39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Horizon3.ai нашли многочисленные уязвимости в программном обеспечении для удаленного доступа SimpleHelp, которые могут привести к раскрытию информации, EoP и RCE, их достаточно легко устранить и также просто поэксплуатировать.
Первая CVE-2024-57727 представляет собой уязвимость обхода пути без аутентификации, которая позволяет загружать произвольные файлы с сервера SimpleHelp, включая файл serverconfig.xml, содержащий хешированные пароли для учетной записи SimpleHelpAdmin и других локальных учетных записей.
Вторая отслеживается как CVE-2024-57728 и связана с произвольной загрузкой файлов, которая позволяет злоумышленнику с привилегиями SimpleHelpAdmin загружать произвольные файлы в любое место на хосте SimpleServer, что потенциально приводит к RCE.
Третья CVE-2024-57726 позволяет злоумышленнику, получившему доступ в качестве техспециалиста с низкими привилегиями, повысить свои привилегии до администратора, воспользовавшись отсутствием проверок авторизации на внутреннем уровне.
В гипотетическом сценарии атаки злоумышленник может связать CVE-2024-57726 и CVE-2024-57728, чтобы стать администратором и загрузить произвольные полезные данные для захвата контроля над сервером SimpleHelp.
К настоящему времени Horizon3.ai скрывает дополнительные технические подробности о трех уязвимостях, учитывая их критичность и простоту использования.
После ответственного раскрытия информации 6 января 2025 года недостатки были устранены в версиях SimpleHelp 5.3.9, 5.4.10 и 5.5.8, выпущенных 8 и 13 января.
Поскольку обычно злоумышленники достаточно часто инструменты удаленного доступа для получения постоянного удаленного доступа к целевым средам, крайне важно оперативно накатить исправления.
Кроме того, SimpleHelp рекомендует сменить пароль администратора сервера, сменить пароли для учетных записей технических специалистов и ограничить IP-адреса входа в систему для всех технических специалистов и администраторов.
Fortinet предупреждает об обнаружении вредоносной кампании, нацеленной на 0-day, позволяющую обойти аутентификацию в FortiOS и FortiProxy, а также взламывать межсетевые экраны Fortinet и корпоративные сети.
Уязвимость отслеживается как CVE-2024-55591 и влияет на FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Успешная эксплуатация позволяет удаленным злоумышленникам получить привилегии суперадминистратора, отправляя вредоносные запросы к модулю веб-сокета Node.js.
Fortinet утверждает, что эксплуатирующие 0-day злоумышленники создают случайным образом сгенерированных администраторов или локальных пользователей на взломанных устройствах, добавляя их в существующие группы пользователей SSL VPN или же в новые.
Кроме того, добавляются или изменяются политики брандмауэра и другие настройки, реализуется вход в SSLVPN с использованием ранее созданных мошеннических учетных записей для создания туннеля к внутренней сети.
При этом дополнительной информации Fortinet не предоставила.
А исследователи Arctic Wolf выкрали отчет с соответствующими IOC, сообщая об активных с начала ноября атаках на межсетевые экраны Fortinet FortiGate с открытыми для доступа из Интернета интерфейсами управления.
Наблюдаемая исследователями активность включала несанкционированный вход в систему администратора на интерфейсах управления межсетевых экранов, создание новых учетных записей, аутентификацию SSL VPN через эти учетные записи и различные другие изменения конфигурации.
Хотя первоначальный вектор доступа окончательно не подтвержден, весьма вероятна 0-day.
Организациям следует как можно скорее отключить доступ к управлению брандмауэром на публичных интерфейсах.
В свою очередь, Fortinet также рекомендует отключить административный интерфейс HTTP/HTTPS или ограничить количество IP-адресов, с которых может быть получен доступ к административному интерфейсу, с помощью политик локального входа в качестве обходного пути.
Arctic Wolf разложила кампанию, связанную с массовой эксплуатацией CVE-2024-55591 на четыре этапа, в том числе:
- 16-23 ноября: сканирование уязвимостей;
- 22-27 ноября: разведка;
- 4-7 декабря: конфигурация SSL VPN;
- 16-27 декабря: горизонтальное перемещение.
Учитывая тонкие различия в методах и инфраструктуре вторжений, вполне возможно, что в этой кампании могли быть задействованы несколько акторов, но использование jsconsole было общей чертой для всех.
Arctic Wolf уведомила Fortinet об атаках 12 декабря 2024 года и получила подтверждение от FortiGuard Labs PSIRT 17 декабря 2024 года.
На тот момент эта активность была уже известна и вовсю расследовалась.
Помимо предупреждения Fortinet также выпустила исправления для критической уязвимости жестко закодированного криптографического ключа (CVE-2023-37936).
Она позволяет удаленным неаутентифицированным злоумышленникам с ключом запускать несанкционированный код с помощью специально созданных криптографических запросов.
Juniper Networks начинает 2025 год с обновлений безопасности, исправляющих десятки уязвимостей в платформе Junos OS, включая множество серьезных ошибкок.
В рамках исправлений закрыта серьезная уязвимость чтения за пределами выделенного буфера в демоне протокола маршрутизации (RPD) Junos OS и Junos OS Evolved, которая могла привести к DoS при обработке некорректного пакета BGP.
Проблема, отслеживается как CVE-2025-21598 и затрагивает системы, в которых включены параметры трассировки приема пакетов, а также может распространяться через несколько AS, пока не достигнет уязвимых устройств.
В качестве обходного пути пользователи должны отключить опции трассировки пакетов. Для обнаружения потенциальной компрометации, следует искать некорректные сообщения об обновлениях в соседних устройствах AS, которые не затронуты.
Обновления также исправляют уязвимость CVE-2025-21599 - серьезный дефект безопасности в драйвере Juniper Tunnel Driver (JTD) ОС Junos Evolved, который может быть использован по сети без аутентификации для вызова состояния DoS.
Получение специально сформированных пакетов IPv6, предназначенных для устройства, приводит к тому, что память ядра не освобождается, что приводит к ее исчерпанию. Непрерывное получение этих пакетов будут продолжать истощать память ядра, создавая устойчивое состояние DoS.
Компания также выпустила исправления для двух уязвимостей высокой степени серьезности в OpenSSH, используемых в Junos OS и Junos OS Evolved, отслеживаемых как CVE-2024-6387 (regreSSHion) и CVE-2024-39894.
Кроме того, Juniper также объявила о выпуске Junos Space 24.1R2 с исправлениями почти 60 уязвимостей в сторонних компонентах, включая критически важные проблемы в Expat (libexpat), библиотеке XML-анализатора.
Исправлено большое число ошибок средней степени серьезности в Junos OS и Junos OS Evolved, которые могли привести к DoS-состояниям и раскрытию конфиденциальной информации.
Ни одна из этих уязвимостей, по-видимому, не эксплуатируется в реальных условиях, но пользователям рекомендуется как можно скорее применить доступные исправления, поскольку злоумышленники нередко нацеливаются на уязвимые экземпляры с ОС Junos.
😈 Самые дерзкие фишинговые схемы 2024 года, которые сработали.
• По статистике значительная часть заражений малварью происходит из-за того, что пользователь сам запустил на своей тачке вредоносный файл. Именно в этом и заключается основная задача злоумышленников, использующих социальную инженерию. Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
• Основная составляющая фишинга в том, что данный метод атаки позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему. Сегодня предлагаю ознакомиться с интересной статьей, в которой описаны самые дерзкие и масштабные фишинговые схемы, которые сработали в 2024 году.
➡ Читать статью [10 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Google Project Zero выкатили подробности в отношении исправленной Zero-Click уязвимости в Monkey's Audio (APE) на смартфонах Samsung, которая позволяет реализовать выполнение кода.
