SecAtor

2024-05-17 14:17:13 Исследователь Марти Ванхуф обнаружил новую уязвимость, связанную с конструктивным недостатком Wi-Fi IEEE 802.11, который позволяет переподключать устройства к менее безопасной беспроводной сети и прослушивать сетевой трафик.

Атака SSID Confusion, отслеживаемая как CVE-2023-52424, затрагивает все операционные системы и клиенты Wi-Fi на протоколах WEP, WPA3, 802.11X/EAP и AMPE.

Все дело в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, меры безопасности работают только лишь, когда устройство решает присоединиться к определенной сети.

Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается именно к той сети, к которой он хочет подключиться.

Благодаря проблеме с путаницей SSID WiFi, метод позволяет создавать сети Wi-Fi с одинаковым идентификатором SSID и паролем и в случае с активированной функцией автоматического подключения устройства для организации AitM.

Успешная атака также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отрубается, оставляя трафик жертвы незащищенным.

Предлагаемые исследователями меры по устранению уязвимости включают в себя обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннего рукопожатия при подключении к защищенным сетям, а также улучшения в защите самих радиомаяков. Открыть/Комментировать

2024-05-16 20:19:53 Актуальные киберугрозы: I квартал 2024 года (14 мая 2024)

https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2024-q1/

@Russian_OSINT Открыть/Комментировать

2024-05-16 18:15:02 Исследователи Trend Micro продолжают отслеживать кампании кибершпионажа с участием APT Earth Hundun, нацеленной на Азиатско-Тихоокеанский регион, которая теперь реализует обновленную тактику заражений и коммуникации.

Как мы ранее уже сообщали, в предыдущем отчете рассматривалась изощренная кампания Earth Hundun с Waterbear на борту и его последней версии RAT Deuterbear, который впервые был замечен еще в октябре 2022 года, став с тех пор неотъемлемой частью последующих атак.

В новом отчете подробно описываются последние версии Waterbear и Deuterbear, включая этапы заражения, взаимодействие с C2, а также работу компонентов вредоносного ПО с отражением траектории развития.

Deuterbear, хоть во многом схож с Waterbear, но демонстрирует определенные улучшения в возможностях, включая поддержку плагинов шелл-кода, отказ от рукопожатий при работе RAT и использование HTTPS для связи C2.

Сравнивая два варианта вредоносного ПО, Deuterbear использует формат шелл-кода, обладает сканированием памяти и разделяет ключ трафика со своим загрузчиком в отличие от Waterbear.

Deuterbear реализует меньше команд (20 по сравнению с более чем 60 для Waterbear), но поддерживает больше плагинов для повышения гибкости.

В целом Waterbear превратился в Deuterbear, новое вредоносное ПО, но интересно, что Waterbear и Deuterbear развиваются отдельно, а не заменяют друг друга.

Эволюция Waterbear и Deuterbear указывает на существенные сподвижки APT Earth Hundun в вопросах разработки своего арсенала инструментов, прежде всего, по части антианализа и уклонения от обнаружения. Открыть/Комментировать

2024-05-16 16:13:58 Лаборатория Касперского продолжает радовать отчетами, один из которых содержит аналитику по реагированию и расследованию инцидентов за 2023 год.

Учитывая при этом широку клиентскую базу по России, Европе, Азии, Южной и Северной Америке, Африке и Ближнему Востоку, база для нее более чем многообразна, то и результаты более чем репрезентативны, имея при этом четкую практическую значимость.

Согласно отчетным данным, география несколько изменилась: доля IR-запросов в России и СНГ (47,27%) продолжает расти.

В то же время 2023 год примечателен значительным увеличением количества запросов в регионе Америки (второе место с 21,82%).

Глядя на распределение инцидентов по отраслям, в 2023 году большая часть запросов поступила от госорганов (27,89%) и промышленных предприятий (17,01%).

В 2023 году ransomware оставались наиболее распространенной угрозой, несмотря на снижение их доли до 33,3% по сравнению с 39,8% в 2022 году.

Вымогатели атаковали организации без разбора, независимо от отрасли.

Наиболее распространенными семействами оставались LockBit (27,78%), BlackCat (12,96%), Phobos (9,26%) и Zeppelin (9,26%).

Еще одной важной наблюдаемой в 2023 году тенденцией стал значительный рост количества атак атаки на цепочки поставок.

Этот вектор атак вошел в тройку наиболее часто встречающихся в 2023 году, что неудивительно, поскольку позволяет злоумышленникам осуществлять крупномасштабные атаки с гораздо большей эффективностью.

Для многих организаций такие атаки могут иметь разрушительные последствия, а их обнаружение занимает гораздо больше времени.

Полный отчет с IR-статистикой, общими TTPs на разных этапах развития атаки, задействуемым хакерами инструментарием и уязвимостями доступен здесь (PDF). Открыть/Комментировать

2024-05-16 13:50:02 Google в третий раз за неделю выпускает исправления Chrome 125 для очередной 0-day в составе других восьми уязвимостей.

Наиболее серьезной из них является CVE-2024-4947, ошибка путаницы типов в движке JavaScript V8, которая уже использовалась в дикой природе.

Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.

Благодарность за раскрытие уязвимости Google адресовала Василию Бердникову и Борису Ларину из Лаборатории Касперского, но не поделилась подробностями наблюдаемой эксплуатации.

