SecAtor

2023-09-26 12:47:21 Clop’ы, вероятнее, уже вовсю трудятся над новой темой, подыскивая очередные 0-day и допиливая под них эксплойты, а последствия их последней хакерской облавы клиенты MOVEit Transfer продолжают разгребать.

Согласно озвученный американской образовательной НКО National Student Clearinghouse (NSC) статистике, утечка данных Национального студенческого информационного центра затронула 900 колледжей и университетов, пользующихся ее услугами по всей территории США.

Как выяснилось, банда вымогателей получила доступ к информации, принадлежащей тысячам организаций и миллионам лиц, в конце мая этого года, воспользовавшись 0-day в ПО для управляемой передачи файлов MOVEit.

20 июня стало известно о том, что данные из базы данных студенческих записей были украдены.

Скомпрометированной оказалась информация, включающая установочные данные, контакты, номера соцстрахования и студбилета, а также различные образовательные записи.

По данным Emsisoft, такие образом число организации, на которых прямо или косвенно повлиял взлом MOVEit, по состоянию на конец сентября достиг 2053.

Общее число пострадавших лиц превышает 57 миллионов.

Несмотря на занимательное количество потенциальных жертв, по оценкам Coveware, лишь некоторые из них согласились выплатить отступные.

Тем не менее, по прогноенным оценкам последний кейс может принести им доход до 100 млн.долл. в качестве выкупа, чего вполне достаточно для подготовки к новой делюге. Открыть/Комментировать

2023-09-15 13:28:34 Тупорылый наброс сделали вчера исследователи из Cyble.

Они проанализировали загруженный на VirusTotal архив RAR, который содержал в себе видеофайл и вредоносный exe-шник, написанный на Python. Тот, в свою очередь содержит скрипт PowerShell, а тот подтягивает еще скрипты PowerShell и т.д. Короче, в итоге вредонос закрепляется в системе и каждые 12 секунд делает скриншоты, которые потом жмет и отправляет куда-то по FTP. Причем хранит он их в открытую в подпапке С:\User\. Предполагается, что распространялся вредоносный архив в рамках некой фишинговой кампании.

А дальше начинается магия залипуха. И видеофайл и вредонос называются одинаково - "С Днем Республики Татарстан!", а exe-шник помимо своей вредоносной функции выводит на экран открытку "30 августа. С Днем Республики!". Причем все надписи на русском языке.

Из этого всего тупоголовые индусские американцы из Cyble делают далекоидущий вывод, что атака направлена на "татароязычных пользователей, проживающих на территории Республики Татарстан" (!) А чо не на проживающих на территории Татарстана мордвинов?

А потом они, с ссылкой на Proofpoint, говорят, что к этой атаке скорее всего причастна коммерческая хакерская группировка TA866, которая ранее атаковала немецкие и американские организации. А в коде TA866 есть комментарии на русском языке!

Шах и мат, вата! Русские хакеры (по заказу Кремля, ессессно) атакуют татар в святой для них день Татарстана! Незабудим непрастим!

Как мы видим, фимоз головного мозга все глубже проникает в отрасль инфосека. Даже индусов не пощадил. "Эти знатные баре в большинстве случае педерасты" (с) Швейк

Новости про атаку на татароязычных пользователей уже поползли по инфосек ресурсам, кстати.

Ана сөте белән кермәгән тана сөте белән керми! Открыть/Комментировать

2023-09-05 20:31:31 Positive Technologies поделились подробностями реализации атаки, которая привела к остановке центрифуги для обогащения урана, пусть хоть и на виртуальной, но АЭС.

В рамках Standoff 11 организаторы представили виртуальное государство F с атомной промышленностью. В атомной промышленности выделили основные отраслевые элементы и этапы — от добычи урановой руды до захоронения отходов.

По сценарию кибербитвы для атак были доступны АЭС (включая электроподстанцию) и завод по обогащению урана. Задачей атакующих (red team) было реализовать недопустимые события на виртуальной АЭС, а защитников (blue team) — расследовать атаку.

На второй день противостояния на виртуальном заводе перестали работать несколько центрифуг. Атакующим удалось проникнуть во внутреннюю сеть предприятия и отправить контроллеру соответствующую команду.

Цепочка реализованных в ходе Standoff событий наглядно демонстрирует, что даже самые защищенные системы и критическая инфраструктура подвержены уязвимостям.

Атака началась с обычного фишингового письма. После того, как пользователь открыл зараженный документ, red team удалось переместиться через несколько устройств и по итогу получить доступ к узлу оператора ПЛК. Именно оттуда они остановили центрифугу для обогащения урана.

