SecAtor

2023-07-24 19:01:02 Инженеры Google пытаются протолкнуть новый веб-API под названием Web Environment Integrity, который позволит веб-сайтам блокировать клиентские приложения, изменяющие их код. 

Если вкратце, то на основе криптографически подписанного токена CBOR, содержащего сведения о локальной среде, веб-сайты будут решать предоставлять доступ клиентскому приложению или нет.

Новая разработка продвигается в качестве решения для обеспечения безопасности и конфиденциальности, поскольку API идеально подходит для блокировки различных типов угроз, в том числе банковских троянов, кибермошенничества и фишинга.

Но на самом деле Web Environment Integrity позволит Google и операторам сайтов эффективно противодействовать блокировщикам рекламы, в связи с чем новый API был неофициально назван Web DRM.

Безусловно, без шума провернуть финт инженерам Google не удалось и вряд ли вообще удастся - после обрушившейся на компанию критики и обвинений со стороны IT-общественности.

Так, по мнению программиста Riot Games Михал Кавалец, авторы вводят в заблуждение и делают все возможное, чтобы скрыть тот факт, что новый API — это всего лишь последняя попытка Google повлиять веб-стандарты только для того, чтобы сохранить свой рекламный бизнес.

В своем комментарии на HackerNews основатель Codemix Чарльз Пик отметил, что новый API размещен на GitHub, отличном от Google, чтобы максимально дистанцировать проект, который по факту представляет угрозу для всей отрасли.

В StackDiary также поднимают вопрос о возможной монополизации, отмечая возрастающую роль Google, Amazon и Metacode в вопросах контроля аттестации на большинстве веб-сайтов и возможности манипуляции показателями, решая какие веб-сайты считаются заслуживающими доверия.

Помимо критики нового API представители сообщества припомнили Google и то, что она переработала API расширений Chrome в целях безопасности, но случайно снизила эффективность расширений для блокировки рекламы. Да, и вообще не обращает должного внимания вредоносным расширениям.

Отметили блокировщик рекламы, встроенный в браузер Chrome, который на самом деле не блокирует рекламу. Обвинили в отсутствии модерации собственной рекламной платформы, которая постоянно пропускает потоки проплаченной вредоносной рекламы.

Общее мнение таково, что теперь Google можно смело добавить в наш недавний пост с упоминанием мировых инфосек-компаний. Открыть/Комментировать

2023-07-24 17:05:02 Промышленные организации в Восточной Европе стали мишенью китайской APT31 (Zirconium, Judgment Panda, Bronze Vinewood и Red Keres), о чем сообщают ресерчеры из Лаборатории Касперского.

Злоумышленник сосредоточился на шпионской кампании, целью которой стала кража ценной интеллектуальной собственности у крупных промышленных организаций.

Причем АСУТП хакеров не интересовали, судя по всем признакам.

К расследованию серии атак Лаборатория Касперского приступила еще в 2022 году.

По результатам выяснили, что злоумышленники стремились создать устойчивый канал для кражи данных, в том числе хранящихся в закрытых системах, нацеливаясь через зараженные съемные диски.

Злоумышленники использовали улучшенные варианты ранее известного вредоносного ПО под названием FourteenHi, которое позволяет загружать или скачивать файлы, запускать команды и инициализировать обратную оболочку.

Причем новые варианты были разработаны специально под инфраструктуру промышленных организаций.

Кроме того, кибершпионы использовали новую вредоносную ПО под названием MeatBall, которая обеспечивает широкие возможности удаленного доступа. 

Для большинства имплантов злоумышленники применяли уязвимости перехвата DLL и методы внедрения в память, а также шифрование RC4, чтобы скрыть полезную нагрузку и избежать обнаружения.

Всего было идентифицировано более 15 имплантатов и их вариантов, установленных злоумышленниками в различных комбинациях.

Для эксфильтрации данных и доставки вредоносного ПО последующего этапа субъект злоупотреблял облачным хранилищем (Dropbox или Яндекс-Диском), а также сервисом, используемым для временного обмена файлами.

Кроме того, также использовался C2, который был развернут на обычных VPS.

Все технические подробности атак, включая IoC и TTP, лучше внимательно изучить в отчете исследователей Лаборатории Касперского, которые также представили и рекомендации для защиты от подобных угроз. Открыть/Комментировать

2023-07-24 15:01:02 Исследователь FullSepctrum опубликовал подробности и PoC для критической CVE-2023-20126, которая затрагивает все версии встроенного ПО для 2-портовых телефонных адаптеров Cisco SPA112.

