SecAtor
24.02.202518:00
Исследователи из Лаборатории Касперского поделились своими наблюдениями относительно APT Angry Likho (она же Sticky Werewolf), которую отслеживают с 2023 года.
Группа имеет много сходств с Awaken Likho, в связи с чем и была отнесена к кластеру вредоносной активности, однако атаки Angry Likho, как правило, носят целевой характер, имеют более компактную инфраструктуру, ограниченный набор имплантов.
Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и их подрядчиков, а участники, скорее всего, являются носителями русского языка и, вероятно, связаны с Украиной.
Основной таргет - Россия и Беларусь, а другие жертвы были случайными — возможно, исследователями, использующими среды-песочницы или выходные узлы сетей Tor и VPN.
В начале 2024 года ряд ИБ-поставщиков выпускали отчеты в отношении Angry Likho. Тем не менее в июне ЛК обнаружила новые атаки этой группы, а в январе 2025 года смогли задетектить вредоносные полезные нагрузки в рамках развивающейся APT-активности.
Первоначальный вектор атаки, используемый Angry Likho, традиционно включает стандартизированные фишинговые письма с различными вложениями, в том числе архивами RAR, включающими вредоносные LNK-файлы и легитимный файл-приманку.
Согласно телеметрии, злоумышленники действуют периодически, приостанавливая свою деятельность на некоторое время, прежде чем возобновить ее с помощью слегка измененных методов.
В июне 2024 года исследователи обнаружили очень интересный имплант, связанный с APT Angry Likho, который распространялся под названием FrameworkSurvivor.exe по следующему URL: hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe.
Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Ранее эту технику исследователи наблюдали в нескольких кампаниях Awaken Likho.
Архив содержал одну папку $INTERNET_CACHE, заполненную множеством файлов без расширений. Причем последние версии 7-Zip не позволяют извлечь этот скрипт, но его можно извлечь с помощью более старых версий.
Скрипт установки назывался [NSIS].nsi и был частично замаскирован. Он ищет папку в системе жертвы с помощью макроса $INTERNET_CACHE, извлекает в нее все файлы из архива, переименовывает файл «Helping» в «Helping.cmd» и запускает его.
Helping.cmd запускает легитимный интерпретатор AutoIt (Child.pif) с файлом i.a3x в качестве параметра.
Файл i.a3x содержит скомпилированный скрипт AU3. Учитывая это, можно предположить, что этот скрипт реализует основную логику вредоносного импланта.
Скрипт проверяет артефакты, связанные с эмуляторами и исследовательскими средами. Если совпадение найдено, он либо завершается, либо выполняется с задержкой в 10 000 мс, чтобы избежать обнаружения, аналогично имплантам Awaken Likho.
Затем скрипт устанавливает режим обработки ошибок, вызывая SetErrorMode() из kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, тем самым скрывая системные сообщения об ошибках и отчеты.
После этого скрипт удаляет себя с диска, вызывая FileDelete(“i”), и генерирует большой текстовый блок, который является полноценным исполняемым файлом MZ PE, фактически это инфоркад Lumma (Trojan-PSW.Win32.Lumma).
В январе 2025 года злоумышленники продемонстрировали новый всплеск активности, о чем сообщали в F6 (ранее - FACCT). Анализ IoC выявил признаки потенциальной новой волны атак, что еще раз подтверждает активность угрозы со стороны Angry Likho.
Технические подробности и еще больше артефактов, связанных с этой кампанией - в отчете.
Группа имеет много сходств с Awaken Likho, в связи с чем и была отнесена к кластеру вредоносной активности, однако атаки Angry Likho, как правило, носят целевой характер, имеют более компактную инфраструктуру, ограниченный набор имплантов.
Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и их подрядчиков, а участники, скорее всего, являются носителями русского языка и, вероятно, связаны с Украиной.
Основной таргет - Россия и Беларусь, а другие жертвы были случайными — возможно, исследователями, использующими среды-песочницы или выходные узлы сетей Tor и VPN.
В начале 2024 года ряд ИБ-поставщиков выпускали отчеты в отношении Angry Likho. Тем не менее в июне ЛК обнаружила новые атаки этой группы, а в январе 2025 года смогли задетектить вредоносные полезные нагрузки в рамках развивающейся APT-активности.
Первоначальный вектор атаки, используемый Angry Likho, традиционно включает стандартизированные фишинговые письма с различными вложениями, в том числе архивами RAR, включающими вредоносные LNK-файлы и легитимный файл-приманку.
Согласно телеметрии, злоумышленники действуют периодически, приостанавливая свою деятельность на некоторое время, прежде чем возобновить ее с помощью слегка измененных методов.
В июне 2024 года исследователи обнаружили очень интересный имплант, связанный с APT Angry Likho, который распространялся под названием FrameworkSurvivor.exe по следующему URL: hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe.
Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Ранее эту технику исследователи наблюдали в нескольких кампаниях Awaken Likho.
Архив содержал одну папку $INTERNET_CACHE, заполненную множеством файлов без расширений. Причем последние версии 7-Zip не позволяют извлечь этот скрипт, но его можно извлечь с помощью более старых версий.
Скрипт установки назывался [NSIS].nsi и был частично замаскирован. Он ищет папку в системе жертвы с помощью макроса $INTERNET_CACHE, извлекает в нее все файлы из архива, переименовывает файл «Helping» в «Helping.cmd» и запускает его.
Helping.cmd запускает легитимный интерпретатор AutoIt (Child.pif) с файлом i.a3x в качестве параметра.
Файл i.a3x содержит скомпилированный скрипт AU3. Учитывая это, можно предположить, что этот скрипт реализует основную логику вредоносного импланта.
Скрипт проверяет артефакты, связанные с эмуляторами и исследовательскими средами. Если совпадение найдено, он либо завершается, либо выполняется с задержкой в 10 000 мс, чтобы избежать обнаружения, аналогично имплантам Awaken Likho.
Затем скрипт устанавливает режим обработки ошибок, вызывая SetErrorMode() из kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, тем самым скрывая системные сообщения об ошибках и отчеты.
После этого скрипт удаляет себя с диска, вызывая FileDelete(“i”), и генерирует большой текстовый блок, который является полноценным исполняемым файлом MZ PE, фактически это инфоркад Lumma (Trojan-PSW.Win32.Lumma).
В январе 2025 года злоумышленники продемонстрировали новый всплеск активности, о чем сообщали в F6 (ранее - FACCT). Анализ IoC выявил признаки потенциальной новой волны атак, что еще раз подтверждает активность угрозы со стороны Angry Likho.
Технические подробности и еще больше артефактов, связанных с этой кампанией - в отчете.
28.01.202520:24
By MalwareHunterTeam
24.01.202516:30
Исследователи Black Lotus Labs из Lumen Technologies сообщают о вредоносной кампании, нацеленной на маршрутизаторы и VPN-шлюзы Juniper с использованием вредоносного ПО под названием J-magic, разработанного специально для Junos OS.
Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.
Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.
По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.
На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.
J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.
Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.
J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.
Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.
Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.
Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.
В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.
В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.
Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.
Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.
Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.
По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.
На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.
J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.
Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.
J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.
Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.
Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.
Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.
В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.
В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.
Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.
25.12.202416:17
Исследователи Palo Alto Networks Unit 42 сообщают о возможностях задействования больших языковых моделей (LLM) для создания новых вариантов вредоносного кода JavaScript в масштабе таким образом, обеспечивая при этом улучшенное уклонение от обнаружения.
