39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи 0patch в очередной раз приходят на помощь пользователям Windows, выпуская неофициальные обновления для обнаруженной ими новой 0-day, пока разработчики Microsoft изучают отчеты.
Новая уязвимость позволяет злоумышленникам перехватывать учетные данные NTLM, обманом заставляя жертву просмотреть вредоносный файл в проводнике Windows.
По данным 0patch, проблема в настоящее время не имеет идентификатора CVE и затрагивает все версии Windows, от Windows 7 и Server 2008 R2 до последних Windows 11 24H2 и Server 2022.
0patch пока не раскрывает технические подробности нуля до тех пор, пока Microsoft не выпустит официальное исправление для предотвращения ее активной эксплуатации.
Исследователи объяснили, что атака осуществляется путем простого просмотра специально созданного вредоносного файла в проводнике, поэтому открытия файла не требуется, достаточно открыть общую папку, USB-диск или просмотреть папку загрузки с таким файлом.
Это уже третья 0-day, о которой исследователи сообщали Microsoft, но поставщик при этом не предпринял каких-либо оперативных действий для ее устранения.
Две другие включают в себя недавний обход Mark of the Web (MotW) в Windows Server 2012 и уязвимость тем Windows, позволяющая удаленно красть учетные данные NTLM, раскрытая в конце октября. Обе проблемы остаются неисправленными.
0patch сообщает, что другие уязвимости раскрытия хэша NTLM,
обнаруженные в прошлом, такие как PetitPotam, PrinterBug/SpoolSample и DFSCoerce, также остаются без официальных исправлений в последних версиях Windows, пользователям доступны только микропатчи 0patch.
Официальные комментарии Microsoft по этому поводу можно изложить следующим образов: патчей нет, но вы держитесь.
Как выяснилось, исследовательская группа неустановленной принадлежности, известная в узких кругах как Turla, за последние семь лет взломала инфраструктуру шести различных APT, последней из которых оказалась пакистанская Transparent Tribe.
Лично у нас нет ни малейшего сомнения, что данные взломы были осуществлены исключительно в исследовательских целях.
Вместе с тем, две другие группы, отслеживаемые как Lumen и Microsoft, судя по всему, также взломали инфраструктуру одной (или нескольких) из этих APT, обнаружили, что не они первыми пришли к финишу, и из ревности назвали исследовательскую группу Turla обидным словом "хакеры".
Мы тоже так можем.
Как известно, сама группа экспертов из Lumen носит название Black Lotus Labs. И точно так же, Black Lotus, называется первый UEFI-буткит. Ну и кто тут "хакеры"?
Шах и мат, капиталистические наймиты!
P.S. А группа Microsoft вообще ответственная за одну из самых массовых DoS-атак в истории человечества! Шутка ли - единоразово завесить 8,5 млн десктопов. Им еще Альперович помогал, тоже наймит.
Орудующая с июня 2024 года банда вымогателей Brain Cipher заявляет о взломе международной аудиторской компании Deloitte United Kingdom и краже более 1 ТБ данных из ее систем.
Как отмечают SentinelOne, Brain Cipher нацелен на объекты КИИ и правительственный сектор, практикуя двойное вымогательство с задействованием целевого фишинга и вредоносных нагрузкок на базе LockBit.
В свою очередь, в Deloitte опровергают инцидент и утверждают, что никакие системы не были затронуты, но расследование ведет.
По их данным, взлом затрагивает системы одного клиента, которые находится за пределами сети Deloitte.
Тем не менее, Brain Cipher разместили Deloitte United Kingdom на своем DLS с таймером обратного отсчета, который сработает 15 декабря и запустит слив.
Кроме того, вымогатели отметили, что в компании вообще не следили за ИБ, не соблюдали даже «элементарные правила», в связи с чем они намерены представить много дополнительной информации по этому поводу со примерами недостатков.
Так что будем посмотреть.
Исследователи Cleafy обнаружили новую вредоносную программу для Android-банкинга под названием DroidBot, которая нацелена на более чем 77 криптовалютных бирж и банковских приложений.
DroidBot активна с июня 2024 года и работает в формате MaaS, реализуя инструмент за 3000 долларов в месяц и имея к настоящему времени не менее 17 операторов, задействующих билдеры вредоносного ПО для настройки своих полезных нагрузок под конкретные цели.
Даже несмотря на отсутствие у DroidBot каких-либо сложных функций, анализ одной из его бот-сетей позволил выявить 776 уникальных заражений в Великобритании, Италии, Франции, Турции, Портулагии и Германии, что указывает на его высокую активность.
Операторам предоставляются: конструктор вредоносных ПО, серверы управления и контроля (C2) и центральная панель администрирования, с которой они могут контролировать проводимые атаки, извлекать украденные данные и выдавать необходимые команды.
При этом ряд операторов работают на одной и той же инфраструктуре C2, но каждой группе присваиваются уникальные идентификаторы.
Конструктор полезной нагрузки позволяет партнерам настраивать DroidBot для работы с определенными приложениями, использовать разные языки и устанавливать различные адреса C2.
Партнерам также обеспечивается доступ к документации, техническая поддержка и подписка на канал в Telegram, где регулярно выходят обновления.
DroidBot часто маскируется под Google Chrome, Google Play Store или Android Security, обманом заставляя пользователей установить вредоносное приложение.
Однако во всех случаях он действует как троян и реализует кражу конфиденциальной информацию из приложений. Кроме того, функционал включает keylogging, overlaying, перехват SMS, а также модуль VNC для удаленного контроля зараженного устройства.
Ключевым аспектом работы DroidBot является злоупотребление службами доступности Android для мониторинга действий пользователя и имитации свайпов и нажатий от имени вредоносного ПО.
Среди 77 приложений, на которые ориантирвоан DroidBot: Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken и Garanti BBVA.
Вредоносное ПО в настоящее время находится в стадии интенсивной разработки и имеет признаки расширения своего влияния и на новые регионы, включая Латинскую Америку.
Разработчики DroidBot, судя по всему, являются турками, предоставляют своим партнерам все необходимые инструменты для проведения атак, делая порог входа для начинающих киберпреступников довольно низким.
