SecAtor

2024-04-03 21:16:28 Наблюдая за инцидентом с бэкдором XZ Utils исследователь Ханс-Кристоф Штайнер решил придать огласке аналогичную историю, которая произошла в июне 2020 года и была связана с попыткой попыткой внедрения уязвимости SQL-инъекции в F-Droid, магазин приложений с открытым исходным кодом для устройств Android.

Как и в случае с XZ, свежеиспеченный аккаунт запилилв проект код, который впоследствии проталкивали с помощью группы других свежерегов, оказывая давление на разработчиков F-Droid и попытаясь их склонить к объединению (имплементации) кода.

Исследователь полагает, что команде очень повезло, им удалось обнаружить ошибку внедрения SQL прежде чем имплантат распространился.

Новый код был призван улучшить функциональность поиска F-Droid за счет совершенствования конкатенации SQL-запросов.

Как отмечает Штайнер, несмотря на то, что автор оригинального SQL-кода позже вышел из проекта проекте, он заприметил неладное и решил заменить весь этот подозрительный код библиотеками, которые обеспечивают гораздо большую защиту.

Его убеждали, что конкатенация SQL-запросов — сложная операция и ошибки могут иметь непреднамеренный характер, однако Штайнер отверг эту теорию, заметив определенную согласованность действий новых аккаунтов по продвижению кода.

Хотя попытка не увенчалась успехом, но тактика злоумышленника имеет определенноесходство с инцидентом XZ.

Кстати, на днях эксперт по безопасности цепочки поставок ПО и генеральный директор Chainguard Дэн Лоренц поделился некоторыми мыслями по поводу инцидента с XZ Utils, о котором он предупреждал в подкасте Security Conversations еще в 2022 году.

Как он полагает, правительства ряда стран реализуют через подконтрольные их спецслужбам АРТ долгосрочные атаки на цепочки поставок ПО с открытым исходным кодом, свидетелями которых мы стали в последние дни. Открыть/Комментировать

2024-04-01 18:05:01 На удивление оперативно затушили назревающий в X скандал по поводу замеченной аномалии в Signal Messenger, которое, по мнению исследователей, может указывать на потенциальный 0-day эксплойт в стеке Signal VoIP.

Причем, по некоторым данным, с аналогичными странностями и подозрениями на 0-click через стек Signal VOIP сталкивались также пользователи из России.

В свою очередь, моментально на появившиеся сообщения в X отреагировала администрация мессенджера в лице ее руководителя.

Мередит Уиттакер с уверенностью заявила, что это не атака 0-click, а всего лишь ошибка в реализации настроек конфиденциальности с привязкой номера к имени пользователя, которую разработчики скоро исправят.

Примечательно, что официальное заявление быстро растащили по X пользователи, под копирку размещая опровержения какую-либо 0-day или атаки. Затем сам X присовокупил твит Мередит Уиттакер к исходным сообщениям.

Что не маловажно, на момент обнаружения аномалии у автора дискуссии была установлена последняя версия iOS 17.4 и Signal 7.2, а на следующий день были выпущены версии 17.4.1 и 7.3.

Учитывая неоднозначный бэкграунд компании и ее руководителей, никакие версии исключать нельзя, особенно в контексте последовавшей реакции со стороны Signal.

Но будем посмотреть. Открыть/Комментировать

2024-03-28 17:01:01 Исследователи Positive Technologies выкатили исследование, посвященное анализу kill chain ведущих APT-группировок, нацеленных на Ближний Восток, ставший в последнее время привлекательной мишенью для кибератак.

В регионе сосредоточена высокая концентрация промышленных компаний и предприятий энергетического сектора, выступающих драйвером процессов цифровизации, что в совокупности привлекает внимание хакеров.

Как отмечают исследователи, из 141 расследованной атаки на страны Ближнего Востока более 80% этих атак носили целевой характер.

Главный мотив большинства атак - кибершпионаж.

Поэтому Ближний Восток регулярно находится на прицеле АРТ-групп, осуществляющих многоэтапные, тщательно спланированные атаки, нацеленные на конкретную отрасль или группу отраслей, преследуя политические, экономические и военные интересы.