Несмотря на то, что LLM с трудом создают вредоносное ПО с нуля, хакеры могут легко использовать их для переписывания или сокрытия существующего вредоносного ПО, что затрудняет его обнаружение и выглядят гораздо более естественно.
При достаточном количестве преобразований с течением времени этот подход может иметь преимущество в снижении производительности систем классификации вредоносных ПО, заставляя полагать, что фрагмент вредоносного кода на самом деле безвреден.
В то время как поставщики LLM все чаще ужесточают меры безопасности, чтобы не допустить выхода из-под контроля и непреднамеренного вывода данных, злоумышленники уже продвигают такие инструменты, как WormGPT для автоматизации процесса создания убедительных фишинговых писем и даже создания нового вредоносного ПО.
Еще в октябре 2024 года OpenAI сообщала, что заблокировала более 20 операций, связанных с попытками использования ее платформы для разведки, исследования уязвимостей, поддержки скриптов и отладки.
Исследователи Unit 42 смоли задействовать возможности LLM для итеративного переписывания существующих образцов вредоносного ПО с целью обхода обнаружения с помощью моделей машинного обучения (ML), таких как Innocent Until Proven Guilty (IUPG) или PhishingJS, что фактически позволило создать 10 000 новых вариантов JavaScript без изменения функциональности.
Разработанный метод состязательного машинного обучения предназначен для преобразования вредоносного ПО с использованием различных методов, а именно: переименования переменных, разбиения строк, вставки ненужного кода, удаления ненужных пробелов и полной повторной реализации кода - каждый раз при его поступлении в систему в качестве входных данных.
Конечный результат - это новый вариант вредоносного JavaScript-кода, который сохраняет то же поведение, что и исходный скрипт, но при этом почти всегда имеет гораздо более низкую оценку вредоносности, достигая 88% успеха.
Что еще хуже, подобные переписанные артефакты JavaScript также не обнаруживаются другими анализаторами вредоносного ПО при загрузке на платформу VirusTotal.
Еще одним важным преимуществом обфускации на основе LLM является то, что множество ее переписываний выглядят гораздо более гармонично, нежели те, которые реализуются с помощью библиотек, включая obfuscator.io.
Масштабы новых преобразований вредоносного кода может увеличиться с помощью генеративного ИИ. Однако существует возможность использовать ту же тактику переписывания, чтобы генерировать обучающие данные, которые могут повысить надежность моделей ML.
Несмотря на то, что LLM с трудом создают вредоносное ПО с нуля, хакеры могут легко использовать их для переписывания или сокрытия существующего вредоносного ПО, что затрудняет его обнаружение и выглядят гораздо более естественно.
При достаточном количестве преобразований с течением времени этот подход может иметь преимущество в снижении производительности систем классификации вредоносных ПО, заставляя полагать, что фрагмент вредоносного кода на самом деле безвреден.
В то время как поставщики LLM все чаще ужесточают меры безопасности, чтобы не допустить выхода из-под контроля и непреднамеренного вывода данных, злоумышленники уже продвигают такие инструменты, как WormGPT для автоматизации процесса создания убедительных фишинговых писем и даже создания нового вредоносного ПО.
Еще в октябре 2024 года OpenAI сообщала, что заблокировала более 20 операций, связанных с попытками использования ее платформы для разведки, исследования уязвимостей, поддержки скриптов и отладки.
Исследователи Unit 42 смоли задействовать возможности LLM для итеративного переписывания существующих образцов вредоносного ПО с целью обхода обнаружения с помощью моделей машинного обучения (ML), таких как Innocent Until Proven Guilty (IUPG) или PhishingJS, что фактически позволило создать 10 000 новых вариантов JavaScript без изменения функциональности.
Разработанный метод состязательного машинного обучения предназначен для преобразования вредоносного ПО с использованием различных методов, а именно: переименования переменных, разбиения строк, вставки ненужного кода, удаления ненужных пробелов и полной повторной реализации кода - каждый раз при его поступлении в систему в качестве входных данных.
Конечный результат - это новый вариант вредоносного JavaScript-кода, который сохраняет то же поведение, что и исходный скрипт, но при этом почти всегда имеет гораздо более низкую оценку вредоносности, достигая 88% успеха.
Что еще хуже, подобные переписанные артефакты JavaScript также не обнаруживаются другими анализаторами вредоносного ПО при загрузке на платформу VirusTotal.
Еще одним важным преимуществом обфускации на основе LLM является то, что множество ее переписываний выглядят гораздо более гармонично, нежели те, которые реализуются с помощью библиотек, включая obfuscator.io.
Масштабы новых преобразований вредоносного кода может увеличиться с помощью генеративного ИИ. Однако существует возможность использовать ту же тактику переписывания, чтобы генерировать обучающие данные, которые могут повысить надежность моделей ML.
24.12.202415:50
24.12.202414:20
24.02.202516:30
Cisco отчасти подтвердила задействование как минимум в одном из инцидентов Salt Typhoon для получения доступа к сетям телеком-структур в США CVE-2018-0171 наряду с CVE-2023-20198 и CVE-2023-20273, о которых ранее сообщали в Recorded Future’s Insikt Group.
Напомним кстати, что в России компанию признали нежелательной за то, что она выпускает агитгазету Вашингтонского обкома The Record.
При этом злоумышленники продемонстрировали способность сохраняться в целевых средах на оборудовании разных поставщиков в течение длительных периодов времени, обеспечивая доступ к одному экземпляру на протяжении более трех лет.
Важным аспектом кампании является использование легитимных украденных учетных данных для получения первоначального доступа, правда способ их получения пока неизвестен.
Было замечено, что злоумышленник предпринимает попытки завладеть учетными данными через конфигурации сетевых устройств и расшифровывает локальные учетные записи с помощью слабых типов паролей.
В Cisco наблюдали, как злоумышленник захватывает трафик SNMP, TACACS и RADIUS, включая секретные ключи, используемые между сетевыми устройствами и серверами TACACS/RADIUS для извлечения дополнительных данных учетных данных.
Еще одна примечательная особенность Salt Typhoon подразумевает использование методов LOTL на сетевых устройствах, злоупотребляя доверенной инфраструктурой в качестве опорных точек для перехода от одного телекоммуникационного оператора к другому.
Предполагается, что эти устройства используются в качестве промежуточных ретрансляторов для достижения намеченной конечной цели или в качестве первого транзитного пункта для операций по утечке исходящих данных, поскольку это дает злоумышленнику возможность оставаться незамеченным в течение длительного периода времени.
Кроме того, Salt Typhoon меняла сетевые конфигурации для создания локальных учетных записей, включения доступа Guest Shell и упрощения удаленного доступа через SSH.
Также задействовалась утилита JumbledPath, которая позволяет выполнять захват пакетов на удаленном устройстве Cisco через определенный актером jump-host.
Двоичный файл ELF на основе Go также способен очищать журналы и отключать журналирование для сокрытия следов вредоносной активности и противодействия криминалистическому анализу.
Использование этой утилиты помогает скрыть исходный источник и конечный пункт назначения запроса, а также позволяет его оператору перемещаться через потенциально недоступные (или маршрутизируемые) устройства или инфраструктуру.
Злоумышленник неоднократно изменял адрес интерфейса обратной связи на скомпрометированном коммутаторе и использовал этот интерфейс в качестве источника SSH-подключений к дополнительным устройствам в целевой среде, что позволяло ему эффективно обходить списки ACL, установленные на этих устройствах.