Вторая ошибка, исправленная в Chrome 125, - это CVE-2024-4948, серьезная проблема использования после освобождения в Dawn, кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU в Chromium.

Кроме того, устранена ошибка средней степени серьезности, связанная с использованием после освобождения, в движке V8 и проблема с несоответствующей реализацией низкой степени серьезности в разделе «загрузки».

За обе было назначено вознаграждение в размере 7000 и 1000 долларов США соответственно.

Последняя итерация Chrome теперь доступна в качестве версиий 125.0.6422.60 для Linux и 125.0.6422.60/.61 для Windows и macOS.

Пользователям рекомендуется как можно скорее обновить свои браузеры, и вообще не закрывать раздел с настройками в ожидании новых патчей. Открыть/Комментировать

2024-05-16 11:50:13 ͏Все в точности по нами описанному сценарию произошло с BreachForums, который сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных админов ShinyHunters и Baphomet.

Но как мы и сообщали месяцем ранее, Baphomet, оставшийся в живых после ареста главного админа pompompurin, скорее всего активно сотрудничал со спецслужбами и с его помощью им удалось выйти не только на участников площадки, но и задержать ShinyHunters.

Последнего Baphomet подтянул к админке с июня 2023 года, чтобы запустить новый сайт под названием BreachForums после захвата оригинального Breached.

С того момента BreachForums быстро стал популярен в среде, особенно после таких громких утечек, какторый сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных и вишенкой стал недавний слив данных по Европолу.

По итогу правоохранительные органы конфисковали все серверы и домены сайта при содействии международных партнеров, помимо этого угнали и ТГ-канал, в котором теперь размещены формы обратной связи с ФБР для желающих раскаяться в содеянном или предоставить информацию о хакерском форуме и его участниках.

Собственно, в подтверждение наших версий, характер сообщений об изъятии указывает на то, что силовики имели доступ к серверам сайта в течение длительного времени и отслеживали деятельность злоумышленников.

Так что долгосрочная операция американских спецслужб с участием внедренных конфидентов подошла к логическому завершению, но к этому их, вероятно, подтолкнули R00TK1T и Cyber Army of Russia, которые ровно месяц назад хакнули инфраструктуру форума. Открыть/Комментировать

2024-05-15 19:47:57 Исследователи из Лаборатории Касперского выкатили настоящий must have с квартальной аналитикой по APT-трендам, альтернативным парадигмам западного инфосека.

Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.

Из основного в отчете за первый квартал 2024 года:

- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.

-  Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения. 

- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.

- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).

- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.

- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.

- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.

- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.

- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.

Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/. Открыть/Комментировать

2024-05-15 17:50:01 Microsoft выпустила майский PatchTuesday с исправлениями 61 уязвимости, в том числе трех активно используемых или публично раскрытых нулей, а также лишь одну критическую RCE в Microsoft SharePoint Server (CVE-2024-30044, CVSS 8.8).

По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge.

Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033.

Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot.

Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows.

Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом.

Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно.

Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей.

Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь. Открыть/Комментировать

2024-05-15 15:50:01 Бесконечно можно смотреть, как горит огонь, как течет вода и как APT Lazarus Group тащит все отовсюду.

Как сообщает Разведывательное агентство Южной Кореи NIS, северокорейские хакеры умудрились закрепиться в национальной сети судебной системы и на протяжении почти двух лет качать из нее всю инфу.

Совместное расследование полиции, прокуратуры и NIS показало, что вторжение произошло в период с января 2021 года по февраль 2023 года и затронуло ИТ-сеть суда Сеула.

За этот период Lazarus выгребли в общей сложности 1014 ГБ из компьютерной сети южнокорейского суда, которые включали в себя подробную личную информацию, регистрационные номера резидентов, финансовые отчеты, а также массивы электронных судебных документов.

Собранные артефакты в купе с оперативными данными по расчетам за аренду серверов и IP-адресам вывели следствие на APT Lazarus Group.

На месте прокуратуры стоило бы присмотреться к своей сети. Вдруг. Открыть/Комментировать

2024-05-15 14:04:29 Сказка ложь, да в ней намек: добры молодцы западного инфосека, по всей видимости, тоже просмотрели интервью LockBitSupp, вышедшее почти сразу после громкого деанона его личности Минюстом США.

Отличился репортер Infosec Брайан Кребс, который решил перепроверить выводы спецслужб относительно обвинений в причастности жителя Воронежа к RaaS LockBit.

Независимое расследование, к удивлению многих, не выявило связей между названным лицом, известным также в киберподполье как NeroWolfe, и розыскиваемым LockBitSupp.

Из представленных в официальных бумагах Минюста США исследователям удалось проследить за воронежским хакером, который протяжении почти 14 лет умудрился прилично наследить и отметиться на многих даркнет-площадках, не особо заморачиваясь на OpSec.

Кроме того, не смог Кребс отыскать денежные пересечения LockBitSupp с воронежским NeroWolfe, который, безусловно, также не последний человек в сфере киберпреступности, но бездоказательно теперь связанный с LockBit.

Очевидно, что спецслужбы не могут выдать в процессуальные документы все свои наработки по соображениям секретности, но раз пошла такая пьянка, в самую пору было разрезать последний огурец, а без него это шоу напоминает больше бутафорию вместо атрибуции.

Впрочем, урок относительно «правильной» атрибуции некоторые из западных ИБ-специалистов все же усвоили, но полагаем, что не надолго, их обязательно переобучат как надо. Открыть/Комментировать