Некоторые группы APT также были замечены в хактивистских кампаниях и операциях, направленных на саботаж. Как выяснили исследователи, на самом деле не явлись хактивистскими по своей природе. 

Возглавляют список наиболее атакованных стран Саудовская Аравия и ОАЭ, далее - Израиль, Иордания и Египет.

Почти все изученные APT хотя бы один раз атаковали правительственный сектор, а 69% - нацеливались энергетику.

Также можно выделить военно-промышленный комплекс, который в силу геополитических особенностей региона занимает достаточно высокое место в рейтинге. Без внимания не остались СМИ и телеком.

Но главное в отчете - достаточно углубленный анализ kill chain, включающий все этапы атак 16 групп APT, действовавших в странах Ближнего Востока за последние несколько лет.

Тактика и методы этих групп описаны в рамках матрицы MITRE ATT&CK для предприятий (версия 13.1) со ссылками на подробные описания упомянутых методик.

Кроме того, исследователи консолидировали инфу по каждой группе, а также наглядно уложили TTPs всех АРТ в рамках heat map, не позабыв о главном - как им противостоять. Открыть/Комментировать

2024-03-12 21:30:03 ͏"Как работает ваша машина времени на Марсе?" - спрашивают подписчики.

А вот так! Открыть/Комментировать

2024-03-04 21:40:02 ͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.

Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.

Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).

В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.

Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.

Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.

Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.

Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.

В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.

Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.

В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).

Optum UnitedHealth Group от комментариев относительно выкупа отказались.

Так что ситуация пока до конца неясная.

Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.

Будем посмотреть. Открыть/Комментировать

2024-01-22 16:00:04 Замечательная история из Германии. Немецкий суд приговорил программиста к штрафу 3000 евро за "несанкционированный доступ к сторонним компьютерным системам", а на деле - за найденную уязвимость.

Некий фрилансер получил подряд на проверку установленного у клиента ПО компании Modern Solution GmbH & Co. KG, которое, судя по тексту журналистов, генерило ложные сообщения логов. В ходе проверки выяснилось, что оно устанавливает MySQL соединение с головным сервером с использованием пароля, который бы записан в исполняемом файле в виде plaintext. При тестовом подключении оказалось, что кроме данных самого заказчика, доступны также данные еще 700 тысяч клиентов. Программист сообщил об этом в компанию Modern Solutions. Однако последние, вместо того, чтобы отблагодарить за найденную дырку, отрубили сервер, заявили, что у них все норм, а потом подали на исследователя заявление в полицию.

Прокуратура и адвокаты долго спорили о том, получен ли был пароль в ходе декомпиляции исполняемого файла. И, хотя защита была более убедительна, в конечном итоге судье все это было похеру. Он сказал, что уже само использование пароля - это хакерство. На тот факт, что пароль был получен вместе с законно купленным экземпляром ПО, судья так же наклал.

Теперь обе стороны обжалуют приговор в вышестоящем суде. Защита считает, что программист не виноват, прокуратура - что маленький штраф дали, надо больше.

Мудаков в этой истории много. Это и компания Modern Solution GmbH & Co. KG, и полиция, и прокуратура, и, конечно же, король всех мудаков - судья окружного суда Юлиха.

Не в первый раз этот подход уже наблюдаем, весной прошлого года аналогичный случай был на Мальте. То есть подобная правоприменительная практика расширяется.

К чему это приведет - понять не сложно. Нашедшие уязвимости исследователи будут лишний раз помалкивать, а то и сольют данные брокерам 0-day или просто анонимно выкинут в даркнет. И страдать от этого будут все. Не только мудаки. Открыть/Комментировать

2024-01-16 19:45:02 Популярность веб-браузера Opera и так дышит на ладан, так с последним багом могла и вовсе сыграть свою последнюю оперу.

Исследователи обнаружили уязвимость в браузере причем для Windows и macOS, которая может быть использована для выполнения любого файла в операционной системе.

Недостаток удаленного выполнения кода получил название MyFlaw от команды исследователей Guardio Labs, поскольку она использует одноименную функцию, которая позволяет синхронизировать сообщения и файлы между мобильными и настольными устройствами.