Уязвимость высокой степени серьезности отслеживается как CVE-2024-49415 и имеет оценку CVSS: 8,1.
Она затрагивает устройства Samsung под управлением Android версий 12, 13 и 14.
Как пояснили в Samsung, запись за пределами допустимого диапазона в libsaped.so до SMR Dec-2024 Release 1 позволяет удаленным злоумышленникам выполнять произвольный код.
Выпущенный в декабре 2024 года патч добавляет надлежащую проверку входных данных.
В свою очередь, в Google Project Zero описывают недостаток как не требующий никакого взаимодействия с пользователем для эксплуатации и обнаружили новую интересную поверхность атаки при определенных условиях.
В частности, это работает, если Google Messages настроен на RCS, конфигурацию по умолчанию на телефонах Galaxy S23 и S24, поскольку служба транскрипции локально декодирует входящий звук до того, как пользователь взаимодействует с сообщением для целей транскрипции.
Функция saped_rec в libsaped.so записывает данные в буфер обмена dmabuf, выделенный службой мультимедиа C2, который всегда имеет размер 0x120000.
Хотя максимальное значение блоков на кадр, извлекаемое libsapedextractor, также ограничено 0x120000, saped_rec может записывать до 3* блоков на кадр байт, если байт на выборку входных данных равен 24.
Таким образом, файл APE с большим размером блоков на кадр способен сильно переполнить буфер.
В гипотетическом сценарии атаки злоумышленник может отправить специально созданное аудиосообщение через Google Messages на любое целевое устройство, на котором включен RCS, что приведет к сбою его процесса медиакодека (samsung.software.media.c2).
Обновление Samsung от декабря 2024 года также устраняет другую уязвимость высокой степени серьезности в SmartSwitch (CVE-2024-49413, CVSS: 7,1), которая позволяет локальным злоумышленникам устанавливать вредоносные приложения, пользуясь ненадлежащей проверкой криптографической подписи.
🥷Как злоумышленники превращают 👨💻S3 в инструмент для вымогательства?
Современные угрозы постепенно перекочёвывают в облачные среды и концепция 🔒 cloud ransomware не стала исключением.
Исследователи из Rhino Security Labs провели интересное исследование и попытались показать на одном из примеров 👉 насколько уязвимы могут быть пользовательские данные в облаке, если конфигурация политики безопасности настроена неправильно. В блоге описывается простой, но изощренный тип атаки, в котором хакеры используют инструменты AWS, чтобы превратить сам S3 в объект для вымогательства.
Популярный сервис S3 для хранения данных от AWS состоит из так называемых "бакетов" и "объектов". Amazon S3 по умолчанию не шифрует данные и файлы хранятся в открытом виде (plaintext), если шифрование не настроено вручную.
👺 Злодей создаёт в AWS специальный KMS-ключ. Настраивает его так, что любой может зашифровать файлы этим ключом, но право на расшифровку есть только у самого злоумышленника.
Хакер получает доступ к S3-бакету (через утечку учётных данных или ошибку в настройках). Важно, чтобы у него были права на запись (s3:PutObject). Используя свой KMS-ключ, злоумышленник перезаписывает все файлы в бакете, делая их недоступными для владельца.
После перезаписи данных с использованием KMS-ключа злоумышленника жертва видит файлы зашифрованными. Даже обладая правами на чтение или доступом к бакету, владелец не может расшифровать данные, так как для этого требуется доступ к ключу, которые есть у атакующего. Злодей грузит "письмо с выкупом", требуя оплату, иначе через 7 дней ключ будет утерян навсегда.
Стоит отметить, что злоумышленник не может просто так «зайти с улицы». Обычно доступ получают в результате компрометации учётных данных, неверной настройки политик IAM или других ошибок конфигурации.
Схема злоумышленника:
💠Создание KMS-ключа для шифрования.
💠Поиск уязвимого S3-бакета с неверными настройками.
💠Проверка Object Versioning и MFA Delete.
💠Шифрование файлов своим KMS-ключом.
💠Загрузка «ransom-note.txt» с инструкциями.
💠Требование выкупа.
*Если Object Versioning отключён, то файлы можно перезаписать. Когда OV включён, но MFA Delete отсутствует, злоумышленник может отключить версионность и продолжить атаку.
Примечательно, что даже активные лог-файлы AWS (CloudTrail) не способны предотвратить атаку, так как их доставка занимает от 5 до 15 минут. Например, шифрование 100 ГБ данных занимает всего 🚤 1 минуту 47 секунд. Простая математика показывает, что за 5 минут атаки можно зашифровать около 270 ГБ данных — эквивалент сотен фильмов или тысяч фотографий.
Вторая часть отчёта Rhino Security Labs тут.
🛡 Для защиты своих данных исследователи предлагают следующий комплекс мер:
1️⃣ Контроль доступа
Использовать IAM роли вместо пользователей с долгосрочными ключами. Включить MFA для всех учетных записей и обязательно надёжные пароли.
2️⃣ Принцип минимальных привилегий
Тут всё понятно.
3️⃣ Логирование и мониторинг
Включить AWS CloudTrail во всех регионах для фиксации событий, а также использовать AWS GuardDuty для выявления подозрительных действий. Экспортировать логи в SIEM для централизованного анализа.
4️⃣ Версионность объектов (object versioning) и MFA Delete
Активировать версионность файлов в бакетах S3, чтобы хранить изменения. Включить MFA для удаления данных, чтобы усложнить злоумышленникам удаление или отключение версионности.
5️⃣ Контроль политик и шифрования
Избегать использования устаревших ACL. Настроить политики S3 для запрета загрузки файлов без шифрования или с неподходящими ключами KMS. Заблокировать публичный доступ на уровне учетной записи.
6️⃣ Блокировка публичного доступа
Использовать настройки AWS для блокировки всех публичных ACL и политик на уровне учетной записи, если публичный доступ не нужен.
7️⃣ Резервное копирование
Регулярно создавать резервные копии данных в других бакетах, учетных записях или локальных системах.
✋ @Russian_OSINT
Исследователи из Лаборатории Касперского выкатили отчет в отношении EagerBee - обновленного бэкдора, задействованного неназванной APT-группой в кампаниях по кибершпионажу, нацеленных на правительственные структуры и телекоммуникационные компании Ближнего Востока.
Новый вариант EAGERBEE (он же Thumtais) оснащен различными компонентами, которые позволяют бэкдору развертывать дополнительные полезные нагрузки, сканировать файловые системы и поддерживать командные оболочки, демонстрируя значительную эволюцию развития.
Основные плагины можно разделить по их функциональности на следующие группы: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing и Service Management.
EAGERBEE был впервые задокументирован Elastic Security Labs, которая приписала его к ориентированной на кибершпионаж APT, отлеживаемой как REF5961.
Технически простой бэкдор c возможностями шифрования SSL предназначен для проведения базовой разведки систем и доставки последующих исполняемых файлов для последующей эксплуатации.
Впоследствии модификация вредоносного ПО была замечена в атаках Cluster Alpha в рамках более масштабной операции под названием Crimson Palace, целью которой была кража важных военных и политических сведений в правительственном секторе Юго-Восточной Азии.
Кластер Alpha, по данным Sophos, пересекается с группами угроз, отслеживаемыми как BackdoorDiplomacy, REF5961, Worok и TA428.
BackdoorDiplomacy, в свою очередь, известна сходством по TTPs с другой китайскоязычной группой CloudComputating (Faking Dragon), которая была замечена в атаках на телеком в Южной Азии с вредоносным фреймворком QSC.
