SecAtor

2023-07-20 18:17:44 Гэнг-бэнг или дабл пенетрейшен совершили в отношении компания по производству косметики Estée Lauder, которая, как сообщают источники, подверглась акту группового вымогательства одновременно от BlackCat и Clop.

В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.

Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.

В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.

Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.

На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.

BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.

Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.

В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании. Открыть/Комментировать

2023-07-20 16:20:01 Positive Technoligies похоже впечатлились нашим недавним протестом против падения качества исследований инфосек компаний и стали на гора выдавать неплохие статьи на своем сайте.

Вот что SecAtor животворящий делает! (почти с)

Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK , успешно применяемых на практике.

Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.

В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.

При этом все приемы и подприемы были сгруппированы по тактикам.

Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.

Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.

Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.

В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK повысит эффективность систем защиты и поможет обнаруживать больше атак.

Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.

Ну, и конечно же - начать с детального ознакомления с исследованием. Открыть/Комментировать

2023-07-20 14:10:01 Исследователи Palo Alto Networks Unit 42 обнаружили нового однорангового (P2P) червя под названием P2PInfect, нацеленного на уязвимые серверы Redis для последующей эксплуатации.

Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.

По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.

Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.

CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.

Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.

Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.

Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.

Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.

Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.

Но, как говорится, еще вечер. Открыть/Комментировать

2023-07-20 12:14:43 Adobe выпустила экстренное обновление для ColdFusion, которое устраняет критические уязвимости, в том числе исправление для новой 0-day, используемой в реальных атаках.

Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).

Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.

Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.

13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.

Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).

В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.

Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее. Открыть/Комментировать

2023-07-06 20:30:01 Специалисты Zscaler ThreatLabz обнаружили малварь RedEnergy, предназначенную для атак на предприятия энергетического, нефтегазового, телекоммуникационного и машиностроительного секторов.

Вирус позволяет злоумышленникам красть информацию из различных браузеров, а также обладает функционалом вымогателя.

Злоумышленники распространяют вредоносное ПО маскируя его под фальшивые обновления веб-браузера.

В рамках исследуемого образца Stealer-as-a-Ransomware было выявлено, что злоумышленники используют тактику FAKEUPDATES, дабы обмануть жертву и заставить их обновить свои браузеры, ну а попав в систему, вредонос тайно извлекает конфиденциальную информацию и шифрует файлы.

Примечательна оказалась тактика, в которой злоумышленники использовали страницы LinkedIn для атак на своих жертв.

Причем использовались достаточно авторитетные страницы профилей, включая филиппинскую компанию по производству промышленного оборудования и несколько организаций в Бразилии.

Дальнейший вектор атаки развивался если пользователи нажимали на веб-сайты целевой компании через свой профиль LinkedIn, а затем перенаправлялись на мошеннический url, который предлагал им установить обновление браузера с заряженным RedStealer на борту.

Вирус написан на .NET и обладает продвинутыми функциями для уклонения от обнаружения и антианализа.

Он взаимодействует с серверами через HTTPS, сохраняет себя в каталоге запуска Windows и создает запись в меню Пуск.

Исследователи также обнаружили подозрительную активность, связанную с протоколом передачи файлов (FTP), что предполагает его использование злоумышленниками для кражи данных.

После успешной атаки, когда все что нужно уже обнесли используется модуль для шифрования данных с добавлением незамысловатого расширения .FACKOFF! к зашифрованным файлам, попутно удаляя резервные копии.

Специалисты отдельно отметили, что проведенный анализ в очередной раз показал эволюционный и сложный характер киберугроз, направленных против различных отраслей и организаций. Открыть/Комментировать

2023-07-06 18:26:09 Бесплатный курс по этичному хакингу.

Приветствую тебя, user_name.

• На протяжении 6 лет существования канала, в боте обратной связи скопилось огромное кол-во вопросов, но самый распространенный из всего списка был — "С чего начать?".

• Иногда хочется ответить, что если человек не умеет искать ответы на простые вопросы, то и "начинать" вкатываться в сферу, которую освещает канал, рановато... Воспользуйтесь поиском по каналу, введите нужный запрос и получите ответ. Ведь я кропотливо отбираю для тебя только качественную и нужную информацию, которая поможет тебе "начать" изучение в различных сферах #ИБ и #СИ.

• Это было лирическое отступление, которое имеет непосредственное отношение к сегодняшней теме: курсом по этичному хакингу для начинающих. Учитывайте, что курс даст тебе только поверхностные знания, а продолжить обучение можно как раз через поиск в нашем канале, либо на сайте автора. Приятного просмотра:

Краткий список затрагиваемых тем:
• Обзор, установка и обновление Kali Linux;
• NetCat и всё что с ним связано;
• Reverse Shell;
• Powercat - Обратный шелл;
• Как правильно использовать Wireshark;
• Дорки, как средство взлома;
• Сканирование портов;
• Движок NMap NSE;
• Взлом FTP и RDP с помощью Hydra;
• Взлом RDP с помощью Crowbar;
• Взлом SSH с помощью Hydra;

• Полный описание курса (134 урока) доступно по ссылке: www.youtube.com

S.E. infosec.work Открыть/Комментировать

2023-07-06 17:00:03 Cisco предупреждает клиентов о серьезной уязвимости, позволяющей злоумышленникам взламывать шифрование трафика.