Cisco заявила, что не нашла никаких доказательств того, что хакерская команда использовала другие известные уязвимости для нацеливания, вероятно, за исключением уже фигурирующих в отчетах.
Отдельно отметив, что выявила дополнительное нацеливание на устройства Cisco с открытой Smart Install (SMI), за которым последовала эксплуатация CVE-2018-0171. Причем активность якобы не связана с Salt Typhoon и не имеет общих черт с какой-либо известной группой.
Напомним кстати, что в России компанию признали нежелательной за то, что она выпускает агитгазету Вашингтонского обкома The Record.
При этом злоумышленники продемонстрировали способность сохраняться в целевых средах на оборудовании разных поставщиков в течение длительных периодов времени, обеспечивая доступ к одному экземпляру на протяжении более трех лет.
Важным аспектом кампании является использование легитимных украденных учетных данных для получения первоначального доступа, правда способ их получения пока неизвестен.
Было замечено, что злоумышленник предпринимает попытки завладеть учетными данными через конфигурации сетевых устройств и расшифровывает локальные учетные записи с помощью слабых типов паролей.
В Cisco наблюдали, как злоумышленник захватывает трафик SNMP, TACACS и RADIUS, включая секретные ключи, используемые между сетевыми устройствами и серверами TACACS/RADIUS для извлечения дополнительных данных учетных данных.
Еще одна примечательная особенность Salt Typhoon подразумевает использование методов LOTL на сетевых устройствах, злоупотребляя доверенной инфраструктурой в качестве опорных точек для перехода от одного телекоммуникационного оператора к другому.
Предполагается, что эти устройства используются в качестве промежуточных ретрансляторов для достижения намеченной конечной цели или в качестве первого транзитного пункта для операций по утечке исходящих данных, поскольку это дает злоумышленнику возможность оставаться незамеченным в течение длительного периода времени.
Кроме того, Salt Typhoon меняла сетевые конфигурации для создания локальных учетных записей, включения доступа Guest Shell и упрощения удаленного доступа через SSH.
Также задействовалась утилита JumbledPath, которая позволяет выполнять захват пакетов на удаленном устройстве Cisco через определенный актером jump-host.
Двоичный файл ELF на основе Go также способен очищать журналы и отключать журналирование для сокрытия следов вредоносной активности и противодействия криминалистическому анализу.
Использование этой утилиты помогает скрыть исходный источник и конечный пункт назначения запроса, а также позволяет его оператору перемещаться через потенциально недоступные (или маршрутизируемые) устройства или инфраструктуру.
Злоумышленник неоднократно изменял адрес интерфейса обратной связи на скомпрометированном коммутаторе и использовал этот интерфейс в качестве источника SSH-подключений к дополнительным устройствам в целевой среде, что позволяло ему эффективно обходить списки ACL, установленные на этих устройствах.
Cisco заявила, что не нашла никаких доказательств того, что хакерская команда использовала другие известные уязвимости для нацеливания, вероятно, за исключением уже фигурирующих в отчетах.
Отдельно отметив, что выявила дополнительное нацеливание на устройства Cisco с открытой Smart Install (SMI), за которым последовала эксплуатация CVE-2018-0171. Причем активность якобы не связана с Salt Typhoon и не имеет общих черт с какой-либо известной группой.
28.01.202519:01
Банда вымогателей BASHE, также известная как APT73, добавила ICICI Bank на свой сайт DLS и выставила срок в три дня на выплату выкупа.
Правда инцидент до настоящего времени официально не подтвержден.
Тем не менее BASHE угрожает опубликовать данные клиентов, если их требования не будут выполнены до 10:00 UTC 31 января 2025 года.
Представленные пруффы с образцами данных содержат имена, номера телефонов, адреса, возраст, пол, типы кредитных карт, такие как Gold или Diamond, а также временные метки марта 2024 года.
Таблица также включает, предположительно, балансы на счетах. Однако, это невозможно подтвердить, так как названия столбцов отсутствуют.
До настоящего времени неизвестно, относятся ли данные к новому инциденту и каковы могут быть его реальные масштабы.
В ICICI Bank сохраняют режим радиомолчание.
Ранее в 2023 году в ICICI Bank фиксировалась крупная утечка данных.
Тогда исследователи Cybernews обнаружили личные и финансовые сведения, которые оказались в общем доступе в виду неправильной настройки систем.
Стоит отметить, что ICICI Bank - это не рядовая финкомпания, а на минуту - второй по величине банк в Индии с более чем 6600 филиалами и рыночной капитализацией почти в $100 млрд.
В свою очередь, APT73 запустила свой сайт DLS 25 апреля 2024 года, разместив на нем десятки жертв.
При этом их сайт напоминает стиль Lockbit, что неудивительно, ведь APT73 была сформирована предполагаемым бывшим оператором банды после того, как правоохранительные органы провернули свои операции в отношении вымогателей.
Насколько ребята соответствуют эталонам эффективности Lockbit станет понятно совсем скоро, если конечно, не найдутся желающие прикупить награбленное или инцидент не окажется щеконадувательством.
Но будем в любом случае посмотреть.
Правда инцидент до настоящего времени официально не подтвержден.
Тем не менее BASHE угрожает опубликовать данные клиентов, если их требования не будут выполнены до 10:00 UTC 31 января 2025 года.
Представленные пруффы с образцами данных содержат имена, номера телефонов, адреса, возраст, пол, типы кредитных карт, такие как Gold или Diamond, а также временные метки марта 2024 года.
Таблица также включает, предположительно, балансы на счетах. Однако, это невозможно подтвердить, так как названия столбцов отсутствуют.
До настоящего времени неизвестно, относятся ли данные к новому инциденту и каковы могут быть его реальные масштабы.
В ICICI Bank сохраняют режим радиомолчание.
Ранее в 2023 году в ICICI Bank фиксировалась крупная утечка данных.
Тогда исследователи Cybernews обнаружили личные и финансовые сведения, которые оказались в общем доступе в виду неправильной настройки систем.
Стоит отметить, что ICICI Bank - это не рядовая финкомпания, а на минуту - второй по величине банк в Индии с более чем 6600 филиалами и рыночной капитализацией почти в $100 млрд.
В свою очередь, APT73 запустила свой сайт DLS 25 апреля 2024 года, разместив на нем десятки жертв.
При этом их сайт напоминает стиль Lockbit, что неудивительно, ведь APT73 была сформирована предполагаемым бывшим оператором банды после того, как правоохранительные органы провернули свои операции в отношении вымогателей.
Насколько ребята соответствуют эталонам эффективности Lockbit станет понятно совсем скоро, если конечно, не найдутся желающие прикупить награбленное или инцидент не окажется щеконадувательством.
Но будем в любом случае посмотреть.
20.01.202517:30
Ресерчеры из Лаборатории Касперского раскрыли подробности своего исследования, в результате которого смогли обнаружить 13 уязвимостей в информационно-развлекательных системах Mercedes-Benz User Experience (MBUX) первого поколения.
В качестве отправной точки в изучении внутреннего устройства MBUX и архитектуры системы был использован отчет китайской KeenLab от 2021 года.
При этом в ЛК сосредоточились на детальном анализе подсистем MBUX, которым не было уделено должное внимание их коллегами: диагностика (CAN, UDS и т.д.), подключения с использованием USB и специализированные протоколы межпроцессного взаимодействия (IPC).