Как ранее отмечали в ЛК, QSC представляет собой модульную структура, в которой на диске остается только начальный загрузчик, а основные и сетевые модули всегда находятся в памяти.
Использование архитектуры на основе плагинов дает злоумышленникам возможность контролировать, какой плагин (модуль) загружать в память по требованию в зависимости от интересующей цели.
В последних атаках с использованием EAGERBEE инжекторная DLL предназначена для запуска модуля бэкдора, который затем используется для сбора системной информации и ее передачи на удаленный сервер, с которым устанавливается соединение через сокет TCP.
При этом точная начальная точка входа, используемая в этих вторжениях, на данном этапе остается неизвестной.
Затем сервер отвечает с помощью Plugin Orchestrator, который, помимо предоставления серверу системной информации (например, NetBIOS-имени домена, использования физической и виртуальной памяти, а также системных настроек), собирает сведения о запущенных процессах и ожидает дальнейших инструкций по управлению плагинами.
Они отвечают за получение и выполнение команд от Orchestrator, выполняют файловые операции, управляют процессами, поддерживают удаленные соединения, управляют системными службами и составляют список сетевых соединений.
Исследователи ЛК также наблюдали внедрение EAGERBEE в нескольких организациях в Восточной Азии, причем две из них были взломаны с использованием ProxyLogon (CVE-2021-26855) для установки веб-оболочек и выполнения команд на серверах, что в конечном итоге привело к развертыванию бэкдора.
Резидентная в памяти архитектура EAGERBEE обеспечивает ему скрытность, помогая избегать обнаружения традиционными решениями по защите конечных точек.
Внедрение вредоносного кода в легитимные процессы и интеграция с обычными системными операциями также значительно усложняет его идентификацию и анализ.
Технический разбор и МОК - в отчете.
Говорят, что уже второй день недоступен Росэлторг - "проводятся внеплановые технические работы".
Как бы крупнейшая в России площадка для проведения электронных торгов. Что-то конкретное сказать представители площадки не могут.
Неужели ransomware? Или таки представители хакерских групп Северного Причерноморья?
Но вряд ли, наверняка у крупнейшей электронной торговой площадки с информационной безопасностью все в порядке. Ведь в порядке, правда?
Конфиденциальная информация 800 000 владельцев транспортных средств VW Group была раскрыта после того, как IT-подрядчик компании Cariad на несколько месяцев оставил терабайты данных клиентов мобильного приложения в облачном хранилище Amazon без защиты.
Как сообщает Spiegel, это открывало возможность любому человеку с небольшими техническими знаниями отслеживать перемещения авто или собирать личную информацию на водителей.
В раскрытых базах данных содержатся сведения об автомобилях VW, Seat, Audi и Skoda, причем для некоторых из них точность геолокации составляет несколько сантиметров.
Представитель компании пояснил журналистам, что доступ к данным автомобилей стал возможен из-за неправильной конфигурации двух разрабатываемых Cariad приложений.
Об инциденте стало известно 26 ноября 2024 года, когда компания Cariad получила соответствующую информацию от Chaos Computer Club (CCC).
В свою очередь, CCC узнала об уязвимости от неназванного осведомителя и после ее проверки уже проинформировала ответственных в Cariad и Volkswagen, предоставив технические подробности.
Представитель Cariad в своем заявлении сообщил, что раскрытые данные затронули только те транспортные средства, которые были подключены к Интернету и зарегистрированы в онлайн-сервисах.
Из почти 800 000 выявленных транспортных средств исследователи обнаружили данные геолокации 460 000 автомобилей, для некоторых из них точность составила до десяти сантиметров.
По данным издания Spiegel, чуть более 30 транспортных средств входили в парк патрульных машин полиции Гамбурга, а еще часть принадлежала сотрудникам спецслужб.
В компании отмечают, что исследователи CCC смогли получить доступ к данным после обхода механизмов безопасности, что потребовало значительного времени и технических знаний.
Кроме того, поскольку данные в отношении ряда транспортных средствах были неполными в целях конфиденциальности и хакерам пришлось объединить различные базы данных, чтобы связать их с конкретными пользователями.
Тем не менее, журналистам Spiegel с помощью привлеченных экспертов удалось с помощью свободно распространяемого ПО обнаружить данные о местоположении автомобилей двух немецких политиков - Нади Вайпперт и депутата Бундестага Маркуса Грюбеля.
Проанализировав открытые активы Cariad, содержащие файлы с конфиденциальной информацией, была обнаружена копия дампа памяти из внутреннего приложения Cariad.
Внутри дампа памяти обнаружили ключи доступа к облачному хранилищу на Amazon, где Cariad сохраняла данные, собранные с транспортных средств клиентов Volkswagen Group.
Большинство затронутых транспортных средств (300 000) находились в Германии, но исследователи также идентифицировали данные по автомобилям в Норвегии (80 000), Швеции (68 000), Великобритании (63 000), Нидерландах (61 000), Франции (53 000), Бельгии (68 000) и Дании (35 000).
Cariad отреагировала достаточно оперативно и закрыла доступ в тот же день, когда CCC отправила им отчет, буквально в течение нескольких часов.
По результатам расследования Cariad не нашла доказательств того, что кто-либо помимо CCC имел доступ к раскрытым данным о транспортных средствах, а также заверила в применении самых надежных методов их защиты.
Последнее, как оказалось, весьма спорно, впрочем как и первое. Но будем посмотреть.
Подкатили новые подробности в отношении фишинговой кампании, нацеленной на разработчиков расширений для браузера Chrome, которая привела к взлому не менее 35 расширений с целью внедрения кода для кражи данных.
При этом первоначальные отчеты были сфокусированы на расширении Cyberhaven, ориентированном на безопасность, последующее расследование показало, что тот же код был внедрен по меньшей мере в 35 расширений, которыми пользовались не менее 2,6 млн. пользователей.
Атака начинается с отправки разработчикам расширений Chrome фишингового письма напрямую или через адрес электронной почты службы поддержки, связанный с их доменным именем.
В фишинговом письме, якобы отправленном Google, утверждается, что расширение нарушает правила Chrome Web Store и находится под угрозой удаления.
Разработчика расширения убеждают в том, что описание его ПО содержит вводящую в заблуждение информацию, и он должен согласиться с политикой Chrome Web Store.
Если разработчик нажимает встроенную кнопку «перейти к политике», чтобы понять, какие правила он нарушил, он попадает на легитимную страницу входа в домене Google для вредоносного приложения OAuth.
Страница является частью стандартного процесса авторизации Google, предназначенного для безопасного предоставления сторонним приложениям разрешений на доступ к определенным ресурсам аккаунта Google.
На этой платформе злоумышленник разместил вредоносное приложение OAuth под названием «Расширение политики конфиденциальности», которое запрашивало у жертвы разрешение на управление расширениями Chrome Web Store через ее учетную запись.
В случае разрешения этого доступа, приложение сможет: просматривать, редактировать, обновлять или публиковать расширения, темы, приложения и лицензии Chrome Web Store, к которым у разработчика есть доступ.
Стоит отметить, что многофакторная аутентификация в данном случае не помогла защитить учетную запись, поскольку прямые одобрения в потоках авторизации OAuth не требуются, а процесс предполагает, что пользователь полностью понимает объем предоставляемых им разрешений.
Получив доступ к учетной записи разработчика расширения, злоумышленники модифицировали расширение, включив в него два вредоносных файла, а именно «worker.js» и «content.js».
Затем взломанное расширение было опубликовано как новая версия в интернет-магазине Chrome.
Анализ скомпрометированных машин показал, что злоумышленники охотились за аккаунтами Facebook пользователей зараженных расширений.
