SecAtor

2024-04-22 21:45:02 ͏Как я ворвался в инфосек. Часть 4. Открыть/Комментировать

2024-04-22 16:14:29 Героем новой серии Ivanti Zero-Days вслед за CISA стала другая небезызвестная американская структура - MITRE, также вынужденная рапортовать о киберинцидленте.

Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.

Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.

В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.

Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.

После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.

CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.

Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.

В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.

Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.

Но будем посмотреть. Открыть/Комментировать

2024-04-16 20:20:02 Как одна маленькая ошибка может подорвать безопасность целой индустрии?

А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.

Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.

Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.

Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.

Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.

Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.

Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.

Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить. Открыть/Комментировать

2024-04-11 15:22:02 Границы между технологическим прогрессом и злонамеренным использованием становятся всё более размытыми, что отражает последнее открытие исследователей из Proofpoint.

Они установили, что Scully Spider (или TA547) начала применять в своих атаках скрипт PowerShell, созданный, с применением ИИ, открывая новую эру в киберпреступности, где ИИ становится оружием в руках хакеров.

С марта этого года скрипт был задействован в кампании по рассылке электронной почты в Германии, выдавая себя за немецкий бренд Metro cash-and-carry.

Целью атаки была доставка вредоносной ПО Rhadamanthys с целью последующей кражи информации.

TA547 активна с 2017 года и ранее задействовала разнообразный арсенал вредоносного ПО для систем Windows и Android, но в последнее время отдавая предпочтение модульному грабберу Rhadamanthys, постоянно расширяющему свои возможности.

Признаки использования ИИ в создании скрипта, такие как исключительная детализация комментариев и использование хеш-символов, указывают на возможное применение систем, подобных ChatGPT, Gemini или CoPilot.

Уж слишком идеально был написан код, что не соответствует обычной практике разработчиков, чьи комментарии зачастую скупы и содержат бытовые ошибки.

Такое использование ИИ может свидетельствовать о генерации кода с безупречной грамматикой и подробным описанием, что ранее было нехарактерно для вредоносных ПО.

Сторонний эксперимент, проведенный специалистами с использованием ChatGPT-4, также подтвердил возможность создания подобных сценариев ИИ, что еще больше усиливает опасения относительно новых методов кибератак.

Кроме того, финансово мотивированные злоумышленники и прогосударственные APT уже начали активно использовать ИИ для создания фишинговых писем, сканирования сетей и разработки фейковых страниц, что открывает новые горизонты для махинаций в киберпространстве.

Подобно выстрелу в пустоту, OpenAI сказала, что приняла меры для блокировки аккаунтов, связанных с APT, которые использовали их систему для злонамеренных целей.

ИИ — штука удобная, но не совершенная, и непонятно, по каким критериям будут оценивать вредоносную активность аккаунтов.

Также интересно, что предложат мастодонты кибербезопасности на новые вызовы, поскольку хакеры не стоят на месте и занимаются разработкой собственных ИИ-инструментов для своих злодеяний. Открыть/Комментировать

2024-04-03 21:16:28 Наблюдая за инцидентом с бэкдором XZ Utils исследователь Ханс-Кристоф Штайнер решил придать огласке аналогичную историю, которая произошла в июне 2020 года и была связана с попыткой попыткой внедрения уязвимости SQL-инъекции в F-Droid, магазин приложений с открытым исходным кодом для устройств Android.

Как и в случае с XZ, свежеиспеченный аккаунт запилилв проект код, который впоследствии проталкивали с помощью группы других свежерегов, оказывая давление на разработчиков F-Droid и попытаясь их склонить к объединению (имплементации) кода.

Исследователь полагает, что команде очень повезло, им удалось обнаружить ошибку внедрения SQL прежде чем имплантат распространился.

Новый код был призван улучшить функциональность поиска F-Droid за счет совершенствования конкатенации SQL-запросов.

Как отмечает Штайнер, несмотря на то, что автор оригинального SQL-кода позже вышел из проекта проекте, он заприметил неладное и решил заменить весь этот подозрительный код библиотеками, которые обеспечивают гораздо большую защиту.

Его убеждали, что конкатенация SQL-запросов — сложная операция и ошибки могут иметь непреднамеренный характер, однако Штайнер отверг эту теорию, заметив определенную согласованность действий новых аккаунтов по продвижению кода.

Хотя попытка не увенчалась успехом, но тактика злоумышленника имеет определенноесходство с инцидентом XZ.

Кстати, на днях эксперт по безопасности цепочки поставок ПО и генеральный директор Chainguard Дэн Лоренц поделился некоторыми мыслями по поводу инцидента с XZ Utils, о котором он предупреждал в подкасте Security Conversations еще в 2022 году.

Как он полагает, правительства ряда стран реализуют через подконтрольные их спецслужбам АРТ долгосрочные атаки на цепочки поставок ПО с открытым исходным кодом, свидетелями которых мы стали в последние дни. Открыть/Комментировать

2024-04-01 18:05:01 На удивление оперативно затушили назревающий в X скандал по поводу замеченной аномалии в Signal Messenger, которое, по мнению исследователей, может указывать на потенциальный 0-day эксплойт в стеке Signal VoIP.

Причем, по некоторым данным, с аналогичными странностями и подозрениями на 0-click через стек Signal VOIP сталкивались также пользователи из России.

В свою очередь, моментально на появившиеся сообщения в X отреагировала администрация мессенджера в лице ее руководителя.

Мередит Уиттакер с уверенностью заявила, что это не атака 0-click, а всего лишь ошибка в реализации настроек конфиденциальности с привязкой номера к имени пользователя, которую разработчики скоро исправят.

Примечательно, что официальное заявление быстро растащили по X пользователи, под копирку размещая опровержения какую-либо 0-day или атаки. Затем сам X присовокупил твит Мередит Уиттакер к исходным сообщениям.

Что не маловажно, на момент обнаружения аномалии у автора дискуссии была установлена последняя версия iOS 17.4 и Signal 7.2, а на следующий день были выпущены версии 17.4.1 и 7.3.

Учитывая неоднозначный бэкграунд компании и ее руководителей, никакие версии исключать нельзя, особенно в контексте последовавшей реакции со стороны Signal.

Но будем посмотреть. Открыть/Комментировать

2024-03-28 17:01:01 Исследователи Positive Technologies выкатили исследование, посвященное анализу kill chain ведущих APT-группировок, нацеленных на Ближний Восток, ставший в последнее время привлекательной мишенью для кибератак.

В регионе сосредоточена высокая концентрация промышленных компаний и предприятий энергетического сектора, выступающих драйвером процессов цифровизации, что в совокупности привлекает внимание хакеров.

Как отмечают исследователи, из 141 расследованной атаки на страны Ближнего Востока более 80% этих атак носили целевой характер.

Главный мотив большинства атак - кибершпионаж.

Поэтому Ближний Восток регулярно находится на прицеле АРТ-групп, осуществляющих многоэтапные, тщательно спланированные атаки, нацеленные на конкретную отрасль или группу отраслей, преследуя политические, экономические и военные интересы.

Некоторые группы APT также были замечены в хактивистских кампаниях и операциях, направленных на саботаж. Как выяснили исследователи, на самом деле не явлись хактивистскими по своей природе. 

Возглавляют список наиболее атакованных стран Саудовская Аравия и ОАЭ, далее - Израиль, Иордания и Египет.

Почти все изученные APT хотя бы один раз атаковали правительственный сектор, а 69% - нацеливались энергетику.

Также можно выделить военно-промышленный комплекс, который в силу геополитических особенностей региона занимает достаточно высокое место в рейтинге. Без внимания не остались СМИ и телеком.

Но главное в отчете - достаточно углубленный анализ kill chain, включающий все этапы атак 16 групп APT, действовавших в странах Ближнего Востока за последние несколько лет.

Тактика и методы этих групп описаны в рамках матрицы MITRE ATT&CK для предприятий (версия 13.1) со ссылками на подробные описания упомянутых методик.

Кроме того, исследователи консолидировали инфу по каждой группе, а также наглядно уложили TTPs всех АРТ в рамках heat map, не позабыв о главном - как им противостоять. Открыть/Комментировать

2024-03-12 21:30:03 ͏"Как работает ваша машина времени на Марсе?" - спрашивают подписчики.

А вот так! Открыть/Комментировать

2024-03-04 21:40:02 ͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.

Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.

Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).

В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.

Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.

Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.

Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.

Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.

В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.

Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.

В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).

Optum UnitedHealth Group от комментариев относительно выкупа отказались.

Так что ситуация пока до конца неясная.

Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.

Будем посмотреть. Открыть/Комментировать

2024-01-22 16:00:04 Замечательная история из Германии. Немецкий суд приговорил программиста к штрафу 3000 евро за "несанкционированный доступ к сторонним компьютерным системам", а на деле - за найденную уязвимость.

Некий фрилансер получил подряд на проверку установленного у клиента ПО компании Modern Solution GmbH & Co. KG, которое, судя по тексту журналистов, генерило ложные сообщения логов. В ходе проверки выяснилось, что оно устанавливает MySQL соединение с головным сервером с использованием пароля, который бы записан в исполняемом файле в виде plaintext. При тестовом подключении оказалось, что кроме данных самого заказчика, доступны также данные еще 700 тысяч клиентов. Программист сообщил об этом в компанию Modern Solutions. Однако последние, вместо того, чтобы отблагодарить за найденную дырку, отрубили сервер, заявили, что у них все норм, а потом подали на исследователя заявление в полицию.

Прокуратура и адвокаты долго спорили о том, получен ли был пароль в ходе декомпиляции исполняемого файла. И, хотя защита была более убедительна, в конечном итоге судье все это было похеру. Он сказал, что уже само использование пароля - это хакерство. На тот факт, что пароль был получен вместе с законно купленным экземпляром ПО, судья так же наклал.

Теперь обе стороны обжалуют приговор в вышестоящем суде. Защита считает, что программист не виноват, прокуратура - что маленький штраф дали, надо больше.

Мудаков в этой истории много. Это и компания Modern Solution GmbH & Co. KG, и полиция, и прокуратура, и, конечно же, король всех мудаков - судья окружного суда Юлиха.

Не в первый раз этот подход уже наблюдаем, весной прошлого года аналогичный случай был на Мальте. То есть подобная правоприменительная практика расширяется.

К чему это приведет - понять не сложно. Нашедшие уязвимости исследователи будут лишний раз помалкивать, а то и сольют данные брокерам 0-day или просто анонимно выкинут в даркнет. И страдать от этого будут все. Не только мудаки. Открыть/Комментировать