CVE-2023-20185 была обнаружена в функции шифрования ACI Multi-Site CloudSec коммутаторов Cisco Nexus серии 9000 для ЦОДов.

Уязвимость затрагивает только коммутаторы Cisco Nexus 9332C, 9364C и 9500, только если они находятся в режиме ACI, являясь частью многосайтовой топологии, имеют включенную функцию шифрования CloudSec, с установленной прошивкой 14.0 и более поздние версии.

Она связана с проблемой реализации шифров, используемых функцией шифрования CloudSec на уязвимых коммутаторах.

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно читать или изменять межсайтовый зашифрованный трафик, которым обмениваются сайты.

PSIRT компании не нашла доказательств того, что PoC нацелен на ошибку, а уязвимость использовалась в атаках.

Тем не менее, Cisco еще не выпустила обновления ПО для устранения CVE-2023-20185.

Поэтому клиентам, использующим затронутые коммутаторы, рекомендуется отключить уязвимую функцию и обратиться за помощью в службу поддержки для поиска альтернативных решений. Правда, в современных условиях она уже вряд ли поможет. Открыть/Комментировать

2023-07-06 15:10:11 В конце июня мы рассказывали про уязвимость, раскрытую исследователями из Jumpsec, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.

Тогда, Microsoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.

На неделе один из участников Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в Microsoft Teams для реализации автоматизированных атак на практике.

Он объединяет идею атаки Jumpsec, методы, разработанные Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента TeamsEnum Бастиана Канбаха.

Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей Teams, после чего вложение загрузится в Sharepoint отправителя, а затем переберется список целей.

При этом TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.

Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение Sharepoint. Поток отображается в интерфейсе Teams отправителя для (потенциального) ручного взаимодействия.

TeamsPhisher требует, чтобы у пользователей была учетная запись Microsoft Business (поддерживается MFA) с действующей лицензией Teams и Sharepoint, что характерно для многих крупных компаний.

Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.

Среди других функций TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.

Проблема, которую успешно реализует TeamsPhisher, все еще существует, и Microsoft до сих пор не намерена ее устранять, отмечая, что успех зависит от социальной инженерии и клиентам следует практиковать хорошие компьютерные привычки в Интернете.

Учитывая, что злоумышленники также могут использовать TeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации. Открыть/Комментировать

2023-07-06 12:55:32 Раскрыта серьезная уязвимость конфигурации ядра в версиях Linux с 6.1 по 6.4, которая отслеживается как CVE-2023-3269 и получила наименование StackRot.

Проблема безопасности может быть использована для компрометации ядра и повышения привилегий, с «минимальными усилиями».

Обнаружение приписывается исследователю Руихану Ли, который рассказал о влиянии недостатка на подсистему управления памятью ядра, отвечающей за реализацию виртуальной памяти и подкачки по требованию.

Отчет об уязвимости был отправлен разработчикам 15 июня, патч стал доступен с 1 июля.

StackRot представляет собой проблему UAF и возникает из-за того, что ядро Linux определеным образом обрабатывает расширение стека в своей подсистеме управления памятью, связанной с управлением областями виртуальной памяти VMA.

В частности, слабое место - в maple tree, новой системе структуры данных для VMA, представленной в ядре Linux 6.1, которая заменила red-black trees и опиралась на механизм RCU.

Руихан Ли отмечает, что эксплуатация StackRot — сложная задача. Несмотря на это, CVE-2023-3269 может быть первым примером теоретически пригодной для эксплуатации уязвимости использование после освобождения RCU (UAFBR).

Кроме того, исследователь объявил о планах раскрыть полные технические подробности о StackRot и PoC к концу июля.

В связи с чем, пользователям рекомендуется проверить версию ядра, на которой работает дистрибутив Linux, и перейти на версию, на которую не влияет StackRot, либо обновленную версию, содержащую исправление. Открыть/Комментировать

2023-07-05 20:30:02 Порт Нагоя, который является одним из крупнейших портов Японии и обслуживает грузовые корабли и нефтетанкеры, вынужден был поставить на стоп всю работу, поскольку попал под раздачу ransomware.

Для справки, на долю порта приходится примерно 10% от общего объема торговли Японии, он управляет 21 пирсом и 290 причалами, ежегодно обрабатывая более двух миллионов контейнеров и 165 миллионов тонн грузов.

Кроме того, порт используется Toyota Motor Corporation для экспорта большинства своих автомобилей по миру.

В администрации порта сообщили, что ее системы были заражены вредоносным ПО, каким пока не уточняется, но это привело к приостановке всех операций, связанных с погрузкой и разгрузкой контейнеров со вчерашнего дня.

В результате инцидента порт уже несет огромные финансовые потери, связанные с серьезным нарушением перевозок в Японию и из нее.

В настоящее время не ясно, кто стоял за атакой, какое вредоносное ПО использовалось. Непонятно также и то, были ли украдены какие-либо конфиденциальные данные.

В общем, фактуры пока кот наплакал, но порт атакуют уже не впервые. В прошлом году его прокатили по-легкому и всего лишь DDoS-ли сайт около 40 минут. Открыть/Комментировать