Хотя Extension Total отслеживает 35 расширений, пострадавших от этой фишинговой кампании, показатели компрометации атаки указывают на то, что мишенью было гораздо большее их число.
По данным VirusTotal, злоумышленники заранее регистрировали домены для целевых расширений, даже если они не поддавались атаке.
Согласно отчетам разработчиков в LinkedIn и Google Groups, кампания стартовала примерно 5 декабря 2024 года. Однако обнаруженные самые ранние поддомены С2 существовали еще в марте 2024 года.
Среди замеченных доменов: supportchromestore.com, forextensions.com и chromeforextension.com.
Согласно исследованию LayerX, 60% корпоративных пользователей имеют установленные расширения браузера, и более 40% из них имеют расширения с разрешениями высокого или критического риска, что делает их привлекательной целью для атак с целью кражи информации.
Дорогие подписчики!
Мы, честно говоря, уже не знаем что пожелать вам накануне нового 2025 года. Потому что все наши хорошие пожелания чот не особо сбываются, зато как предрекаем что-нибудь плохое - здрасьте, пожалуйте, получите, распишитесь! Войнушки по всему миру, сегментирование Интернета, финансовые проблемы и прочее...
Мы буквально Кассандра инфосека, только проклятие работает немного в другую сторону.
Поэтому ничего желать не будем, а будем осторожно надеяться на то, чтобы ситуация не стала хуже. И может быть даже немного лучше.
С Новым Годом вас, друзья!
🦠Кибератака парализовала работу 🇯🇵Japan Airlines в разгар новогоднего сезона
Информационные системы одной из крупнейших японских авиакомпаний Japan Airlines (JAL) подверглись кибератаке, что привело к сбоям в расписании и временному прекращению продажи билетов. Как сообщило агентство Kyodo, инцидент повлиял на более чем✈️ 60 рейсов в Японии, затронув как международные, так и внутренние: некоторые рейсы задержались на 4 часа и отменились 2 внутренних рейса.
По сообщению представителей JAL, причиной сбоев мог стать распределённый отказ в обслуживании 🔥🖥(DDoS-атака). Инцидент пришелся на один из самых напряженных периодов года для транспортной инфраструктуры Японии.
Утверждается, что утечка 🚰персональных данных клиентов исключена, а вредоносных программ в сетевых системах обнаружено не было.
Правительство Японии в лице главного секретаря кабинета министров Ёсимасы Хаяси обратилось к авиакомпании с требованием незамедлительно устранить последствия атаки и обеспечить качественное обслуживание пострадавших пассажиров.
👮Параллельно полиция ведет расследование и пытается установить виновников.
✋ @Russian_OSINT
😟 Black Hat Europe 2024.
• Официальный BlackHatOfficialYT/videos">YT-канал ещё не опубликовал видео с выступлений, но зато неделю назад были опубликованы первые презентации в одном из репозиториев:
➡ https://github.com/onhexgroup/Conferences/BlackHat
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
➡Видео Black Hat Asia 2024;
➡Видео Black Hat USA 2024.
➡Видео Black Hat Europe 2023;
➡Видео Black Hat USA 2023;
➡Видео Black Hat Asia 2023.
➡Видео Black Hat Europe 2022;
➡Видео Black Hat USA 2022;
➡Видео Black Hat Asia 2022.
➡Презентации Black Hat USA 2024;
➡Презентации Black Hat Asia 2024.
➡Презентации Black Hat Europe 2023;
➡Презентации Black Hat USA 2023;
➡Презентации Black Hat Asia 2023.
➡Презентации Black Hat Europe 2022;
➡Презентации Black Hat USA 2022;
➡Презентации Black Hat Asia 2022.
S.E. ▪️ infosec.work ▪️ VT
Сколько не нападай на LockBit, он все равно не будет бит!
Как вещают эксперты, LockBit RaaS анонсировала версию 4.0 своей ransomware-платформы.
Она будет запущена в феврале, почти через год после того, как якобы версия 3.0 RaaS была нейтрализована в рамках операции силовой операции Cronos британской с участием британской NCA, Европола и американских спецслужб, которые даже свой DLS тогда на сервера банды прикрутили.
Нам на Новый Год подарили книгу А.Н. Затупко "Каламбурь вместе с нами!", поэтому мы сегодня спешим порадовать вас нашими новыми наработками в этой области!
Если у вас MINA, то под вами заложена просто невероятная мина!
Apache Software Foundation продолжает выпускать обновления безопасности для устранения серьезных проблем, на этот раз затрагивающих MINA и HugeGraph-Server.
Уязвимости были исправлены в новых версиях ПО, выпущенных в период с 23 по 25 декабря.
Одна из ошибок отслеживается как CVE-2024-52046 и влияет на версии MINA 2.0 по 2.0.26, 2.1 по 2.1.9 и 2.2 по 2.2.3. Проблема получила критическую оценку серьезности 10 из 10 от Apache Software Foundation
Последняя проблема связана с ObjectSerializationDecoder и обусловлена небезопасной десериализацией Java, может привести к удаленному выполнению кода.
Apache пояснила, что уязвимость может быть реализована, если метод IoBuffer#getObject() используется в сочетании с определенными классами.
Apache решила эту проблему, выпустив версии 2.0.27, 2.1.10 и 2.2.4, в которых уязвимый компонент был усовершенствован за счет более строгих параметров безопасности по умолчанию.
Однако обновления до этих версий недостаточно. Пользователям также необходимо вручную установить отклонение всех классов, если это явно не разрешено, выполнив один из трех предоставленных методов.
Уязвимость, затрагивающая Apache HugeGraph-Server версий 1.0–1.3, представляет собой проблему обхода аутентификации, отслеживаемую как CVE-2024-43441. Она вызвана неправильной проверкой логики аутентификации.
Проблема обхода аутентификации была устранена в версии 1.5.0, которая является рекомендуемой к обновлению для пользователей HugeGraph-Server.
Системным администраторам настоятельно рекомендуется как можно скорее обновить свои экземпляры и принять рекомендуемые меры, особенно с учетом того, что хакеры предпочитают совершать атаки именно в период праздников, когда скорость реагирования затемно снижается.
Как встретишь Новый год, так и его проведешь. Но в Microsoft это правило не работает, там новый год приходит как два предыдущих.
По крайней мере, если судить по вышедшему в этом году PatchTuesday с исправлениями 159 уязвимостей, включая восемь 0-day, три из которых уже активно эксплуатируются в атаках.
Кроме того, исправлены двенадцать критических уязвимостей, включая раскрытия информации, повышения привилегий и удаленного выполнение кода.
Всего 40 - EoP, 14 - обхода функций безопасности, 58 - RCE, 24 - раскрытия информации, 20 - DoS и 5 - спуфинга.
Упомянутые эксплуатируемые 0-day отслеживаются как CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 и представляют собой уязвимость VSP, связанную с интеграцией ядра Windows Hyper-V NT и приводящую к получению привилегий SYSTEM на устройствах Windows.
Microsoft не сообщает, как эти уязвимости использовались при атаках, информация о них была предоставлена анонимно.
Поскольку CVE для этих трех уязвимостей последовательны и относятся к одной и той же функции, все они, вероятно, были обнаружены или использованы в ходе одних и тех же атак.
Среди других публично раскрытых нулей:
Уязвимость установщика пакетов приложений Windows, обозначенная как CVE-2025-21275, информация по которой была анонимно отправлена в Microsoft.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии SYSTEM.
Другая CVE-2025-21308 в темах Windows могла быть эксплуатирована посредством простого отображения специально созданного файла темы в проводнике Windows.