Японский центр CERT предупреждает об обнаружении трех неисправленных 0-day в маршрутизаторах IO-Data, которые используются в реальных атаках.
Ошибки были выявлены 13 ноября 2024 года и связаны с раскрытием информации, удаленным выполнением произвольных команд ОС и возможностью отключения брандмауэров.
Отслеживаются как:
- CVE-2024-45841: разрешения на доступ к конфиденциальным ресурсам настроены некорректно, что позволяет пользователям с низким уровнем привилегий получать доступ к критически важным файлам, в том числе содержащим информацию об аутентификации.
- CVE-2024-47133: позволяет аутентифицированным администраторам вводить и выполнять произвольные команды операционной системы на устройстве, используя недостаточную проверку входных данных при управлении конфигурацией.
- CVE-2024-52564: недокументированные функции в прошивке позволяют удаленным злоумышленникам отключать брандмауэр устройства и изменять настройки без аутентификации.
Все три проблемы затрагивают UD-LT1, гибридный маршрутизатор LTE, разработанный для универсальных решений подключения, и его промышленную версию UD-LT1/EX.
IO Data признала недостатки. Несмотря на это последняя доступная версия прошивки v2.1.9 устраняет только CVE-2024-52564, а исправления для двух других уязвимостей будут доступны в версии v2.2.0, выпуск которой запланирован на 18 декабря 2024 года.
Учитывая активное задействование проблем в дикой природе, пользователям следует принять следующие меры по смягчению до тех пор, пока не станут доступны обновления безопасности.
В программном обеспечении SailPoint для управления идентификацией и доступом (IAM) IdentityIQ была обнаружена критическая уязвимость, которая позволяет осуществлять несанкционированный доступ к содержимому, хранящемуся в каталоге приложения.
Уязвимость, отслеживаемая как CVE-2024-10905, имеет максимальную оценку CVSS 10,0 и затрагивает версии IdentityIQ 8.2, 8.3, 8.4 и все предыдущие версии.
Согласно описанию уязвимости NIST, IdentityIQ разрешает HTTP-доступ к статическому контенту в каталоге приложения IdentityIQ, который должен быть защищен.
Уязвимость связана с неправильной обработкой имен файлов, идентифицирующих виртуальные ресурсы (CWE-66), что может быть использовано для чтения иным образом недоступных файлов.
В настоящее время каких-либо других подробностей об этой уязвимости не имеется. Сама SailPoint также не выпустила никаких рекомендации по безопасности.
Будем следить.
На прошлой неделе вымогатели чуть устроили в Коста-Рике настоящий энергетический коллапс, парализовав крупнейший нефтеперерабатывающий завод RECOPE, что вынудило его перейти на «ручное» управление и обратиться за помощью к зарубежным партнерам.
Компания Refinadora Costarricense de Petróleo, известная как RECOPE, импортирует, перерабатывает и поставляет нефтепродукты по всей стране, а также реализует управление сетями трубопроводов от Карибского моря до побережья Тихого океана, являясь крупнейшей в всей Центральной Америке.
RECOPE заявила, что обнаружила инцидент с ransomware в среду утром и начала расследование.
Чиновники были вынуждены проводить продажи топлива вручную в свете атаки, которая вывела из строя все цифровые системы, используемые для проведения платежей, в том числе на танкерных терминалах.
RECOPE теперь оперативно работает с Министерством науки, инноваций, технологий и телекоммуникаций страны (MICITT) над разрешением ситуации, пытаясь избежать дефицита топлива.
Помимо этого власти Коста-Рики вынуждены были вновь обратиться за помощью к США как и в 2022 году, когда в результате атаки банды вымогателей Conti были выедены из строя практически вся государственная инфраструктура, а в стране был объявлен режим ЧС.
Конечно, не Stuxnet, но последствия ransomware-атаки для Коста-Рики более чем серьезные, а при некоторых условиях - могли привести к региональному энергетическому кризису.
Исследователи Fortinet выкатили отчет в отношении новой программы-вымогателя Interlock, главной особенностью которой является наличие версии для FreeBSD помимо шифровальщика Windows.
Первый в своем роде штамм впервые был замечен в начале октября 2024 года, но по всей видимости распространялся намного ранее.
Interlock представлен в двух версиях: для Windows (Vista, 7, 8, 8.1 и 10) и FreeBSD, и традиционно реализует шифрование файлов на компьютерах жертв, заявляя требования по выкупу за их расшифровку с помощью соответствующих записок с меткой «!__README__!.txt».
Начальный вектор заражения Interlock в точности неизвестен.
Однако, как сообщает исследователь Сина Хейрха, на машине жертвы был обнаружен ранее неизвестный бэкдор Supper, через который могла быть развернута ransomware.
После запуска программы-вымогателя она шифрует файлы на компьютерах жертв с помощью алгоритма шифрования AES-CBC и добавляет к зашифрованным файлам расширение «.interlock».
В ходе шифрования реализованы исключения по типу файлов и директориям.
Причем версия программы-вымогателя Interlock для FreeBSD пропускает файлы с расширением «.interlock» из процесса шифрования.
На момент расследования на сайте DLS Interlock было указано шесть жертв, пять из которых находились в США, а одна — в Италии.
Для каждой жертвы на DLS в TOR представлена отдельная страница с описанием организации жертвы и списком украденных файлов.
Однако данные телеметрии потенциально указывают на более широкую виктимологию.
Образцы программы-вымогателя Interlock были замечены в Индии, Италии, Японии, Германии, Перу, Южной Корее, Турции и США.
Костяк жертв приходится на сектора образования, финансов, госуправления, здравоохранения и производства, что указывает на отсутствие у Interlock каких-либо ограничений по части выбора жертв.
Индикаторы компрометации - в отчете.
Хакеры MASSGRAVE сообщают о разработке своего пиратского метода, который позволяет обойти почти всю схему защиты лицензирования ПО Microsoft Windows и Office.
Причем, как утверждают MAS, их обход может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.
Хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows 7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server, а также для ESU и CSVLK.
По словам хакеров, такие методы активации HWID и KMS применялись годами: первый с 2018 года, второй - более 17 лет.
Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.
В качестве пруфов MASSGRAVE опубликовали скрины активированных версий Windows с ESU, подтверждая все свои заявления.
