39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
QiAnXin XLab предупреждает об активной эксплуатации 0-day в маршрутизаторах cnPilot компании Cambium Networks для развертывания штамма ботнета AISURU под названием AIRASHI и задействования в DDoS-атаках.
Наблюдаемая кампания реализуется с июня 2024 года, однако какие-либо подробные сведения в отношении конкретных нулей пока остаются нераскрытыми для предотвращения дальнейших злоупотреблений.
В числе других уязвимостей, используемых операторами AIRASHI: CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-28771, а также ошибки в IP-камерах AVTECH, видеорегистраторах LILIN и устройствах Shenzhen TVT.
Согласно представленных операторами ботнета результатов своих тестов, DDoS-мощность AIRASHI стабильна удерживается на уровне 1–3 Тбит/с.
При этом большинство взломанных устройств расположены в России, Бразилии, Вьетнаме и Индонезии, а основными целями вредоносных атак стали Китай, США, Польша и Россия.
AIRASHI - это вариант ботнета AISURU (он же NAKOTNE), который ранее был детектировал компанией в августе 2024 года в рамках расследования DDoS-атаки, нацеленной на Steam, примерно в период запуска игры Black Myth: Wukong.
Также были обнаружены часто обновляемые ботнеты и отдельные вариации AIRASHI, включающие в себя функциональность прокси, что указывает на то, что злоумышленники намерены расширить свои возможности за пределы DDoS.
AISURU временно приостановил свою активность примерно в сентябре 2024 года, но через месяц ботнет вернулся с обновленным функционалом (под названием Kitty) и затем эволюционировал второй раз в конце ноября (она же AIRASHI).
Образец kitty начал распространяться в начале октября 2024 года.
По сравнению с предыдущими образцами AISURU он упростил сетевой протокол и к концу октября стал поддерживать прокси-серверы SOCKS5 для связи с сервером C2.
С другой стороны, AIRASHI представлен как минимум в двух разных вариантах:
- AIRASHI-DDoS (впервые обнаружен в конце октября), который в первую очередь, ориентирован на DDoS-атаки, но также поддерживает произвольное выполнение команд и обратный доступ к оболочке.
- AIRASHI-Proxy (впервые обнаружен в начале декабря), представляющий собой модифицированную версию AIRASHI-DDoS с функциональностью прокси.
Ботнет, в дополнение к постоянной настройке своих методов для получения данных сервера C2 через DNS-запросы, полагается на совершенно новый сетевой протокол, который включает HMAC-SHA256 и CHACHA20 для связи.
Кроме того, AIRASHI-DDoS поддерживает 13 типов сообщений, в то время как AIRASHI-Proxy поддерживает только пять типов сообщений.
Результаты показывают, что злоумышленники продолжают эффективно использовать уязвимости IoT-устройств как в качестве первоначального вектора доступа, так и для создания ботнетов, которые задействуют для проведения мощных DDoS-атак.
Cisco выпустила исправления для трех уязвимостей, включая критическую EoP-ошибку в Meeting Management и DoS-уязвимость в ClamAV, для которой доступен PoC.
Проблема критической важности отслеживается как CVE-2025-20156 (CVSS 9,9), влияет на REST API Meeting Management и может быть использована удаленными злоумышленниками для повышения привилегий до администратора.
Дефект обусловлен неправильным принудительным применением авторизации к пользователям REST API.
Воспользоваться этой уязвимостью можно, отправив запросы API на определенную конечную точку.
Успешный эксплойт позволит злоумышленнику получить контроль на уровне администратора над периферийными узлами, которые управляются Cisco Meeting Management.
По данным Cisco, затронуты все устройства, на которых запущена служба Meeting Management, независимо от настроек их конфигурации, и обходных путей не существует.
Исправления для уязвимости включены в Meeting Management версии 3.9.1.
Пользователям версии 3.8 и более ранних версий программного обеспечения рекомендуется перейти на исправленную версию. Версия 3.10 не затронута.
Кроме того, Cisco объявила об исправлении CVE-2025-20165 - серьезной ошибки в подсистеме обработки SIP Cisco BroadWorks, которая позволяет удаленному неаутентифицированному злоумышленнику вызвать состояние DoS.
Поскольку некоторые запросы SIP не обрабатываются должным образом, злоумышленник может отправить их в большом количестве в уязвимую систему, исчерпать память, выделенную сетевым серверам BroadWorks, обрабатывающим SIP-трафик, и вызвать состояние DoS, для восстановления которого потребуется ручное вмешательство.
Уязвимость устранена с выпуском версии BroadWorks RI.2024.11. Клиентам рекомендуется обновиться до исправленной версии, поскольку обходных путей для этой ошибки нет.
Cisco заявляет, что ей неизвестно о каких-либо случаях эксплуатации этих двух уязвимостей.
Однако поставщик предупреждает о доступности PoC для третьей уязвимости, которая затрагивает Object Linking and Embedding 2 (OLE2) ClamAV и отслеживается как CVE-2025-20128.
Проблема средней серьезности связана с переполнением буфера кучи при чтении, вызванным целочисленным недорасходом при проверке границ.
Она позволяет злоумышленнику отправить созданный файл, содержащий содержимое OLE2. При сканировании ClamAV завершает процесс, вызывая состояние DoS.
Cisco устранила уязвимость, выпустив версии Secure Endpoint Connector для Linux (1.25.1), macOS (1.24.4), Windows (7.5.20 и 8.4.3) и cloud (4.2.0).
Эксплуатация уязвимости может привести к сбою процесса сканирования, однако общая стабильность системы не страдает.
Отмечается, что несмотря на наличие PoC для этой уязвимости, данных об эксплуатации в реальных условиях не получено.
Очередной этап хакерского поединка Pwn2Own Automotive 2025, посвященный автомобильным технологиям, проходит в рамках конференции Automotive World 2025 в Токио и должен завершится 24 января.
В первый день Pwn2Own Automotive 2025 исследователи обнаружили 16 уникальных 0-day и смогли выиграть 382 750 долларов США в качестве вознаграждений.
Fuzzware.io лидирует в соревновании после взлома зарядных устройств для электромобилей Autel MaxiCharger и Phoenix Contact CHARX SEC-3150 с использованием стекового переполнения буфера и ошибки проверки происхождения. Это принесло им 50 000 долларов.
Сина Кхейркха из Summoning Team также заработал $91 750 после взлома зарядных устройств Ubiquiti и Phoenix Contact CHARX SEC-3150 EV с помощью жестко запрограммированной ошибки криптографического ключа и комбинации из трех нулей (одна из них была известна ранее).
Команда Synacktiv Team заняла третье место в таблице лидеров, заработав 57 500 долларов после успешной демонстрации уязвимости в протоколе OCPP для взлома ChargePoint Home Flex (модель CPH50) с помощью манипуляции сигналом через разъем.
Исследователи PHP Hooligans также успешно взломали полностью пропатченное зарядное устройство Autel с помощью переполнения буфера на основе кучи и заработали 50 000 долларов.
Viettel Cyber Security смогли вынести лишь 20 000 долларов после выполнения кода в информационно-развлекательной системе Kenwood In-Vehicle Infotainment (IVI) с помощью 0-day, связанной с внедрением команд ОС.
В рамках этого этапа в распоряжении исследователей зарядные устройства для электромобилей (EV), информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux, Android Automotive OS и BlackBerry QNX).
Примечательно, что по Tesla поступило крайне мало заявок: участники соревнований зарегистрировали лишь попытки взлома настенного разъема Model 3/Y при наличии эквивалентного настольного устройства (на базе Ryzen).
Расписание первого дня и результаты каждого испытания - здесь. Будем следить, удастся ли участникам превзойти предыдущий Pwn2Own Automotive 2024 по части выигрыша, тогда хакеры сорвали куш в размере 1 323 750 долларов.
Традиционно, после того демонстрации нулей в ходе Pwn2Own у поставщиков будет 90 дней на разработку исправлений, прежде чем TrendMicro Zero Day Initiative публично их раскроет.
