39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Malware analysis. Практический курс по анализу вредоносного ПО
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
😈 Экскурсия по DarkNet: площадки, клиенты, витрина товаров и цены.
• За годы своего развития даркнет превратился в высокоорганизованный рынок киберпреступности, на котором и опытные злоумышленники, и новички могут найти всё, что нужно для проведения успешных кибератак. Теневые площадки живут по законам легальных рынков: привлекают пользователей с помощью маркетинговых инструментов, работают с лояльностью клиентов, обеспечивают безопасность сделок и своих ресурсов. Рынок перегрет, предложений много, но и спрос высокий. Злоумышленники готовы платить немалые деньги за товары и услуги, зная, что в случае успеха могут многократно окупить затраты.
• Недавно позитивы выкатили очень объемное исследование, в котором изучили стоимость предоставляемых товаров и услуг в даркнете, и первоначальные затраты преступников для проведения атаки. Кроме того, рассмотрели ключевые аспекты теневой экономики: экосистему даркнета, мотивацию его участников, принципы регулирования сделок, конкуренцию и способы привлечения клиентов.
• В общей сложности было проанализировано 40 источников, среди которых крупнейшие теневые площадки (форумы, маркетплейсы) и телеграм-каналы на разных языках с различной тематической направленностью. Рассмотрены более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости и эксплойты, доступы к корпоративным сетям и киберпреступные услуги: взлом ресурсов, перенаправление трафика, распространение ВПО, кардинг, инфраструктура и DDoS-атаки.
➡️ https://www.ptsecurity.com/ru-ru/research/analytics/rynok-kiberprestupnosti
• Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, интересующимися актуальным состоянием современного рынка киберпреступности.
• Погружение в «темную сеть»:
➡Аудитория подполья: мотивация и цели;
➡Дарквеб как источник прибыли.
• Теневая экосистема:
➡Форумы;
➡Маркеты;
➡Telegram.
• Теневой бизнес как зеркало легального мира:
➡Репутация и отношения с клиентами;
➡Маркетинг;
➡Агрессивные методы конкуренции в подполье;
➡Dark Bounty;
➡Мошенничество и гарантии сделок;
➡Фиксированные цены vs аукционы.
• Оплата и валюты «в тени»:
➡Отмывание доходов от киберпреступлений.
• Экономика «в тени»:
➡Вредоносное ПО;
➡Уязвимости и эксплойты;
➡Доступы;
➡Услуги.
• Стоимость атаки.
• Развитие теневого рынка:
➡«Рынок шифровальщиков за 100»;
➡Неуловимость и кастомизация ВПО;
➡Демоверсия как инструмент привлечения клиентов;
➡Новый виток развития теневой экономики;
➡Магазин журналов внутри администраторской панели стилеров.
• Что ожидать в будущем.
• Заключение.
S.E. ▪️ infosec.work ▪️ VT
Когда молодой и перспективный CISO решил кардинально модернизировать систему кибербезопасности.
Читать полностью…
Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.
Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.
Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.
Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.
При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.
Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.
Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.
Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.
Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.
Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.
Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.
В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.
Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.
Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.
Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.
Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.
К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).
Исследователи Rapid7 сообщают о новой 0-day PostgreSQL, которая, по всей видимости, стала критически важным компонентом в цепочке атак на BeyondTrust Privileged Remote Access и Remote Support, которые позволили китайским хакерам взломать в конце прошлого года Минфин США.
Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию.
Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.
Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.
Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.
По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.
Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.
Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.
В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.
В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.
По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы.
Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.
При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.
Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.
Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.
И вряд ли раскроют, но будем посмотреть.
Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.
Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).
По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.
В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.
Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.
Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.
При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).
Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.
Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.
Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.
Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.
Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.
Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.
Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.
В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!
На горизонте нарисовалась новая банда вымогателей под названием Sarcoma, которая не так давно препарировала производителя печатных плат и носителей интегральных схем Unimicron на Тайване.
Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.
Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.
Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.
В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.
Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.
Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.
Кроме того, Unimicron официально не подтвердила утечку данных.
Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.
Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.
В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.
Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.
Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.
После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.
Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.
Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.
🚩 Подборка CTF площадок.