Функция реализуется с помощью встроенного расширения браузера под названием Opera Touch Background, которое отвечает за связь со своим мобильным аналогом.

Как рассказали исследователи, они нашли давно забытую версию страницы My Flow, размещенную на домене "web.flow.opera.com", где My Flow содержит интерфейс в виде чата для обмена заметками и файлами, последние из которых могут быть открыты через веб-интерфейс, что, собственно, и позволяет выполнять файлы за пределами границ безопасности браузера.

Проблема затрагивает как браузер Opera, так и Opera GX выпущенные до 22 ноября 2023 года.

Хоть браузер и построен на инфраструктуре Chromium, выявленный недостаток подчеркивает необходимость внутренних изменений и улучшений в самой Opera. Открыть/Комментировать

2023-11-10 17:40:01 ͏Исследователи из Лаборатории Касперского выкатили настоящий must have для инфосек-сообщества.

Почти энциклопедический гайд по TTPs азиатских APT-групп с отличной классификацией большого объема данных по акторам и атакам поможет специалистам четко ориентироваться в теме и эффективно выстроить защиту от соответствующих угроз.

Но для этого исследователям ЛК пришлось проделать достаточно глубочайшую аналитическую работу, проштудировав сотни инцидентов по всему миру за 2022-2023 гг.

В результате чего, несмотря на огромное количество атак и технических деталей, им удалось выявить ограниченный спектр используемых техник и нащупать общий «почерк».

В своем аналитическом отчете на 370 страниц специалисты делятся наиболее ценными разведданными, собранными по азиатским АРТ, которые будут востребованы, прежде всего, на практике в плане эффективного противодействия.

Результаты аналитики по TTPs каждого из этапов атак позволили исследователям сформулировать достаточно четкие и эффективные рекомендации по борьбе с ними, включая Sigma-правила для детектирования в инфраструктуре.

Полная версия отчёта: https://kas.pr/ru-apt-report-2023. Открыть/Комментировать

2023-10-24 22:20:02 ͏Нетленка от Vx-underground Открыть/Комментировать

2023-10-24 21:29:39 Лаборатория Касперского продолжает разбор кибершпионского ПО, которое использовалось в масштабной кампании по заражению принадлежащих российским пользователям девайсов iPhone.

В новом отчете по операции «Триангуляция» сделан акцент на структуре spyware и его компонентах, часть из которых, судя по инфографике, будут еще представлены в какой-то перспективе.

Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.

Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.

Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.

Развертыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.

Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку - валидатор JavaScript.

Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая желтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.

Информация, собранная на этом этапе, передается на удаленный сервер для получения вредоносного ПО следующей стадии - бинарного валидатора, файла Mach-O, непосредственно перед загрузкой TriangleDB.

После запуска он расшифровывает конфигурацию при помощи алгоритма AES. Файл содержит список действий (например, DeleteLogs, DeleteArtifacts), которые должен выполнить валидатор. Причем как для систем iOS, так и для macOS.

После выполнения всех действий валидатор шифрует собранные данные (список процессов, информацию о пользователе и т.д.) и отправляет их на командный сервер, откуда возвращается TriangleDB.

После установления бэкдором связи с C2 и отправки контрольного сигнала, поступают команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы цепочки заражения и затруднить возможный анализ.

После удаления логов злоумышленники инициируют ряд команд по периодическому извлечению файлов из каталога private/var/tmp, содержащих информацию о местоположении, связке ключей iCloud, из баз данных SQLite, а также записей с микрофона.

Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включении экрана устройства. А модуль мониторинга местоположения настроен на использование данных GSM для триангуляции местоположения жертвы, когда данные GPS недоступны.

Как отмечают исследователи, злоумышленники показали отличное понимание внутреннего устройства iOS, поскольку в ходе атаки использовались приватные API, что прямо свидетельствует об их кооперации с разработчиками Apple.

При этом обнаруженные артефакты указывают на то, что операция «Триангуляция» (или ее предшественники) была активна как минимум с 2015 года и нацелена не только на iOS, но и на macOS.

Если измерять этапы исследования ЛК пятью стадиями принятия неизбежного - то сейчас пользователи iOS переживают гнев. Открыть/Комментировать