Channel: SecAtor
Не прошло и недели, как Chrome обзавелся новой 0-day, для исправления которой Google выпустила экстренные обновления безопасности.
Спустя три дня вслед за пятым нулем CVE-2024-4671 в Visuals список текущего года пополнился шестым CVE-2024-4761. Новая ошибка затрагивает движок JavaScript Chrome V8 и представляет собой проблему записи за пределами границ.
Подобные проблемы возникают, когда программе разрешено записывать данные за пределы указанного массива или буфера, что потенциально может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям.
В своем бюллетене Google предупреждает о существовании рабочего экспорта для CVE-2024-4761, но традиционно подробности не раскрывает.
Компания устранила уязвимость, выпустив версии 124.0.6367.207/.208 для Mac/Windows и 124.0.6367.207 для Linux. Обновления будут доступны всем пользователям в ближайшие дни.
Спустя три дня вслед за пятым нулем CVE-2024-4671 в Visuals список текущего года пополнился шестым CVE-2024-4761. Новая ошибка затрагивает движок JavaScript Chrome V8 и представляет собой проблему записи за пределами границ.
Подобные проблемы возникают, когда программе разрешено записывать данные за пределы указанного массива или буфера, что потенциально может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям.
В своем бюллетене Google предупреждает о существовании рабочего экспорта для CVE-2024-4761, но традиционно подробности не раскрывает.
Компания устранила уязвимость, выпустив версии 124.0.6367.207/.208 для Mac/Windows и 124.0.6367.207 для Linux. Обновления будут доступны всем пользователям в ближайшие дни.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 124.0.6367.207/.208 for Mac and Windows and 124.0.6367.207 for Linux which will roll out over the...
Исследователи F.A.C.C.T. задетектили новый вредоносный загрузчик PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа PhantomCore и используется с марта 2024 года.
PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ.
Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками.
Основной инструмент APT - троян удаленного доступа PhantomRAT.
В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл.
Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы.
Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.
В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble.
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов.
Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.
Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге.
Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению.
Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL.
При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.
PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ.
Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками.
Основной инструмент APT - троян удаленного доступа PhantomRAT.
В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл.
Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы.
Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива.
В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble.
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов.
Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.
Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге.
Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению.
Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL.
При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.
F.A.C.C.T.
Невидимые связи: специалисты F.A.C.C.T. обнаружили ранее неизвестный загрузчик PhantomDL и атрибутировали его группе PhantomCore…
C марта специалисты F.A.C.C.T. Threat Intelligence детектируют новый вредоносный загрузчик PhantomDL (PhantomGoDownloader)
Подкатил глобальный Apple Patch Day с исправлениями серьезных уявзвимостей в iPhone, iPad и macOS, включая 0-day на старых флагманских мобильных устройствах, которые, по всей видимости, уже подвергались атакам.
В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений.
Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра.
Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями.
Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе.
Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным.
В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений.
Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра.
Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями.
Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе.
Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным.
Apple Support
About the security content of iOS 16.7.8 and iPadOS 16.7.8
This document describes the security content of iOS 16.7.8 and iPadOS 16.7.8.
Исследователи Cybernews сообщают об обнаружении 6 мая второй по величине утечки после Mother of All Breaches (MOAB) с 26 млрд. записей, которую назвали COMB (compilation of many breaches).
Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны.
Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет.
Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти.
Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников.
Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение.
Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных.
Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu.
Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял.
Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР.
Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны.
Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет.
Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти.
Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников.
Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение.
Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных.
Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu.
Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял.
Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР.
Cybernews
Mysterious actor spills over 1.2B records on Chinese users
On May 6th, the Cybernews research team discovered a colossal dataset solely focused on citizens of China.
Исследователи предупреждают об активной эксплуатации N-day уязвимостей в популярном решении резервного копирования и восстановления Arcserve Unified Data Protection (UDP), которые используются для обеспечения доступа к сетям жертв.
Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых:
- CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin.
- CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль.
- CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS).
Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801.
Вскоре после этого и последовали возможные попытки использования Arcserve UDP.
Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2.
Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых:
- CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin.
- CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль.
- CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS).
Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801.
Вскоре после этого и последовали возможные попытки использования Arcserve UDP.
Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2.