В реальной жизни изменение скорости вращения центрифуг может привести к остановке обогащения урана и обнулить весь процесс.

К тому же при неправильном изменении частоты вращения центрифуга может выйти из строя, а ее восстановление займет месяцы, как это было в случае со Stuxnet, отбросившим ядерную программу Ирана на два года назад.

Ретроспективу событий, сохранившихся в SOC, распутали специалисты PT Expert Security Center, о чем в подробностях поведали в блоге. Открыть/Комментировать

2023-08-21 17:40:02 Anonymous Italy провели серию DDoS-атак на ресурсы японских организации в сфере ядерной энергетики в знак различных ядерно-энергетических организаций в Японии.

Целями стали Японское агентство по атомной энергии, Japan Atomic Power и Японское общество по атомной энергии.

Помимо этого под удар попали и различные связанные с Фукусимой сайты, включая TEPCO, Министерство экономики, торговли и промышленности и Либерально-демократическую партию.

Anonymous опубликовали список целей для атак после того, как японское правительство официально приняло решение о сбросе очищенной воды с АЭС.

По мнению Anonymous, политика японского правительства в отношении сброса очищенной воды непрозрачна, поскольку граждане не могут участвовать в процессе принятия решений, полагая положить конец «бессмысленным действиям по превращению моря в свалку ради экономической выгоды».

Местное население и жители соседних стран в определенной части поддерживает действия хакеров и выступают против сброса воды, а Китай и вовсе намерен ввести тотальное радиационное тестирование японских морепродуктов. Открыть/Комментировать

2023-07-25 20:28:59 Обнаруженные уязвимости в стандарте радиосвязи Terrestrial Trunked Radio (TETRA) подвергают потенциальному риску чувствительную информацию, поскольку широко используется правительственными организациями и секторами критической инфраструктуры.

Речь идет о пяти уязвимостях, которые были обнаружены компанией Midnight Blue еще в 2021 году и до сих пор не раскрыты.

В совокупности кластер недостатков назвали TETRA:BURST и на данный момент нет убедительных доказательств того, что эти уязвимости были использованы в дикой природе.

В зависимости от конфигурации инфраструктуры и устройств, эти уязвимости позволяют проводить дешифрование в реальном времени или в формате "собери сейчас, расшифруй позже", внедрять сообщения, осуществлять деанонимизацию пользователей или закрепление ключа сессии.

TETRA, стандартизированный Европейским институтом стандартов телекоммуникаций (ETSI) в 1995 году, используется в более чем 100 странах в качестве системы радиосвязи полиции.

Он также используется для управления критическими системами, такими как электросети, газопроводы и железные дороги.

Midnight Blue смогла обнаружить пять недостатков, от низкой до критической степени серьезности, которые позволяют потенциальному злоумышленнику осуществлять перехват и манипуляции как в пассивными, так и в активными режиме:

- CVE-2022-24400 - ошибка в алгоритме аутентификации позволяет злоумышленникам устанавливать производный ключ шифрования (DCK) равным 0.

- CVE-2022-24401 - генератор потоков ключей Air Interface Encryption (AIE) зависит от сетевого времени, которое публично транслируется без проверки подлинности, что позволяет расшифровывать атаки oracle.

- CVE-2022-24402 - алгоритм TEA1 имеет бэкдор, который уменьшает исходный 80-битный ключ до размера ключа, что позволяет простое использование на потребительском оборудовании за считанные минуты.

- CVE-2022-24403 - криптографическая схема, используемая для обфускации радиоидентификационных данных, имеет слабую конструкцию, которая позволяет злоумышленникам деанонимизировать и отслеживать пользователей.

- CVE-2022-24404 - отсутствие аутентификации по зашифрованному тексту в AIE позволяет проводить атаки с гибкостью.

Одной из самых серьезных проблем является CVE-2022-24401, которая может быть использована для раскрытия текста, голосовых сообщений и данных.

Как заявили специалисты Forescout, влияние вышеуказанных проблем в значительной степени зависит от того, как TETRA используется организациями, например, передает ли она голос или данные с использованием какого-либо криптографического алгоритма.

Что интересно, по мнению Midnight Blue, уязвимость в шифре TEA1 (CVE-2022-24402), очевидно, является результатом преднамеренного ослабления.

Поскольку вычислительный шаг не служит никакой другой цели, кроме как уменьшить эффективную энтропию ключа.

Тем не менее, ETSI в своем заявлении опровергли бэкдор, заявив, что стандарты безопасности TETRA были согласованы с национальными органами безопасности и соответствуют правилам экспортного контроля, которые определяют силу шифрования. Открыть/Комментировать

2023-07-25 18:35:02 Правительство Норвегии атаковали с использованием 0-day в американском корпоративном ПО для управления мобильными устройствами Ivanti.

В понедельник власти Норвегии подтвердили инцидент, в результате которого пострадали не менее 13 министерств и правительственных учреждений.

Как позже пояснило Управление национальной безопасности страны, атака была связана с эксплуатацией CVE-2023-35078, затрагивающей Endpoint Manager Mobile (EPMM), ранее известную как MobileIron Core.

Согласно бюллетеню Ivanti, CVE-2023-35078 представляет собой проблему доступа к API без проверки подлинности, которую могут использовать удаленные злоумышленники для потенциального доступа к личной информации пользователей и внесения ограниченных изменений на сервере.

Кроме того, злоумышленник может может внести другие изменения в конфигурацию, в том числе создать учетную запись администратора EPMM со всеми вытекающими последствиями.

Уязвимость обхода аутентификации оценивается как критическая и затрагивает все поддерживаемые версии, включая 11.10, 11.9 и 11.8, а также более ранние выпуски.

Поставщик оперативно выпустил срочные исправления, порекомендовав клиентам установить его как можно скорее в виду простоты эксплуатации уязвимости.

Небезызвестный в сообществе Кевин Бомонт также оперативно настроил honeypot для мониторинга CVE-2023-35078 и уже увидел попытки эксплуатации.

При этом Shodan показывает, что систем, доступных в Интернете, более 2900, большая часть из которых располагаются в США и Европе.

Но несмотря на всю критичность недостатка, поставщик (и по совместительству инфосек-вендор) изначально предоставлять доступ к рекомендациям за отдельную плату, а об использовании уязвимости и вовсе решил не распространяться на этот счет.

Но после шквала критики - дал заднюю.

По прогнозам специалистов, на Норвегии атаки не закончатся, на очереди штаты, Европа и Великобритания, где Ivanti пользуют в правительстве и крупном корпоративном секторе.

Но будем посмотреть. Открыть/Комментировать

2023-07-25 16:30:02 Исследователь Google Тэвис Орманди обнаружил новую уязвимость Zenbleed, затрагивающую процессоры AMD Zen2, которая позволяет красть конфиденциальные данные, включая пароли и ключи шифрования, со скоростью 30 КБ/с от каждого ядра процессора.

CVE-2023-20593 была обнаружена в процессорах Zen2 с помощью фаззинга и вызвана неправильной обработкой инструкции vzeroupper во время спекулятивного выполнения.

По словам исследователя, оптимизированный эксплойт для уязвимости позволяет извлекать конфиденциальные данные из любой ОС, включая и те, которые работают на виртуальных машинах, изолированных песочницах, контейнерах и т. д.

Исследователь сообщил об уязвимости в AMD 15 мая 2023 года, а после выхода обновлений для CVE-2023-20593 представил технические детали и PoC для Linux.

Уязвимость затрагивает все процессоры AMD, построенные на архитектуре Zen 2, включая Ryzen 3000 (Matisse), Ryzen 4000U/H (Renoir), Ryzen 5000U (Lucienne), Ryzen 7020, а также ThreadRipper 3000 и Epyc server (Rome).

Для исправления Zenbleed рекомендуется обновить микрокод AMD или же дождаться обновления BIOS от поставщика.

В качестве альтернативы исследователь предложил свой обходной путь для смягчения проблемы, предупреждая о падении производительности процессора в случае его применения.

По мнению исследователя, обнаружить эксплуатацию Zenbleed будет достаточно сложно, поскольку vzeroupper не требует повышенных привилегий или специальных системных вызовов.

Уязвимость может быть реализована вредоносным ПО, развернутым на целевом устройстве. 

Но с другой стороны, на практике влияние Zenbleed на обычных пользователей относительно невелико, поскольку для эксплуатации требуется локальный доступ к целевой системе и высокая степень специализации атакующего.

Тем не менее, всегда важно поддерживать системы в актуальном состоянии и следить за последними исправлениями безопасности, своевременно обновляя BIOS. Открыть/Комментировать

2023-07-25 14:30:02 Apple выпустила обновления безопасности для платформ iOS, macOS и iPadOS, исправив новую 0-day, используемую в атаках АРТ.

Это как раз одна из дыр в ядре iOS и macOS, о которых стало известно благодаря ресерчерам из Лаборатории Касперского в рамках расследования Operation Triangulation.

По данным Apple, уязвимость ядра (CVE-2023-38606) затрагивает устройства на базе iOS, iPadOS и macOS и уже активно использовалась в атаках, нацеленных на устройства с версиями, выпущенными до iOS 15.7.1.

По словам исследователей Kaspersky GReAT, CVE-2023-38606 являлась частью цепочки эксплойтов с нулевым щелчком, используемой  для развертывания шпионского ПО Triangulation на iPhone с помощью эксплойтов iMessage.

Предыдущая эксплуатируемая уязвимость WebKit, отслеживаемая как CVE-2023-37450, была ранее исправлена в Rapid Security Response (RSR).

Злоумышленники могут использовать уязвимости на незащищенных устройствах для изменения важных состояний ядра. Apple устранила их, улучшив проверки и управление состоянием.

В целом Apple пофиксила не менее 25 задокументированных ошибок безопасности в iPhone и iPad, в том числе множество проблем, которые подвергают мобильные устройства RCE-атакам. Не обошла стороной CVE-2023-32409 в tvOS 16.6 и watchOS 9.6.

Apple также закрыла проблемы безопасности в браузере Safari (Safari 16.6), а также более старых версиях iPhone и iPad (iOS 15.7.8 и iPadOS 15.7.8) и macOS Ventura 13.5.

По итогу, с начала года Apple исправила уже 11 уязвимостей 0-day, которые злоумышленники использовали для атак на устройства под управлением iOS, macOS и iPadOS. Открыть/Комментировать

2023-07-25 12:48:42 Atlassian исправила серьезные RCE-уязвимости в Confluence Data Center и Server, а также для одной уязвимости в Bamboo Data Center.

Самая серьезная из этих проблем отслеживается как CVE-2023-22508 (оценка CVSS 8,5) и закралась в Confluence с версии 7.4.0, а другая CVE-2023-22505 (оценка CVSS 8,0) - с версии 8.0.0.

Использование обеих уязвимостей может позволить злоумышленнику выполнить произвольный код, что повлияет на конфиденциальность, целостность и доступность.

Для эксплуатации не требуется взаимодействия с пользователем, но злоумышленник должен пройти аутентификацию как действительный пользователь.

Оба недостатка были устранены с выпуском версий Confluence 8.3.2 и 8.4.0.

Клиентам, которым не удается выполнить обновление до одной из этих версий, необходимо выполнить обновление как минимум до 8.2.0, которая исправляет CVE-2023-22508.

Atlassian также объявила об исправлениях для CVE-2023-22506 (оценка CVSS 7,5), серьезной ошибки RCE в Bamboo Data Center.

Уязвимость, появившаяся в версии 8.0.0 Bamboo, была устранена с выпуском 9.2.3 и 9.3.1 корпоративного решения.

Пользователям и администраторам рекомендуется установить доступные исправления как можно скорее, даже несмотря на то, что Atlassian не упоминает об эксплуатации в дикой природе.

Ведь успешная эксплуатация этих ошибок может привести к захвату системы. Открыть/Комментировать

2023-07-24 20:40:02 Исследователи Checkmarx обнаружили атаки на цепочку поставок ПО с открытым исходным кодом, нацеленные исключительно на банковский сектор, где, по меньшей мере, два банка стали их жертвами.

Специалисты назвали инциденты первыми в своем роде. В рамках этих атак злоумышленники использовали продвинутые TTP, включая таргет на конкретные компоненты веб-ресурсов жертв с прикреплением соответствующих вредоносных функции.

В феврале и в апреле 2023 года злоумышленники загрузили пакеты с вредоносными скриптами на npm репозиторий. Что за злоумышленник(и) и какой был характер последствий не сообщается.

Известно, что в одной из атак автор вредоносного ПО загрузил пару пакетов в реестр npm в начале апреля 2023 года. Модули поставлялись с предустановленным сценарием для активации последовательности заражения.

После запуска скрипт определял ОС хоста, и продолжал загружать вредоносное ПО второго уровня Havoc с удаленного сервера, используя поддомен в Azure, который включал название рассматриваемого банка.

В другом случае злоумышленники атаковали страницу входа в систему банка, где они внедрили вредоносный код, который оставался в «спящем» режиме, пока его не активируют в нужный момент.

Он был разработан для скрытого перехвата данных для входа и передачи данных в инфраструктуру, контролируемую субъектом.

Также атакующие использовали прием с созданием фейкового профиля LinkedIn для придания достоверности у жертвы и проводили индивидуальную настройку центров управления и контроля для каждой цели, используя легитимные сервисы.

Действия злоумышленников вполне закономерны и в последнее время опасения относительно безопасности открытого ПО выросли в разы, как и атаки на эту никем не регулируемую субстанцию. Открыть/Комментировать