Cloudflare выкатила 20-й отчет по DDoS-угрозам, в котором сообщает об обнаружении и блокировке атаки мощностью в 5,6 Тбит/с, ставшей крупнейшей из когда-либо зарегистрированных на сегодняшний день.
Атака по протоколу UDP произошла 29 октября 2024 года и была направлена на одного из клиентов, неназванного интернет-провайдера (ISP) из Восточной Азии.
Активность исходила от ботнета на базе Mirai. Вся атака длилась всего 80 секунд и включала более чем 13 000 IoT-устройств.
При этом среднее количество уникальных исходных IP-адресов, наблюдаемых в секунду, составило 5500, а средний объем с каждого IP-адреса в секунду составил около 1 Гбит/с.
Предыдущий рекорд по объему DDoS-атаки был зафиксирован Cloudflare в октябре 2024 года и тогда составил 3,8 Тбит/с, о чем мы также писали.
В целом, Cloudflare заблокировала около 21,3 млн DDoS-атак в 2024 году, что на 53% больше, чем в 2023 году.
При этом количество атак, превышающих 1 Тбит/с, выросло на 1885% по сравнению с предыдущим кварталом. Только в 4 квартале 2024 отражено около 6,9 млн DDoS-атак.
Среди других основных выводов, согласно представленному отчету за 4 квартал 2024:
- Известные DDoS-ботнеты стояли почти за 72,6% всех HTTP DDoS-атак;
- Тремя наиболее распространенными векторами атак уровня 3/уровня 4 (сетевой уровень) были SYN-флуд (38%), DNS-флуд (16%) и UDP-флуд (14%);
- DDoS-атаки Memcached, BitTorrent и с требованием выкупа увеличились на 314%, 304% и 78% по сравнению с предыдущим кварталом соответственно;
- Около 72% атак HTTP DDoS и 91% атак DDoS на сетевом уровне заканчивались менее чем за десять минут;
- Индонезия, Гонконг, Сингапур, Украина и Аргентина были крупнейшими источниками DDoS-атак;
- Наиболее атакованными странами были Китай, Филиппины, Тайвань, Гонконг и Германия;
- Наиболее атакованными секторами стали: телекоммуникации, интернет, маркетинг, информационные технологии, азартные игры.
Как пишет Politico исполняющий обязанности руководителя Министерства внутренней безопасности (DHS) США подписал приказ об выводе из состава Совета по надзору за кибербезопасностью всех членов, не являющихся госслужащими.
Таким образом, в числе других был выпнут гнида Альперович. Который, напомним, был одним из основных "свидетелей" по поводу якобы имевшего место взлома русскими APT в 2016 году серверов Демпартии. И вообще, является последовательным врагом (sic!) всего, что связано с Россией.
Мелочь, а приятно.
🚰 Ростелеком: "наиболее вероятно, что утечка произошла из инфраструктуры подрядчика"
Ранее Telegram-канал "Утечки информации" сообщил, что, по утверждению хакеров, они выкачали данные "Ростелекома" из баз сайтов company.rt.ru и zakupki.rostelecom.ru.
В дампах содержится 154 тыс. уникальных адресов эл. почты и 101 тыс. уникальных номеров телефонов.
"В ответ на анонимные посты об утечке данных, приписываемой интернет-ресурсам "Ростелекома", компания сообщает, что ранее фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика"
"Предварительно можно сказать, что утечки особо чувствительных персональных данных не было. Но мы рекомендуем пользователям ресурсов сбросить пароли и включить двухфакторную идентификацию, где она доступна"
Hewlett Packard Enterprise (HPE) приступила к расследованию заявлений IntelBroker, который анонсировал новую утеку и кражу корпоративных данных компании.
В HPE сообщили, что не нашли никаких доказательств нарушения безопасности, но тем не менее приступили к расследованию заявлении хакера от 16 января.
HPE немедленно активировала соответствующие протоколы киберреагирования, отключив учетные данные для оценки обоснованности заявлений, но пока усилия не принесли никаких результатов.
IntelBroker, в свою очередь, опубликовал сообщения о продаже информации, предположительно украденной из сетей HPE, утверждая, что получил доступ к API компании, WePay и (частным и публичным) репозиториям GitHub в течение как минимум двух дней, похитил сертификаты (частные и публичные ключи), исходный код Zerto и iLO, сборки Docker и личную информацию пользователей, используемую для поставок.
IntelBroker представил также еще один архив данных (включая учетные данные и токены доступа), предположительно украденных из систем HPE почти год назад, 1 февраля 2024 года.
Тогда тоже не нашли доказательств нарушений безопасности.
Как известно, ранее HPE уже сталкивалась с инцидентами. Один из них произошел в 2018 году, когда китайская APT10 взломала некоторые из ее систем и использовала этот доступ для взлома устройств клиентов.
В 2021 году, технологический гигант уведомлял, что хранилища данных его платформы мониторинга сети Aruba Central также были скомпрометированы, включая данные об отслеживаемых устройствах и их местоположении, а в мае мае 2023 года также скомпрометировали почтовую среду Microsoft Office 365.
Учитывая внушительный список достижений IntelBroker, включающий DC Health Link, Nokia, Cisco, Europol, Home Depot, Acuity и предполагаемые инциденты с AMD, Госдепом, Zscaler, Ford и General Electric Aviation, то доказательства в ближайшей перспективе могут все же появиться.
Но будем посмотреть.
Исследователи Socket расчехлили вредоносный пакет под названием pycord-self на PyPI, который был нацелен на разработчиков Discord с целью кражи токенов аутентификации и внедрения бэкдора для удаленного управления системой.
Пакет мимикрирует под широко популярный discord.py-self с 28 миллионами загрузок и даже реализует оригинальную функциональность легитимного проекта.
Официальный пакет представляет собой библиотеку Python, которая обеспечивает взаимодействие с пользовательским API Discord и позволяет разработчикам управлять учетными записями.
Обычно он используется для обмена сообщениями и автоматизации взаимодействий, создания ботов Discord, написания сценариев автоматической модерации, уведомлений или ответов, а также для запуска команд или извлечения данных из Discord без учетной записи бота.
По данным Socket, вредоносный пакет был добавлен в PyPi в июне прошлого года и на данный момент уже загружен 885 раз. К настоящему времени все еще доступен на PyPI от издателя, данные которого были перепроверены платформой.
Исследователи проанализировали пакет и обнаружили, что pycord-self содержит код, который выполняет две основные функции.
Одна из них — кража токенов аутентификации Discord у жертвы и отправка их на внешний URL.
Злоумышленники потенциально могут использовать украденный токен для взлома учетной записи разработчика Discord без необходимости ввода учетных данных для доступа, даже если активна двухфакторная аутентификация.
Вторая функция вредоносного пакета - создание скрытого механизма обхода безопасности путем создания постоянного соединения с удаленным сервером через порт 6969.
В зависимости от операционной системы он запускает оболочку («bash» в Linux или «cmd» в Windows), которая предоставляет злоумышленнику постоянный доступ к системе жертвы.
Рекомендации и MOK - в отчете.
Более 8 ТБ хакеры выкрали из хранилищ Amazon AWS S3 компании Otelier, которая специализируется на разработке платформы управления гостиничным бизнесом.
Otelier, ранее известная как MyDigitalOffice, - это облачное решение для управления отелями, услугами которого пользуются более 10 000 отелей по всему миру для управления бронированием, проведения транзакций, выставления счетов и отчетности.
В результате инцидента, предположительно, утекли персональные данные миллионов гостей и данные бронирований номеров в таких известных гостиничных сетях, как Marriott, Hilton и Hyatt.
Предположительно, утечка впервые произошла в июле 2024 года и продолжалась до октября. При этом Otelier подтвердила факт взлома и сообщила, что связывается с затронутыми клиентами.
Компания привлекла команду ведущих экспертов по кибербезопасности для проведения комплексного криминалистического анализа и проверки своих систем.