NHS England Digital
Possible Exploitation of Arcserve Unified Data Protection (UDP) Vulnerabilities - NHS England Digital
Proof-of-concept exploit code was released for three vulnerabilities in March 2024
Производители средств контрацепции ❤️ предсказуемо твердят об опасности незащищенного секса 🦠
Мы, если честно, ни разу не сталкивались с этой угрозой за почти три десятилетия использования своих половых устройств. Один раз нам чуть яйца не оторвали и, пожалуй, все. Но это из области психологии восприятия рисков уже - то, с чем никогда не сталкивался, всерьез не воспринимается, а статистика говорит, что есть и более актуальные проблемы, чем ЗППП ❤️
Но если у вас на половых сношениях завязаны бизнес-процессы или вы оказываете интимные услуги за деньги, то для вас актуальны презервативы из овечьей кожи (в России их, правда, всего один или два).
ЗЫ. Есть еще и всякие лишаи и мандавошки, но это особый случай. Лично мы пока по плечевым не ходим 🙄, чтобы на них закладываться.
Мы, если честно, ни разу не сталкивались с этой угрозой за почти три десятилетия использования своих половых устройств. Один раз нам чуть яйца не оторвали и, пожалуй, все. Но это из области психологии восприятия рисков уже - то, с чем никогда не сталкивался, всерьез не воспринимается, а статистика говорит, что есть и более актуальные проблемы, чем ЗППП ❤️
Но если у вас на половых сношениях завязаны бизнес-процессы или вы оказываете интимные услуги за деньги, то для вас актуальны презервативы из овечьей кожи (в России их, правда, всего один или два).
ЗЫ. Есть еще и всякие лишаи и мандавошки, но это особый случай. Лично мы пока по плечевым не ходим 🙄, чтобы на них закладываться.
Сказка ложь, да в ней намек: добры молодцы западного инфосека, по всей видимости, тоже просмотрели интервью LockBitSupp, вышедшее почти сразу после громкого деанона его личности Минюстом США.
Отличился репортер Infosec Брайан Кребс, который решил перепроверить выводы спецслужб относительно обвинений в причастности жителя Воронежа к RaaS LockBit.
Независимое расследование, к удивлению многих, не выявило связей между названным лицом, известным также в киберподполье как NeroWolfe, и розыскиваемым LockBitSupp.
Из представленных в официальных бумагах Минюста США исследователям удалось проследить за воронежским хакером, который протяжении почти 14 лет умудрился прилично наследить и отметиться на многих даркнет-площадках, не особо заморачиваясь на OpSec.
Кроме того, не смог Кребс отыскать денежные пересечения LockBitSupp с воронежским NeroWolfe, который, безусловно, также не последний человек в сфере киберпреступности, но бездоказательно теперь связанный с LockBit.
Очевидно, что спецслужбы не могут выдать в процессуальные документы все свои наработки по соображениям секретности, но раз пошла такая пьянка, в самую пору было разрезать последний огурец, а без него это шоу напоминает больше бутафорию вместо атрибуции.
Впрочем, урок относительно «правильной» атрибуции некоторые из западных ИБ-специалистов все же усвоили, но полагаем, что не надолго, их обязательно переобучат как надо.
Отличился репортер Infosec Брайан Кребс, который решил перепроверить выводы спецслужб относительно обвинений в причастности жителя Воронежа к RaaS LockBit.
Независимое расследование, к удивлению многих, не выявило связей между названным лицом, известным также в киберподполье как NeroWolfe, и розыскиваемым LockBitSupp.
Из представленных в официальных бумагах Минюста США исследователям удалось проследить за воронежским хакером, который протяжении почти 14 лет умудрился прилично наследить и отметиться на многих даркнет-площадках, не особо заморачиваясь на OpSec.
Кроме того, не смог Кребс отыскать денежные пересечения LockBitSupp с воронежским NeroWolfe, который, безусловно, также не последний человек в сфере киберпреступности, но бездоказательно теперь связанный с LockBit.
Очевидно, что спецслужбы не могут выдать в процессуальные документы все свои наработки по соображениям секретности, но раз пошла такая пьянка, в самую пору было разрезать последний огурец, а без него это шоу напоминает больше бутафорию вместо атрибуции.