Ошибка была обнаружена Dbappsecurity и Hatlab, имеет оценку CVSS 9,8, позволяя удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве с полными привилегиями.

Проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.

Злоумышленник может воспользоваться этой уязвимостью, обновив уязвимое устройство до созданной версии прошивки.

Самое печальное во всей этой истории, что Cisco не выпускала и не будет выпускать обновления встроенного ПО для устранения этой уязвимости, поскольку 2-портовые телефонные адаптеры Cisco SPA112 уже EOL.

При этом обходных путей для устранения баги также не существует.

Вместо этого, компания предлагает клиентам перейти на аналоговый телефонный адаптер Cisco ATA серии 190.

Но несмотря на это, устройства до сих пор представлены в продаже на ведущих российских маркетплейсах и реализуются уже со встроенным forever-day, который уже никогда не будет исправлен. Открыть/Комментировать

2023-07-24 13:04:35 Норвежская TOMRA подверглась массированной кибератаке, в результате которой до 4 тысяч ее перерабатывающих машин на территории Нидерландов в супермаркетах Jumbo, Albert Heijn и Aldi начали сбоить.

Атака была обнаружена утром 16 июля, после чего администрация решила отключить ряд систем для локализации инцидента.

После чего все затронутые системы продолжили работать в автономном режиме.

Несмотря на то, что клиенты по-прежнему могут сдавать пластиковые бутылки, компания больше не может подключиться ни к одной из своих машин.

А все операции удаленного обслуживания отключены и переведены на ручную обработку.

В обновлении TOMRA сообщает, что злоумышленники получили доступ к ее сети из Монреаля, а затем распространились на остальную часть сети.

Первоначальное расследование показало, что это была продолжающаяся кибератака с получением доступа через некоторые учетные записи пользователей TOMRA, которые были скомпрометированы.

Хотя со стороны инцидент выглядит как программа-вымогатель, в TOMRA говорят, что они не обнаружили никаких доказательств шифрования и не получали требований выкупа, а также доказательств того, что клиенты, заказчики, партнеры TOMRA или их системы были подвержены риску атаки.

Теперь же TOMRA вынуждена инициировать процесс создания цифровых сервисов для торговых автоматов RVM на новой независимой облачной платформе. Открыть/Комментировать

2023-07-21 21:40:02 Mandiant Intelligence поделилась своими размышлениями относительно того, как китайские АРТ развивают тактику первоначального доступа и посткомпрометации, минимализируя при этом возможности обнаружения и атрибуции.

Ресечеры, в частности, отмечают использование 0-day в ПО для обеспечения безопасности и виртуализации, а также нацеливание на сетевые устройства, что обуславливается доступностью периферийных устройств из Интернета, обеспечением первоначального доступа без участия человека и возможностью повторной компрометации.

Кроме того, устройства безопасности и технологиями виртуализации относятся к платформам, в которых традиционно отсутствуют решения EDR, что еще больше снижает вероятность обнаружения и усложняет атрибуцию.

Так, в 2022 году Mandiant наблюдала, как китайский субъект кибершпионажа UNC3886 использовал несколько путей атаки и две 0-day, атакуя оборонно-промышленную базу (DIB), технологии и телекоммуникационные организации в США и Азии. Злоумышленники ограничили присутствие в сетях устройствами безопасности Fortinet и технологиями виртуализации VMware.

Пользовательское вредоносное ПО группы и эксплойты с приоритетом обходят журналы и элементы управления безопасностью, например, используя нетрадиционные протоколы (сокеты VMCI), которые не регистрируются по умолчанию и не имеют ограничений безопасности для взаимодействия между гипервизорами и гостевыми виртуальными машинами. UNC3886 также очистил и изменил журналы и отключил проверку файловой системы при запуске, чтобы избежать обнаружения. 

Злоумышленник использовал семейства вредоносных программ, предназначенных для взаимодействия с устройствами Fortinet, включая THINCRUST, CASTLETAP, TABLEFLIP и REPTILE. UNC3886 воспользовался уязвимостью обхода пути CVE-2022-41328, чтобы перезаписать законные файлы в обычно ограниченном системном каталоге.