Предварительное расследование указывает на то, что несанкционированный доступ на момент принятия мер реагирования был уже прекращен.
Злоумышленники, стоящие за взломом Otelier, сообщили, что изначально они взломали сервер Atlassian компании, используя креды сотрудника, которые им удалось достать из логов инфокрада.
Несмотря на то, что какие-либо дополнительные подробности инцидента не разглашаются, экспертам удалось найти на платформе для анализа угроз Flare информацию о многих сотрудниках Otelier, которая утекла благодаря стиллерам.
Злоумышленники утверждают, что использовали эти учетные данные для сбора тикетов и других данных, которые содержали дополнительные учетные данные для доступа к контейнерам S3 компании.
Используя полученный доступ, хакеры скачали 7,8 ТБ данных из облачного хранилища Amazon, включая миллионы документов, принадлежащих Marriott, которые находились в контейнерах жертвы, включая отчеты отелей, аудиты смен и бухгалтерские данные.
Marriott подтвердила, что кибератака Otelier повлияла на них и приостановила автоматизированные операции, пока не завершится расследование.
Компания подчеркивает, что ни одна из ее систем не была взломана в ходе этой атаки.
Злоумышленники также предпринимали попытки вымогательства выкупа у Marriott, думая, что хранилища S3 принадлежат ей, и даже оставили записки со своими требованиями за неразглашение данных. Однако с ними никто не вышел на связь, а позже и доступ был утрачен.
Тем не менее, вопреки заявлениям Marriott, анализ образцов украденных данных в Have I Been Pwned показал, что среди утекшей информации есть личная информация на гостей отеля, в том числе: сведения по бронированию номеров, установочных и контактных данные, а также транзакции.
Украденные данные помимо прочего включают информацию и адреса электронной почты, связанные с Hyatt, Hilton и Wyndham, которые пока никак не комментируют инцидент.
Всего же, предполагается, что утек обширный набор данных: таблица бронирований содержит 39 миллионов строк, а таблица пользователей — 212 миллионов.
Будем следить.
Разработчики Ivanti выпустили исправления для множества критических уязвимостей в Avalanche, Application Control Engine и EPM.
Наиболее серьезными являются четыре проблемы обхода пути в Ivanti EPM, которые позволяют удаленным злоумышленникам получить доступ к конфиденциальной информации без аутентификации.
CVE-2024-10811, CVE-2024-13159 - CVE-2024-13161 имеют 9,8 и затрагивают EMP 2024 и 2022 SU6 с обновлением за ноябрь 2024.
Обновления устраняют 12 высокосерьезных дефектов, которые могут привести к RCE, DoS и EoP удаленно, без аутентификации.
Выпущена Avalanche 6.4.7 с исправлениями CVE-2024-13179 - CVE-2024-13181 высокой степени серьезности, которые могут быть использованы удаленно для обхода аутентификации и кражи информации.
Традиционно компания не располагает доказательствами того, что эти уязвимости эксплуатируются в реальных условиях.
Еще говорят, что Ivanti готовит для клиентов специальный аксессуар, который будет рассылаться вместе со следующим обновлением (фото прилагаем).
Новые проблемы для владельцев сайтов WordPress: серьезная уязвимость плагина W3 Total Cache с более чем миллионов установок может предоставить злоумышленникам доступ к различной информации, включая метаданные облачных приложений.
W3 Total Cache использует несколько методов кэширования для оптимизации скорости веб-сайта, сокращения времени загрузки и общего улучшения его рейтинга SEO.
Уязвимость отслеживается как CVE-2024-12365, и несмотря на выпуск исправления в последней версии продукта, сотни тысяч веб-сайтов все еще работают на уязвимых версиях, лишь 150 000 сайтов работают на последней.
Wordfence отмечает, что проблема вызвана отсутствием проверки возможностей в функции is_w3tc_admin_page во всех версиях до последней, 2.8.2.
Эта ошибка позволяет получить доступ к значению nonce безопасности плагина и выполнять несанкционированные действия.
Эксплуатация уязвимости возможна, если злоумышленник прошел аутентификацию и имеет как минимум уровень подписчика, что легко выполнимо.
Основные риски, возникающие при эксплуатации CVE-2024-12365 связаны с SSRF (создание запросов, потенциально раскрывающих конфиденциальные данные), раскрытием информации и злоупотреблением службой (использование лимитов кэширования, что влияет на производительность сайта).
Что касается реальных последствий этой уязвимости, злоумышленники могут использовать инфраструктуру сайта для проксирования запросов к другим службам и использовать собранную информацию для организации дальнейших атак.
Лучшим вариантом исправления для затронутых пользователей является обновление до последней версии W3 Total Cache - 2.8.2, которая устраняет уязвимость.
В качестве общей рекомендации владельцам сайтов следует избегать установки слишком большого количества плагинов и отказываться от продуктов, которые не являются абсолютно необходимыми.
Кроме того, полезным может оказаться брандмауэр приложений, поскольку он способен выявлять и блокировать попытки эксплуатации уязвимостей.
Исследователи ESET сообщают о новой уязвимости обхода безопасной загрузки UEFI, известной как CVE-2024-7344, которая затрагивает подписанное Microsoft приложение и может быть использована для развертывания буткитов даже при активной защите безопасной загрузки.
Уязвимое приложение UEFI присутствует во многих инструментах восстановления системы от нескольких сторонних разработчиков ПО, но не является приложением общего назначения.
ESET указывает следующие продукты и версии в числе уязвимых: Howyar SysReturn (до 10.2.023_20240919), Greenware GreenGuard (до 10.2.023-20240927), Radix SmartRecovery (до 11.2.023-20240927), Sanfong EZ-back (до 10.3.024-20241127), WASAY eRecoveryRX (до 8.4.022-20241127), CES NeoImpact (до 10.1.024-20241127) и SignalComputer HDD King (до 10.3.021-20241127).
Проблема связана с тем, что приложение использует пользовательский загрузчик PE, который позволяет загружать любые двоичные файлы UEFI, даже если они не подписаны.
В частности, уязвимое приложение UEFI не использует доверенные службы, такие как LoadImage и StartImage, которые проверяют двоичные файлы по базе данных доверия (db) и базе данных отзыва (dbx).
В этом контексте reloader.efi вручную расшифровывает и загружает в память двоичные файлы из cloak.dat, который содержит элементарный зашифрованный образ XOR PE.
Этот небезопасный процесс может быть использован злоумышленником, который заменит загрузчик ОС по умолчанию в разделе EFI на уязвимый reloader.efi и разместит вредоносный файл cloak.dat по его номинальным путям.
При загрузке системы пользовательский загрузчик расшифрует и выполнит вредоносный двоичный файл без проверки Secure Boot.
Следует отметить, что злоумышленники могут эксплуатировать CVE-2024-7344, даже если указанные выше приложения отсутствуют на целевом компьютере.
Хакеры могут выполнить атаку, развернув только уязвимый двоичный файл reloader. efi из этих приложений.
Однако тем, кто использует указанные выше приложения и затронутые версии, следует как можно скорее перейти на более новые версии, чтобы исключить возможность атаки.
ESET даже продемонстрировала на видео, как уязвимость может быть использована в системе с включенной функцией Secure Boot, а Microsoft, в свою очередь, выпустила исправление для CVE-2024-7344.
Исследователи обнаружили уязвимость 8 июля 2024 года, сообщив о ней в CERT/CC для скоординированного раскрытия информации пострадавшим сторонам.
Затронутые поставщики устранили проблему в своих продуктах, а Microsoft отозвала сертификаты уязвимых приложений UEFI 14 января, во вторник после обновления, что должно было блокировать любые попытки выполнить их двоичные файлы.
Смягчение автоматически применяется к пользователям, установившим последнее обновление Windows.
ESET также поделилась командами PowerShell, которые администраторы критических систем могут использовать для ручной проверки того, были ли они успешно применены.