Злоумышленнику необходимо убедить пользователя загрузить вредоносный файл в уязвимую систему, как правило, с помощью приманки в электронной почте или мессенджере, а затем убедить его произвести манипуляции со специально созданным файлом.
При этом без нажатия или открытия вредоносного файла не требуется.
Проблема была обнаружена Блазом Сатлером с помощью 0patch от ACROS Security, который является обходом предыдущей уязвимости, отслеживаемой как CVE-2024-38030.
Ранее 0patch выпустила микропатчи для этой уязвимости в октябре, ожидая исправления от Microsoft.
При просмотре файла темы в проводнике Windows и использовании параметров BrandImage и Wallpaper, указывающих сетевой путь к файлу, Windows автоматически отправляет запросы на аутентификацию на удаленный хост, включая учетные данные NTLM вошедшего в систему пользователя, которые затем можно взломать.
И, наконец, CVE-2025-21186, CVE-2025-21366, CVE-2025-21395, три уязвимости удаленного выполнения кода в Microsoft Access, которые эксплуатируются при открытии специально созданных документов Microsoft Access.
Все они были найдены платформой обнаружения уязвимостей Unpatched.ai с использованием искусственного интеллекта.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Исследователи Microsoft раскрыли подробности недавно исправленной Apple уязвимости в macOS, которая позволяет злоумышленникам обходить защиту целостности системы (SIP) и устанавливать вредоносные драйверы ядра, загружая сторонние расширения.
SIP или rootless - это базовая функция безопасности macOS, которая не позволяет вредоносному ПО изменять определенные папки и файлы, ограничивая полномочия учетной записи пользователя root в защищенных областях.
SIP позволяет изменять компоненты, защищенные macOS, только процессам, подписанным Apple, или процессам со специальными правами, таким как обновления ПО Apple.
SIP служит критически важной защитой от вредоносных программ, злоумышленников и других угроз кибербезопасности, создавая фундаментальный уровень защиты для систем macOS, ее обход может привести к серьезным последствиям.
Отключение SIP обычно требует перезагрузки системы и загрузки из macOS Recovery (встроенной системы восстановления), что требует физического доступа к скомпрометированному устройству машины.
Уязвимость отслеживается как CVE-2024-44243 и была обнаружена в демоне Storage Kit, который отвечает за сохранение состояния диска.
Проблема может быть использована только локальными злоумышленниками с привилегиями root в атаках низкой сложности, требующих взаимодействия с пользователем.
Успешная эксплуатация позволяет обойти ограничения SIP root без физического доступа для установки руткитов (драйверов ядра), создания «стойких» вредоносных ПО или обхода проверок безопасности Transparency, Consent, and Control (TCC) для доступа к данным жертв.
Apple устранила уязвимость в обновлениях безопасности для macOS Sequoia 15.2, выпущенных месяц назад, 11 декабря 2024 года.
Исследователи из Check Point профилировали новую банду вымогателей FunkSec, которая приобрела известность после того, как взяла на себя ответственность за атаки в отношении более 80 жертв, разместив их на своем DLS в декабре 2024 года.
Расследование показало, что FunkSec, по всей видимости, практикует как хактивизм, так и киберпреступления, а ее члены, скорее всего, имеют низкую квалификацию, но тем не менее, пытаются добиться известности и признания.
По данным компании, вредоносная ПО для шифрования файлов на языке Rust, вероятно, была создана с помощью ИИ малоопытным разработчиком из Алжира, который также загрузил часть исходного кода программы-вымогателя в сеть.
Работая в формате RaaS, группировка реализует традиционное двойное вымогательство, угрожая раскрыть украденную информацию, дабы заставить жертв заплатить выкуп.
Кроме того, в арсенале FunkSec анонсирует специальный инструмент для DDoS, интеллектуальный инструмент для брута, а также скрытый модуль hVNC, который, по утверждениям группы, полностью незаметен.
У FunkSec нет известных связей с предыдущими группами вымогателей, подробности ограничены.
В отличие от других, FunkSec требует низкие суммы выкупа, в некоторых случаях до $10 000.
Анализ деятельности группы показывает, что в некоторых случаях представленные утечки была переработаны на основе предыдущих утечек, связанных с хактивистами, что вызывает вопросы в их подлинности.
В Check Point также заметили, что FunkSec, похоже, широко использовали ИИ для расширения своих возможностей, о чем свидетельствуют их публикации и инструменты.
Обширные комментарии к коду на идеальном английском языке (в отличие от очень базового английского в других средах), вероятно, сгенерированны агентом LLM.
При запуске программа-вымогатель FunkSec выполняет ряд команд для отключения функций безопасности, таких как Защитник Windows, ведение журнала событий приложений и безопасности, ограничения выполнения PowerShell, а также для удаления резервных копий теневых копий.
Вредоносная ПО также реализует завершение около 50 процессов, а затем начинает поиск файлов для шифрования, добавляя к ним расширение «funksec», после чего записывает на диск записку с требованием выкупа.
Что касается участия группы в хактивистских кампаниях, наблюдалось нацеливание на Индию и США, что совпадает с движением Free Palestine.
Кроме того, хакеры ассоциировали себя с прекратившими свое существование группами хактивистов Ghost Algéria и Cyb3r Fl00d.
Несмотря на все косяки в организации работы своей RaaS, проявленная активность и низкие требования выкупа привлекли широкое внимание киберподполья к FunkSec, чего последние, по всей видимости, и добивались.
Технические подробности и MOK - в отчете.
Исследователи Trend Micro предупреждают о распространении инфокрада, замаскированного под код PoC-эксплойта, нацеленного на недавнюю уязвимость протокола Windows Lightweight Directory Access Protocol (LDAP).
CVE-2024-49113 (CVSS 7,5), приводящая к состоянию DoS, была исправлена 10 декабря в составе более чем 70 уязвимостей, включая другую критическую ошибку LDAP (CVE-2024-49112), которая могла привести к RCE.
Менее чем через месяц после выпуска исправлений для двух уязвимостей SafeBreach выкатила PoC, нацеленный на CVE-2024-49113, полагая, что ее следует считать не менее важной, нежели RCE-уязвимость.
По данным SafeBreach, которая именует CVE-2024-49113 как LDAPNightmare, последняя может быть использована для вызова состояния сбоя любого неисправленного сервера Windows, даже если он не является контроллером домена, при наличии DNS-сервера, доступного через Интернет.
А в Trend Micro взглянули на потенциальную эксплуатацию LDAPNightmare с другой стороны, обнаружив фейковый PoC, который нацелен на исследователей с вредоносным ПО для кражи информации на борту.
Несмотря на то, что тактика задействования PoC-приманок для доставки вредоносного ПО далеко не нова, наблюдаемая атака все же вызывает серьезные опасения в виду использования актуальной в моменте проблемы, которая позволит охватить достаточно большое количество жертв.
PoC распространяется через репозиторий, ответвленный от оригинала, и заменяет исходные файлы Python исполняемым файлом, упакованным с помощью UPX.
При запуске поддельный PoC помещает скрипт PowerShell во временную папку системы. Скрипт создает запланированную задачу, которая выполняет закодированный скрипт, предназначенный для загрузки другого скрипта из Pastebin.
Второй скрипт собирает системную информацию, такую как список процессов, список каталогов, IP-адреса, информацию об адаптерах сети и установке обновлений, сжимает ее в ZIP-архив и загружает на внешний FTP-сервер, используя жестко запрограммированные учетные данные.
Перечень IoC - здесь.
Как передают СМИ, в ходе недавней кибератаки на Министерство финансов США китайские хакеры атаковали сразу несколько подразделений, в том числе и те, что занимаются иностранными инвестициями.