• Capture the Flag (CTF) — игра, в которой участники пытаются захватить флаг противников и защитить свой. Популярной ее сделали командные шутеры вроде Quake и Team Fortress, но в какой-то момент хакерам пришла идея спроецировать CTF на информационную безопасность.
• Единственный способ преуспеть в CTF — постоянно участвовать в CTF. Держите подборку ресурсов, которые помогут прокачать свой скилл в различных аспектах информационной безопасности.
➡Attack-Defense;
➡Alert to win;
➡CryptoHack;
➡CMD Challenge;
➡Сodeby.games;
➡Cybrary;
➡CyberDefenders;
➡Defbox;
➡Dfir-Dirva;
➡Explotation Education;
➡Google CTF;
➡HackTheBox;
➡Hackthis;
➡Hacksplaining;
➡Hacker101;
➡Hacker Security;
➡Hacking-Lab;
➡ImmersiveLabs;
➡NewbieContest;
➡OverTheWire;
➡Pentestlab;
➡PicoCTF;
➡PWNABLE;
➡Root-Me;
➡SANS Challenger;
➡SmashTheStack;
➡Standoff365;
➡The Cryptopals Crypto Challenges;
➡Try Hack Me;
➡Vulnhub;
➡W3Challs;
➡WeChall;
➡websploit;
➡Zenk-Security;
➡Cyberdefenders;
➡LetsDefend;
➡Vulnmachines;
➡Rangeforce;
➡Ctftime;
➡Malware-Traffic-Analysis.net;
➡Letsdefend;
➡Underthewire;
➡Pwn college.
S.E. ▪️ infosec.work ▪️ VT
Прославленная «особой технологией» разработки ПО Ivanti выпустила обновления, устраняющие многочисленные уязвимости в Connect Secure (ICS), Policy Secure (IPS) и Cloud Services Application (CSA), которые могут быть использованы для RCE.
Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:
- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.
- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.
- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.
- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.
Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.
Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.
Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.
В общем, 50 оттенков Ivanti. И все коричневые.
Microsoft выкатила свой традиционный PatchTuesday за февраль 2025 года с исправлениями 55 уязвимостей, в том числе 4 0-day, две из которых активно эксплуатируются в атаках.
В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.
Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.
Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:
- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.
Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.
Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.
- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.
Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.
Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.
Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.
Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце.
Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.
Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.
Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.
Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.
Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Воодушевленные индийским кинематографом хакеры решили угнать аккаунт полиции Индии в X.
И сделали это с болливдуским масштабом, заменив наименование Thane_R_Police на dubaigovt (или «Правительство Дубая»). Подписку и прочие атрибуты также прикрутили.
Ну, а далее все по традиционной схеме мамонта, пусть даже с бомбейским акцентом.
Apple выпустила экстренные обновления с исправлением критической 0-day для своих флагманских платформ iOS и iPadOS, предупреждая о ее использовании в таргетированных и чрезвычайно сложных атаках.
CVE-2025-24200 позволяет злоумышленникам, имеющим физический доступ к заблокированному iPhone или iPad, отключить режим ограниченного доступа USB и получить доступ к необновленным устройствам.
USB Restricted Mode - это ключевая функция безопасности, появившаяся семь лет назад в iOS 11.4.1, которая блокирует создание соединения с USB-аксессуарами, если устройство было заблокировано более часа.
Функционал предназначен для противодействия криминалистическому ПО Graykey и Cellebrite (используемому силовиками) и предотвращению извлечения данных с заблокированных iOS-устройств.
0-day была обнаружена и раскрыта исследователями Citizen Lab и представляет собой проблему авторизации, устраненную в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 с улучшенным управлением состоянием.
Среди затронутых устройств: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения (и все новее), а также iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения.
Apple отмечает в отчете, что эта уязвимость могла быть использована в чрезвычайно сложной атаке, направленной в отношении конкретных пользователей, но не представила каких-либо подробностей о реальных случаях эксплуатации.
Тем не менее, участие в раскрытии Citizen Lab указывает на возможные целевые атаки с использованием шпионского или иного спецализированного ПО.
Как бы то ни было, настоятельно рекомендуется не медлить с установкой обновлений, дабы исключить потенциально возможные попытки атак.