Участники новой хакерской группы слили в паблик файлы конфигурации, IP-адреса и учетные данные VPN для более чем 15 000 устройств FortiGate, которые теперь доступны всем представителям киберподполья абсолютно бесплатно.
Анонсировавшая утечку Belsen Group впервые появилась в сетях и на форумах в этом месяце.
Для продвижения своего бренда Belsen Group хакеры создали сайт в Tor, на котором и опубликовали дамп данных FortiGate.
Утечка FortiGate представляет собой архив размером 1,6 ГБ с папками, упорядоченными по странам. Каждая папка содержит дополнительные подпапки для каждого IP-адреса FortiGate в конкретной стране.
По словам исследователя Кевина Бомонта, каждый IP-адрес имеет configuration.conf и vpn-passwords.txt, в котором некоторые пароли находятся в открытом виде.
Конфигурации также содержат конфиденциальную информацию, такую как закрытые ключи и правила брандмауэра.
По всей видимости, утечка, как предполагается, связана с 0-day от 2022 года, отслеживаемой как CVE-2022-40684, которая использовалась в атаках до выпуска исправления.
Бомонд сопоставил результаты прошлого расследования одного из инцидентов, связанного с CVE-2022–40684, и ему удалось сверить, что имена пользователей и пароли, указанные в дампе, соответствуют данным на ранее изученном скомпрометированном устройстве.
Тогда в 2022 году Fortinet предупреждала об эксплуатации злоумышленниками нуля, CVE-2022–40684, для загрузки файлов конфигурации с целевых устройств FortiGate и последующего добавления вредоносной учетной записи super_admin под названием «fortigate-tech-support».
Представители немецкого издания Heise также проанализировали утечку и пришли к выводу, что она была собрана в 2022 году, причем на всех устройствах использовалась прошивка FortiOS 7.0.0-7.0.6 или 7.2.0-7.2.2, большинство - версией 7.2.0.
Тем не менее, исследователи предупреждают, что, несмотря на то, что эти файлы конфигурации были собраны в 2022 году, они раскрывают значительный объем конфиденциальной информации, включая правила брандмауэра и некоторые актуальные на данным момент учетные данные.
Эта утечка конечно, не сравниться с 2021, когда хакеры слили почти 500 000 учетных данных Fortinet VPN с использованием CVE-2018-13379, но внимания и, возможно, реагирования определенно требует.
Более 660 000 серверов Rsync потенциально уязвимы для шести новых уязвимостей, включая критическую уязвимость переполнения буфера кучи, которая позволяет удаленно выполнять код на серверах.
Rsync - это инструмент с открытым исходным кодом для синхронизации файлов и передачи данных, который широко используется в системах резервного копирования (Rclone, DeltaCopy, ChronoSync), общедоступных репозиториях для распространения файлов, а также в управлении облаками и серверами.
Уязвимости Rsync были обнаружены Google Cloud и независимыми исследователями. Они могут быть объединены для реализации удаленного взлома систем.
Для наиболее серьезной уязвимости CVE злоумышленнику потребуется лишь анонимный доступ на чтение к серверу rsync, например, к публичному зеркалу, чтобы выполнить произвольный код на машине, на которой запущен сервер.
Кроме того, злоумышленники могут взять под контроль вредоносный сервер и читать/записывать произвольные файлы любого подключенного клиента.
Конфиденциальные данные, включая ключи SSH, могут быть извлечены, а вредоносный код может быть выполнен путем перезаписи файлов, таких как ~/.bashrc или ~/.popt.
Среди обнаруженных недостатков:
- Переполнение буфера кучи (CVE-2024-12084, CVSS: 9.8): возникает из-за неправильной обработки длины контрольных сумм в демоне Rsync, что приводит к записи за пределами буфера. Затрагивает версии от 3.2.7 до < 3.4.0 и может привести к RCE.
- Утечка информации (CVE-2024-12085, CVSS: 7.5): допускает утечку неинициализированных данных стека при сравнении контрольных сумм файлов. Злоумышленники могут манипулировать длиной контрольной суммы, чтобы ее эксплуатировать. Затрагивает все версии ниже 3.4.0.
- Server Leaks Arbitrary Client Files (CVE-2024-12086, CVSS: 6.1): позволяет вредоносному серверу считывать и восстанавливать произвольные клиентские файлы побайтно, используя измененные значения контрольной суммы во время передачи файлов. Уязвимы все версии ниже 3.4.0.
- Обход пути (CVE-2024-12087, CVSS: 6.5): возникает из-за неадекватной проверки символической ссылки при использовании параметра --inc-recursive. Вредоносные серверы могут записывать файлы за пределами предполагаемых каталогов на клиенте. Все версии ниже 3.4.0 уязвимы.
- Обход параметра --safe-links (CVE-2024-12088, CVSS: 6.5): возникает, когда Rsync не может должным образом проверить назначения символических ссылок, содержащих другие ссылки. Это приводит к обходу пути и произвольной записи файлов за пределами указанных каталогов. Затрагиваются все версии ниже 3.4.0.
- Состояние гонки (CVE-2024-12747, CVSS: 5.6): обусловлена состоянием гонки при обработке символических ссылок. Эксплуатация может позволить злоумышленникам получить доступ к конфиденциальным файлам и повысить привилегии. Уязвимы все версии ниже 3.4.0.
CERT/C выпустила бюллетень с предупреждением об уязвимостях Rsync, отметив Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation и Triton Data Center как затронутые.
Однако многие другие потенциально подверженные уязвимости проекты и поставщики пока не никак отреагировали.
В своем бюллетене по CVE-2024-12084 RedHat отметила, что практических мер по смягчению уязвимости не существует, и уязвимость можно эксплуатировать в конфигурации Rsync по умолчанию.
В противном случае понадобятся действительные учетные данные для серверов с аутентификацией.
Согласно Shodan, в сети детектится более 660 000 IP-адресов с открытыми серверами Rsync. Большинство - в Китае (521 000), далее следуют США, Гонконг, Корея, Россия и Германия, но их число значительно меньше.
Из этих открытых серверов Rsync 306 517 работают на TCP-порте по умолчанию 873, а 21 239 прослушивают порт 8873, который обычно используется для Rsync через туннелирование SSH.
Несмотря на то, что неясно подвержены ли они недавно обнаруженным уязвимостям, всем пользователям рекомендуется как можно скорее обновиться до версии 3.4.0 или настроить демон на запрос учетных данных, а также заблокировать TCP-порт 873 по периметру, чтобы серверы не были доступны удаленно.
Наш бесплатный курс "Тестирование на проникновение" подошел к концу. Вот полный список статей, которые помогут вам начать свой путь в #Pentest.
• Моделирование атаки - тестрирование на проникновение.
• Основные этапы тестирования.
• Сбор информации: 1 Часть.
• Сбор информации: 2 Часть.
• Сбор информации: 3 Часть.
• Обнаружение уязвимостей.
• Подбор паролей.
• Обратные оболочки и полезные нагрузки.
• Эксплуатация уязвимостей: 1 Часть.
• Эксплуатация уязвимостей: 2 Часть.
• Уклонение от средств защиты: 1 Часть.
• Уклонение от средств защиты: 2 Часть.
• Уклонение от средств защиты: 3 Часть.
• С2 (Command and Control) сервер.
• Основы Active Directory: 1 Часть.
• Основы Active Directory: 2 Часть.
• Kerberos, NTLM, DNS, LDAP.
• Пользовательские и машинные учетные записи.
• Права и привилегии в Active Directory.
• Небезопасные права доступа ACL.
• Active Directory Domain Enumeration
• Bloodhound
• AS-REP Roasting
• haccking/5vHKD4qgTTc">Kerberoasting
• haccking/kPhBkCrWnMU">Неограниченное делегирование.
• haccking/A0J1PSh9Dm9">Ограниченное делегирование.
• haccking/K14od5a8CJt">Ограниченное делегирование на основе ресурсов.
• haccking/aCAMhFqVJ6v">DCShadow.