Получив доступ к устройствам Fortinet целевых организаций, злоумышленник взаимодействовал с серверами VMware vCenter и использовал вредоносные VIB для установки бэкдоров VIRTUALPITA и VIRTUALPIE на гипервизоры ESXi. UNC3886 реализовал уязвимость обхода аутентификации CVE-2023-20867 на хостах ESXi, чтобы разрешить выполнение привилегированных команд на гостевых ВМ без создания дополнительных журналов.

Другим примером является эксплуатация 0-day (CVE-2023-2868) в устройствах Barracuda Email Security Gateway (ESG) китайским UNC4841 в рамках кампании, нацеленной на государственные и частные организации по всему миру в поиске информации, представляющей политический или стратегический интерес.

UNC4841 пытался скрыть элементы своей деятельности несколькими способами. В дополнение к схеме нападения на устройство безопасности UNC4841 отправлял электронные письма со специально созданными вложениями в виде файлов TAR, которые использовали CVE-2023-2868 и позволяли злоумышленникам выполнять произвольные системные команды с повышенными привилегиями.

UNC4841 также разработал специальное вредоносное ПО (включая SALTWATER, SEASIDE, SEASPY), встроил код бэкдора в модули Barracuda (включая SEASPRAY и SKIPJACK), а также использовал самозаверяющие временные или украденные сертификаты SSL для маскировки трафика C2.

Кроме того, Mandiant отмечает кампании кибершпионажа с использованием IoT-ботнетов, умных устройств и маршрутизаторов для маскировки внешнего трафика между инфраструктурой C2 и средами жертв, а также штаммов вредоносных ПО с функциями для скрытой ретрансляции трафика внутри целевых сетей. Среди замеченных акторов - APT41, APT31, APT15, TEMP.Hex и Volt Typhoon.

Мы отметили лишь два примера из длинного списка наблюдавшихся инцидентов кибершпионажа с использованием 0-day в продуктах безопасности и сетевых продуктах. В отчете представлен более полный перечень с подробным разбором и описанием деталей. Открыть/Комментировать

2023-07-21 18:00:04 Хотели бы сделать разработку и эксплуатацию контейнерных приложений максимально безопасной и эффективной, но не знаете как? Рассказываем!

Сегодня Лаборатория Касперского выпустила новый продукт, который обеспечивает безопасность контейнерных сред на всех этапах жизненного цикла и встраивается в процесс разработки, позволяя реализовать подход DevSecOps.

На вебинаре Полный вперед: старт продаж Kaspersky Container Security эксперты поделятся подходом к защите контейнерных сред и актуальными угрозами, сделают подробный обзор первой версии и покажут ключевые возможности нового продукта.

Вебинар состоится 27 июля в 11:00 по Москве. Присоединиться, чтобы быть в безопасности, можно по ссылке. Открыть/Комментировать

2023-07-21 16:30:02 Специалисты из Eclypsium раскрыли две новые уязвимости в ПО Baseboard Management Controller (BMC) от American Megatrends (AMI).

BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.

Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.

Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.

Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.

Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.

Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.

Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.

Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).

Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.

Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.

Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.

Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации. Открыть/Комментировать

2023-07-21 15:13:23 Meta (которая признана в России экстремистской) подкинула пользователям WhatsApp очередные ништяки, помимо известных проблем с конфиденциальностью и цензурой.

Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.

Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.

Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.

Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.

WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.

Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.

При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.

Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием. Открыть/Комментировать

2023-07-21 13:53:28 Джеймс Кэмерон: "Я предупреждал вас в 1984 году, а вы не послушали меня!"

Режиссер фильма "Терминатор" Джеймс Кэмерон в новом интервью с телеканалом CTV News рассказал о потенциальных рисках, которые несёт в себе ИИ.

"Я думаю, что наибольшую опасность представляет использование ИИ в военных целях. Мы ввяжемся в эквивалент гонки ядерных вооружений, только теперь с ИИ", — считает Кэмерон.

"Вы можете представить себе ИИ на театре военных действий...всё это [военные действия] будет вестись компьютерами с такой скоростью, что человек даже не будет способен вмешаться, не будет возможности деэскалировать", — дополняет свои мысли режиссёр.

В настоящее время Голливуд размышляет над тем, чтобы передать ИИ часть обязанностей ремесленников киноиндустрии.

@Russian_OSINT Открыть/Комментировать

2023-07-20 20:41:13 Ушла легенда.

Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.

Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.

Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.

Good night sweet prince. Открыть/Комментировать