Впрочем, урок относительно «правильной» атрибуции некоторые из западных ИБ-специалистов все же усвоили, но полагаем, что не надолго, их обязательно переобучат как надо.
Krebsonsecurity
How Did Authorities Identify the Alleged Lockbit Boss?
Last week, the United States joined the U.K. and Australia in sanctioning and charging a Russian man named Dmitry Yuryevich Khoroshev as the leader of the infamous LockBit ransomware group. LockBit's leader "LockBitSupp" claims the feds named the wrong guy…
Бесконечно можно смотреть, как горит огонь, как течет вода и как APT Lazarus Group тащит все отовсюду.
Как сообщает Разведывательное агентство Южной Кореи NIS, северокорейские хакеры умудрились закрепиться в национальной сети судебной системы и на протяжении почти двух лет качать из нее всю инфу.
Совместное расследование полиции, прокуратуры и NIS показало, что вторжение произошло в период с января 2021 года по февраль 2023 года и затронуло ИТ-сеть суда Сеула.
За этот период Lazarus выгребли в общей сложности 1014 ГБ из компьютерной сети южнокорейского суда, которые включали в себя подробную личную информацию, регистрационные номера резидентов, финансовые отчеты, а также массивы электронных судебных документов.
Собранные артефакты в купе с оперативными данными по расчетам за аренду серверов и IP-адресам вывели следствие на APT Lazarus Group.
На месте прокуратуры стоило бы присмотреться к своей сети. Вдруг.
Как сообщает Разведывательное агентство Южной Кореи NIS, северокорейские хакеры умудрились закрепиться в национальной сети судебной системы и на протяжении почти двух лет качать из нее всю инфу.
Совместное расследование полиции, прокуратуры и NIS показало, что вторжение произошло в период с января 2021 года по февраль 2023 года и затронуло ИТ-сеть суда Сеула.
За этот период Lazarus выгребли в общей сложности 1014 ГБ из компьютерной сети южнокорейского суда, которые включали в себя подробную личную информацию, регистрационные номера резидентов, финансовые отчеты, а также массивы электронных судебных документов.
Собранные артефакты в купе с оперативными данными по расчетам за аренду серверов и IP-адресам вывели следствие на APT Lazarus Group.
На месте прокуратуры стоило бы присмотреться к своей сети. Вдруг.
Yonhap News Agency
N. Korean hacking group stole massive amount of personal info from S. Korean court computer network
SEOUL, May 11 (Yonhap) -- A North Korean hacking group had stolen a massive amount of pers...
Microsoft выпустила майский PatchTuesday с исправлениями 61 уязвимости, в том числе трех активно используемых или публично раскрытых нулей, а также лишь одну критическую RCE в Microsoft SharePoint Server (CVE-2024-30044, CVSS 8.8).
По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge.
Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033.
Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot.
Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows.
Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом.
Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно.
Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей.
Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь.
По категориям расклад следующий: 17 - EoP, 2 - обход функций безопасности, 27 - RCE, 7 - раскрытие информации, 3 - DoS и 4 - спуфинг. Сюда не вошли еще 12 ошибок в Microsoft Edge.
Один из двух активно эксплуатируемых нулей, CVE-2024-30051 (CVSS 7.8), связанный с повышением привилегий базовой библиотеки Windows DWM, был обнаружен исследователями из Лаборатории Касперского в апреле 2024 года в ходе исследования другой EoP-ошибки, отслеживаемой как CVE-2023-36033.
Специалисты оперативно уведомили об этом Microsoft и после этого r середине апреля заметили эксплойт для 0-day, который использовался несколькими группами киберпреступников, в том числе для инсталляции воскресшего после силовой облавы QakBot.
Технические подробности о CVE-2024-30051 обещают раскрыть чуть позже, как пользователи обновят свои системы Windows.
Второй 0-day (CVE-2024-30040, CVSS 8.8) связан с обходом функций безопасности платформы Windows MSHTML и приводит к RCE, если жертва повзаимодействует c вредоносным файлом.
Как эта уязвимость использовалась в атаках и кто ее обнаружил - не ясно.
Третий зиродей CVE-2024-30046 вызывает состояние DoS и затрагивает Visual Studio, был раскрыт публично, но также без особых подробностей.
Полный список уязвимостей, устраненных в обновлениях PatchTuesday за май 2024 года, с описанием каждой и систем, на которые она влияет, - здесь.