• haccking/CWe07mN6l9E">Pass-the-hash
• haccking/90jo1xtOC_-">Password Spray
• haccking/uTEXiQtfsfz">Windows Server Update Services (WSUS)
• haccking/qWU3FqGUpt3">System Center Configuration Manager (SCCM)
• haccking/2gTBXnwYzKO">Взлом MSSQL
• haccking/yoQKJ0yPYwp">Responder
• haccking/C5kbp_WE_GB">Netexec
• haccking/kKJgYiiGP-C">Крадем учетные данные Windows
• haccking/wlFchsbkVYe">Zerologon
• haccking/9LLU5iY4moq">PetitPotam
• haccking/L-Pp36LInfH">Skeleton Key
• RouterSploit
• haccking/3opUyirq8Qr">Получение DA через принтер
• haccking/b9rDUCY5dwe">DCSync
• haccking/cd-Tf8fRvr1">SIDHistory
• haccking/pRZAVniiRT1">AdminSDHolder
• haccking/gQWE4ohRuo9">Silver Ticket
• haccking/mJ0PsKmba50">Golden Ticket
• haccking/dgYetfjl-_k">Diamond Ticket
• haccking/faDfZX1LMs1">Sapphire Ticket
Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!
#статья@haccking #обучениеPentest@haccking #AD
LH | Новости | Курсы | OSINT
Исследователь Hackermondev обнаружил уязвимость в CDN Cloudflare, которая позволяла раскрыть местонахождение пользователя посредством отправки изображения через Signal и Discord.
Несмотря на недостаточно точные возможности определения геолокации ZeroClick-атака позволяет отследить цель до улицы или района, определить базовое местоположение пользователя для дальнейшего более точного отслеживания его перемещений.
Подобная информация может особенно полезна для военных, спецслужб или правоохранителей, которые таким образом могут установить где срывается разыскиваемое (подозреваемое или обвиняемое) лицо (страна, город) или же проводится какое-либо конфиденциальное мероприятие.
Три месяца назад исследователь заметил, что Cloudflare кэширует медиаресурсы в ближайшем к пользователю ЦОДе, чтобы сократить время загрузки.
Установив уязвимое приложение на телефоне жертвы (или в качестве фонового приложения на ее ноутбуке), злоумышленник может отправить вредоносную нагрузку и деанонимизировать за считанные секунды.
Для проведения атаки исследователь отправлял своим целям сообщения с уникальным изображением, будь то снимок экрана или даже аватар профиля, размещенный в CDN Cloudflare.
Затем воспользовался ошибкой в Cloudflare Workers, которая позволяла принудительно направлять запросы через определенные ЦОДы с помощью специального инструмента под названием Cloudflare Teleport.
Такая произвольная маршрутизация обычно запрещена стандартными политиками безопасности Cloudflare, которые предписывают, чтобы каждый запрос направлялся из ближайшего ЦОД.
Сопоставив кэшированные ответы из разных ЦОД Cloudflare для отправленного файла, исследователь смог разработать карту общего местоположения пользователей на основе CDN, возвращающей код ближайшего аэропорта рядом с их ЦОД.
Кроме того, поскольку многие приложения автоматически загружают изображения для push-уведомлений, включая Signal и Discord, злоумышленник может отслеживать цель без взаимодействия с пользователем, что делает ее ZeroClick.
Точность отслеживания составляет от 50 до 300 миль в зависимости от региона и количества дата-центров Cloudflare поблизости.
Точность в крупных городах должна быть выше, чем в сельской местности или менее населенных районах.
Исследователь сообщил о своих результатах в Cloudflare, Signal и Discord.
Первая в списке отметила проблему как решенную и назначила ему вознаграждение в размере 200 долларов.
Hackermondev подтвердил, что ошибка Workers была исправлена, но если перепрограммировать Teleport на использование VPN для тестирования различных местоположений CDN, то атаки с использованием геолокации все еще возможны, но теперь стали немного сложнее.
Он выбрал VPN-провайдера с более чем 3000 серверов, расположенных в разных местах в 31 стране мира.
Используя новый метод, смог охватить около 54% всех ЦОД Cloudflare, что позволило охватить большинство густонаселенных локаций в мире.
В ответ на последующий запрос компания Cloudflare сообщила исследователю, что в конечном итоге ответственность за отключение кэширования лежит на пользователях.
В Discord и Signal исследователя отправили к Cloudflare, отметив, что реализация функций анонимности на сетевом уровне выходит за рамки их возможностей.
Еще в декабре китайский CERT выкатил обвинения в адрес правительства США во взломе китайских технологических компаний.
Теперь медленно, но верно CERTCN начал раскрывать детали атак с доказательствами, опубликовав ряд технических подробностей и IOC, включая некоторые из атакующих IP-адресов.
CERTCN утверждает, что атаки происходили в течение временного периода времени с 10:00 до 20:00 с понедельника по пятницу по восточному часовому поясу США.
При этом никакой активности в рамках наблюдавшихся атак не фиксировалось во время национальных праздников.
Несмотря на то, что отчет содержит скупые формулировки, тем не менее, судя по содержанию, очевидно, что китайская сторона располагает всеми необходимыми артефактами и результатами их глубокого анализа.
По всей видимости, технический разбор последует в обозримом будущем и скорее всего будет включать более широкий охват активности атакующих.
Но будем, кончено, посмотреть.
Исследователи из Knownsec 404 разоблачили группу-подражателей, отслеживаемую ими как GamaCopy (по аналогии с sidewinder и sidecopy), активность которой в реальности связана с Core Werewolf.
GamaCopy была впервые обнаружена в июне 2023 года и реализовала несколько кибератак на оборонные и критически важные инфраструктурные объекты в России.
Считается, что группа действует по крайней мере с августа 2021 года.
GamaCopy копировала TTPs Gamaredon и смогла успешно проводить атаки под ложным флагом, вводя в заблуждение некоторых авторитетных инфосек-вендоров, по всей видимости, глубоко не погрузившихся в процесс атрибуции (а может и погрузившихся).
Злоумышленники инициировали атаки, используя в качестве приманки контент, связанный с военными объектами, задействовав 7z (SFX) для загрузки последующих полезных нагрузок, а также инструмент с открытым исходным кодом UltraVNC для последующих этапах атак.
В кампаниях использовался целевой фишинг и приманки, связанные с военной тематикой.
Однако после анализа было установлено, что Gamaredon в основном использовала украиноязычные приманки, в то время как GamaCopy, наоборот, - русскоязычные.
После анализа также выяснилось, что вся цепочка атак Gamaredon с использованием UltraVNC имеет существенные отличия от образца, обнаруженного Knownsec 404.
Gamaredon часто загружает окончательный UltraVNC через макросы и использует скрипты VBS несколько раз в цепочке атак, используя порт 5612, а не порт 443 для подключения к серверу, замеченный в образце, принадлежащем GamaCopy.
Исследователи Knownsec 404 в отчете не указали конкретной принадлежности GamaCopy, как и коллеги из BI.ZONE, FACCT и Лаборатории Касперского, но известные румынские спесиалисты предположили, что очевидным источником атак могут быть Украина, КНР и КНДР.
Правда, последние до этого в подобных махинациях замечены не были и действовали в соответствии со своими TTPs, а в изобретательности первых и их наставников сомневаться точно не стоит.
Исследователи ESET сообщают о новой APT PlushDaemon, которая связана с атакой на цепочку поставок, нацеленной на южнокорейского поставщика VPN.
PlushDaemon, предположительно, связана с КНР и действует как минимум с 2019. Нацелена на отдельных лиц и организации в Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии.
В основном арсенале - многофункциональный бэкдор SlowStepper, поддерживающий широкий набор инструментов из 30 модулей на C++, Python и Go.
Другим важным аспектом является задействование легитимных каналов обновления ПО и уязвимостей серверов для получения первоначального доступа.
В мае 2024 исследователи обнаружили вредоносный код, встроенный в установщик NSIS для Windows на сайте поставщика VPN IPany.