Более 12 000 брандмауэров GFI KerioControl подвержены эксплуатируемой критической RCE-уязвимости, отлеживаемой как CVE-2024-52875.
KerioControl — это пакет решений для сетевой безопасности, который предприятия малого и среднего бизнеса используют для обеспечения VPN, мониторинга и фильтрации трафика, создания отчетов, защиты и предотвращения вторжений.
Проблема была обнаружена в середине декабря исследователем Эгидио Романо (EgiX), который продемонстрировал потенциал опасных атак RCE, реализуемых в один клик.
Как отмечает обнаруживший проблему исследователь, пользовательский ввод, передаваемый на эти страницы через параметр GET «dest», не проходит надлежащую очистку перед использованием для генерации HTTP-заголовка «Location» в HTTP-ответе 302.
В частности, приложение некорректно фильтрует/удаляет символы перевода строки (LF). Это может быть использовано для выполнения атак HTTP Response Splitting, что, в свою очередь, позволяет реализовать XSS и, возможно, другие атаки.
При этом вектор Reflected XSS может быть использован для выполнения атак с удаленным выполнением кода в один клик.
GFI Software оперативно выпустила обновление для устранения проблемы в версии 9.4.5 Patch 1 от 19 декабря 2024 года.
Однако даже по прошествии трех недель, по данным Censys, более 23 800 экземпляров оставались уязвимыми.
В начале января Greynoise уже обнаружила активные попытки эксплуатации уязвимости с использованием представленного исследователем PoC, нацеленные на кражу административных CSRF-токенов.
Несмотря на предупреждение об активной эксплуатации, Shadowserver Foundation сообщает, что 12 229 межсетевых экранов KerioControl остаются уязвимыми для атак с использованием CVE-2024-52875.
Большинство из них детектиуруются в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии.
Благодаря наличию публичного PoC для CVE-2024-52875 требования к эксплуатации значительно упрощаются, что позволяет даже неопытным хакерам принимать участие в активной эксплуатации.
Так что если вы еще не установили обновление, настоятельно рекомендуем накатить KerioControl версии 9.4.5 Patch 2, выпущенную 31 января 2025 года, которая также содержит дополнительные улучшения по части безопасности.
Исследователи из Positive Technologies представили подробности своего исследования в отношении уязвимостей в системе readout protection (RDP), используемой в микроконтроллерах GigaDevice GD32.
Представленные ранее на OFFZONE 2023 результаты подтверждают возможности реализации новых техник обхода технологий защиты от считывания.
Такие микроконтроллеры повсеместно задействуется в различных устройствах, поставляемых многими компаниями по всему миру.
При этом подобные устройства, как правило, состоят из стандартных компонентов, а прошивка создает их уникальность.
В последнее время микроконтроллеры GigaDevice вообще заменяют популярные 32-битные микросхемы производства STMicroelectronics в различном оборудовании.
Потенциальные злоумышленники могут обойти readout protection (в случае с GigaDevice — Security Protection), извлечь прошивку, поискать уязвимости, но также модифицировать или украсть ПО устройства.
Поэтому крайне важно, чтобы эта значимая интеллектуальная собственность хранится во флеш-памяти микроконтроллеров была защищена от несанкционированного считывания.
Тем не менее, Позитивам удалось выяснить, что механизмы защиты в микроконтроллерах GigaDevice функционируют недостаточно эффективно, а возможность извлечения прошивки открывает злоумышленникам доступ к выявлению уязвимостей оборудования.
Для независимой оценки безопасности чипов исследователи протестировали 11 моделей GigaDevice GD32, предварительно активировав в них защитные технологии.
На всех тестовых устройствах GD32F1x0, GD32F3x0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x и GD32F403, исследователи продемонстрировали возможность извлечения прошивки в незашифрованном виде.
При этом для обхода RDP могут быть использованы уязвимости отладочных интерфейсов, нетривиальные атаки типа fault-injection и даже инвазивное вмешательство.
В одном из примеров для извлечения понадобилось лишь 20 микросекунд.
Информация о выявленных угрозах была передана вендору в рамках политики ответственного раскрытия. Вендор планирует устранить их в новых ревизиях микроконтроллеров.
Подробный технический разбор систем RDP, способов обхода и найденных уязвимостей применительно к GigaDevice GD32 - в отчете.
Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
🤖Meta* хочет создать универсальную платформу для гуманоидных ИИ-роботов, но не торопится выпускать своих роботов
Стало известно, что Meta* вплотную хочет заняться рынком робототехники, но не с целью производства собственных гуманоидных роботов, а для построения универсальной экосистемы в будущем. По данным журналистов [1,2], внутри Reality Labs формируется новая команда специалистов, фокус которой будет направлен на создание новых ИИ-технологий, сенсоров и аппаратного ПО, относящиеся к робототехнике.
Руководство корпорации не скрывает того факта, что нынешние гуманоиды все еще недостаточно хороши для того, чтобы, например, складывать одежду, элементарно нести аккуратно стакан воды, ставить посуду или выполнять другие домашние дела.
🤔Тут, скорее всего, речь идёт про домашний сегмент роботов, а не коммерцию (пример Amazon).
Основные тезисы:
1️⃣ Meta намерена сыграть ключевую роль в формировании экосистемы робототехнического рынка, аналогично тому, как 📱 операционная система Android и чипы от Qualcomm Inc. в своё время способствовали развитию рынка смартфонов. Экосистема может быть универсально использована в будущем для роботов от разных брендов.
2️⃣ Meta подчёркивает, что её опыт, а также наработки в области ИИ и виртуальной реальности, помогут компании легко вписаться в рынок робототехники. Руководить инновационным направлением будет бывший CEO Cruise и Марк Уиттен, который наймёт в штат около 👨🔬100 топовых инженеров для решения амбициозных задач в 2025.
3️⃣ Meta планирует выделить в 2025 году рекордные $65 млрд на инфраструктуру для ИИ и направление робототехники.
Cоздание прототипов и аппаратного обеспечения является ключевым моментом перед развертыванием платформы, даже если сама Meta* в конечном итоге не выпустит свой брендированный продукт.
Сразу после сообщений о проблемах Palo Alto Networks с PAN-OS’ом возникли новые, связанные с начавшейся эксплуатацией.
Хакеры нацелились на межсетевые экраны Palo Alto Networks PAN-OS, задействуя недавно исправленную CVE-2025-0108, которая позволяет обойти аутентификацию.
Как ранее упоминалось, уязвимость получила высокую оценку и влияет на веб-интерфейс управления PAN-OS, а также позволяет неавторизованному злоумышленнику в сети обойти аутентификацию и вызвать определенные PHP-скрипты.
Проблема была обнаружена и сообщена Palo Alto Networks исследователями Assetnote, которые также опубликовали описание с полными техническими подробностями эксплуатации.
Они наглядно продемонстрировали, как уязвимость можно использовать для извлечения конфиденциальных системных данных, восстановления конфигураций брандмауэра или потенциального манипулирования определенными настройками в PAN-OS.
Представленный эксплойт использует путаницу путей между Nginx и Apache в PAN-OS, что позволяет обойти аутентификацию.
Злоумышленники, имеющие сетевой доступ к интерфейсу управления, могут воспользоваться этим для сбора развединформации для дальнейших атак или для ослабления защиты путем изменения доступных настроек.
В свою очередь, GreyNoise уже зафиксировала попытки эксплуатации, нацеленные на неисправленные брандмауэры PAN-OS.
Атаки стартовали 13 февраля в 17:00 UTC и, по-видимому, исходили с нескольких IP-адресов, что может указывать на участие в кампании сразу нескольких различных злоумышленников.
При этом для киберподполья есть и где развернуться, ведь в настоящее время более 4400 устройств PAN-OS раскрывают свой интерфейс управления в Интернете.
Учитывая наличие PoC и полного описания механизма эксплуатации кульминация проблем PAN-OS’а ожидается в ближайшие дни. Но будем посмотреть.
У Palo Alto снова проблемы с PAN OS'ом
В среду компания опубликовала 10 новых рекомендаций по безопасности, информируя клиентов о новых и влиянии ранее известных уязвимостей на ее решения, включая потенциально серьезную уязвимость обхода аутентификации брандмауэра.
Наиболее важная CVE-2025-0108 описывается поставщиком как проблема PAN-OS’а, позволяющая неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления целевого брандмауэра, обойти аутентификацию и вызвать определенные PHP-скрипты.
Palo Alto Networks поясняет, что вызов этих PHP-скриптов не обеспечивает удаленного выполнения кода, но может негативно повлиять на целостность и конфиденциальность PAN-OS’а.
Компания выпустила исправления для уязвимых версий PAN-OS’а, а также обходные пути и меры по смягчению последствий, отметив, что уязвимость значительно снижается, если доступ к интерфейсу управления разрешен только доверенным внутренним IP-адресам.
Palo Alto присвоила высокий уровень серьезности (CVSS 7,8) для проблемы PAN-OS’а, однако никаких доказательств ее реальной эксплуатации не обнаружено.
Исследователи Assetnote, обнаружившие CVE-2025-0108 при анализе двух других уязвимостей брандмауэра Palo Alto, которые использовались в реальных атаках, относят уязвимость к критичесой, поскольку она может привести к RCE в сочетании с другой проблемой PAN-OS’а.
В свою очередь, Searchlight Cyber, которая недавно приобрела Assetnote, также в среду раскрыла технические подробности уязвимости PAN-OS’а.
Кроме того, Palo Alto Networks сообщает об исправлении еще одной проблеме с PAN-OS’ом - CVE-2025-0110, которая также имеет высокий уровень серьезности и связана с внедрением команд, но для ее эксплуатации требуются права администратора.
Также опубликованы рекомендации по проблемам средней степени серьезности в агенте Cortex XDR (позволяет отключить агента) и Cortex XDR Broker (несанкционированный доступ), а также другим проблемам PAN-OS’а (чтение и удаление файлов).
По данным Palo Alto Networks, ни одна из уязвимостей, описанных в последнем пакете рекомендаций, не была использована в реальных условиях, включая проблемы с PAN-OS’ом.
Valve удалила игру PirateFi с игровой платформы Steam после того, как в ней обнаружился вредоносный код для кражи cookie из браузера и захвата учетных записей.
По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.
На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.
Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.
Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.
Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.
Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.
В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.
Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.
Продолжение по вчерашней новости...
🌐 Google попытались разъяснить свою позицию и утверждают, что не планируют заниматься сканированием пользовательского контента на телефонах. Корпорация использует алгоритмы машинного обучения только локально для выявления нежелательного контента без передачи на сервера.
Для работы новой фичи на телефоне требуется минимум 2 ГБ RAM.
Google подтверждает, что Android SafetyCore позволяет классифицировать контент на устройстве с помощью ИИ
It's unfortunate that it's not open source and released as part of the Android Open Source Project and the models also aren't open let alone open source. It won't be available to GrapheneOS users unless they go out of the way to install it.
Google Messages использует это новое приложение для классификации сообщений на спам, вредоносное ПО, обнаженную натуру и т. д. Обнаружение наготы - это дополнительная функция, которая размывает медиафайлы.
Установилось само. Не поняла такоего прикола . Неприятно.
Установилось вообще ни откуда и без согласования.....? Удаляю.
Само установилось без разрешения. Это что вообще?
Само скачалось
Не хочу, чтобы любые приложения устанавливались без моего согласия. Удаляю из принципа.
Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.
Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.
Предполагаемая цель злоумышленников - кибершпионаж.
Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.
Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.
Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.
По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.
Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.
После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.
Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.
Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.
Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.
Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.
На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.
Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.
Технические подробности и IoC - в отчете.
Исследователи Wiz обнаружили новый вариант обхода уже исправленной уязвимости в NVIDIA Container Toolkit, который можно использовать для выхода за пределы изоляции контейнера и получения полного доступа к базовому хосту.
Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.
Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).
В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.
Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.
Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.
Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.
Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.
Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».
Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.
Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.
Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.
Fortinet пересмотрела свои рекомендации по CVE-2024-55591, предупреждая о еще одной уязвимости, отлеживаемой как как CVE-2025-24472 (CVSS: 8,1).
Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.
Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.
Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.
Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.
Progress Software устранила несколько серьезных уязвимостей безопасности в своем ПО LoadMaster, которые могли быть использованы злоумышленниками для выполнения произвольных системных команд или загрузки любого файла из системы.
Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.
Среди исправленных недостатков:
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.
- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.
Уязвимости затрагивают следующие версии ПО LoadMaster:
- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).
Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.
Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.
Но будем посмотреть.
Apple обнаружила высокосерьезную уязвимость OpenSSL, открывающую возможности для MitM-атак.
Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке.
CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.
Появилась c OpenSSL 3.2 с реализацией поддержки RPK.
Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.
Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию.
Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.
RPK отключены по умолчанию как в клиентах, так и в серверах TLS.
Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.
Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.
Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.
OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.
Тем временем американские и европейские силовики провернули новую международную операцию под кодовым названием Operation Phobos Aetor в отношении инфраструктуры и членов банды вымогателей 8Base.
В мероприятиях принимали участие британская NCA, ФБР США, Европол, а также агентства из Баварии, Бельгии, Чехии, Франции, Германии, Японии, Румынии, Испании, Швейцарии и Таиланда.
Силовикам удалось установить личности и арестовать в Таиланде 4 подозреваемых, которые принимали участие в распространении программы-вымогателя Phobos, а также нейтрализовать инфраструктуру банды 8Base.
По сообщениям местных СМИ, cреди арестованных — двое мужчин и две женщины, все европейцы. Личности подозреваемых не разглашаются.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых.
Арестованным вменяются атаки с использованием Phobos с целью получения выкупа по меньшей мере в отношении 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Кроме того, хакеров обвиняют в получении преступного дохода в размере 16 млн. долл. посредством атак, жертвами которых стали более 1000 человек по всему миру.
По результатам обысков силовики изъяли более 40 вещественных доказательств, включая мобильные телефоны, ноутбуки и криптокошельки.
Помимо арестов накрыли сайты 8Base, которые использовались для переговоров и в качестве DLS. Теперь они конфискованы Баварским государственным управлением уголовной полиции по поручению Генеральной прокуратуры в Бамберге.
8Base, как известно, начала свою деятельность в марте 2022 года и позиционировала себя как простых «пентестеров», но на самом деле могла быть ребрендинг другой банды.
До июня 2023 года группа оставалась относительно незаметной, после чего начала сливать данные десятков жертв.
Также в атаках 8Base были замечены артефакты вируса-вымогателя Phobos, а в VMware выявили много общего с RansomHouse, включая стиль записок о выкупе и сайты DLS, но совпадение в полной мере не было подтверждено.
Среди известных жертв банды - Nidec Corporation, японский технологический гигант с доходом в 11 млрд. долл., и Программа развития Организации Объединенных Наций (ПРООН).
Как отмечали в бюллетене HHS, 8Base в основном нацелена на компании малого и среднего бизнеса в США, Бразилии, Великобритании, Австралии, Германии, Канаде и Китае, а отсутствие среди них стран СНГ может указывать на «связи с Россией».
А связей кроме как на бумаге пока не оказалось.
Быть может после криминалистики, конечно, последуют новые аресты, но будем посмотреть.
Да-да, эти знаменитые миллион дропов и два колл-центра размером с Рязань.
Читать полностью…
Исследователи F.A.C.C.T. сообщают о новых масштабных фишинговых атаках TA558, нацеленных в том числе на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы.
Всего за один день, по данным исслдеовталей, злоумышленники посредством специального софта разослали письма более чем 76 тыс. адресатам из 112 стран мира.
Письма содержали вложения, загружающие и запускающие RTF-документ, задействуя уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении сценария на устройстве жертвы запускается Remcos RAT, которая позволяет хакерам получить контроль над устройством своих жертв.
Группировка ТА558 активна как минимум с 2018 года и реализует многоэтапные фишинговые атаки и различные методы социальной инженерии.
Традиционная цель всех атак ТА558 - получение доступа к внутренним системам организаций для кражи данных.
В прошлом году была замечена в аналогичных атаках с фишингом для распространения вредоносного ПО, нацеленного на предприятия, госучреждения и банкский сектор в России и Беларуси.
ShadowServer предупреждает о массированном бруте с задействованием 2,8 млн. IP-адресов для нацеливания на сетевые устройства широкого спектра, в том числе Palo Alto Networks, Ivanti и SonicWall.
По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.
По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.
Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.
Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.
Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.