Securelist
QakBot attacks with Windows zero-day (CVE-2024-30051)
In April 2024, while researching CVE-2023-36033, we discovered another zero-day elevation-of-privilege vulnerability, which was assigned CVE-2024-30051 identifier and patched on May, 14 as part of Microsoft's patch Tuesday. We have seen it exploited by QuakBot…
Исследователи из Лаборатории Касперского выкатили настоящий must have с квартальной аналитикой по APT-трендам, альтернативным парадигмам западного инфосека.
Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.
Из основного в отчете за первый квартал 2024 года:
- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.
- Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения.
- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.
- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).
- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.
- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.
- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.
- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.
- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.
Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.
Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.
Из основного в отчете за первый квартал 2024 года:
- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.
- Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения.
- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.
- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).
- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.
- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.
- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.
- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.
- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.
Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.
Securelist
Kaspersky report on APT trends in Q1 2024
The report features the most significant developments relating to APT groups in Q1 2024, including the new malware campaigns DuneQuixote and Durian, and hacktivist activity.
͏Все в точности по нами описанному сценарию произошло с BreachForums, который сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных админов ShinyHunters и Baphomet.
Но как мы и сообщали месяцем ранее, Baphomet, оставшийся в живых после ареста главного админа pompompurin, скорее всего активно сотрудничал со спецслужбами и с его помощью им удалось выйти не только на участников площадки, но и задержать ShinyHunters.
Последнего Baphomet подтянул к админке с июня 2023 года, чтобы запустить новый сайт под названием BreachForums после захвата оригинального Breached.
С того момента BreachForums быстро стал популярен в среде, особенно после таких громких утечек, какторый сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных и вишенкой стал недавний слив данных по Европолу.
По итогу правоохранительные органы конфисковали все серверы и домены сайта при содействии международных партнеров, помимо этого угнали и ТГ-канал, в котором теперь размещены формы обратной связи с ФБР для желающих раскаяться в содеянном или предоставить информацию о хакерском форуме и его участниках.
Собственно, в подтверждение наших версий, характер сообщений об изъятии указывает на то, что силовики имели доступ к серверам сайта в течение длительного времени и отслеживали деятельность злоумышленников.
Так что долгосрочная операция американских спецслужб с участием внедренных конфидентов подошла к логическому завершению, но к этому их, вероятно, подтолкнули R00TK1T и Cyber Army of Russia, которые ровно месяц назад хакнули инфраструктуру форума.
Но как мы и сообщали месяцем ранее, Baphomet, оставшийся в живых после ареста главного админа pompompurin, скорее всего активно сотрудничал со спецслужбами и с его помощью им удалось выйти не только на участников площадки, но и задержать ShinyHunters.
Последнего Baphomet подтянул к админке с июня 2023 года, чтобы запустить новый сайт под названием BreachForums после захвата оригинального Breached.
С того момента BreachForums быстро стал популярен в среде, особенно после таких громких утечек, какторый сегодня пестрит банером ФБР и Минюста США на главной странице с иконками двух арестованных и вишенкой стал недавний слив данных по Европолу.
По итогу правоохранительные органы конфисковали все серверы и домены сайта при содействии международных партнеров, помимо этого угнали и ТГ-канал, в котором теперь размещены формы обратной связи с ФБР для желающих раскаяться в содеянном или предоставить информацию о хакерском форуме и его участниках.
Собственно, в подтверждение наших версий, характер сообщений об изъятии указывает на то, что силовики имели доступ к серверам сайта в течение длительного времени и отслеживали деятельность злоумышленников.
Так что долгосрочная операция американских спецслужб с участием внедренных конфидентов подошла к логическому завершению, но к этому их, вероятно, подтолкнули R00TK1T и Cyber Army of Russia, которые ровно месяц назад хакнули инфраструктуру форума.
Google в третий раз за неделю выпускает исправления Chrome 125 для очередной 0-day в составе других восьми уязвимостей.
Наиболее серьезной из них является CVE-2024-4947, ошибка путаницы типов в движке JavaScript V8, которая уже использовалась в дикой природе.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.
Благодарность за раскрытие уязвимости Google адресовала Василию Бердникову и Борису Ларину из Лаборатории Касперского, но не поделилась подробностями наблюдаемой эксплуатации.