В ходе исследования ресерчерам удалось скомпрометировать тестовую модель головного устройства и обнаружить несколько уязвимостей на реальном автомобиле (в качестве образца задействовали Mercedes B180), к которому имелся физический доступ.
Некоторые из уязвимостей могут быть использованы для DoS-атак, в то время как другие могут быть использованы для получения данных, внедрения команд и повышения привилегий.
По словам исследователей, злоумышленник, имеющий физический доступ к целевому автомобилю, может использовать некоторые из них для отключения защиты от кражи в головном устройстве, выполнить настройку автомобиля и разблокировать платные услуги.
В случае с реальным автомобилем обнаруженные уязвимости можно задействовать через службу USB, доступную обычному пользователю.
В целом, в процессе исследования были зарегистрированы следующие идентификаторы для выявленных проблем: CVE-2024-37601 - CVE-2024-37603, CVE-2023-34397 - CVE-2023-34404, CVE-2023-34406.
Подробная информация по каждой CVE - здесь, а технические подробности - в отчете.
В качестве отправной точки в изучении внутреннего устройства MBUX и архитектуры системы был использован отчет китайской KeenLab от 2021 года.
При этом в ЛК сосредоточились на детальном анализе подсистем MBUX, которым не было уделено должное внимание их коллегами: диагностика (CAN, UDS и т.д.), подключения с использованием USB и специализированные протоколы межпроцессного взаимодействия (IPC).
В ходе исследования ресерчерам удалось скомпрометировать тестовую модель головного устройства и обнаружить несколько уязвимостей на реальном автомобиле (в качестве образца задействовали Mercedes B180), к которому имелся физический доступ.
Некоторые из уязвимостей могут быть использованы для DoS-атак, в то время как другие могут быть использованы для получения данных, внедрения команд и повышения привилегий.
По словам исследователей, злоумышленник, имеющий физический доступ к целевому автомобилю, может использовать некоторые из них для отключения защиты от кражи в головном устройстве, выполнить настройку автомобиля и разблокировать платные услуги.
В случае с реальным автомобилем обнаруженные уязвимости можно задействовать через службу USB, доступную обычному пользователю.
В целом, в процессе исследования были зарегистрированы следующие идентификаторы для выявленных проблем: CVE-2024-37601 - CVE-2024-37603, CVE-2023-34397 - CVE-2023-34404, CVE-2023-34406.
Подробная информация по каждой CVE - здесь, а технические подробности - в отчете.
25.12.202414:20
Apache Software Foundation (ASF) выпустила обновление безопасности для устранения важной уязвимости в программном обеспечении сервера Tomcat, которая при определенных условиях может привести к RCE.
Уязвимость отслеживается как CVE-2024-56337 и связана с неудавшимся устранением другой CVE-2024-50379 (CVSS: 9,8), еще одной критической уязвимости безопасности в том же продукте, которая была устранена ранее 17 декабря 2024 года.
Пользователям, работающим с Tomcat в файловой системе, нечувствительной к регистру, с включенной записью сервлета по умолчанию (параметр инициализации «только для чтения» установлен на значение false, отличное от значения по умолчанию), может потребоваться дополнительная настройка для полного устранения уязвимости CVE-2024-50379 в зависимости от того, какая версия Java используется с Tomcat.
Обе уязвимости обусловлены состоянием гонки времени проверки и использования (TOCTOU), которые могут привести к выполнению кода в файловых системах, нечувствительных к регистру, когда сервлет по умолчанию включен для записи.
Одновременное чтение и загрузка при загрузке одного и того же файла может обойти проверки чувствительности Tomcat к регистру и привести к тому, что загруженный файл будет рассматриваться как JSP, что приведет к RCE.
CVE-2024-56337 влияет на следующие версии Apache Tomcat:
- 11.0.0-M1 до 11.0.1 (исправлено в 11.0.2 или более поздней версии);
- 10.1.0-M1 до 10.1.33 (исправлено в 10.1.34 или более поздней версии);
- 9.0.0.M1 – 9.0.97 (исправлено в 9.0.98 или более поздней версии).
Кроме того, пользователям необходимо выполнить следующие изменения конфигурации в зависимости от используемой версии Java:
- Java 8 или Java 11: следует задать системному свойству sun.io.useCanonCaches значение false (по умолчанию true);
- Java 17: установить системное свойство sun.io.useCanonCaches в значение false, если оно уже установлено (по умолчанию false);
- Java 21 и более поздние версии: никаких действий не требуется, так как системное свойство удалено.
ASF выразила благодарность исследователям Nacl, WHOAMI, Yemoli и Ruozhi за сообщение об обоих недостатках, а также команде KnownSec 404 за независимое раскрытие CVE-2024-56337 с предоставлением PoC.
Уязвимость отслеживается как CVE-2024-56337 и связана с неудавшимся устранением другой CVE-2024-50379 (CVSS: 9,8), еще одной критической уязвимости безопасности в том же продукте, которая была устранена ранее 17 декабря 2024 года.
Пользователям, работающим с Tomcat в файловой системе, нечувствительной к регистру, с включенной записью сервлета по умолчанию (параметр инициализации «только для чтения» установлен на значение false, отличное от значения по умолчанию), может потребоваться дополнительная настройка для полного устранения уязвимости CVE-2024-50379 в зависимости от того, какая версия Java используется с Tomcat.
Обе уязвимости обусловлены состоянием гонки времени проверки и использования (TOCTOU), которые могут привести к выполнению кода в файловых системах, нечувствительных к регистру, когда сервлет по умолчанию включен для записи.
Одновременное чтение и загрузка при загрузке одного и того же файла может обойти проверки чувствительности Tomcat к регистру и привести к тому, что загруженный файл будет рассматриваться как JSP, что приведет к RCE.
CVE-2024-56337 влияет на следующие версии Apache Tomcat:
- 11.0.0-M1 до 11.0.1 (исправлено в 11.0.2 или более поздней версии);
- 10.1.0-M1 до 10.1.33 (исправлено в 10.1.34 или более поздней версии);
- 9.0.0.M1 – 9.0.97 (исправлено в 9.0.98 или более поздней версии).
Кроме того, пользователям необходимо выполнить следующие изменения конфигурации в зависимости от используемой версии Java:
- Java 8 или Java 11: следует задать системному свойству sun.io.useCanonCaches значение false (по умолчанию true);
- Java 17: установить системное свойство sun.io.useCanonCaches в значение false, если оно уже установлено (по умолчанию false);
- Java 21 и более поздние версии: никаких действий не требуется, так как системное свойство удалено.
ASF выразила благодарность исследователям Nacl, WHOAMI, Yemoli и Ruozhi за сообщение об обоих недостатках, а также команде KnownSec 404 за независимое раскрытие CVE-2024-56337 с предоставлением PoC.
24.12.202415:20
24.12.202413:40
29.01.202510:50
По узвимостям сегодня VMware Avi Load Balancer и Zyxel CPE.
Что касаемо первой Broadcom сообщила об обнаружении серьезной проблемы в VMware Avi Load Balancer, которую злоумышленники могут использовать для получения защищенного доступа к базе данных.
CVE-2025-22217 имеет оценку CVSS: 8,6 и была обнаружена исследователями Даниэлом Кукучка и Матеушом Дарда.
Злоумышленник, имеющий доступ к сети, может использовать специально созданные SQL-запросы для получения доступа к базе данных.