Мошенническая версия была разработана для доставки легитимного ПО, а вместе с ним SlowStepper. В настоящее время неясно, кто именно являлся целью атаки, но любой загрузивший ZIP-архив мог стать жертвой.
Данные телеметрии ESET показывают, что ряд пользователей пытались установить троянизированное ПО в сетях полупроводниковой компании и другой организации по разработке ПО в Южной Корее, а самые первые жертвы были в Японии и Китае в ноябре и декабре 2023 года.
Цепочка атаки начинается с запуска установщика (IPanyVPNsetup.exe), который устанавливает постоянство на хосте между перезагрузками и запускает загрузчик (AutoMsg.dll), отвечающий за выполнение шелл-кода, загружающего другую DLL (EncMgr.pkg).
Затем DLL извлекает еще два файла (NetNative.pkg и FeatureFlag.pkg), которые используются для загрузки вредоносной DLL (lregdll.dll) с помощью PerfWatson.exe, который представляет собой переименованную версию легитимной утилиты regcap.exe, входящей в Microsoft Visual Studio.
Конечной целью DLL является загрузка импланта SlowStepper из файла winlogin.gif, присутствующего в FeatureFlag.pkg.
SlowStepper находится в разработке с января 2019 (версия 0.1.7), а последняя итерация (0.2.12) была скомпилирована в июне 2024.
Хотя код содержит сотни функций, но конкретный вариант в атаке на цепочку поставок IPany VPN является версией 0.2.10 Lite с меньшим набором функций, чем другие версии.
Обе версии используют обширный набор инструментов, что позволяет собирать данные и осуществлять скрытое наблюдение посредством записи аудио и видео. Инструменты размещены на китайской платформе репозитория кода GitCode.
Что касается C2, SlowStepper создает DNS-запрос для получения записи TXT для домена 7051.gsm.360safe[.]company на одном из трех общедоступных DNS-серверов (114DNS, Google и Alibaba Public DNS) с целью извлечения массива из 10 IP-адресов, один из которых используется в качестве C2.
Если после нескольких попыток не удается установить соединение, используется API gethostbyname на st.360safe[.]company для получения IP-адреса в качестве резервного C2.
Команды поддерживают сбор исчерпывающей системной информации, выполнение модулей Python, различные файловые операции, запуск команды через cmd.exe и самоудаление. Довольно необычной функцией является активация пользовательской оболочки.
Это дает злоумышленнику возможность выполнять произвольные полезные нагрузки, размещенные удаленно (gcall), обновлять компоненты бэкдора (update) и запускать модуль Python на машине (pycall), последний из которых загружает ZIP-архив из учетной записи GitCode, содержащий интерпретатор Python и библиотеку для сбора информации.
Широкий инструментарий PlushDaemon и богатая история его версий свидетельствуют о том, что несмотря на всю скрытность и неизвестность APT усиленно вела работу над разработкой своего арсенала и представляет серьезную угрозу.
Trend Micro выкатила предупреждение об уязвимости высокой степени серьезности в 7-Zip, которая позволяет злоумышленникам обойти функцию безопасности Windows MoTW и выполнить код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов.
7-Zip получил поддержку MotW в июне 2022 года, начиная с версии 22.00. С тех пор флаги MotW (специальные альтернативные потоки данных Zone.Id) автоматически добавляются ко всем файлам, извлеченным из загруженных архивов.
Они информирует ОС, браузеры и другие приложения о том, что файлы получены из ненадежных источников, а их запуск таких файлов может привести к потенциально опасному поведению.
При наличии такого флага Microsoft Office реализует их открытие в режиме защищенного просмотра, который автоматически применит режим «только для чтения» и отключит все макросы.
Однако, как пояснили в Trend Micro, CVE-2025-0411 может позволить злоумышленникам обойти все предупреждения безопасности и выполнить вредоносный код на компьютерах своих целей.
Для эксплуатации этой уязвимости потребуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл.
Проблема обусловлена особенностями обработки архивных файлов и приводит к тому, что при разархивировании 7-Zip не распространяет флаги MotW на извлекаемое содержимое.
Злоумышленник может использовать эту уязвимость для RCE в контексте текущего пользователя.
Разработчики 7-Zip выпустили исправления для уязвимости 30 ноября 2024 года вместе с 7-Zip 24.09.
Как отметили разработчики, 7-Zip File Manager не распространял поток Zone.Identifier для извлеченных файлов из вложенных архивов (если внутри другого открытого архива есть открытый архив).
Тем не менее, в виду отсутствия у 7-Zip функции автоматического обновления, многие пользователи, вероятно, по-прежнему работают с уязвимой версией, подвергая свои хосты потенциальному заражению вредоносным ПО.
Так что пользователям 7-Zip следует как можно скорее обновить свои установки, учитывая, что подобные уязвимости уже не раз использовались в реальных атаках, как в случае с CVE-2024-38213 и CVE-2024-21412.
Исследователи Cyfirma связали DoNot с новым вредоносным ПО, нацеленным на сбор разведывательной информации в рамках целенаправленных кибератак.
Выявленные артефакты, получившие название Tanzeem и Tanzeem Update, были обнаружены в октябре и декабре 2024 года и включают идентичные функции, за исключением незначительных изменений в пользовательском интерфейсе.
Приложение замаскировано под мессенджер, однако сразу после установки перестает работать, сворачивая свою активность после предоставления необходимых разрешений.
Наименование приложения предполагает ее нацеленность на определенных лиц или группы как внутри страны, так и за ее пределами.
DoNot Team, также известная как APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger, - это хакерская группа индийского происхождения, реализующая атаки с использованием фишинга и вредоносных ПО для Android в целях сбора интересующей информации.
В октябре 2023 года APT была замечена в кампании, связанной с ранее незадокументированным бэкдором на базе .NET под названием Firebird, нацеленным на ограниченный круг целей в Пакистане и Афганистане.
В настоящее время неясно, кто именно был целью последней вредоносной кампании, но есть предположения, что она проводилась в отношении конкретных лиц с целью сбора разведывательной информации по внутренним угрозам.
Примечательным аспектом вредоносного приложения Android является использование OneSignal, популярной платформы взаимодействия с клиентами, используемой организациями для отправки push-уведомлений, сообщений в приложении, электронных писем и SMS-сообщений.
Cyfirma предположила, что библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые приводят к развертыванию вредоносного ПО.
Независимо от используемого механизма распространения, приложение при установке отображает фейковый экран чата, побуждая жертву начать чат.
При этом появляется сообщение, в котором пользователю предлагается получить разрешения для API служб специальных возможностей, что позволяет выполнять различные вредоносные действия.
Приложение также запрашивает доступ к нескольким конфиденциальным разрешениям, которые облегчают сбор журналов вызовов, контактов, SMS, геолокаций, информации об аккаунтах и файлов на внешнем хранилище.
Некоторые из других включают контроль экрана и установление соединений с C2.
Как отмечают в Cyfirma, полученные образцы раскрывают новую тактику, включающую push-уведомления, которые побуждают пользователей устанавливать дополнительное вредоносное ПО для Android, обеспечивая его сохранение и активность на целевом устройстве.
Ресерчеры из Лаборатории Касперского раскрыли подробности своего исследования, в результате которого смогли обнаружить 13 уязвимостей в информационно-развлекательных системах Mercedes-Benz User Experience (MBUX) первого поколения.
В качестве отправной точки в изучении внутреннего устройства MBUX и архитектуры системы был использован отчет китайской KeenLab от 2021 года.
При этом в ЛК сосредоточились на детальном анализе подсистем MBUX, которым не было уделено должное внимание их коллегами: диагностика (CAN, UDS и т.д.), подключения с использованием USB и специализированные протоколы межпроцессного взаимодействия (IPC).
В ходе исследования ресерчерам удалось скомпрометировать тестовую модель головного устройства и обнаружить несколько уязвимостей на реальном автомобиле (в качестве образца задействовали Mercedes B180), к которому имелся физический доступ.
