVE-2020-1895 в приложении Instagram для Android и iOS, которая могла привести к удаленному выполнению кода (RCE) и захвату хакером смартфона, в том числе его камеры и микрофона.

Уязвимы были версии Instagram до 128.0.0.26.128, соответствующее обновление выпущено Facebook еще в феврале. И вот теперь, спустя более полугода, Check Point, которые и выявили CVE-2020-1895, решили раскрыть ее детали.

Ошибка заключалась в неправильной интеграции в Instagram сторонней библиотеки Mozjpeg, предназначенной для обработки изображений JPEG. В результате некорректной работы с размером изображения могло произойти переполнение кучи, что, в свою очередь, потенциально приводило к RCE.

Для эксплуатации CVE-2020-1895 хакеру было достаточно отправить жертве специальным образом сформированное изображение любым образом - по электронной почте, WhatsApp, другие мессенджеры и т.д. После этого при открытии Instagram происходила эксплуатация уязвимости.

Facebook говорит, что свидетельств использования ошибки в дикой природы не имеется, но, как обычно, это совершенно не означает, что этого не было в реальности.

​​В сети появилась информация, что вчера слили исходники Windows XP.

Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.

⚡️ Путин в официальном обращении предложил США сотрудничество в сфере международной информационной безопасности (МИБ). Главное:

— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;

— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;

— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;

— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы

Американское Агентство кибербезопасности (CISA) опубликовало отчет о киберинциденте, в котором описало факт компрометации сети неназванного федерального агентства со стороны высококвалифицированных хакеров.

Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.

В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.

Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.

Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.

Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).

Немного инфосек юмора (Agent Tesla - троян удаленного доступа с функцией кейлогера).

Тебя взломали, мы знаем, что ты посещал сайты для взрослых. У тебя есть ровно шесть часов, чтобы найти 1000$, и мы уничтожим эту информацию. В противном случае о твоих тайных увлечениях узнают все: коллеги, друзья, супруга и дети. Время пошло.

Звучит убедительно? Социальная инженерия — самый популярный способ атак на пользователей. Автор канала @Social_Engineering объяснит, какие существуют методы атак с использованием социальной инженерии а так же расскажет, как обезопасить себя от таких атак.

Но это еще не всё. @Social_Engineering расскажет, как сохранить приватность и не оставлять лишних следов.

Бонус — методы поиска информации, вы найдете инструкции, как составить на пользователя досье, используя только открытые источники.

@Social_Engineering

Что-то из Германии плотно пошло.

Немецкий инфосек журналист сообщает в Twitter, что предположительно 15 сентября Национальное антидопинговое агентство Германии (NADA) было взломано.

И хотя расследование пока еще на ранней стадии, уже появился подозреваемый - это российская APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ. Правда тут же допускается оговорка - "пока слишком рано что-то утверждать точно".

Что же, подождем TTPs. Хотя их, скорее всего, не будет.

​​Оператор ransomware Sodinokibi (REvil) демонстрирует, что денег у него - как известной субстанции за баней.

Sodinokibi, как и многие другие вымогатели, работает по схеме RaaS (Ransomware-as-a-Service), предлагая хакерам воспользоваться своей вредоносной инфраструктурой для атаки на сеть жертвы. В целях расширения своей деятельности стоящая за Sodinokibi группировка размещает объявления на хакерских форумах, приглашая к сотрудничеству талантливых хакеров, которые могут взломать сети крупных компаний, с которых можно потребовать большой выкуп.

В качестве подтверждения серьезности своих намерений представитель хакерской группы под псевдонимом Unknown внес на депозитный биткоин-кошелек, привязанный к одному из форумов, 99 BTC, что эквивалентно приблизительно 1 млн. долларов США.

Этим REvil показали, что не особо сильно беспокоятся о судьбе таких денег, поскольку доступ к кошельку имеют администраторы форума.