Вторая ошибка, исправленная в Chrome 125, - это CVE-2024-4948, серьезная проблема использования после освобождения в Dawn, кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU в Chromium.
Кроме того, устранена ошибка средней степени серьезности, связанная с использованием после освобождения, в движке V8 и проблема с несоответствующей реализацией низкой степени серьезности в разделе «загрузки».
За обе было назначено вознаграждение в размере 7000 и 1000 долларов США соответственно.
Последняя итерация Chrome теперь доступна в качестве версиий 125.0.6422.60 для Linux и 125.0.6422.60/.61 для Windows и macOS.
Пользователям рекомендуется как можно скорее обновить свои браузеры, и вообще не закрывать раздел с настройками в ожидании новых патчей.
Наиболее серьезной из них является CVE-2024-4947, ошибка путаницы типов в движке JavaScript V8, которая уже использовалась в дикой природе.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.
Благодарность за раскрытие уязвимости Google адресовала Василию Бердникову и Борису Ларину из Лаборатории Касперского, но не поделилась подробностями наблюдаемой эксплуатации.
Вторая ошибка, исправленная в Chrome 125, - это CVE-2024-4948, серьезная проблема использования после освобождения в Dawn, кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU в Chromium.
Кроме того, устранена ошибка средней степени серьезности, связанная с использованием после освобождения, в движке V8 и проблема с несоответствующей реализацией низкой степени серьезности в разделе «загрузки».
За обе было назначено вознаграждение в размере 7000 и 1000 долларов США соответственно.
Последняя итерация Chrome теперь доступна в качестве версиий 125.0.6422.60 для Linux и 125.0.6422.60/.61 для Windows и macOS.
Пользователям рекомендуется как можно скорее обновить свои браузеры, и вообще не закрывать раздел с настройками в ожидании новых патчей.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 125 to the stable channel for Windows, Mac and Linux. This will roll out o...
Лаборатория Касперского продолжает радовать отчетами, один из которых содержит аналитику по реагированию и расследованию инцидентов за 2023 год.
Учитывая при этом широку клиентскую базу по России, Европе, Азии, Южной и Северной Америке, Африке и Ближнему Востоку, база для нее более чем многообразна, то и результаты более чем репрезентативны, имея при этом четкую практическую значимость.
Согласно отчетным данным, география несколько изменилась: доля IR-запросов в России и СНГ (47,27%) продолжает расти.
В то же время 2023 год примечателен значительным увеличением количества запросов в регионе Америки (второе место с 21,82%).
Глядя на распределение инцидентов по отраслям, в 2023 году большая часть запросов поступила от госорганов (27,89%) и промышленных предприятий (17,01%).
В 2023 году ransomware оставались наиболее распространенной угрозой, несмотря на снижение их доли до 33,3% по сравнению с 39,8% в 2022 году.
Вымогатели атаковали организации без разбора, независимо от отрасли.
Наиболее распространенными семействами оставались LockBit (27,78%), BlackCat (12,96%), Phobos (9,26%) и Zeppelin (9,26%).
Еще одной важной наблюдаемой в 2023 году тенденцией стал значительный рост количества атак атаки на цепочки поставок.
Этот вектор атак вошел в тройку наиболее часто встречающихся в 2023 году, что неудивительно, поскольку позволяет злоумышленникам осуществлять крупномасштабные атаки с гораздо большей эффективностью.
Для многих организаций такие атаки могут иметь разрушительные последствия, а их обнаружение занимает гораздо больше времени.
Полный отчет с IR-статистикой, общими TTPs на разных этапах развития атаки, задействуемым хакерами инструментарием и уязвимостями доступен здесь (PDF).
Учитывая при этом широку клиентскую базу по России, Европе, Азии, Южной и Северной Америке, Африке и Ближнему Востоку, база для нее более чем многообразна, то и результаты более чем репрезентативны, имея при этом четкую практическую значимость.
Согласно отчетным данным, география несколько изменилась: доля IR-запросов в России и СНГ (47,27%) продолжает расти.
В то же время 2023 год примечателен значительным увеличением количества запросов в регионе Америки (второе место с 21,82%).