Некоторые из уязвимостей могут быть использованы для DoS-атак, в то время как другие могут быть использованы для получения данных, внедрения команд и повышения привилегий.
По словам исследователей, злоумышленник, имеющий физический доступ к целевому автомобилю, может использовать некоторые из них для отключения защиты от кражи в головном устройстве, выполнить настройку автомобиля и разблокировать платные услуги.
В случае с реальным автомобилем обнаруженные уязвимости можно задействовать через службу USB, доступную обычному пользователю.
В целом, в процессе исследования были зарегистрированы следующие идентификаторы для выявленных проблем: CVE-2024-37601 - CVE-2024-37603, CVE-2023-34397 - CVE-2023-34404, CVE-2023-34406.
Подробная информация по каждой CVE - здесь, а технические подробности - в отчете.
Исследователи Claroty предупреждают о трех уязвимостях в промышленных коммутаторах WGS-804HPT компании Planet Technology, которые можно объединить в цепочку для обеспечения удаленного выполнения кода до аутентификации на уязвимых устройствах.
Затронутые коммутаторы широко используются в системах автоматизации зданий и домов для различных сетевых приложений.
Злоумышленник с возможностью удаленного управления одним из этих устройств может использовать их для дальнейшей эксплуатации устройств во внутренней сети и выполнения горизонтального перемещения.
Проблемы удалось обнаружить в результате глубокого анализа прошивки, используемой в этих коммутаторах с использованием фреймворка QEMU.
Выявленные ошибки, как оказалось, связаны с интерфейсом dispatcher.cgi, используемом для поддержки веб-сервиса.
Среди обнаруженных недостатков следующие:
- CVE-2024-52558 (CVSS: 5,3): связанна с потерей целочисленного значения, которая может позволить неаутентифицированному злоумышленнику отправить искаженный HTTP-запрос, что приведет к сбою.
- CVE-2024-52320 (CVSS: 9,8): уязвимость внедрения команд ОС, которая позволяет неавторизованному злоумышленнику отправлять команды через вредоносный HTTP-запрос, что приводит к RCE.
- CVE-2024-48871 (CVSS: 9,8): уязвимость переполнения буфера в стеке, которая позволяет неаутентифицированному злоумышленнику отправить вредоносный HTTP-запрос, что также приведет к RCE.
Успешная эксплуатация уязвимостей может позволить злоумышленнику перехватить поток выполнения, внедрив шелл-код в HTTP-запрос и получить возможность выполнять команды операционной системы.
После раскрытия информации тайваньский разработчик выпустил исправления для устранения недостатков в составе версии 1.305b241111, вышедшей 15 ноября 2024 года.
Исследователи F.A.C.C.T. сообщают об обнаружении новой угрозы – FakeTicketer, которая действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры.
Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле FakeTicketer рассылал уникальное вредоносное ПО — стилер, RAT и дроппер с возможностью кражи данных из браузеров.
Вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Благодаря этой тактике злоумышленник и получил свое наименование.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам вскрыть ещё две атаки с использованием этих вредоносных ПО.
К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Ресерчеры классифицировали исполняемый файл внутри архива как Zagrebator.Dropper.
Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF).
После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.
В последней обнаруженной атаке в декабре 2024 Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также поддерживало сбор и эксфильтрацию данных авторизации из браузеров Mozilla, Opera, Microsoft Edge, Chrome.
Как отмечают в F.A.C.C.T., Zagrebator.RAT – это исполняемый файл, написанный на .NET, который поддерживает следующие команды различные команды с файлами, в том числе на перегрузку системы.
Zagrebator.Stealer также является исполняемым файлом, написанным на .NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы.
Эксфильтрация реализуется по следующему алгоритму: приложение скандирует все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги, создаёт %AppData%\WMI\[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов.
Затем проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес.
Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.
В целом, злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе, преследуя цель шпионажа и нацеливаясь на госсектор.
Подробности атак и IoC - в отчете.
Специализирующаяся на разведке угроз KELA профилировала одно из самого заметных в киберподполье брокера данных IntelBroker, который известен своей активностью на BreachForums.
Как сообщает KELA, IntelBroker вышел на сцену киберпреступности в конце 2022 года, впервые засветившись на BreachForums и быстро завоевав репутацию в качестве оператора ransomware, а затем уже и актора, ответственного за множество утечек данных.
Со временем он перешел на руководящую роль, взяв на себя управление BreachForums. В его портфолио - взломы известных организаций, таких как AMD, Europol и Cisco, нацеленные на кражу конфиденциальных данных с последующим выкупом.
IntelBroker выделяется в киберпреступном мире, сочетая техническую экспертизу с сильным акцентом на OpSec. Его подход включает использование уязвимостей в качестве основного вектора атаки, одновременно используя передовые инструменты анонимности.
Анализ KELA выявил множество OSINT-следов, проливающих свет на цифровой профиль и операционную экосистему IntelBroker:
1. Согласно исследованию, с именем IntelBroker связано несколько адресов электронной почты, но только четыре из них были идентифицированы как принадлежащие злоумышленнику: к одной был привязан аккаунт в Twitter, две других на proton.me оказались в утечках BreachForums и BreachForums V2, а четвертая - вела по ложному следу.
При этом одна из протоновских почт была использована при регистрации учетных записей на различных сервисах, включая Amazon, Vimeo, Dailymotion, Keybase, X и Dropbox.
2. Анализ утечки BreachForums выявил более широкий диапазон задействуемых VPN-сервисов. Mullvad — наиболее часто используемый, за ним следует TunnelBear. Другие сервисы, такие как NordVPN, VeePN и VPNAsia, использовались в гораздо меньшей степени.
Значительное количество подключений от VPN-сетей исходило из Сербии, что соответствует заявленному местоположению IntelBroker. Другие геолокации, включая Эшберн (Вирджиния) и Амстердам.
3. Неожиданным, но интригующим элементом цифрового следа IntelBroker является его активность в сообществе Minecraft, где, как было обнаружено, у него было как минимум две учетные записи: ClamAV (от 2020 года, указал Сербию в качестве местоположения) и Thick (от 2010 года).
В октябре 2024 года IntelBroker с Thick контактировал с каналом YouTube The Duper Trooper по теме видео Minecraft.
Данные из утечки Minecraft связали учетную запись с IP, зарегистрированным во Флориде (не с VPN).
Однако остается неясным, был ли IntelBroker активен в этой учетной записи с момента ее создания или приобрел ее позже.
4. KELA исследовала первоначальные посты IntelBroker и выявила потенциальную связь с хакерской группой AgainstTheWest, известной своими атаками на китайские организации.
До конца отдеанонить IntelBroker им, конечно, не удалось, но это, в очередной раз, подчеркивает изощренность современных киберпреступников, сочетающих технические навыки со стратегической анонимностью.
Более глубокие технические подробности - в отчете.
Банда вымогателей Clop продолжает свою кампанию, связанную со взломом решений для передачи файлов Cleo, опубликовав на своем DLS имена 59 жертв, которые не вышли с ними на переговоры по поводу выкупа, сдержав данные в декабре обещание.
Открывшая ящик Пандоры CVE-2024-50623 (оценка CVSS 8,8) затрагивает LexiCom, VLTransfer и Harmony от Cleo, которая впервые раскрыла ее в рекомендации по безопасности за октябрь 2024 года, прежде чем исследователи заметили, что хакеры ее уже массово эксплуатируют.
Тогда 9 декабря в инфосек-сообществе начали распространяться сообщения об активной эксплуатации ПО для передачи файлов Cleo, а Huntress публично раскрыла сведения в отношении продолжающейся эксплуатации и взломов клиентов компании.
Исследователи Huntress представили PoC и узнали, что патч в действительности не устранял программную уязвимость, предупредив, что полностью пропатченные системы с 5.8.0.21 по-прежнему оставались уязвимы.
В свою очередь, Clop утверждает, что связалась с пострадавшими организациями, но те проигнорировали переговоры о выкупе, поэтому банда угрожает опубликовать украденные данные 18 января 2025 года.