Хакеры намерены выкатить свой инструмент в паблик в ближайшие месяцы. Чем ответит Microsoft - будем посмотреть.
Zabbix предупреждает об уязвимости критической степени серьезности в своем решении с открытым исходным кодом для мониторинга корпоративных сетей, которая может позволить злоумышленникам внедрять произвольные SQL-запросы и скомпрометировать данные или систему.
CVE-2024-42327 имеет оценку CVSS 9,9 и существует в классе CUser в функции addRelatedObjects, которая вызывается из функции CUser.get и доступна каждому пользователю, имеющему доступ к API.
Учетная запись пользователя без прав администратора на интерфейсе Zabbix с ролью пользователя по умолчанию или с любой другой ролью, предоставляющей доступ к API, может быть использована для реализации уязвимости.
Исследователи Qualys также отмечают, что эксплуатация может позволить злоумышленникам повысить привилегии и получить полный контроль над уязвимыми серверами Zabbix из 83 000, открытых для доступа в сети Интернет.
Уязвимость затрагивает версии Zabbix 6.0.0–6.0.31, 6.4.0–6.4.16 и 7.0.0, исправления для этой проблемы были включены в версии 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1, выпущенные в июле.
В исправленных версиях также устранена CVE-2024-36466 (CVSS 8,8) - проблема обхода аутентификации, которая может позволить злоумышленнику подписать поддельный файл cookie zbx_session и войти в систему с правами администратора.
Zabbix версии 7.0.1rc1 также закрывает CVE-2024-36462 - уязвимость неконтролируемого потребления ресурсов, которая может позволить злоумышленнику вызвать состояние DoS.
Компания не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в дикой природе.
Тем не менее, пользователям рекомендуется обновить свои установки до исправленной версии как можно скорее.
Исследователи из Лаборатории Касперского сообщают об обнаружении атак с довольно нестандартным использованием техники Right-to-Left Override (RLO), жертвами которых стали российские компании в сфере реализации ПО для автоматизации бизнес-процессов.
Эта техника связана со специальным управляющим символом Unicode (U+202E), который меняет порядок отображения текста: все, что следует за U+202E, будет показано задом наперед. Злоумышленники используют его для создания иллюзии, что файл или ссылка безопасны, подменяя видимое имя и расширение файла.
Анализируя новый кластер вредоносной активности, исследователи заметили, что злоумышленники распространяли вредоносные файлы в архивах, несмотря на то, что архиваторы в большинстве своем не обрабатывают символ RLO и отображают имя файла с правильным расширением.
Практически во всех известных случаях атака начиналась с рассылки фишинговых писем о имени одной из существующих компаний в сфере автоматизацией технологических процессов с просьбой ознакомиться с техническим заданием, которое якобы находится в приложенном архиве.
Изначально во вредоносном архиве был замечен только один исполняемый файл, использующий технику RLO. Однако в ходе дальнейшего исследования встречались архивы, в которых находились карточка предприятия с документом в формате PDF, а также LNK-файл.
В случае открытия LNK через mshta.exe выполняется вредоносный файл, который представляет собой HTA-скрипт. Он скачивает и запускает еще два файла: документ-приманку и конечную вредоносную нагрузку в виде бэкдора Remcos.
В данном случае Remcos был сконфигурирован для общения с тремя С2: wmpssvc[.]online:8080, weventlog[.]store:80 и wscsvc[.]online:4080. Кроме того, в его настройках был обнаружен идентификатор кампании Sun004 и мьютекс Sun003-SHQIGL.
По схожей схеме другой ярлык приводил к скачиванию архива file.zip, содержащего интерпретатор скриптового языка AutoIt и скрипт script.a3x. В результате этой цепочки заражения выполнялось вредоносное ПО DarkGate.
Замеченный образец использовал серверы tnecharise[.]me и tnecharise[.]biz в качестве С2, а также значение Gh0st в качестве идентификатора кампании и дополнительный маркер Sun011.
Схема с единственным исполняемым файлом в архиве не подразумевала промежуточных стадий. Исполняемый файл сам по себе является полезной нагрузкой, в качестве которой выступали Remcos и DarkGate.
Однако, кроме уже известных семейств Remcos и DarkGate, в октябре 2024 года исследователи обнаружили ранее неизвестный бэкдор BrockenDoor, который при запуске связывается с одним из двух С2 — wmiadap[.]cfd или wmiadap[.]sbs, используя нестандартный порт 6180.
Всего BrockenDoor поддерживает следующие четыре команды, но для некоторых из них можно указать подкоманду.
На одном из зараженных устройств также обнаружили команду, с помощью которой злоумышленники загружали в систему жертвы сравнительно новый пентестинговый инструмент Tuoni, до этого не фигурировавший в известных кибератаках.
На данный момент приписать эту активность какой-либо известной группе не удалось, но в ЛК продолжают следить за развитием этой кампании.
Исследователи ACROS сообщают о новой 0-day, которая позволяет злоумышленникам обходить проверку безопасности Mark of the Web (MotW) в операционных системах Windows Server 2012 и Server 2012 R2.
Несмотря на то, что исследователи сообщили об этой проблеме в Microsoft, ошибка до настоящего времени оставалась необнаруженной или, по крайней мере, неисправленной.
Ошибка затрагивает все версии Windows Server 2012, выпущенные за последние два года, присутствует даже на полностью обновленных серверах с расширенными обновлениями безопасности.
При этом поддержка Windows Server 2012 закончилась в октябре 2023 года.
ACROS выпустила собственный микропатч через платформу 0patch для этой ошибки, не дожидаясь пока Microsoft разработает исправления в рамках программы расширенных обновлений безопасности.
Более того, в ACROS Security отметили, что будут раскрывать информацию об уязвимости до тех пор, пока Microsoft их не выпустит.
Сами же разработчики пока никак не комментируют ситуацию.
А исследователи Лаборатории Касперского продолжают отслеживать активность APT-групп и в новом отчете резюмируют значимые события и выводы за третий квартал 2024 года.
Материал объемный и содержит много деталей, со своей стороны остановимся на главном:
- Начиная со второй половины 2022 года внимание ЛК привлекла нацеленная на вьетнамских жертв кампания неизвестного субъекта угроз с новым типом структуры атак, который был назван P8.