Глядя на распределение инцидентов по отраслям, в 2023 году большая часть запросов поступила от госорганов (27,89%) и промышленных предприятий (17,01%).
В 2023 году ransomware оставались наиболее распространенной угрозой, несмотря на снижение их доли до 33,3% по сравнению с 39,8% в 2022 году.
Вымогатели атаковали организации без разбора, независимо от отрасли.
Наиболее распространенными семействами оставались LockBit (27,78%), BlackCat (12,96%), Phobos (9,26%) и Zeppelin (9,26%).
Еще одной важной наблюдаемой в 2023 году тенденцией стал значительный рост количества атак атаки на цепочки поставок.
Этот вектор атак вошел в тройку наиболее часто встречающихся в 2023 году, что неудивительно, поскольку позволяет злоумышленникам осуществлять крупномасштабные атаки с гораздо большей эффективностью.
Для многих организаций такие атаки могут иметь разрушительные последствия, а их обнаружение занимает гораздо больше времени.
Полный отчет с IR-статистикой, общими TTPs на разных этапах развития атаки, задействуемым хакерами инструментарием и уязвимостями доступен здесь (PDF).
Securelist
2023 Kaspersky Incident Response report
The report shares statistics and observations from incident response practice in 2023, analyzes trends and gives cybersecurity recommendations.
Исследователи Trend Micro продолжают отслеживать кампании кибершпионажа с участием APT Earth Hundun, нацеленной на Азиатско-Тихоокеанский регион, которая теперь реализует обновленную тактику заражений и коммуникации.
Как мы ранее уже сообщали, в предыдущем отчете рассматривалась изощренная кампания Earth Hundun с Waterbear на борту и его последней версии RAT Deuterbear, который впервые был замечен еще в октябре 2022 года, став с тех пор неотъемлемой частью последующих атак.
В новом отчете подробно описываются последние версии Waterbear и Deuterbear, включая этапы заражения, взаимодействие с C2, а также работу компонентов вредоносного ПО с отражением траектории развития.
Deuterbear, хоть во многом схож с Waterbear, но демонстрирует определенные улучшения в возможностях, включая поддержку плагинов шелл-кода, отказ от рукопожатий при работе RAT и использование HTTPS для связи C2.
Сравнивая два варианта вредоносного ПО, Deuterbear использует формат шелл-кода, обладает сканированием памяти и разделяет ключ трафика со своим загрузчиком в отличие от Waterbear.
Deuterbear реализует меньше команд (20 по сравнению с более чем 60 для Waterbear), но поддерживает больше плагинов для повышения гибкости.
В целом Waterbear превратился в Deuterbear, новое вредоносное ПО, но интересно, что Waterbear и Deuterbear развиваются отдельно, а не заменяют друг друга.
Эволюция Waterbear и Deuterbear указывает на существенные сподвижки APT Earth Hundun в вопросах разработки своего арсенала инструментов, прежде всего, по части антианализа и уклонения от обнаружения.
Как мы ранее уже сообщали, в предыдущем отчете рассматривалась изощренная кампания Earth Hundun с Waterbear на борту и его последней версии RAT Deuterbear, который впервые был замечен еще в октябре 2022 года, став с тех пор неотъемлемой частью последующих атак.
В новом отчете подробно описываются последние версии Waterbear и Deuterbear, включая этапы заражения, взаимодействие с C2, а также работу компонентов вредоносного ПО с отражением траектории развития.
Deuterbear, хоть во многом схож с Waterbear, но демонстрирует определенные улучшения в возможностях, включая поддержку плагинов шелл-кода, отказ от рукопожатий при работе RAT и использование HTTPS для связи C2.
Сравнивая два варианта вредоносного ПО, Deuterbear использует формат шелл-кода, обладает сканированием памяти и разделяет ключ трафика со своим загрузчиком в отличие от Waterbear.
Deuterbear реализует меньше команд (20 по сравнению с более чем 60 для Waterbear), но поддерживает больше плагинов для повышения гибкости.
В целом Waterbear превратился в Deuterbear, новое вредоносное ПО, но интересно, что Waterbear и Deuterbear развиваются отдельно, а не заменяют друг друга.
Эволюция Waterbear и Deuterbear указывает на существенные сподвижки APT Earth Hundun в вопросах разработки своего арсенала инструментов, прежде всего, по части антианализа и уклонения от обнаружения.