А мы давно говорили, что скоро операторы ransomware будут богаче наркокартелей.

Ну и, чтобы почтенная публика могла просто представить масштаб активности ransomware, дадим краткое перечисление событий, которые случились в мире шифровальщиков всего за одну неделю (используя материалы BleepingComputer).

1. Успешно атакована итальянская компания Luxottica, которая является крупнейшим в мире производителем очков.

2. Успешно атакована американская компания Tyler Technoligies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США.

3. Найден новый вымогатель Egregor, оставляющий записку с требованием выкупа под названием RECOVER-FILES.txt.

4. Найден новый вариант вымогателя LeakThemAll, добавляющий расширение .montana к зашифрованным файлам.

5. Найдено новое ransomware (названия пока не дали), добавляющее расширение .zhen к зашифрованным файлам.

6. Обнаружен новый вариант ransomware STOP, добавляющий расширение .kolz к зашифрованным файлам.

7. Инфосек компания Tesorion опубликовала отчет о новом семействе вымогателей ThunderX, а также анонсировала бесплатный дешифратор.

8. Найдено новое ransomware (название пока не дали), добавляющее расширение .encrypted к зашифрованным файлам.

9. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .JB88 к зашифрованным файлам.

10. Обнаружен новый вариант ransomware Nefilim, добавляющий расширение .TRAPGET к зашифрованным файлам.

11. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .FG69 к зашифрованным файлам.

12. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .AW46 к зашифрованным файлам.

13. Обнаружено новое ransomware (названия пока нет), добавляющее расширение .CRPTD к зашифрованным файлам.

14. Group-IB опубликовала отчет о русскоязычном операторе ransomware OldGremlin, атакующем исключительно российские компании.

15. Найден новый вымогатель, выдающий себя за ransomware Sodinokibi. Скорее всего это просто wiper.

16. Описано новое семейство ransomware MountLocker, нацеленное на сети крупных коммерческих организаций.

17. Выявлен новый вымогатель Dusk v1.0.

18. Обнаружено новое ransomware Exorcist 2.0.

19. Найден новый вариант вымогателя STOP, добавляющий расширение .copa к зашифрованным файлам.

20. Найдено новый вариант вымогателя Matrix, добавляющий расширение .DEUS к зашифрованным файлам.

И все это за одну неделю! У нас тут кроме эпидемии коронавируса нарисовалась, похоже, еще и эпидемия ransomware. Только про нее никто не говорит.

История со взломом Tyler Technologies, одного из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, оператором ransomware RansomExx, о которой стало известно на прошлой неделе, получает неожиданное продолжение.

Оказалось, что мы были правы, когда писали про то, что такие компании как Tyler могут стать целью атак на цепочку поставок. Только мы имели в виду атаки, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы. А в данном случае, как стало известно в выходные, атаку на цепочку поставок провела именно стоящая за вымогателем хакерская группа.

Клиенты Tyler Technologies стали сообщать, что в их сетях появились подозрительные учетные записи, а также установленное третьими лицами ПО удаленного доступа (например, BeyondTrust). После этого, сети некоторых клиентов были атакованы ransomware.

Представители Tyler Technologies в выходные признали, что их взломанные ресурсы могли стать отправной точкой для дальнейшей атаки на сети их партнеров - "мы настоятельно рекомендуем сбросить учетные записи удаленного доступа сотрудников Tyler".

На нашей памяти это первая атака операторов ransomware на цепочку поставок. Очередной ящик Пандоры оказался открыт. Впрочем, этого следовало ожидать.

И еще одна интересная деталь, политическая. По данным Reuters, производимое Tyler ПО планируется использовать на предстоящих президентских выборах в США для передачи результатов голосования с участков в избирательные комиссии. Как быстро появится версия о причастности России к взлому Tyler Technologies?

Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.

Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.

В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.

По всей видимости, пакистанцы решили потроллить своих индийских визави.

#APT #TransparentTribe