Главная цель - реализовать еще одну платформу постэксплуатации, похожую на Cobalt Strike.
Помимо этого субъектом задействовались защищенные USB с вредоносным кодом, внедренным в ПО управления доступом, установленное на накопителе.
Аналогично в 2023 году осуществлялись атаки с помощью троянизированного ПО для управления USB под названием UTetris.
Обе среды были связаны со шпионской деятельностью по всей Юго-Восточной Азии.
- Спустя два года затишья была зафиксирована новая кампания ExCone, включающая фишинг с загрузчиком JavaScript, изображением BMP с шелл-кодом и встроенным PE-файлом - новым бэкдором в качестве конечной полезной нагрузки.
Бэкдор Scieron, инструмент, обычно используемый в кампаниях по кибершпионажу группой Scarab, был обнаружен в новой кампании с переработанной цепочкой заражения, обновленным набором декодеров и загрузчиков.
- Обнаружено более 120 целей Awaken Likho в России, Индии, КНР, Вьетнаме, Тайване, Турции, Словакии, Филиппинах, Австралии, Швейцарии и Чехии и др. странах. В раскрытой кампании хакеры полагаются на использование легитимного инструмента UltraVNC.
Начиная с мая 2024 года Awaken Likho немного скорректировала свои TTP. Злоумышленник очистил свои архивы на основе Golang SFX, удалив неиспользуемые файлы, а также переключился на выполнение скриптов AutoIT после извлечения файлов.
Затем в июне 2024 года злоумышленник продолжал отдавать предпочтение использованию скриптов AutoIT, а также начал использовать протекторы, такие как Themida, для защиты своих образцов. В ряде случаев изменилась конечная полезная нагрузка с UltraVNC на MeshAgent.
- На средневосточном направлении внимание исследователей привлекла последняя версия бэкдора DeadGlyph Executor из арсенала FruityArmor (DeadGlyph), а также импланты на основе VBS/DLL, которые использовались во вторжениях группой MuddyWater APT.
- В Юго-Восточной Азии и на Корейском полуострове ЛК фиксировали активность Dragon Breath, Bitter APT, Tropic Trooper, Kimsuky с отражением в отчете особенностей и изменений в кампаниях, арсенале и TTPs.
Отдельно отмечены заражения PhantomNet.
- Без внимания не остались группы хактивистов, в отчете упоминаются инструменты, вредоносное ПО и методология группы BlackJack, а также ее связь с ранее известной группой Twelve.
Подробности по каждой из анализируемых APT и другие интересные открытия - в отчете.
В США вовсю бурлит громкий скандал, связанный с расследованием ФБР в отношении лоббиста Exxon Mobil, который подозревается в организации целевых хакерских атак и краже данных.
По данным Reuters, консультант нефтяной компании якобы привлекал хакеров для совершения атак, нацеленных на представителей экологического сообщества и активистов, причастных к расследованиям и критическим публикациям в отношении Exxon.
Инициированная кибероперация началась в конце 2015 года при непосредственном участии DCI Group, которая на тот момент тесно взаимодействовала с Exxon по вопросам по связей с общественностью и лоббированию интересов.
Именно от нее поступали списки целей, которые затем передавались частному детективу из Израиля, который, в свою очередь, подыскивал исполнителей, передавая заказы на «аутсорсинг».
Украденные данные сотен жертв уходили в Exxon для нейтрализации активности с их стороны.
В ряде случаев нефтяной компании удавалось таким образом противодействовать судебным разбирательствам и прокурорским проверкам по вопросам изменения климата в штатах присутствия своего бизнеса.
Причем некоторые полученные в результате взлома документы демострировались представителями Exxon непосредственно в ходе судебных слушаний.
В 2020 году конвейер атак сломался, после того как Exxon и DCI прекратили сотрудничество, а слухи о хакерской кампании стали циркулировать в деловых кругах, а затем и попали в ленты СМИ, по всей видимости, с подачи подрядчика нефтегиганта.
В свою очередь, в Exxon заявили, что все обвинения в атаках не что иное, как политические манипуляции, направленные на купирование бизнеса компании со стороны недоброжелателей.
В своем заявлении Exxon отметила, что «не была вовлечена и не знала о каких-либо хакерских действиях», назвав это «теориями заговора».
Израильский детектив Амит Форлит, нанятый DCI, был арестован в Лондоне и ожидает экстрадиции в США по обвинению во взломе и мошенничестве с использованием электронных средств связи.
Само дело при этом почему-то засекречено.
Подельник Форлита, другой частный детектив Авирам Азари, непосредственно исполнявший подряды, еще ранее присел в тюрьму на 80 месяцев и обещает раскрыть новые данные, заявляя, что «вы еще не знаете всего».
И, вероятно, так и есть, ведь к делу Азари привлекали исследователей Citizen Lab, а в хакерских махинациях использовалось известное уже всему миру spyware.
Стоит отметить, что в числе жертв оказались Greenpeace, Union of Concerned Scientists, Rockefeller Family Fund и бывший кандидат в президенты от Демократической партии, миллиардер-эколог Том Стейер.
Масштабное расследование продолжается и, судя по фактам, является одной из знаковых вех большого передела рынка коммерческого шпионажа.
Будем следить.
Продолжаем следить за последними новостями из мира CVE. Под конец недели ситуация следующая:
1. Исследователи watchTowr сообщают об обнаружении 0-day, связанной с произвольным чтением файлов на платформе VoIP Mitel MiCollab, о которой поставщика уведомили еще в августе.
На данный момент CVE не присвоена и не выпущено исправление.
Обнаружить ноль удалось, экспериментируя с методами обхода пути и манипуляции вводом.
В частности, в процессе изучения CVE-2024-35286, связанной с SQL-инъекцией и исправленной 23 мая, а также CVE-2024-41713, проблемой обхода аутентификации, устраненной 9 октября.
Выждав более чем через 100 дней после уведомления Mitel, watchTowr опубликовали подробности и PoC для новой 0-day, который связывает ошибку с CVE-2024-41713.
Так что владельцам более 16 000 экземпляров MiCollab, доступных в сети, следует обновиться до версии MiCollab 9.8 SP2 (9.8.2.12), которая устраняет CVE-2024-41713, смягчая произвольное чтение файлов.