Trend Micro
Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024
This report describes how Waterbear and Deuterbear — two of the tools in Earth Hundun's arsenal — operate, based on a campaign from 2024.
Forwarded from Russian OSINT
https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2024-q1/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Social Engineering
• Выпускник Гарварда и Роберт Тэппен Моррис в 1988 году был аспирантом в Корнеллском университете, Нью-Йорк. Сын профессионального криптографа АНБ США, решил написать самораспространяющегося по ARPAnet червя.
— Сеть ARPANET (Advanced Research Projects Agency Network) была создана в 1969 году по инициативе Управления перспективных исследований Министерства Обороны США (DARPA, Defense Advanced Research Projects Agency) и явившаяся прототипом сети Интернет.
• «Червь Морриса» был первым в истории развития вычислительной техники образцом вредоносного программного обеспечения, который использовал механизмы автоматического распространения по сети. Для этого использовалось несколько уязвимостей сетевых сервисов, а так же некоторые слабые места компьютерных систем, обусловленные недостаточным вниманием к вопросам безопасности в то время.
• По словам Морриса, червь был создан в исследовательских целях. Его код не содержал в себе никакой «полезной» нагрузки. Тем не менее, из-за допущенных ошибок в алгоритмах работы, распространение червя спровоцировало так называемый «отказ в обслуживании», когда ЭВМ были заняты выполнением многочисленных копий червя и переставали реагировать на команды операторов.
• Именно неправильно реализованный алгоритм проверки, не является ли система уже зараженной, привел к массовому распространению червя в сети, вопреки задумке его автора. На практике, ПК заражались многократно, что, во-первых, приводило к быстрому исчерпанию ресурсов, во-вторых — способствовало лавинообразному распространению червя в сети. По некоторым оценкам червь Морриса инфицировал порядка 6200 компьютеров.
• «Червь Морриса» практически парализовал работу компьютеров в сети ARPANET на срок до пяти суток. Оценка простоя — минимум 8 миллионов часов и свыше 1 миллиона часов временных затрат на восстановление работоспособности систем.
• Общие убытки в денежном эквиваленте оценивались в 98 миллионов долларов, они складывались их прямых и косвенных потерь. К прямым потерям относились (32 миллиона долларов): остановка, тестирование и перезагрузка 42700 машин; идентификация червя, удаление, чистка памяти и восстановление работоспособности 6200 машин; анализ кода червя, дизассемблирование и документирование; исправление UNIX-систем и тестирование. К косвенным потерям были отнесены (66 миллионов долларов): потери машинного времени в результате отсутствия доступа к сети; потери доступа пользователей к сети.
• Сам разработчик, осознав масштабы результатов своего поступка, добровольно сдался властям и обо всем рассказал. Слушанье по его делу закончилось 22 января 1990 года. Изначально Моррису грозило до пяти лет лишения свободы и штраф в размере 25 тысяч долларов. В действительности приговор был достаточно мягок, суд назначил 400 часов общественных работ, 10 тысяч долларов штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь Марти Ванхуф обнаружил новую уязвимость, связанную с конструктивным недостатком Wi-Fi IEEE 802.11, который позволяет переподключать устройства к менее безопасной беспроводной сети и прослушивать сетевой трафик.
Атака SSID Confusion, отслеживаемая как CVE-2023-52424, затрагивает все операционные системы и клиенты Wi-Fi на протоколах WEP, WPA3, 802.11X/EAP и AMPE.
Все дело в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, меры безопасности работают только лишь, когда устройство решает присоединиться к определенной сети.
Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается именно к той сети, к которой он хочет подключиться.
Благодаря проблеме с путаницей SSID WiFi, метод позволяет создавать сети Wi-Fi с одинаковым идентификатором SSID и паролем и в случае с активированной функцией автоматического подключения устройства для организации AitM.
Успешная атака также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отрубается, оставляя трафик жертвы незащищенным.
Предлагаемые исследователями меры по устранению уязвимости включают в себя обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннего рукопожатия при подключении к защищенным сетям, а также улучшения в защите самих радиомаяков.
Атака SSID Confusion, отслеживаемая как CVE-2023-52424, затрагивает все операционные системы и клиенты Wi-Fi на протоколах WEP, WPA3, 802.11X/EAP и AMPE.