В результате продолжающегося расследования становятся известны все более новые подробности инцидента, однако технической информации пока остается крайне мало.
В конце декабря 2024 года выяснилось, что хакеры получили доступ к системам Министерства финансов США, каким именно и что им удалось - в полном объеме не разглашается.
По началу в правительстве США заявили, что злоумышленникам удалось получить доступ к несекретной информации после проникновения на рабочие станции Казначейства.
Известно, что первоначальный доступ, по-видимому, был получен с помощью скомпрометированного ключа API для сервиса удаленного управления от BeyondTrust.
Компании в ходе расследования атаки удалось обнаружить критическую 0-day, CVE-2024-12356, которая, вероятно, и была использована хакерами, но официально это в компании не подтвердили.
Журналистам CNN удалось узнать от трех неназванных официальных лиц США, знакомых с ситуацией, что злоумышленники помимо прочего взломали системы, связанные с Комитетом по иностранным инвестициям в США (CFIUS).
Ранее в Washington Post также сообщали, что китайские хакеры атаковали Управление по контролю за иностранными активами (OFAC), которое отвечает за реализацию санкционной политики, а также Управление министра финансов и Управление финансовых исследований.
По данным CNN, чиновники обеспокоены тем, что Китай может обобщить всю скомпрометированную «несекретную» информацию, анализ которой позволит им выудить весьма чувствительные разведданные.
В Bloomberg предполагают, что за атака на Министерство финансов может стоять китайская APT, известная как Silk Typhoon или Hafnium.
Тем временем, исследователи, журналисты и знакомые с ситуацией чиновники единогласно охарактеризовали инцидент как один из крупнейших за последнее время. Видимо, все же немного грифа в утекших документах все же было.
Так что продолжаем следить.
Исследователи из Check Point Research препарировали новую версию вредоносного ПО Banshee для macOS, предназначенную для кражи данных, которая на протяжении последних двух месяцев избегала детектирования, используя шифрование строк от XProtect от Apple.
Banshee - это инфостиллер, ориентированный на системы macOS и начавший свое распространение с середины 2024 года в формате stealer-as-a-service, который был доступен в киберподполье по цене в 3000 долларов.
Его исходный код просочился на XSS в ноябре 2024 года, что привело к закрытию проекта и открыло возможности для других разработчиков вредоносного ПО по части его дальнейшего совершенствования.
По данным Check Point Research, обнаружившей один из новых вариантов, метод шифрования, используемый в Banshee, позволяет ему маскироваться под обычные операции и выглядеть легальным, собирая конфиденциальную информацию с зараженных хостов.
Еще одно изменение заключается в том, что теперь он больше не обходит стороной системы, принадлежащие российским пользователям.
XProtect от Apple - это технология обнаружения вредоносных ПО, встроенная в macOS и использующая набор правил, аналогичных антивирусным сигнатурам, для идентификации и блокировки известных вредоносных программ.
В последней версии Banshee Stealer реализован алгоритм строкового шифрования, который XProtect использует для защиты своих данных.
Шифруя свои строки и расшифровывая их только во время выполнения, Banshee может обойти стандартные статические методы обнаружения.
Также возможно, что macOS и сторонние антивирусные инструменты относятся к данному методу шифрования с меньшим подозрением, что позволяет Banshee работать незамеченным в течение более длительного времени.
Последняя версия Banshee stealer в основном распространяется через фейковые репозитории GitHub, нацеленные на пользователей macOS, мимикрируя под программное обеспечение. Те же операторы также нацелены на пользователей Windows, но с Lumma Stealer.
Check Point отмечает, что несмотря на приостановку реализации Banshee по схеме as-a-service с с ноября, фиксировались многочисленные фишинговые кампании, в рамках которых продолжалось распространение вредоносного ПО с момента утечки исходного кода.
Инфокрад нацелен на данные в популярных браузерах (включая Chrome, Brave, Edge и Vivaldi), включая пароли, расширения двухфакторной аутентификации и криптокошельков.
Он также способен собирать основную системную и сетевую информацию о хосте, поддерживает отправку жертвам фиктивных запросов для входа в систему, похищая пароли macOS.
Технические подробности - в отчете CPR.
Хакеры взломали и слили базу Gravy Analytics, принадлежащую американской Venntel, которая специализировалась на реализации данных о местоположении смартфонов.
В руках киберподполья оказался внушительный массив, включая списки клиентов и геолокации, собранные со смартфонов, которые отображают точные перемещения их пользователей.
Как отмечается, в течение многих лет компании собирали информацию о местоположении со смартфонов, либо через обычные приложения, либо через рекламную экосистему, а затем создавали продукты на основе этих данных для их последующей продажи.
Во многих случаях в число клиентов входило правительство США, а также различные военные структуры, DHS, IRS и ФБР, использующие их в оперативных целях, что также представляло и привлекательную цель для хакеров.
Инцидент с компрометации одного из крупнейших поставщиков такой информации представляет собой серьезный ущерб для отрасли, если в конечном итоге будут проданы на подпольных рынках.
Согласно опубликованным на XSS сообщениям, оказались затронуты персональные данные миллионов пользователей. Теперь хакеры обещают раскрыть базы в течении 24 часов, пока же доступны лишь скрины в качестве пруфов.
Опубликованные образцы включают в себя очевидное ретроспективное местоположение смартфонов, включая точные географические координаты, а также время, когда телефон там находился.
Некоторые скриншоты указывают, из какой страны были собраны данные. В алфавитном списке упоминаются Мексика, Марокко, Нидерланды, Северная Корея, Пакистан и Палестина.
Причем в одном файле - есть даже данные по России.
Файл под названием «пользователи», включенный в опубликованную выборку данных, включает несколько известных компаний, таких как Gannett, Uber, Comcast, Apple, LexisNexis, Equifax и многие др.
Демонстрируя глубину предполагаемой компрометации, на других скриншотах показан доступ к инфраструктуре Gravy, включая root-доступ на связанном с Gravy сервере Ubuntu, контроль над доменами Gravy и доступ к Amazon S3, а по времени - доступ с 2018 года.
К настоящему времени Gravy и новый ее владелец Unacast, купивший компанию в 2023 году, никак не комментируют предполагаемую утечку.
Исследователи пошли дальше и смогли определить, что из каких приложений были собраны точные данные о местоположении объемом более 10 млн. записей.
Среди них более 15 000 (полный список - здесь), включая такие, как Tinder, Grindr, Candy Crush, Proxy VPN Master и др.
Каждая запись включает уникальный идентификатор телефона, координаты GPS, приложение, предоставляющее данные, пользовательский агент, тип телефона, оператора и многое другое.
Причем проанализированная выборка - это лишь малая часть полного набора данных, который может быть вскоре раскрыт.
Будем следить.
Тайваньская Moxa предупреждает клиентов о двух уязвимостях высокой степени серьезности, влияющих на ее маршрутизаторы и устройства сетевой безопасности, которые могут привести к EoP и выполнению команд.
Одна из проблем отслеживается как CVE-2024-9138 (CVSS 4.0: 8,6) и связана с жестко запрограммированными учетными данными, которая может позволить аутентифицированному пользователю повысить привилегии и получить доступ к системе на уровне root со всеми вытекающими.
Другая CVE-2024-9140 (CVSS 4.0: 9,3) позволяет злоумышленникам использовать специальные символы для обхода ограничений ввода, что потенциально приводит к несанкционированному выполнению команд.
Среди затрагиваемых продуктов для CVE-2024-9138: серия EDR-810 (версия прошивки 5.12.37 и далее по всем сериям включая более ранние), EDR-8010 (3.13.1), EDR-G902 (5.7.25), серия EDR-G902 (5.7.25), EDR-G9004 (3.13.1), EDR-G9010 (3.13.1), EDF-G1002-BP (3.13.1), NAT-102 (1.0.5), OnCell G4302-LTE4 (3.13) и TN-4900 (3.13).
По CVE-2024-9140 - серия EDR-8010 (3.13.1 и далее по всем сериям включая более ранние), EDR-G9004 (3.13.1), EDR-G9010 (3.13.1), EDF-G1002-BP (3.13.1), NAT-102 (1.0.5), OnCell G4302-LTE4 (3.13) и TN-4900 (3.13).
Патчи доступны для: EDR-810, EDR-8010, EDR-G902, EDR-G903, EDR-G9004, EDR-G9010 и EDF-G1002-BP (обновление прошивки до версии 3.14 или более поздней), NAT-102 (официальный патч недоступен), OnCell G4302-LTE4 и TN-4900 (через службу поддержки Moxa).
В качестве мер по снижению риска рекомендуется убедиться, что устройства не имеют доступа к Интернету, ограничить доступ по SSH доверенными IP-адресами и сетями с помощью брандмауэра или TCP-оболочек, а также принять меры по обнаружению попыток эксплуатации.
Клиентам Ivanti подъехали рождественские подарочки в виде новых активно эксплуатируемых 0-day, на распаковку позвали исследователей Mandiant из Google Cloud.
В среду Ivanti уведомила клиентов о том, что в ее VPN-устройствах Connect Secure (ICS) были исправлены две уязвимости - CVE-2025-0282 и CVE-2025-0283.
Первая критическая связана с переполнением буфера в стеке, позволяющее неаутентифицированным удаленным злоумышленникам выполнять произвольный код.
Компания предупредила, что она была успешно реализована в отношении ограниченного числа клиентов, не раскрывая при этом подробностей об атаках.
Затем Mandiant, привлеченная Ivanti к расследованию атак, выявила, что эксплуатация была связана с китайскими злоумышленниками, а началась еще в середине декабря 2024 года.
К настоящему времени исследователям не удалось приписать эксплуатацию CVE-2025-0282 конкретному субъекту угрозы.
Но вместе с тем, было замечено, что злоумышленники развернули семейство вредоносного ПО Spawn, которое было связано ранее с китайской UNC5337.
Spawn включает в себя установщик SpawnAnt, туннелер SpawnMole и SSH-бэкдор под названием SpawnSnail.
В Mandiant со средней уверенностью полагают, что UNC5337 является частью группы угроз UNC5221, ранее замеченной в эксплуатации уязвимостей решений Ivanti (CVE-2023-46805 и CVE-2024-21887). Жертвами этих атак тогда стали MITRE и CISA.
В атаках с новым нулем Ivanti ICS Mandiant также обнаружила ранее неизвестные семейства вредоносных ПО, которые получили названия DryHook и PhaseJam, которые еще не были приписаны к какой-либо известной группе угроз.
По всей видимости, за создание и развертывание этих различных семейств кодов (например, Spawn, DryHook и PhaseJam) отвечают несколько субъектов, но на момент публикации отчета точно оценить число субъектов угроз, нацеленных на CVE-2025-0282, в Mandiant не смогли.
В наблюдаемых атаках хакеры сначала отправляли запросы на целевое устройство, пытаясь определить версию ПО, поскольку эксплуатация зависит от версии.
Затем они эксплуатировали CVE-2025-0282, отключили SELinux, внесли изменения в конфигурацию, выполнили скрипты и развернули веб-оболочки в рамках подготовки к развертыванию вредоносного ПО.
Вредоносная программа PhaseJam - это дроппер, предназначенный для изменения компонентов Ivanti Connect Secure, развертывания веб-оболочек и перезаписи исполняемых файлов для облегчения выполнения произвольных команд.
Вредоносная ПО помогает злоумышленникам создать первоначальный плацдарм, позволяет им выполнять команды, загружать файлы на устройство и извлекать данные.
DryHook использовалось злоумышленниками на этапе постэксплуатации для кражи учетных данных.
В попытке сохраниться после обновлений системы злоумышленники использовали вредоносное ПО SpawnAnt, которое копирует себя и свои компоненты в специальный раздел обновлений.
Кроме того, вредоносное ПО PhaseJam блокирует обновления системы, но отображает поддельную шкалу прогресса обновления, не вызывая подозрений.
Mandiant предупреждает, что CVE-2025-0282, вероятно, будет использована и другими злоумышленниками после публикации PoC.
Пока хакеры развлекаются, Ivanti вновь усердно пилит обновления, выпустив исправления лишь для Connect Secure.
Однако Policy Secure и Neurons для ZTA остаются все еще уязвимыми и получат исправления только 21 января.
Посыпались новые обвинения в адрес китайских APT, которых на этот раз заподозрили во взломе Министерства финансов США.
Если быть точнее, то по данным американских властей, целью хакеров стало Управление по контролю за иностранными активами (OFAC), которое обеспечивает режим торговых и экономических санкций.
OFAC был создан в декабре 1950 года с целью контроля за китайскими и северокорейскими активами, находящихся под юрисдикцией США после того, как Китай вступил в Корейскую войну.
Согласно направленному в Конгресс США на этой неделе письму, атака была писана как «крупный инцидент кибербезопасности», возникший в результате взлома SaaS-платформы удаленной поддержки BeyondTrust.
По данным Washington Post, официальные лица США впоследствии заявили, что целью злоумышленников было именно OFAC, вероятно, с целью сбора разведданных в отношении санкционных планов американских властей на китайском направлении.
Причем помимо OFAC хакерам по той же схеме удалось подломить Управление финансовых исследований Министерства финансов, но последствия и масштабы вторжения пока не разглашаются.
В свою очередь, представитель МИД Китая Мао Нин опроверг все доводы о причастности страны к инциденту, назвав обвинения необоснованными и беспочвенными.
Тем не менее, приписываемая КНР киберактивность теперь умело испольущеися для оправдания развязанной в одностороннем порядке санкционной войны.
Одной из жертв которой совсем недавно стала базирующейся в Пекине Integrity Technology Group.
Поводом для введения ограничений стали многочисленные атаки, включая инциденты, приписываемые Flax Typhoon, нацеленной на критически важную инфраструктуру США.
Тем временем продолжают также презентовывать и новых жертв Salt Typhoon: на днях правительство США заявило о девятой телекоммуникационной компании, взломанной группой (но не назвала ее).
Продолжаем следить.
Исследователи из Лаборатории Касперского задетектили ранее недокументированное вредоносное ПО VBCloud в арсенале Cloud Atlas, которое задействовалось в атаках, нацеленных на несколько десятков пользователей в 2024 году.
Жертвы заражались через фишинговые письма, содержащие вредоносный документ, который реализует уязвимость в редакторе формул (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
Более 80% целей находились в России. Меньшее количество жертв было зарегистрировано в Беларуси, Канаде, Молдове, Израиле, Киргизии, Турции и Вьетнаме.
Cloud Atlas, также известная как Clean Ursa, nception, Oxygen и Red October, представляет собой кластер вредоносной активности, действующий с 2014 года.
В декабре 2022 года группа была связана с кибератаками, направленными на Россию, Беларусь и Приднестровье, в ходе которых использовался бэкдор на базе PowerShell под названием PowerShower.
Попадала также в поле зрения F.A.C.C.T. в связи с фишинговыми атаками на различные организации в России с использованием старой уязвимости редактора формул Microsoft Office (CVE-2017-11882) для внедрения полезной нагрузки Visual Basic Script (VBS), отвечающей за загрузку неизвестного вредоносного ПО VBS следующего уровня.
Согласно отчету Лаборатории Касперского эти компоненты являются частью так называемого VBShower, который затем используется для загрузки и установки PowerShower, а также VBCloud.
Начальной точкой цепочки атак выступает фишинговое письмо, содержащее вредосносный документ Microsoft Office, который при открытии загружает вредоносный шаблон в формате RTF с удаленного сервера.
Затем задействует CVE-2018-0802, еще одну уязвимость в редакторе формул, для извлечения и запуска файла HTML-приложения (HTA), размещенного на том же сервере.
При этом используется функция альтернативных потоков данных (NTFS ADS) для извлечения и создания нескольких файлов в %APPDATA%\Roaming\Microsoft\Windows\, которые составляют бэкдор VBShower, включая лаунчер, который действует как загрузчик, извлекая и запуская модуль бэкдора в памяти.
Другой скрипт VB - это очиститель, который обеспечивает удаление содержимого всех файлов внутри папки "\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\", в дополнение к тем, что находятся внутри него и лаунчера, тем самым скрывая следы вредоносной активности.
Бэкдор VBShower предназначен для извлечения дополнительных полезных данных VBS с сервера C2, обладает возможностями перезагрузки системы, сбора информации о файлах, именах запущенных процессов и задачах планировщика, а также установки PowerShower и VBCloud.
PowerShower аналогичен VBShower по функциональности, главное отличие в том, что он загружает и выполняет скрипты PowerShell следующего этапа с сервера C2. Он также оснащен для работы в качестве загрузчика для файлов архивов ZIP.
VBCloud также функционирует во многом как VBShower, но использует службу публичного облачного хранилища для коммуникаций C2. Он запускается запланированной задачей каждый раз, когда жертва входит в систему.
Вредоносная программа способна собирать информацию о дисках, системные метаданные, файлы и документы с расширениями DOC, DOCX, XLS, XLSX, PDF, TXT, RTF и RAR, а также файлы, связанные с Telegram.
Таким образом, PowerShower исследует локальную сеть и способствует дальнейшему проникновению, в то время как VBCloud собирает информацию о системе и крадет файлы. Цепочка заражения состоит из нескольких этапов и в конечном итоге направлена на кражу данных.
Все технические подробности и индикаторы - в отчете.
В ближайшее время банда Cl0p намерена раскрыть имена своих 66 жертв, которые на днях разместились на DLS вымогателей в рамках кампании по эксплуатации 0-day в продуктах для передачи файлов от разработчика корпоративного программного обеспечения Cleo.
В середине декабря Cleo взяли на себя отверженность за атаки Cleo, заявив о взломе достаточного большого числа целей. На DLS поместили тех, с кем еще хакерам не удалось связаться для обсуждения условий выкупа.
Одну из них все же опубличили для подтверждения своих планов. Жертвой оказался поставщик ПО для управления цепочками поставок Blue Yonder. Наименования оставшихся обещают раскрыть 30 декабря, если только представители не выйдет на связь.
При этом существуют серьезные подозрения, что атака Blue Yonder, поразившая следом Starbucks и некоторые крупные сети общепита, была осуществлена с использованием уязвимости Cleo.
Правда тогда, ответственность за атаку Blue Yonder взяла на себя новая группа вымогателей под названием Termite, но позже стало понятно, что за ней стоят уже известные по MOVEit и прочим кампаниям участники Cl0p.
Исследователи также полагают, что за атаками на Harmony, VLTrader и LexiCom с использованием CVE-2024-50623 и CVE-2024-55956 могут стоять и другие группы угроз с тех пор, как стало известно о существовании проблем в решениях Cleo.
Учитывая, что у Cleo более 4000 клиентов, масштаб нового инцидента может оказаться сопоставим с прошлыми кампаниями Cl0p. Но будем посмотреть.
Кстати, а как там дела с дронами в США? А все летают.
Кроме Нью-Джерси их фиксируют уже по всей стране - в Массачусетсе, Небраске, Аризоне и даже Калифорнии, которая находится в противоположном от NJ углу США.
Правительственные спикеры по-прежнему отмораживаются. А местные власти запретили запуск беспилотников более чем в 20 городах Нью-Джерси до середины января.
У нашего канала есть достоверное объяснение происходящего. Просто происходит тестирование нового сюжетного обновления Матрицы. Маск не даст соврать.
Если у вас PAN-OS, то у нас для вас плохие новости.
Palo Alto Networks раскрыла серьезную уязвимость, влияющую на ПО PAN-OS, которая может привести к DoS на уязвимых устройствах.
CVE-2024-3393 имеет оценку CVSS: 8.7 и влияет на PAN-OS 10.X и 11.X, а также на Prisma Access, работающую под управлением версий PAN-OS.
Ошибка была устранена в PAN-OS 10.1.14-h8, 10.2.10-h12, 11.1.5, 11.2.3 и всех более поздних версиях PAN-OS.
Как отмечает поставщик, уязвимость в функции безопасности DNS программного обеспечения PAN-OS позволяет неаутентифицированному злоумышленнику отправить вредоносный пакет через плоскость данных брандмауэра, который перезагружает брандмауэр.
Повторные попытки вызвать это состояние приведут к переходу брандмауэра в режим обслуживания.
В компании заявили, что обнаружили уязвимость в производственной среде и ей известно о клиентах, столкнувшихся с DoS-атаками, когда их брандмауэр блокировал вредоносные DNS-пакеты, вызывающие эту проблему. Правда, масштаб выявленной активности пока не разглашается.
Стоит отметить, что брандмауэры, в которых включено ведение журнала DNS Security, подвержены уязвимости CVE-2024-3393.
При этом серьезность уязвимости также снижается до CVSS 7,1, когда доступ предоставляется только аутентифицированным конечным пользователям через Prisma Access.
В качестве обходного пути и меры по смягчению последствий для неуправляемых брандмауэров или брандмауэров, управляемых Panorama, клиенты рекомендуется установить уровень ведения журнала на «нет» для всех настроенных категорий безопасности DNS для каждого профиля защиты от шпионского ПО.
Для брандмауэров, управляемых Strata Cloud Manager (SCM), пользователи могут либо выполнить указанные выше шаги, чтобы отключить ведение журнала DNS Security непосредственно на каждом устройстве, либо на всех устройствах - через запрос в службу поддержки.
Для арендаторов Prisma Access, управляемых SCM, рекомендуется открыть запрос в службу поддержки, чтобы отключить ведение журнала до тех пор, пока не будет выполнено обновление.
Как Гринч украл Рождество, так и Microsoft украла у пользователей обновления безопасности.
Микромягкие в канун Рождества обрадовали своих пользователей внезапно возникшей ошибкой, связанной с использованием носителя для установки Windows 11 версии 24H2, которая вызывает сбой в процессе установки обновлений безопасности.
Проблема возникает при использовании CD и USB накопителей для установки Windows 11 с обновлениями безопасности, выпущенными в период с 8 октября по 12 ноября.
Причем проблема появляется лишь в том случае, если носитель создан с учетом включения обновлений безопасности за октябрь 2024 года или ноябрь 2024 года в качестве части установки.
При этом ошибка не влияет на обновления безопасности, применяемые через Центр обновления Windows, и не возникает при использовании последнего обновления безопасности от декабря 2024 года.
В настоящее время Microsoft трудится над исправлением и рекомендует при установке Windows 11 24H2 с носителя использовать обновления от 10 декабря, чтобы избежать возникновения последующих проблем с обновлением.
Стоит также отметить, что эта неурядица стала одной из многочисленных проблем, которые волной накрыли пользователей Windows 11 24H2, включая сбои звуковых систем, почты, сканеров и даже игр.