Некоторые из указанных Clop организаций-жертв оспорили заявления банды и отрицают факт взлома.
В частности, представитель американского гиганта по прокату автомобилей Hertz сообщил, что компания осведомлена о заявлениях хакеров, но на данный момент не располагает никакими доказательств того, что данные Hertz или системы были затронуты.
В Linfox, австралийской логистической компании также выразили несогласия с утверждениями банды, заявив, что компания вовсе не использует программное обеспечение Cleo и не сталкивалась с киберинцидентами, связанными с ее собственными системами.
Представители Arrow Electronics и Western Alliance Bank также не обнаружили никаких доказательств того, что их системы были взломаны.
Тем не менее, по крайней мере одна компания подтвердила факт вторжения.
Немецкий производственный гигант Covestro признал, что банда получила доступ к определенным хранилищам данных в его системах, к каким именно не разглашает.
Учитывая, что на счету Clop успешные кампании с MOVEit Transfer и GoAnywhere, в достоверности заявлений банды точно сомневаться не стоит.
Но будем посмотреть.
Известный по Dragonblood, KRACK и FragAttacks профессор Мати Ванхуф из университета KU Leuven в Бельгии на пару с аспирантом Ангелосом Бейтисом в сотрудничестве с Top10VPN представил результаты исследования в отношении уязвимостей протокола туннелирования.
Результаты весьма неутешительны: более 4 миллионов систем в Интернете, включая VPN-серверы и домашние маршрутизаторы, уязвимы для атак.
Всем найденным уязвимостям присвоены идентификаторы: CVE-2024-7595, CVE-2025-23018, CVE-2025-23019 и CVE-2024-7596.
Протоколы туннелирования используются для передачи данных между различными сетями и имеют важное значение для функционирования Интернета, позволяя сетям передавать сообщения, которые они могут не поддерживать - например, запуск IPv6 по сети IPv4.
Опираясь на предыдущие исследования, показавшие, что хосты IPv4 принимают неаутентифицированный трафик IPIP из любого источника, Ванхоф и Бейтис выявили несколько протоколов туннелирования, уязвимых для злоупотреблений: IPIP/IP6IP6, GRE/GRE6, 4in6 и 6in4.
По словам исследователей, неправильно настроенные системы принимают туннельные пакеты без проверки личности отправителя.
Злоумышленник может воспользоваться этим, чтобы отправить специально созданные пакеты, хранящие IP жертвы, на уязвимый хост, заставляя его пересылать внутренний пакет жертве, открывая возможности для различных типов атак.
Метод может быть задействован для проведения анонимных атак, в том числе для использования хостов в качестве односторонних прокси-серверов, проведения DoS-атак и DNS-спуфинга, а также для получения доступа к внутренним сетям и устройствам IoT.
В результате сканирования исследователям удалось выявить 4,26 млн уязвимых хостов, включая VPN-серверы, маршрутизаторы, мобильные сетевые шлюзы и узлы, а также узлы CDN. При этом 1,8 млн из них могут быть задействованы в спуфинге.
Все уязвимые хосты могут быть захвачены для проведения анонимных атак, поскольку внешние заголовки пакетов, содержащие реальный IP-адрес злоумышленника, удаляются. Зато атаки легко отследить до скомпрометированного хоста.
Доступные к подмене хосты могут иметь фактически любой IP-адрес в качестве исходного адреса во внутреннем пакете, поэтому не только злоумышленник остается анонимным, но и скомпрометированный хост становится гораздо сложнее обнаружить и защитить.
Большинство уязвимых хостов обнаружено в Китае, далее следует Франция, Индия, Австралия, США, Россия и др.
Технические подробности доступны в блоге Top10VPN, а также опубликованной учеными статье.
Исследователи c/side выкатили анализ WP3.XYZ — вредоносного ПО JS, обнаруженного на более 5000 сайтах WordPress.
В рамках раскрытой вредоносной кампании тысячи сайтов WordPress были взломаны с целью создания учетных админских записей, установки вредоносного плагина и кражи данных.
В ходе реагирования на инцидент у одного из своих клиентов исследователи обнаружили, что во вредоносной активности задействуется домен wp3[.]xyz для извлечения данных, но первоначальный вектор заражения пока остается неизвестен.
После компрометации цели вредоносный скрипт, загруженный из домена wp3[.]xyz, создает подконтрольную учетную запись администратора wpx_admin с учетными данными, доступными в коде.
Затем скрипт устанавливает вредоносный плагин (plugin.php), загруженный с того же домена, и активирует его на взломанном веб-сайте.
По даннымx_admin с учеосновная цель установки плагина - сбор конфиденциальных данных, включая учетные данные администратора и журналы, с последующей их отправкой на сервер злоумышленника в замаскированном виде, выдавая их за запрос изображения.
Наблюдаемые атаки также включает в себя несколько этапов проверки, в том числе регистрацию статуса операции после создания учетной записи администратора и проверку установки вредоносного плагина.
C/side рекомендует владельцам сайтов заблокировать домен «wp3[.]xyz» с помощью брандмауэров и средств безопасности.
Кроме того, следует проанализировать привилегированные учетные записи и список установленных плагинов, дабы выявить несанкционированную активность и вовремя ее нейтрализовать.
Наконец, рекомендуется усилить защиту CSRF на сайтах WordPress с помощью генерации уникальных токенов, проверки на стороне сервера и периодической регенерации. Токены при этом должны иметь короткий срок действия.
Реализация многофакторной аутентификации также повышает защиту учетных записей, данные которых были скомпрометированы.
На известной площадке в киберподполье замечен серьезный экземпляр.
По всей видимости, протекла ливанская контрразведка, отчеты которой теперь заполонили даркнет.
Но примечательнее всего то, что большая часть из них, предположительно, содержит сведения о лицах, связанных с верхушкой ИГИЛ (признана в России террористической организацией).
Эксперты полагают, что в случае если утечка подтвердится, то инцидент будет иметь серьезные последствия для безопасности в регионе и потенциально ударит по операциям местной контрразведки, которая рискует остаться без информаторов и прикрытия для оперативников.
Но будем, конечно, посмотреть.
Исследователи F.A.C.C.T. продолжают отслеживать проукраинскую группу Sticky Werewolf, которая на этот раз пыталась атаковать российские предприятия от лица Минпромторга.
13 января исследователи задетектили одно из писем в рамках фишинговой рассылки в адрес предприятий ОПК, согласно которой якобы Минпромторг предлагает размещать заказы в учреждениях ФСИН с привлечением осужденных.
Таргетинг соответствует традиционной для Sticky Werewolf виктимологии, в числе устремлений группы - российские госучреждения, НИИ и промышленные предприятия из сферы ВПК. Были также атаки на объекты в Беларуси и Польше.
В ĸачестве первоначального веĸтора группа использует фишинговые рассылĸи с вредоносными вложениями, в которых часто встречаются таĸие инструменты, ĸаĸ Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).
Приманку удалось расчехлить достаточно просто: несоответствие должности Дениса Мантурова (с мая 2024 года он уже не глава Минпромторга) и разные даты принятия «решения», о которых упоминается в январской и декабрьской рассылках.
Письмо содержит два вложения: сопроводительное письмо-приманку на бланке Минпромторга и форму заполнения.rar - вредоносный архив, защищенный паролем: 2025.
Внутри архива находился документ «список рассылки.docx» и вредоносный исполняемый файл «Форма заполнения.pdf.exe».
При запуске в конечном итоге происходит доставка трояна удаленного доступа Ozone RAT, предназначенного для предоставления скрытого удаленного доступа к скомпрометированному устройству.
Ранее было также обнаружено фишинговое письмо от 23 декабря 2024 года с аналогичной темой, в котором содержалось два фейковых документа.
Злоумышленники атаковали научно-производственное предприятие, однако в письме отсутствовал архив с полезной нагрузкой внутри.
Образцы фишинговых писем и IoC - в отчете.