Все дело в том, что стандарт Wi-Fi не требует, чтобы имя сети (SSID или идентификатор набора служб) всегда аутентифицировалось, меры безопасности работают только лишь, когда устройство решает присоединиться к определенной сети.
Другими словами, даже несмотря на то, что пароли или другие учетные данные взаимно проверяются при подключении к защищенной сети Wi-Fi, нет никакой гарантии, что пользователь подключается именно к той сети, к которой он хочет подключиться.
Благодаря проблеме с путаницей SSID WiFi, метод позволяет создавать сети Wi-Fi с одинаковым идентификатором SSID и паролем и в случае с активированной функцией автоматического подключения устройства для организации AitM.
Успешная атака также приводит к тому, что любая VPN с функцией автоматического отключения в доверенных сетях отрубается, оставляя трафик жертвы незащищенным.
Предлагаемые исследователями меры по устранению уязвимости включают в себя обновление стандарта Wi-Fi 802.11 за счет включения SSID в четырехстороннего рукопожатия при подключении к защищенным сетям, а также улучшения в защите самих радиомаяков.
Top10Vpn
New WiFi Vulnerability: The SSID Confusion Attack
This vulnerability exploits a design flaw in the WiFi standard, allowing attackers to trick WiFi clients on any operating system into connecting to a untrusted network.
Румынская Bitdefender раскрыла четыре уязвимости в IoT-платформе ThroughTek Kalay, которая совместно с своей SDK используются более чем в 100 миллионах интеллектуальных устройств.
Преобладающее присутствие ThroughTek Kalay в системах видеонаблюдения и устройствах безопасности подчеркивает ее значимость для безопасности домов, предприятий и интеграторов.
Все проблемы отслеживаются как CVE-2023-6321 - CVE-2023-6324 и в случае объединения позволяют злоумышленнику повышать привилегии, получить root-доступ изнутри локальной сети, а также реализовать удаленное выполнение кода для полного взлома устройства жертвы.
ThroghTek уведомили о недостатках 19 октября 2023 года, после чего к апрелю удалось выкатить исправления и обновить все затронутые версии SDK.
В ходе изучения уязвимость исследователи сфокусировались на использующих платформу ThroughTek Kalay реализациях от Wyze Cam, Roku и Owlet Cam, подробно описан механизм эксплуатации и технические особенности уязвимостей.
Хотя в действительности, они затрагивают значительно большее число интеграторов, которым теперь также следует доставить обновленные версии встроенного ПО до конечных устройств на базе ThroughTek Kalay.
Ведь последствия выходят далеко за рамки теоретических эксплойтов, поскольку они напрямую влияют на конфиденциальность и безопасность пользователей.
Преобладающее присутствие ThroughTek Kalay в системах видеонаблюдения и устройствах безопасности подчеркивает ее значимость для безопасности домов, предприятий и интеграторов.
Все проблемы отслеживаются как CVE-2023-6321 - CVE-2023-6324 и в случае объединения позволяют злоумышленнику повышать привилегии, получить root-доступ изнутри локальной сети, а также реализовать удаленное выполнение кода для полного взлома устройства жертвы.
ThroghTek уведомили о недостатках 19 октября 2023 года, после чего к апрелю удалось выкатить исправления и обновить все затронутые версии SDK.
В ходе изучения уязвимость исследователи сфокусировались на использующих платформу ThroughTek Kalay реализациях от Wyze Cam, Roku и Owlet Cam, подробно описан механизм эксплуатации и технические особенности уязвимостей.
Хотя в действительности, они затрагивают значительно большее число интеграторов, которым теперь также следует доставить обновленные версии встроенного ПО до конечных устройств на базе ThroughTek Kalay.
Ведь последствия выходят далеко за рамки теоретических эксплойтов, поскольку они напрямую влияют на конфиденциальность и безопасность пользователей.
Bitdefender Labs
Notes on ThroughTek Kalay Vulnerabilities and Their Impact on the IoT Ecosystem
Since 2014, Bitdefender IoT researchers have been looking into the world's most
popular IoT devices, hunting for vulnerabilities and undocumented attack
avenues.
popular IoT devices, hunting for vulnerabilities and undocumented attack
avenues.
HTML Embed Code: