SecAtor

2021-03-05 13:08:27 Уже все про это написали, но мы не можем пройти мимо.

Практически одновременно Microsoft и FireEye выпустили отчеты в отношении новых вредоносов, которые были обнаружены в рамках расследования атаки Sunburst на IT-разработчика SolarWinds.

Microsoft побеждает со счетом 3:1. Что же они нашли.

1. Бэкдор второго уровня, который по версии Microsoft называется GoldMax, а в отчете FireEye именуется Sunshuttle - скорее всего это один и тот же вредонос. Написан на Go после апреля 2020 года, FireEye говорят, что он был в зараженной сети в августе 2020. Они же не подтверждают однозначную связь бэкдора с UNC2542, как называют группу, стоящую за атакой Sunburst.

Microsoft более категоричны и называют автором GoldMax именно группу Nobelium, так теперь они именуют организатора атаки. Они, судя по отчету, обладают большими первичными данными и отловили GoldMax у нескольких жертв сразу. Время размещения вредоносов во взломанных сетях - с июня по сентябрь 2020 года.

Из интересного - механизмы сокрытия канала связи вредоноса с управляющим центром, когда бэкдор связывается сразу с несколькими легальными сайтами, чтобы скрыть С2, а последний шлет команды через cookie.

2. Бэкдор Sibot на основе VBScript предназначенный для обеспечения постоянного присутствия на зараженной машине. Microsost нашли три варианта Sibot.

3. Модуль GoldFinger, также написанный на Go и предназначенный для HTTP-трассировки маршрута до управляющего центра.

Как обычно, про TTPs, которые могут свидетельствовать о принадлежности атаки российской APT - ни слова. Открыть/Комментировать

2021-03-05 11:59:00 я тут недавно писал о пиксельных трекерах в почте. там еще было обсуждение про варианты их блокировки, начиная от отключения загрузки удаленного контента до использования Pihole для отправки этих запросов в черную дыру. веб-почта тоже хороший вариант, а если вы Мак-юзер, который пользуется родным клиентом, то вам будет интересно узнать о плагине для Mail, который делает эту блокировку прямо на Маке

https://apparition47.github.io/MailTrackerBlocker/ Открыть/Комментировать

2021-03-04 19:01:34 Мы не раз давали посты по материалам Motherboard о том, как американские спецслужбы покупают информацию у сервисов, собирающих данные геолокации мобильных устройств через различные приложения.

Например, летом мы писали про то, что Секретная Служба США (USSS) купила лицензии на использование одного из таких сервисов Locate X от компании Babel Street.

При этом позже оказалось, что хотя передаваемые данные якобы являются анонимными, по словам одного из бывших сотрудников Babel Street, имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.

Среди собиравших данные приложений, правда для другого сервиса, X-Mode, были молитвенные приложения для мусульман. Среди клиентов X-Mode было американское Командование сил специальных операций (USSOCOM), которая также покупало сведения у Locate X.

Согласно новому расследованию Motherboard, в числе организаций, покупавших геолокацию у Locate X, оказалось 132-е крыло Воздушной национальной гвардии в штате Айова. Тонкость в том, что это подразделение выполняет зарубежные разведывательные и ударные миссии с помощью беспилотников Reaper.

Добро пожаловать в светлое кибернетическое будущее. Открыть/Комментировать

2021-03-04 16:08:00 Компания SITA сообщила об инциденте безопасности, который привел к утечке части данных пассажиров, которые хранились на серверах системы SITA Passenger Service System (SITA PSS). Атака произошла 24 февраля этого года.

Если кто не знает, SITA - ведущий поставщик телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации. SITA PSS - это система обслуживания пассажиров. В частности, этой системой ранее пользовалась авиакомпания S7.

Вероятнее всего, речь идет об атаке ransomware. Компания заявила, что уже связалась с клиентами (по всей видимости, речь идет об авиакомпаниях), чьи данные были затронуты. Так что, как мы понимаем, платить выкуп SITA не собирается. А раз так - скоро украденная информация с большой вероятностью окажется в паблике.

И как обычно - доход компании в 2018 году составил 1,84 млрд. долларов. Видимо на информационную безопасность, как всегда, не хватило. Необходимо было купить мраморные пресс-папье для management team. Открыть/Комментировать

2021-03-04 15:08:03 Бахнули Мазу.

Один из старейших русскоязычных хакерских форумов, бывший Mazafaka, был взломан неизвестным злоумышленником, как сообщает Flashpoint. Судя по оставленному сообщению, взломщик не является русскоязычным, хотя это может быть просто маскировка.

В результате в сеть утекла часть базы, содержащая таки данные как имя пользователя, хэшированный пароль, электронную почту, Skype, ICQ и пр. Некоторые пользователи утверждают, что база старая и неполная.

Война за кормовую базу. Открыть/Комментировать

2021-03-04 13:29:00 ​​Да! Открыть/Комментировать

2021-03-04 12:32:42 ​​Американские инфосек исследователи из компании Qualys - большие затейники. Вроде бы они умеют в хороший инфосек, в частности именно им принадлежит открытие свежей уязвимости Baron Samedit в sudo, которая позволяла получить рутовые права в системе и присутствовала с лета 2011 года.

В то же время, в конце января стало известно, что Qualys получила свою порцию бэкдора Sunburst в ходе атаки на SolarWinds. При этом компания решила прикинуться ветошью и заявила, что это исследователи сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com.

На этот раз калифорнийцы решили именно в плохую свою сторону - оказалось, что Qualys стала жертвой оператора ransomware Clop, который выкинул в сеть часть украденной информации, включая бухгалтерские данные, налоговые документы и др.

Судя по всему, точкой компрометации послужил сервер Accellion FTA, который стоял в сети Qualys и 0-day уязвимость в котором вымогатели Clop эксплуатировали еще в декабре 2020 года. Сервер был размещен по адресу fts-na .qualys .com и мы было подумали, что это новая тестовая среда Qualys (шутка).

Но хорошо, что компания не стала играть в PR им. Грефа и признала, что стала жертвой взлома Accellion FTA в декабре 2020 года. Согласно заявлению Qualys, производственный сегмент сети был изолирован и хакеры в него не попали, получив доступ лишь к второстепенным данным.

И вот с одной стороны вроде как и можно приподзакрыть глаза на этот взлом, все-таки хакеры использовали 0-day. А с другой стороны это все равно зашквар, где же были все их SOCи, SIEMы и прочие DLP (судя по последней дате активности Accellion FTA 18 февраля, злоумышленники сидели в сети Qualys достаточно долго).

Теперь в расследовании инцидента им помогает FireEye Mandiant. Открыть/Комментировать

2021-03-03 21:00:17 Леденящая душу история - сатанисты поругались и... перенесли спор в суд. Мы-то думали, что там речь пойдет минимум о жертвоприношениях, а то и о призвании Вельзевула.

Американская ООО "Объединенная федерация церквей", выступающая под названием Сатанинский храм, подала в суд на своих бывших членов, которые в марте 2020 года перехватили администрирование официальной страницы Вашингтонского отделения (да, у них там и филиалы еще есть) Сатанинского храма в Facebook, Twitter и Google.

Доступы к аккаунтам Twitter и Google сатанисты вернули, а c Facebook что-то не срослось и ребята подали иск на своих бывших соратников по богонеугодным делам, обвинив их в киберсквоттинге.

Однако UDRP (или что там в Штатах по поводу доменных имен) не предусматривает никаких поблажек для диаволопоклонников, поэтому суд отклонил иск по причине того, что страница в Facebook это не домен.

Вот так вот, Интернет - это вам не козлов жертвенных резать. Открыть/Комментировать

2021-03-03 17:00:59 —Партнерский пост—

На YouTube-канале The Standoff Russia главный редактор ведущего российского инфосек издания SecurityLab Александр Антипов рассказывает и обсуждает новости кибербезопасности:

- как баги в ПО тюрем мешают досрочному освобождению заключенных;
- как полиция использует песни Beatles;
- как Silver Sparrow успел заразить более 30 тыс. устройств Mac;

а также главные киберинциденты прошедшей недели:
- как увеличилось количество атак вымогателей в 2021;
- как восстанавливается SEPA после взлома в 2020;
- как обманывают своих жертв операторы SunCrypt;
- и многое другое.

Подписывайтесь, смотрите и рекомендуйте своим знакомым - *The Standoff Russia*. Открыть/Комментировать

2021-03-03 15:36:00 Исследователь Лаксман Муфия рассказал о выявленной уязвимости в механизме сброса пароля от учетной записи Microsoft, за которую он получил 50 тыс. долларов в качестве bug bounty.

При сбросе пароля на электронную почту или телефон пользователя направляется семизначный код, после ввода которого можно заменить пароль. Таким образом общее количество возможных вариантов составляет 10 млн.

Код шифруется перед отправкой на проверку, но Муфия смог разобраться с техникой шифрования. Тем не менее, ограничение на количество неверных вводов кода оказалось на месте и после 122 попыток механизм был заблокирован.

Решение оказалось простым - запросы на проверку следовало отправлять одновременно с точностью до миллисекунды. При одновременном отправлении 1000 зашифрованных кодов, среди которых был и верный, исследователь смог успешно сбросить пароль.

Аналогичным образом он обошел и 2FA, которая требовала дополнительную отправку шестизначного кода. Уязвимость также имела место.

Из-за сложности атаки уязвимость была признана Microsoft важной, а не критичной, но вознаграждение тем не менее Муфия получил. А Microsoft закрыли ошибку в ноябре 2020 года. Открыть/Комментировать