Ошибка затрагивает VMware Avi Load Balancer 30.1.1 (исправлено в 30.1.2-2p2), 30.1.2 (исправлено в 30.1.2-2p2), 30.2.1 (исправлено в 30.2.1-2p5) и 30.2.2 (исправлено в 30.2.2-2p2)
Broadcom также отметила, что версии 22.x и 21.x не подвержены уязвимости CVE-2025-22217.
Пользователи, использующие версию 30.1.1, должны сначала обновиться до 30.1.2 или более поздней версии перед применением исправления.
Обходных путей не существует.
А критическая 0-day, затрагивающая устройства серии Zyxel CPE, уже подвергается активным попыткам эксплуатации.
GreyNoise сообщает, что злоумышленники могут воспользоваться ей для выполнения произвольных команд на уязвимых устройствах, что приведет к полной компрометации системы, утечке данных или проникновению в сеть.
CVE-2024-40891 связана с инъекцией команд и не была публично раскрыта или исправлена.
О существовании ошибки впервые сообщила VulnCheck в июле 2024 года.
Телеметрия GreyNoise показывает, что попытки атак исходили с десятков IP-адресов, большинство из которых находились на Тайване.
По данным Censys, в сети насчитывается более 1500 уязвимых устройств.
CVE-2024-40891 очень схожа с CVE-2024-40890, главное отличие в том, что первая основана на Telnet, а вторая — на HTTP.
Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб.
VulnCheck сообщил, что работает над процессом раскрытия информации с тайваньской компанией.
В Zyxel пока дополнительно не комментирует ситуацию.
Пользователям рекомендуется фильтровать трафик на предмет необычных HTTP-запросов к интерфейсам управления Zyxel CPE и ограничивать доступ к административному интерфейсу доверенными IP-адресами.
Что касаемо первой Broadcom сообщила об обнаружении серьезной проблемы в VMware Avi Load Balancer, которую злоумышленники могут использовать для получения защищенного доступа к базе данных.
CVE-2025-22217 имеет оценку CVSS: 8,6 и была обнаружена исследователями Даниэлом Кукучка и Матеушом Дарда.
Злоумышленник, имеющий доступ к сети, может использовать специально созданные SQL-запросы для получения доступа к базе данных.
Ошибка затрагивает VMware Avi Load Balancer 30.1.1 (исправлено в 30.1.2-2p2), 30.1.2 (исправлено в 30.1.2-2p2), 30.2.1 (исправлено в 30.2.1-2p5) и 30.2.2 (исправлено в 30.2.2-2p2)
Broadcom также отметила, что версии 22.x и 21.x не подвержены уязвимости CVE-2025-22217.
Пользователи, использующие версию 30.1.1, должны сначала обновиться до 30.1.2 или более поздней версии перед применением исправления.
Обходных путей не существует.
А критическая 0-day, затрагивающая устройства серии Zyxel CPE, уже подвергается активным попыткам эксплуатации.
GreyNoise сообщает, что злоумышленники могут воспользоваться ей для выполнения произвольных команд на уязвимых устройствах, что приведет к полной компрометации системы, утечке данных или проникновению в сеть.
CVE-2024-40891 связана с инъекцией команд и не была публично раскрыта или исправлена.
О существовании ошибки впервые сообщила VulnCheck в июле 2024 года.
Телеметрия GreyNoise показывает, что попытки атак исходили с десятков IP-адресов, большинство из которых находились на Тайване.
По данным Censys, в сети насчитывается более 1500 уязвимых устройств.
CVE-2024-40891 очень схожа с CVE-2024-40890, главное отличие в том, что первая основана на Telnet, а вторая — на HTTP.
Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб.
VulnCheck сообщил, что работает над процессом раскрытия информации с тайваньской компанией.
В Zyxel пока дополнительно не комментирует ситуацию.
Пользователям рекомендуется фильтровать трафик на предмет необычных HTTP-запросов к интерфейсам управления Zyxel CPE и ограничивать доступ к административному интерфейсу доверенными IP-адресами.
28.01.202516:59
Исследователи BI.ZONE представили свое видение рынка инфосека в 2025 году, выделив основные тренды киберландшафта как стороны нападающих, так и с противоположной.
Общая картина, по мнению исследователей, характеризуется увеличением числа атак и 2025-й не станет исключением.
Важный тренд - увеличение числа атак, связанных с хактивизмом: в 2024 году доля таких атак увеличилась и составила 12%.
Вероятно, 2025 год принесет новые крупные публичные взломы.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно - хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации: фишинг, задействование скомпрометированных подрядчиков и легитимных учетных записей, а также эксплуатация уязвимостей в сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами, что в BI.ZONE связывают с высокой ключевой ставкой, которая ограничивает бизнес в привлечении финансирования для реализации крупных проектов.
Основное по трендам в защите:
- Законодательные изменения по части переданных и требования по переходу на отечественные IT-решения для объектов КИИ будут выступать драйверами развития отечественного рынка ИБ.
- Практическая помощь от государства будет продолжена: создана Национальная система противодействия DDoS-атакам; появился российский репозиторий программ с открытым исходным кодом; запущена государственная система сканирования российского адресного пространства на уязвимости; может продолжиться развитие национальной системы доменных имен.
- Развитие рынка next-generation firewall: объем российского рынка NGFW в 2024 году составил 52 млрд руб. и будет ежегодно расти (по прогнозам на 12%) после ухода большинства зарубежных решений.
- Активное продвижение концепции zero trust.
- Использование защищенных облачных ресурсов: на 32% вырос рынок облачных ресурсов в 2024 году, важным моментом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных.
- Укрепление позиций artificial intelligence (AI) и machine learning (ML), в том числе внедрение в работу SOC.
- Переход от сканирования периметра к extended attack surface managment (EASM): тренд 2025 года - переход российских поставщиков от отдельных инструментов к комплексным решениям, соответствующих потребностям в контроле внешней поверхности атаки.
Тренды атакующих сводятся к тому, что методы и тактики злоумышленников радикально не меняются из года в год.
Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года.
Среди унаследованных трендов: хактивизм, вымогательство, использование стилеров, коммерческое вредоносное ПО, опенсорс-инструменты и C2-фреймворки, средства для туннелирования трафика.
Помимо этого прогнозируются следующие тренды: атаки через подрядчиков; удар по гражданам через атаки на бизнес и госорганы; использование украденных персональных данных и переход мошенников в мессенджеры.
Подробное описание каждого прогноза - в отчете.
Общая картина, по мнению исследователей, характеризуется увеличением числа атак и 2025-й не станет исключением.
Важный тренд - увеличение числа атак, связанных с хактивизмом: в 2024 году доля таких атак увеличилась и составила 12%.
Вероятно, 2025 год принесет новые крупные публичные взломы.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно - хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации: фишинг, задействование скомпрометированных подрядчиков и легитимных учетных записей, а также эксплуатация уязвимостей в сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами, что в BI.ZONE связывают с высокой ключевой ставкой, которая ограничивает бизнес в привлечении финансирования для реализации крупных проектов.
Основное по трендам в защите:
- Законодательные изменения по части переданных и требования по переходу на отечественные IT-решения для объектов КИИ будут выступать драйверами развития отечественного рынка ИБ.
- Практическая помощь от государства будет продолжена: создана Национальная система противодействия DDoS-атакам; появился российский репозиторий программ с открытым исходным кодом; запущена государственная система сканирования российского адресного пространства на уязвимости; может продолжиться развитие национальной системы доменных имен.
- Развитие рынка next-generation firewall: объем российского рынка NGFW в 2024 году составил 52 млрд руб. и будет ежегодно расти (по прогнозам на 12%) после ухода большинства зарубежных решений.
- Активное продвижение концепции zero trust.
- Использование защищенных облачных ресурсов: на 32% вырос рынок облачных ресурсов в 2024 году, важным моментом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных.
- Укрепление позиций artificial intelligence (AI) и machine learning (ML), в том числе внедрение в работу SOC.
- Переход от сканирования периметра к extended attack surface managment (EASM): тренд 2025 года - переход российских поставщиков от отдельных инструментов к комплексным решениям, соответствующих потребностям в контроле внешней поверхности атаки.
Тренды атакующих сводятся к тому, что методы и тактики злоумышленников радикально не меняются из года в год.
Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года.
Среди унаследованных трендов: хактивизм, вымогательство, использование стилеров, коммерческое вредоносное ПО, опенсорс-инструменты и C2-фреймворки, средства для туннелирования трафика.
Помимо этого прогнозируются следующие тренды: атаки через подрядчиков; удар по гражданам через атаки на бизнес и госорганы; использование украденных персональных данных и переход мошенников в мессенджеры.
Подробное описание каждого прогноза - в отчете.
13.01.202513:17
Как передают СМИ, в ходе недавней кибератаки на Министерство финансов США китайские хакеры атаковали сразу несколько подразделений, в том числе и те, что занимаются иностранными инвестициями.
В результате продолжающегося расследования становятся известны все более новые подробности инцидента, однако технической информации пока остается крайне мало.
В конце декабря 2024 года выяснилось, что хакеры получили доступ к системам Министерства финансов США, каким именно и что им удалось - в полном объеме не разглашается.
По началу в правительстве США заявили, что злоумышленникам удалось получить доступ к несекретной информации после проникновения на рабочие станции Казначейства.
Известно, что первоначальный доступ, по-видимому, был получен с помощью скомпрометированного ключа API для сервиса удаленного управления от BeyondTrust.
Компании в ходе расследования атаки удалось обнаружить критическую 0-day, CVE-2024-12356, которая, вероятно, и была использована хакерами, но официально это в компании не подтвердили.
Журналистам CNN удалось узнать от трех неназванных официальных лиц США, знакомых с ситуацией, что злоумышленники помимо прочего взломали системы, связанные с Комитетом по иностранным инвестициям в США (CFIUS).
Ранее в Washington Post также сообщали, что китайские хакеры атаковали Управление по контролю за иностранными активами (OFAC), которое отвечает за реализацию санкционной политики, а также Управление министра финансов и Управление финансовых исследований.
По данным CNN, чиновники обеспокоены тем, что Китай может обобщить всю скомпрометированную «несекретную» информацию, анализ которой позволит им выудить весьма чувствительные разведданные.
В Bloomberg предполагают, что за атака на Министерство финансов может стоять китайская APT, известная как Silk Typhoon или Hafnium.
Тем временем, исследователи, журналисты и знакомые с ситуацией чиновники единогласно охарактеризовали инцидент как один из крупнейших за последнее время. Видимо, все же немного грифа в утекших документах все же было.
Так что продолжаем следить.
В результате продолжающегося расследования становятся известны все более новые подробности инцидента, однако технической информации пока остается крайне мало.
В конце декабря 2024 года выяснилось, что хакеры получили доступ к системам Министерства финансов США, каким именно и что им удалось - в полном объеме не разглашается.
По началу в правительстве США заявили, что злоумышленникам удалось получить доступ к несекретной информации после проникновения на рабочие станции Казначейства.
Известно, что первоначальный доступ, по-видимому, был получен с помощью скомпрометированного ключа API для сервиса удаленного управления от BeyondTrust.
Компании в ходе расследования атаки удалось обнаружить критическую 0-day, CVE-2024-12356, которая, вероятно, и была использована хакерами, но официально это в компании не подтвердили.
Журналистам CNN удалось узнать от трех неназванных официальных лиц США, знакомых с ситуацией, что злоумышленники помимо прочего взломали системы, связанные с Комитетом по иностранным инвестициям в США (CFIUS).
Ранее в Washington Post также сообщали, что китайские хакеры атаковали Управление по контролю за иностранными активами (OFAC), которое отвечает за реализацию санкционной политики, а также Управление министра финансов и Управление финансовых исследований.
По данным CNN, чиновники обеспокоены тем, что Китай может обобщить всю скомпрометированную «несекретную» информацию, анализ которой позволит им выудить весьма чувствительные разведданные.
В Bloomberg предполагают, что за атака на Министерство финансов может стоять китайская APT, известная как Silk Typhoon или Hafnium.
Тем временем, исследователи, журналисты и знакомые с ситуацией чиновники единогласно охарактеризовали инцидент как один из крупнейших за последнее время. Видимо, все же немного грифа в утекших документах все же было.
Так что продолжаем следить.
25.12.202412:00
Взявшая на себя ответственность за новую делюгу, связанную со взломом клиентов Cleo, банда вымогателей Clop приступила к сбору выкупов со своих жертв, число которых достигло 66.
Соответствующее объявление появилось на сайте DLS, где пострадавшим компаниям предложено урегулировать выплаты по инцидентам в течением 48 часов.
Хакеры связались с ними напрямую и направили для этого ссылки на защищенные чаты для проведения переговоров по выкупу.
Помимо этого предоставили даже адреса электронной почты, по которым жертвы могут выйти с бандой на связь.
Причем указанный на сайте список жертв включает лишь частные наименования связанных с инцидентом компаний. В случае, если в течение 48 часов переговоры не начнутся - Clop обещает раскрыть их полные данные.
Хакеры отмечают, что в списке указаны лишь те жертвы, с которыми связались, но обратной связи получено не было, что позволяет предполагать о более широком охвате кампании с компрометацией Cleo.
Вообще последняя атака стала еще одним крупным проектом Clop, которой в очередной раз удалось умело воспользовалаться 0-day в продуктах Cleo LexiCom, VLTransfer и Harmony для массовой кражи данных из сетей взломанных компаний.
Теперь в послужном списке хакеров реализованные нули в ПО: Accellion FTA, GoAnywhere MFT и MOVEit Transfer, а также SolarWinds Serv-U FTP.
Последний нуль отслеживается как CVE-2024-50623 и позволяет удаленному злоумышленнику выполнять неограниченную загрузку и скачивание файлов, что приводит к RCE.
Причем исправление было доступно для Cleo Harmony, VLTrader и LexiCom версии 5.8.0.21, а производитель предупредил в приватных сообщениях свою клиентуру о том, что хакеры активно используют этот 0-day в реальных атаках.
Кроме того, Huntress даже публично раскрыла, что уязвимость активно эксплуатировалась, и предупредила о возможности обхода исправления поставщика.
Исследователи также представили соответствующий PoC, подтвердив все свои выводы.
Но остановить атаки так и не удалось.
Несколько дней спустя банда вымогателей Clop уже официально подтвердила, что эксплуатация уязвимости CVE-2024-50623 теперь на ее счету.
Тогда же Clop почистила данные с DLS по своим прошлым кампаниям, оставив место для новой, куда недавно поместили клиентов Cleo.
Пока еще не всех, но если учесть, что ПО используют более 4000 организаций по всему миру - список будет пополнятся.
Будем посмотреть.
Соответствующее объявление появилось на сайте DLS, где пострадавшим компаниям предложено урегулировать выплаты по инцидентам в течением 48 часов.
Хакеры связались с ними напрямую и направили для этого ссылки на защищенные чаты для проведения переговоров по выкупу.
Помимо этого предоставили даже адреса электронной почты, по которым жертвы могут выйти с бандой на связь.
Причем указанный на сайте список жертв включает лишь частные наименования связанных с инцидентом компаний. В случае, если в течение 48 часов переговоры не начнутся - Clop обещает раскрыть их полные данные.
Хакеры отмечают, что в списке указаны лишь те жертвы, с которыми связались, но обратной связи получено не было, что позволяет предполагать о более широком охвате кампании с компрометацией Cleo.
Вообще последняя атака стала еще одним крупным проектом Clop, которой в очередной раз удалось умело воспользовалаться 0-day в продуктах Cleo LexiCom, VLTransfer и Harmony для массовой кражи данных из сетей взломанных компаний.
Теперь в послужном списке хакеров реализованные нули в ПО: Accellion FTA, GoAnywhere MFT и MOVEit Transfer, а также SolarWinds Serv-U FTP.
Последний нуль отслеживается как CVE-2024-50623 и позволяет удаленному злоумышленнику выполнять неограниченную загрузку и скачивание файлов, что приводит к RCE.
Причем исправление было доступно для Cleo Harmony, VLTrader и LexiCom версии 5.8.0.21, а производитель предупредил в приватных сообщениях свою клиентуру о том, что хакеры активно используют этот 0-day в реальных атаках.
Кроме того, Huntress даже публично раскрыла, что уязвимость активно эксплуатировалась, и предупредила о возможности обхода исправления поставщика.
Исследователи также представили соответствующий PoC, подтвердив все свои выводы.
Но остановить атаки так и не удалось.
Несколько дней спустя банда вымогателей Clop уже официально подтвердила, что эксплуатация уязвимости CVE-2024-50623 теперь на ее счету.
Тогда же Clop почистила данные с DLS по своим прошлым кампаниям, оставив место для новой, куда недавно поместили клиентов Cleo.
Пока еще не всех, но если учесть, что ПО используют более 4000 организаций по всему миру - список будет пополнятся.
Будем посмотреть.
24.12.202414:50
Kirishning iloji bo'lmadi
media kontentga
media kontentga
24.12.202413:00
29.01.202508:50
Группа исследователей из Технологического института Джорджии и Рурского университета в Бохуме, сообщившие ранее о Meltdown, Spectre, SGX Fail и RAMBleed, представили подробности новых атак по побочным каналам FLOP и SLAP вместе с демонстрацией способов их проведения.
Новые обнаруженные уязвимости в современных процессорах Apple могут привести к краже конфиденциальной информации из браузеров.
К затронутым устройствам относятся все ноутбуки Mac, проданные после 2022 года, все настольные компьютеры Mac, проданные после 2023 года, и все iPhone, проданные после 2021 года.
Проблемы обусловлены неправильной реализации спекулятивного исполнения, что является основной причиной таких известных атак, как Spectre и Meltdown.
FLOP и SLAP нацелены на функции, ускоряющие обработку путем угадывания будущих инструкций вместо их ожидания, и могут оставлять следы в памяти для извлечения конфиденциальной информации.
Начиная с поколения M2/A15, процессоры Apple пытаются предсказать следующий адрес памяти, к которому будет обращаться ядро, а yачиная с поколения M3/A17 - значение данных, которое будет возвращено из памяти.
Однако неверные прогнозы в этих механизмах могут привести к выполнению произвольных вычислений на данных, выходящих за пределы допустимого диапазона, или неверных значениях данных.
Эти прогнозы могут иметь реальные последствия по части безопасности, включая выход из изолированной программной среды браузера и считывание кросс-источниковой персональной идентификационной информации в Safari и Chrome.
Атаки выполняются удаленно через браузер с использованием вредоносной веб-страницы, содержащей код JavaScript или WebAssembly для их запуска, минуя «песочницу» браузера, ASLR и традиционные средства защиты памяти.
Скрипты, используемые на демонстрационных сайтах, реализуют последовательность загрузок памяти, разработанных для манипулирования FLOP и SLAP Apple, поэтому не требуется заражения вредоносным ПО.
Исследователи сообщили об уязвимостях компании Apple 24 марта 2024 года (SLAP) и 3 сентября 2024 года (FLOP).
Компания, в свою очередь, подтвердила ошибки, их потенциальный риск для пользователей и планирует планирует устранить их в предстоящем обновлении безопасности.
До тех пор, пока не появятся обновления от Apple, возможным способом смягчения последствий может стать отключение JavaScript в Safari и Chrome, хотя это, как ожидается, приведет к сбоям в работе многих сайтов.
Технические подробности по False Load Output Predictions (FLOP) в новейших процессорах Apple M3, M4 и A17 - здесь, по Speculation Attacks via Load Address Prediction (SLAP) в процессорах Apple M2 и A15 (включая и более поздние модели) - здесь.
Новые обнаруженные уязвимости в современных процессорах Apple могут привести к краже конфиденциальной информации из браузеров.
К затронутым устройствам относятся все ноутбуки Mac, проданные после 2022 года, все настольные компьютеры Mac, проданные после 2023 года, и все iPhone, проданные после 2021 года.
Проблемы обусловлены неправильной реализации спекулятивного исполнения, что является основной причиной таких известных атак, как Spectre и Meltdown.
FLOP и SLAP нацелены на функции, ускоряющие обработку путем угадывания будущих инструкций вместо их ожидания, и могут оставлять следы в памяти для извлечения конфиденциальной информации.
Начиная с поколения M2/A15, процессоры Apple пытаются предсказать следующий адрес памяти, к которому будет обращаться ядро, а yачиная с поколения M3/A17 - значение данных, которое будет возвращено из памяти.
Однако неверные прогнозы в этих механизмах могут привести к выполнению произвольных вычислений на данных, выходящих за пределы допустимого диапазона, или неверных значениях данных.
Эти прогнозы могут иметь реальные последствия по части безопасности, включая выход из изолированной программной среды браузера и считывание кросс-источниковой персональной идентификационной информации в Safari и Chrome.
Атаки выполняются удаленно через браузер с использованием вредоносной веб-страницы, содержащей код JavaScript или WebAssembly для их запуска, минуя «песочницу» браузера, ASLR и традиционные средства защиты памяти.
Скрипты, используемые на демонстрационных сайтах, реализуют последовательность загрузок памяти, разработанных для манипулирования FLOP и SLAP Apple, поэтому не требуется заражения вредоносным ПО.
Исследователи сообщили об уязвимостях компании Apple 24 марта 2024 года (SLAP) и 3 сентября 2024 года (FLOP).
Компания, в свою очередь, подтвердила ошибки, их потенциальный риск для пользователей и планирует планирует устранить их в предстоящем обновлении безопасности.
До тех пор, пока не появятся обновления от Apple, возможным способом смягчения последствий может стать отключение JavaScript в Safari и Chrome, хотя это, как ожидается, приведет к сбоям в работе многих сайтов.
Технические подробности по False Load Output Predictions (FLOP) в новейших процессорах Apple M3, M4 и A17 - здесь, по Speculation Attacks via Load Address Prediction (SLAP) в процессорах Apple M2 и A15 (включая и более поздние модели) - здесь.
24.01.202519:00
26.12.202409:05
Исследователи Akamai сообшают о появлении нового ботнета Hail Cock на базе наследия Mirai, который нацелен на RCE-уязвимость в сетевых видеорегистраторах DigiEver DS-2105 Pro, которая не получила идентификатор CVE и, по-видимому, остается неисправленной.
Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.
Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.
Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.
Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.
После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.
По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.
Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.
Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.
IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.
Кампания началась в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей, использованных в кампании, была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции DefCamp в Бухаресте, Румыния.
Akamai заметили, что ботнет начал активно использовать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver новый вариант вредоносного ПО Mirai также нацелен на уязвимость CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Ошибка, используемая для взлома сетевых видеорегистраторов DigiEver, представляет собой RCE-уязвимость удаленного выполнения кода, и связана с URI «/cgi-bin/cgi_main.cgi», который неправильно проверяет вводимые пользователем данные.
Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды типа «curl» и «chmod» через определенные параметры, например поле ntp в HTTP-запросах POST.
Akamai полагает, что наблюдаемые со стороны ботнета атаки, похожи на те, что были описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и включают устройство в свою ботсеть. Устойчивость достигается путем добавления заданий cron.
После взлома устройство используется для проведения DDoS или для распространения на другие устройства с использованием наборов эксплойтов и списков учетных данных.
По данным Akamai, новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20, а также ориентирован на широкий спектр системных архитектур, включая x86, ARM и MIPS.
Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие TTPs среди операторов ботнетов на базе Mirai.
Это особенно примечательно, поскольку многие ботнеты на базе Mirai по-прежнему зависят от оригинальной логики обфускации строк из переработанного кода, который был включен в исходный код оригинальной вредоносной программы Mirai.
IoC, связанные с кампанией, а также правила Yara для обнаружения и блокировки угрозы - доступны в отчете Akamai.
25.12.202410:00
Исследователи из Лаборатории Касперского предупреждают об атаках, нацеленных на исправленную критическую уязвимость Fortinet FortiClient EMS для развертывания инструментов удаленного доступа, включая AnyDesk и ScreenConnect.
Речь идет о CVE-2023-48788 (CVSS: 9,3), которая представляет собой ошибку SQL-инъекции и затрагивает Fortinet FortiClient EMS версий 7.0.1–7.0.10 и 7.2.0–7.2.2.
При успешной эксплуатации эта уязвимость позволяет злоумышленникам выполнять несанкционированный код или команды, отправляя специально созданные пакеты данных.
Как отмечают в ЛК, атака была реализована в октябре 2024 года и направлена на сервер Windows неназванной компании, который был доступен в сети и имел два открытых порта, связанных с FortiClient EMS.
Дальнейший анализ инцидента показал, что злоумышленники использовали уязвимость CVE-2023-48788 в качестве первоначального вектора доступа, а затем запустили исполняемый файл ScreenConnect для получения удаленного доступа к скомпрометированному хосту.
После первоначальной установки злоумышленники приступали к загрузке дополнительных полезных нагрузкок в скомпрометированную систему для реализации горизонтального перемещения, сканирования сетевых ресурсов, получения учетных данных, обхода защиты и достижения устойчивости с помощью инструмента удаленного управления AnyDesk.
Среди некоторых других примечательных инструментов, замеченных в ходе атаки: webbrowserpassview.exe (инструмент для извлечения паролей из Internet Explorer (версии 4.0–11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera), Mimikatz, netpass64.exe и netscan.exe, а также HRSword.exe (для реализации техник обхода защиты).
В дополнение к вышеописанному поведению эксперты обнаружили попытки загрузки и выполнения различных полезных нагрузок из дополнительных неклассифицированных внешних ресурсов, которые использовались в других инцидентах эксплуатации.
Это убедительно свидетельствует о том, что другие злоумышленники злоупотребляли той же уязвимостью с другой полезной нагрузкой второго этапа, нацеленной на несколько целей.
Предполагается, что злоумышленники в рамках наблюдаемой кампании, нацелились на различные объекты в Бразилии, Хорватии, Франции, Индии, Индонезии, Монголии, Намибии, Перу, Испании, Швейцарии, Турции и ОАЭ, используя различные поддомены ScreenConnect (например, infinity.screenconnect[.]com).
Причем при дальнейшем отслеживании этой угрозы 23 октября 2024 года предпринимались новые попытки проэксплуатировать CVE-2023-48788 в реальных условиях.
Тогда акторы пытались выполнить скрипт PowerShell, размещенный на домене webhook[.]site, чтобы составить перечень уязвимых систем.
Индикаторы компрометации и технические подробности наблюдаемых атак - в отчете.
Речь идет о CVE-2023-48788 (CVSS: 9,3), которая представляет собой ошибку SQL-инъекции и затрагивает Fortinet FortiClient EMS версий 7.0.1–7.0.10 и 7.2.0–7.2.2.
При успешной эксплуатации эта уязвимость позволяет злоумышленникам выполнять несанкционированный код или команды, отправляя специально созданные пакеты данных.
Как отмечают в ЛК, атака была реализована в октябре 2024 года и направлена на сервер Windows неназванной компании, который был доступен в сети и имел два открытых порта, связанных с FortiClient EMS.
Дальнейший анализ инцидента показал, что злоумышленники использовали уязвимость CVE-2023-48788 в качестве первоначального вектора доступа, а затем запустили исполняемый файл ScreenConnect для получения удаленного доступа к скомпрометированному хосту.
После первоначальной установки злоумышленники приступали к загрузке дополнительных полезных нагрузкок в скомпрометированную систему для реализации горизонтального перемещения, сканирования сетевых ресурсов, получения учетных данных, обхода защиты и достижения устойчивости с помощью инструмента удаленного управления AnyDesk.
Среди некоторых других примечательных инструментов, замеченных в ходе атаки: webbrowserpassview.exe (инструмент для извлечения паролей из Internet Explorer (версии 4.0–11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera), Mimikatz, netpass64.exe и netscan.exe, а также HRSword.exe (для реализации техник обхода защиты).
В дополнение к вышеописанному поведению эксперты обнаружили попытки загрузки и выполнения различных полезных нагрузок из дополнительных неклассифицированных внешних ресурсов, которые использовались в других инцидентах эксплуатации.
Это убедительно свидетельствует о том, что другие злоумышленники злоупотребляли той же уязвимостью с другой полезной нагрузкой второго этапа, нацеленной на несколько целей.
Предполагается, что злоумышленники в рамках наблюдаемой кампании, нацелились на различные объекты в Бразилии, Хорватии, Франции, Индии, Индонезии, Монголии, Намибии, Перу, Испании, Швейцарии, Турции и ОАЭ, используя различные поддомены ScreenConnect (например, infinity.screenconnect[.]com).
Причем при дальнейшем отслеживании этой угрозы 23 октября 2024 года предпринимались новые попытки проэксплуатировать CVE-2023-48788 в реальных условиях.
Тогда акторы пытались выполнить скрипт PowerShell, размещенный на домене webhook[.]site, чтобы составить перечень уязвимых систем.
Индикаторы компрометации и технические подробности наблюдаемых атак - в отчете.
24.12.202414:50
24.12.202412:00
Ko'rsatilgan 1 - 24 dan 286
Ko'proq funksiyalarni ochish uchun tizimga kiring.