2. Исследователи Rapid7 выявили и оказали посильную помощь в устранении пяти уязвимостей в камерах видеонаблюдения Lorex 2K Wi-Fi.
Устройство было заявлено в качестве одной из целей на хакерском конкурсе Pwn2Own IoT 2024 года, в рамках которого Rapid7 разработала и продемонстрировала цепочку эксплойтов, нацеленных на пять отдельных уязвимостей, которые работают в два этапа, обеспечивая RCE без аутентификации.
3. Cisco выпустила обновление безопасности для NX-OS, исправляющее обход проверки образа прошивки, обнаруженный исследователями Google Cloud.
Опасная уязвимость, обозначенная как CVE-2024-20397, обусловлена небезопасными настройками загрузчика, которые позволяют злоумышленнику выполнять определенные команды для обхода процесса проверки и загрузки непроверенного ПО.
Для успешной эксплуатации уязвимости не требуется аутентификация, но необходим физический доступ.
Ошибка затрагивает более 100 моделей устройств, включая коммутаторы серии MDS 9000, Nexus 3000 и 7000, Nexus 9000 в режиме ACI, Nexus 9000 в автономном режиме NX-OS, UCS 6400 и 6500.
4. Захар Федоткин из PortSwigger опубликовал исследование о том, как злоумышленники могут обходить WAF с помощью атрибута $Version в заголовочных файлах cookie.
5. Исследователи JFrog выявили многочисленные уязвимости, влияющие на инструменты и фреймворки машинного обучения (МО) с открытым исходным кодом, такие как MLflow, H2O, PyTorch и MLeap, которые могут открыть путь для RCE.
В дополнение к набору ранее обнаруженных проблем, JFrog присовокупила: CVE-2024-27132 (7,2), CVE-2024-6960 (7,5), CVE-2023-5245 (7,5), одна без CVE (проблема обхода пути в функции TorchScript в PyTorch).
Исследователи из iVerify пришли к весьма тревожным для сообщества выводам по результатам своего масштабного исследования в отношении безопасности мобильных устройств.
Если традиционно исследования мобильных вредоносных ПО ограничивались небольшой выборкой устройств, то новый подход с более широкой базой позволил раскрыть принципиально важные сведения о текущем ландшафте мобильных угроз.
Для этого iVerify задействовала инструмент Mobile Threat Hunting, благодаря которому реализовала сканирование и изучение более 2500 устройств пользователей.
Результаты удивили: на семи устройств исследователи обнаружили следы шпионского ПО Pegasus. Причем это были не просто недавние заражения.
Анализ показал сложную временную шкалу взломов: один эксплойт конца 2023 года на iOS 16.6, еще одно потенциальное заражение Pegasus в ноябре 2022 года на iOS 15 и пять более старых заражений, датируемых 2021 и 2022 годами на iOS 14 и 15.
Зафиксированный показатель 2,5 зараженных устройств на 1000 сканирований - значительно превышает любые другие из ранее опубликованных отчетов.
Теперь можно забыть про общераспространенный тезис о том, что spyware имеет ограниченный целевой характер, касается лишь селебрити и никак не может попасть на телефон рядового пользователя.
Для понимания реальной ситуации можно полагать, что из 13,1 млн. жителей Москвы потенциальными жертвами Pegasus могли стать почти 33 тысяч пользователей.
Ресерчеры из Лаборатории Касперского раскрыли очередную «коварную» кампанию, нацеленную на российских бизнесменов, практикующих порочную практику работы с нелицензионноым корпоративным ПО.
В рамках продолжающейся с января 2024 года кампании злоумышленники распространяют вредоносные активаторы на бухгалтерских форумах.
Обнаруженные образцы представляли собой версии известного активатора HPDxLIB с RedLine под капотом.
От «чистого» варианта вредоносный отличается, в первую очередь, использованием .NET при разработке, а также наличием нового самоподписанного сертификата.
В публикациях на форумах подробно описывается функционал, связанный с обходом проверки лицензии и акцентом на обновлениях, но без каких-либо упоминаний о вредоносной нагрузке.
В прилагаемых к программе инструкциях содержалась просьба отключать защиту и добавлять в исключения защитных решений вредоносные файлы - без этого якобы пиратские активаторы не работают.
Кроме того, там же пользователей просят подменить легитимную динамическую библиотеку techsys.dll на версию из активатора, как и в случае с «чистыми» вариантами HPDxLIB.
Однако в случае со сборкой, распространяемой злоумышленниками, при запуске пропатченной версии корпоративного ПО легитимный процесс 1cv8.exe подгружает вредоносную библиотеку, которая, в свою очередь, и запускает стилер.
При этом злоумышленники не используют уязвимости и никак не эксплуатируют само корпоративное ПО - только злоупотребляют доверчивостью жертвы.
Внутри вредоносной библиотеки techsys.dll находится другая DLL, которая хранится в виде ресурса (loader.hpdx.dll). Эта библиотека из ресурсов является самой интересной частью атаки.
Анализируя ее статически, обнаружить вредоносную функциональность довольно сложно. вредоносный код сжат и зашифрован в несколько слоев.
Первый - это XOR, следующий - AES в режиме CBC с размером ключа 256 бит.
Сам стилер RedLine распространяется по модели MaaS и специализируется на эксфильтрации конфиденциальной информации.
В качестве командного сервера исследованные вредоносные образцы используют адрес 213.21.220[.]222:8080.
По данным телеметрии, к нему обращались несколько версий RedLine, жертвы которых никак не связаны друг с другом.
Вероятно, сервер арендуют разные группы злоумышленников, задействующих стиллер в своих операциях.
Нельзя сказать, что атаки через сомнительные решения, якобы позволяющие обойти проверку лицензий, - это нечто исключительное.
Но тот факт, что они нацелены на бизнес, а не на частных пользователей, выглядит довольно нестандартно, а их жертвы - крайне глупо.
Мораль сей басни и индикаторы угрозы - отчете.
Библиотека Web3.js оказалась в эпицентре атаки на цепочку поставок, о чем сообщили исследователи Socket.
Реализуемый Solana SDK под названием Web3.js используется децентрализованными приложениями (dApps) для подключения и взаимодействия с блокчейном Solana.
Легитимный SDK JavaScript был временно скомпрометирован: в библиотеку был внедрен вредоносный код, реализующий кражу закрытых криптографических ключей для защиты кошельков и подписи транзакций.
Атака на цепочку поставок затронула две версии 1.95.6 и 1.95.7 популярной библиотеки, которая имеет более 350 000 еженедельных загрузок на npm.
Solana подтвердила факт взлома через одну из их учетных записей с доступом к публикации, что позволило злоумышленникам выкатить две вредоносные версии библиотеки.
Проблема связана не с самим протоколом Solana, а с определенной клиентской библиотекой JavaScript и затрагивает только те проекты, которые напрямую обрабатывают закрытые ключи и которые получили обновления в интервале с 15:20 по UTC до 20:25 по UTC 2 декабря 2024 года.
Solana предупреждает разработчиков о необходимости немедленно обновиться до последней версии v1.95.8 и провести ротацию всех ключей, включая мультиподписи, полномочия программ и пары ключей сервера.
По данным DataDog, злоумышленники реализовали бэкдор, добавив вредоносную функцию addToQueue, которая извлекает закрытый ключ через, казалось бы, легитимные заголовки CloudFlare.
Вредоносный код крадет либо переданный, либо сгенерированный секретный ключ, либо переданный закрытый ключ и отправляет его на конечные точки злоумышленника по адресу https://sol-rpc[.]xyz/api/rpc/queue.
Домен зарегистрирован 22 ноября и ранее не использовался в других атаках.
Получив доступ к этим ключам, злоумышленники удаленно сливают всю хранящуюся криптовалюту и NFT.
При этом оценочная стоимость украденной к настоящему времени криптовалюты составила 184 000 долларов США.
Владельцам скомпрометированных кошельков следует немедленно перевести все оставшиеся средства на новый кошелек и прекратить использование старого, поскольку закрытые ключи можно считать утекшими.
🗞 Paged Out #5.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно chatgpt и deepl).
• Так вот, неделю назад был опубликован 5-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Fortinet сообщает о возвращении вредоносного ПО SmokeLoader, которое использовалось в замеченной исследователями фишинговой кампании, нацеленной на тайваньские компании в сфере IT, производства и здравоохранения.
SmokeLoader впервые засветился на хакерских форумах еще в 2011 году, хорошо известен своей универсальностью и передовыми методами уклонения, а его модульная конструкция позволяет ему выполнять широкий спектр атак: от кражи данных до майнинга крипты.
Несмотря на то, что SmokeLoader, в первую очередь, выполняет функцию загрузчика для доставки другого вредоносного ПО, в данном случае он реализует саму атаку, загружая плагины со своего сервера С2.
SmokeLoader способен детектировать среды анализа, генерировать поддельный сетевой трафик и скрывать код, избегая обнаружения и затрудняя анализ.
Операторы этого штамма вредоносного ПО ведут постоянную разработку, расширяя его функционал, внедряя новые функции и применяя методы обфускации для затруднения анализа.
Активность SmokeLoader значительно снизилась после инициированной в мае 2024 Европолом операции Endgame, в результате которой была нейтрализована инфраструктура IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee и TrickBot.
Тогда было демонтировано около 1000 доменов C2, связанных с SmokeLoader, а более 50 000 активных заражений были удаленно зачищены.
Тем не менее, вредоносное ПО продолжает использоваться группами угроз для распространения полезных нагрузок через новую инфраструктуру C2.
По данным Zscaler, это во многом связано с многочисленными взломанными версиями, доступными в Интернет.
Начальной точкой цепочки атак, обнаруженной FortiGuard Labs, является фишинговое письмо с вложением Microsoft Excel, которое при запуске реализует многолетние уязвимости безопасности (в том числе, CVE-2017-0199 и CVE-2017-11882) для установки загрузчика Ande Loader, который затем используется для развертывания SmokeLoader на скомпрометированном хосте.
SmokeLoader включает два компонента: stager и main module.
Целью stager является расшифровка, распаковка и внедрение main module в процесс explorer.exe. При этом main module отвечает за установление персистентности, связь с C2 и обработку команд.
Вредоносная ПО поддерживает несколько плагинов, которые могут красть данные для входа и учетные данные FTP, адреса электронной почты, файлы cookie и другую информацию из браузеров, Outlook, Thunderbird, FileZilla и WinSCP.
Технический разбор всей цепочки заражения, а также IOCs - в отчете.
На западе продолжают рефлексировать по поводу вездесущих китайских кибершпионов из Salt Typhoon (Earth Estries, FamousSparrow, GhostEmperor и UNC2286), нацеленных в недавних кампаниях на поставщиков телекоммуникационных услуг.
На этот раз свое мнение относительно широкомасштабной кампании кибершпионажа высказали агентства по кибербезопасности из стран, входящих в FiveEyes.
Специалисты отметили, что выявленные инциденты, связанные с деятельностью китайских хакеров, обусловлены, прежде всего, существующими упущениями в сфере ИБ в инфраструктуре жертв.
При этом злоумышленники до сих пор сохраняют доступ к американским телекоммуникационным сетям даже по прошествии шести месяцев активного расследования.
В связи с чем, для противодействия атакам спецслужбы выпустили совместное руководство по передовым методам, которые следует адаптировать для защиты корпоративных сетей.
Абстрагируюсь от геополитического подтекста, названный документ, безусловно, будет полезен для специалистов, задействованных в обеспечении ИБ отечественных операторов отрасли связь.
Veeam выпустила обновления безопасности для устранения достаточно большого количества уязвимостей, включая критическую в Service Provider Console (VSPC).
VSPC описывается как удаленно управляемая платформа BaaS (Backend as a Service) и DRaaS (Disaster Recovery as a Service) для мониторинга работоспособности и безопасности резервных копий, а также для управления защищенными Veeam виртуальными активами.
Уязвимость отслеживается как CVE-2024-42448 и имеет оценку CVSS 9,9 из максимальных 10,0. Она была обнаружена в ходе внутреннего тестирования.
Ошибка позволяет реализовать RCE на машине сервера VSPC с машины агента управления.
Veeam также устранила уязвимость высокой степени серьезности (CVE-2024-42449), которая позволяет злоумышленникам красть NTLM-хэш учетной записи службы сервера VSPC и использовать полученный доступ для удаления файлов на сервере.
Однако, как пояснила компания, обе уязвимости могут быть успешно использованы только в том случае, если агент управления авторизован на целевом сервере.
Уязвимости затрагивают VPSC 8.1.0.21377 и все более ранние версии, включая сборки 8 и 7, но при этом ныне неподдерживаемые версии продукта, вероятно, также подвержены влиянию и должны считаться уязвимыми, даже если они не были протестированы.
Компания призывает поставщиков услуг, использующих поддерживаемые версии Veeam Service Provider Console (версии 7 и 8), обновиться до последнего накопительного пакета исправлений, а в случае с неподдерживаемыми версиями - обновиться до последней доступной.
Недавняя масштабная эксплуатация уязвимостей Veeam показала, что медлить в этом вопросе нельзя. Akira, Frag и Fog не дадут соврать.
Исследователи Binarly выкатили новые подробности в отношении недавно обнаруженнего буткита Linux UEFI под названием Bootkitty.
Вредоносное ПО BootKitty UEFI задействует уязвимость LogoFAIL, отлеживаемую как CVE-2023-40238, для реализации атак на компьютеры, работающие на уязвимой прошивке.
Bootkitty был впервые обнаружен ESET, которая отметила, что это первый UEFI-буткит, специально нацеленный на Linux.
На данный момент вредоносная программа UEFI пребывает в состоянии разработки и работает только на определенных версиях Ubuntu.
В свою очередь, LogoFAIL представляет собой набор уязвимостей в коде анализа образов прошивок UEFI, используемых различными поставщиками, которые могут быть реализованы с помощью вредоносных образов или логотипов, размещенными в системном разделе EFI (ESP).
В процессе их анализа во время загрузки, уязвимость может быть активирована, при этом контролируемая злоумышленником полезная нагрузка может быть произвольно выполнена для перехвата потока выполнения и обхода функций безопасности.
Согласно последнему отчету Binarly, Bootkitty встраивает шелл-код в файлы BMP (logofail.bmp и logofail_fake.bmp), чтобы обойти защиту Secure Boot, внедряя поддельные сертификаты в вариант MokList.
Файл logofail.bmp встраивает шелл-код в свой конец, а отрицательное значение высоты (0xfffffd00) запускает уязвимость записи за пределами выделенной памяти во время синтаксического анализа.
Легитимный MokList заменяется мошенническим сертификатом, что фактически авторизует вредоносный загрузчик (bootkit.efi).
После перенаправления выполнения на шелл-код Bootkitty восстанавливает перезаписанные области памяти в уязвимой функции (RLE8ToBlt) с использованием исходных инструкций, поэтому любые признаки очевидного вмешательства стираются.
Binarly утверждает, что Bootkitty может быть нацелен на любое устройство, не защищенное от LogoFAIL, но его текущий шелл-код подстроен под модули прошивки Acer, HP, Fujitsu и Lenovo.
Анализ файла bootkit.efi показал, что устройства Lenovo на базе Insyde являются наиболее уязвимыми, поскольку Bootkitty ссылается на определенные имена переменных и пути, используемые этим брендом.
При этом некоторые широко распространенные устройства работают на прошивках, которые по-прежнему уязвимы для эксплойтов LogoFAIL: IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 и Lenovo Yoga 9-14IRP8.
Новыми подробностями поделились сегодня и в ESET, обновив первоначальную статью про BootKitty.
По их данным, разработка ведется студентами ИБ в рамках корейской программы обучения Best of the Best (BoB) в научных и исключительно исследовательских целях.
Подробности своих изысканий обещают раскрыть позже, так что будем следить.
В Южной Корее силовики арестовали генерального директора и пятерых сотрудников за внедрение функционала DDoS в прошивку 240 000 спутниковых ресиверов, поступивших в продажу с января 2019 года, по просьбе клиента.
Название компании не уточняется, но сотрудничество с заказчиком велось с 2017 года.
В ноябре 2018 года компания-покупатель сделала специальный запрос на включение функциональности DDoS, а южнокорейский производитель его успешно реализовал.
Согласно заявлениям, клиент утверждал, что столкнулся с DDoS-атаками со стороны одного из своих конкурентов, что и побудило его разместить заказ на DDoS, который использовался для противодействия атакам конкурирующей организации.
Точный механизм работы DDoS-модуля на устройствах не раскрывается, но в любом случае такое усовершенствование не вписалось в нормы уголовного законодательства.
Более того, пользователи спутниковых ресиверов невольно принимали участие в атаках и, по всей видимости, сталкивались со снижением производительности устройств во время подобных инцидентов.
Начиная с января 2019 года производитель устройств отгрузил 240 000 спутниковых ресиверов, 98 000 из которых имели предустановленный модуль DDoS. Остальные получили функционал через обновление прошивки.
Корейская полиция раскрыла вредоносную схему после получения информации от Интерпола.
Теперь шестерым гражданам Кореи предъявлены обвинения, а активы компании попали под арест и конфискацию (всего 61 млрд корейских вон или 4 350 000 долларов США).
Заказчику оборудования удалось покинуть страну, но бегать ему недолго, соответствующая красная карточка уже размещена в базе розыска Интерпола.
Странно только, что во всей этой истории не упоминается судьба конкурентов, которые первыми ввязалась в аналогичные DDoS-авантюры.
PS: Любой каприз за ваши деньги✊
💻«Сайберус» создает новую ИБ-компанию на базе технологий и экспертизы F.A.C.C.T.
По информации Ведомостей, фонд «Сайберус», созданный основателем Positive Technologies Юрием Максимовым, совместно с частными инвесторами создадут новую компанию АО «Будущее» в области информбезопасности (ИБ) на базе активов F.A.C.C.T. (бывшая Group-IB).
🇷🇺 Новая компания займется разработкой технологий предотвращения и расследования киберпреступлений на основе существующих решений и сервисов F.A.C.C.T.
🔻В рамках сделки акционеры F.A.C.C.T., включая основателя Илью Сачкова, передают новой компании часть активов: инженерные технологии, экспертизу, интеллектуальную собственность и текущие контракты.
🔻Генеральный директор F.A.C.C.T. Валерий Баулин возглавит новую компанию.
🔻Акционерами новой компании станут фонд результативной кибербезопасности Сайберус (47%) и частные инвесторы.
🔻Акционеры F.A.C.C.T. не войдут в акционерную структуру новой компании.
🔻Команда F.A.C.C.T. перейдет в новую компанию.
В тг-канале компании написано, что сумма сделки не разглашается.
👆Ведомости со ссылкой на экспертов пишут, что всю группу F.A.C.C.T. оценивают примерно в 4-5 млрд рублей.
✋ @Russian_OSINT
Исследователи ANY.RUN раскрыли новую фишинговую кампанию, в рамках которой злоумышленники задействовали функция восстановления файлов Word от Microsoft для обхода систем безопасности.
Отправляя намеренно поврежденные документы Word в качестве вложений в электронные письма злоумышленники обходят программное обеспечение безопасности, песочницы и спам-фильтры, но при этом приложение все равно способно их восстановить.
В новой обнаруженной кампании подобные отправления мимикрируют под уведомления из отделов кадров и бухгалтерии. В целом, используется широкий спектр тем, все из которых вращаются вокруг льгот и бонусов для сотрудников.
Все документы наблюдаемой кампании включают строку в кодировке base64 «IyNURVhUTlVNUkFORE9NNDUjIw», которая декодируется в «##TEXTNUMRANDOM45##».
При открытии вложений Word идентифицирует поврежденный файл и сообщает, что в файле «обнаружено нечитаемое содержимое», а затем запрашивает его восстановление.
При этом фишинговые документы повреждены таким образом, что их легко восстановить, после чего отображается документ с QR-кодом, который следует отсканировать, чтобы получить содержимое.
Причем все эти документы брендированы логотипами целевой компании.
QR перенаправляет пользователя на фишинговый сайт, оформленный под Microsoft, посредством которого происходит кража учетных данных пользователя.
Из всех вложений, использованных в наблюдаемой кампании, большинство имели нулевые сработки [1, 2, 3, 4] на VirusTotal, и только некоторые [1] были детектированы 2 поставщиками.
Безусловно, конечная цель такой фишинговой атаки не нова, но использование поврежденных документов Word - это новая тактика, позволяющая избегать обнаружения, которая используется в дикой природе по крайней мере с августа этого года.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:
1. Исследователи выяснили, что проблесков маяки на автомобилях экстренных служб вызывают эффект EpileptiCar, фактически ослепляя как коммерческие, так и на открытые системы Advanced Driver-Assistance Systems (ADAS) и способствуя тем самым созданию аварийных ситуаций.
Причем эффект EpileptiCar усиливается в ночное время суток из-за расстояния до автомобилей экстренных служб, а также настроек и возможностей камеры беспилотного автомобиля.
2. SSD Disclosure раскрыла подробности в отношении неисправленной уязвимости локального повышения привилегий в Windows.
Ошибка была продемонстрирована в ходе хакерского конкурса TyphoonPWN 2024 в начале этого года, однако Microsoft посчитала ее дубликатом, заявляя, что она уже исправлена. В свою очередь, исследователи наглядно показали, что эксплойт по-прежнему работает в системах Windows 11.
3. Исследователи Source Incite опубликовали статью, освещая неисправленную до настоящего времени уязвимость в фреймворке Spring Java, которую можно использовать для RCE.
4. ERNW выкатила подробное описание ошибки command injection, которую помогали исправить в Kemp LoadMaster в начале этого месяца. При этом ошибка отслеживается как CVE-2024-7591 и имеет оценку серьезности 10/10.
5. Злоумышленник смог воспользоваться уязвимостью на официальном портале Microsoft Partner. Microsoft раскрыла атаку на этой неделе после того, как выпустила исправление. Какие-либо дополнительные подробности об атаке не раскрываются.
6. Исследователи Nozomi Networks обнаружили около двух десятков уязвимостей безопасности в промышленных точках беспроводного доступа Advantech EKI, некоторые из которых могут быть использованы для обхода аутентификации и выполнения кода с повышенными привилегиями.
6 из 20 уязвимостей (от CVE-2024-50370 до CVE-2024-50375 с CVSS: 9,8) были признаны критическими, позволяя получить постоянный доступ к внутренним ресурсам путем внедрения бэкдора, вызвать DoS и даже перепрофилировать зараженные конечные точки в рабочие станции Linux для обеспечения горизонтального перемещения.
Еще одна CVE-2024-50376 (CVSS: 7,3) может быть связана с CVE-2024-50359 (CVSS: 7,2) для выполнения произвольного кода по беспроводной сети.
7. Разработчики Jenkins анонсировали обновления безопасности для основного кода и двух плагинов.
Федеральный апелляционный суд США отменил санкции Министерства финансов США в отношении криптомиксера Tornado Cash.
Суд постановил, что Казначейство США превысило свои полномочия, наложив санкции на сервис в сентябре 2022 года.
По итогу отменил решение Окружного суда США по Западному округу Техаса, подтвердившее санкции против Tornado Cash, который, по данным минфина, использовались для отмывания 455 млн. долл., украденных северокорейской Lazarus Group.
По этому поводу дело, профинансированное Coinbase, было возбуждено по инициативе шести пользователей сервиса, которые заявили, что правительство превысило свои регулирующие полномочия, запретив операции с любой собственностью Tornado Cash.
Суд встал на сторону истцов, полагая, что Казначейство может санкционировать только имущество, а не ПО в виде строк автономного кода в блокчейне для транзакций, которое не квалифицируются как имущество.
При этом вынесший решение судья Дон Уиллетт согласился, что опасения OFAC относительно незаконных иностранных субъектов, отмывающих деньги, несомненно, обоснованы, но пояснил: смарт-контракты Tornado Cash не являются «собственностью» иностранного гражданина или организации.
В свою очередь, юрист Coinbase Пол Грюал отметил это решение в социальных сетях как «историческую победу криптосообщества».
Безусловно, важный прецедент, но желаемый профилактический эффект, по всей видимости, все же был достигнут.