39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.
Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.
Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.
Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.
При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.
Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.
Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.
Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.
Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.
Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.
Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.
В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.
Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.
Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.
Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.
Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.
К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).
Исследователи Rapid7 сообщают о новой 0-day PostgreSQL, которая, по всей видимости, стала критически важным компонентом в цепочке атак на BeyondTrust Privileged Remote Access и Remote Support, которые позволили китайским хакерам взломать в конце прошлого года Минфин США.
Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию.
Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.
Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.
Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.
По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.
Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.
Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.
В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.
В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.
По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы.
Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.
При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.
Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.
Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.
И вряд ли раскроют, но будем посмотреть.
Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.
Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).
По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.
В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.
Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.
Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.
При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).
Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.
Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.
Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.
Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.
Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.
Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.
Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.
В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!
На горизонте нарисовалась новая банда вымогателей под названием Sarcoma, которая не так давно препарировала производителя печатных плат и носителей интегральных схем Unimicron на Тайване.
Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.
Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.
Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.
В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.
Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.
Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.
Кроме того, Unimicron официально не подтвердила утечку данных.
Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.
Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.
В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.
Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.
Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.
После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.
Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.
Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.
🚩 Подборка CTF площадок.
• Capture the Flag (CTF) — игра, в которой участники пытаются захватить флаг противников и защитить свой. Популярной ее сделали командные шутеры вроде Quake и Team Fortress, но в какой-то момент хакерам пришла идея спроецировать CTF на информационную безопасность.
• Единственный способ преуспеть в CTF — постоянно участвовать в CTF. Держите подборку ресурсов, которые помогут прокачать свой скилл в различных аспектах информационной безопасности.
➡Attack-Defense;
➡Alert to win;
➡CryptoHack;
➡CMD Challenge;
➡Сodeby.games;
➡Cybrary;
➡CyberDefenders;
➡Defbox;
➡Dfir-Dirva;
➡Explotation Education;
➡Google CTF;
➡HackTheBox;
➡Hackthis;
➡Hacksplaining;
➡Hacker101;
➡Hacker Security;
➡Hacking-Lab;
➡ImmersiveLabs;
➡NewbieContest;
➡OverTheWire;
➡Pentestlab;
➡PicoCTF;
➡PWNABLE;
➡Root-Me;
➡SANS Challenger;
➡SmashTheStack;
➡Standoff365;
➡The Cryptopals Crypto Challenges;
➡Try Hack Me;
➡Vulnhub;
➡W3Challs;
➡WeChall;
➡websploit;
➡Zenk-Security;
➡Cyberdefenders;
➡LetsDefend;
➡Vulnmachines;
➡Rangeforce;
➡Ctftime;
➡Malware-Traffic-Analysis.net;
➡Letsdefend;
➡Underthewire;
➡Pwn college.
S.E. ▪️ infosec.work ▪️ VT
Прославленная «особой технологией» разработки ПО Ivanti выпустила обновления, устраняющие многочисленные уязвимости в Connect Secure (ICS), Policy Secure (IPS) и Cloud Services Application (CSA), которые могут быть использованы для RCE.
Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:
- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.
- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.
- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.
- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.
Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.
Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.
Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.
В общем, 50 оттенков Ivanti. И все коричневые.
Microsoft выкатила свой традиционный PatchTuesday за февраль 2025 года с исправлениями 55 уязвимостей, в том числе 4 0-day, две из которых активно эксплуатируются в атаках.
В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.
Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.
Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:
- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.
Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.
Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.
- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.
Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.
Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.
Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.
Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце.
Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.
Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.
Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.
Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.
Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Воодушевленные индийским кинематографом хакеры решили угнать аккаунт полиции Индии в X.
И сделали это с болливдуским масштабом, заменив наименование Thane_R_Police на dubaigovt (или «Правительство Дубая»). Подписку и прочие атрибуты также прикрутили.
Ну, а далее все по традиционной схеме мамонта, пусть даже с бомбейским акцентом.
Apple выпустила экстренные обновления с исправлением критической 0-day для своих флагманских платформ iOS и iPadOS, предупреждая о ее использовании в таргетированных и чрезвычайно сложных атаках.
CVE-2025-24200 позволяет злоумышленникам, имеющим физический доступ к заблокированному iPhone или iPad, отключить режим ограниченного доступа USB и получить доступ к необновленным устройствам.
USB Restricted Mode - это ключевая функция безопасности, появившаяся семь лет назад в iOS 11.4.1, которая блокирует создание соединения с USB-аксессуарами, если устройство было заблокировано более часа.
Функционал предназначен для противодействия криминалистическому ПО Graykey и Cellebrite (используемому силовиками) и предотвращению извлечения данных с заблокированных iOS-устройств.
0-day была обнаружена и раскрыта исследователями Citizen Lab и представляет собой проблему авторизации, устраненную в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 с улучшенным управлением состоянием.
Среди затронутых устройств: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения (и все новее), а также iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения.
Apple отмечает в отчете, что эта уязвимость могла быть использована в чрезвычайно сложной атаке, направленной в отношении конкретных пользователей, но не представила каких-либо подробностей о реальных случаях эксплуатации.
Тем не менее, участие в раскрытии Citizen Lab указывает на возможные целевые атаки с использованием шпионского или иного спецализированного ПО.
Как бы то ни было, настоятельно рекомендуется не медлить с установкой обновлений, дабы исключить потенциально возможные попытки атак.
Более 12 000 брандмауэров GFI KerioControl подвержены эксплуатируемой критической RCE-уязвимости, отлеживаемой как CVE-2024-52875.
KerioControl — это пакет решений для сетевой безопасности, который предприятия малого и среднего бизнеса используют для обеспечения VPN, мониторинга и фильтрации трафика, создания отчетов, защиты и предотвращения вторжений.
Проблема была обнаружена в середине декабря исследователем Эгидио Романо (EgiX), который продемонстрировал потенциал опасных атак RCE, реализуемых в один клик.
Как отмечает обнаруживший проблему исследователь, пользовательский ввод, передаваемый на эти страницы через параметр GET «dest», не проходит надлежащую очистку перед использованием для генерации HTTP-заголовка «Location» в HTTP-ответе 302.
В частности, приложение некорректно фильтрует/удаляет символы перевода строки (LF). Это может быть использовано для выполнения атак HTTP Response Splitting, что, в свою очередь, позволяет реализовать XSS и, возможно, другие атаки.
При этом вектор Reflected XSS может быть использован для выполнения атак с удаленным выполнением кода в один клик.
GFI Software оперативно выпустила обновление для устранения проблемы в версии 9.4.5 Patch 1 от 19 декабря 2024 года.
Однако даже по прошествии трех недель, по данным Censys, более 23 800 экземпляров оставались уязвимыми.
В начале января Greynoise уже обнаружила активные попытки эксплуатации уязвимости с использованием представленного исследователем PoC, нацеленные на кражу административных CSRF-токенов.
Несмотря на предупреждение об активной эксплуатации, Shadowserver Foundation сообщает, что 12 229 межсетевых экранов KerioControl остаются уязвимыми для атак с использованием CVE-2024-52875.
Большинство из них детектиуруются в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии.
Благодаря наличию публичного PoC для CVE-2024-52875 требования к эксплуатации значительно упрощаются, что позволяет даже неопытным хакерам принимать участие в активной эксплуатации.
Так что если вы еще не установили обновление, настоятельно рекомендуем накатить KerioControl версии 9.4.5 Patch 2, выпущенную 31 января 2025 года, которая также содержит дополнительные улучшения по части безопасности.
Исследователи из Positive Technologies представили подробности своего исследования в отношении уязвимостей в системе readout protection (RDP), используемой в микроконтроллерах GigaDevice GD32.
Представленные ранее на OFFZONE 2023 результаты подтверждают возможности реализации новых техник обхода технологий защиты от считывания.
Такие микроконтроллеры повсеместно задействуется в различных устройствах, поставляемых многими компаниями по всему миру.
При этом подобные устройства, как правило, состоят из стандартных компонентов, а прошивка создает их уникальность.
В последнее время микроконтроллеры GigaDevice вообще заменяют популярные 32-битные микросхемы производства STMicroelectronics в различном оборудовании.
Потенциальные злоумышленники могут обойти readout protection (в случае с GigaDevice — Security Protection), извлечь прошивку, поискать уязвимости, но также модифицировать или украсть ПО устройства.
Поэтому крайне важно, чтобы эта значимая интеллектуальная собственность хранится во флеш-памяти микроконтроллеров была защищена от несанкционированного считывания.
Тем не менее, Позитивам удалось выяснить, что механизмы защиты в микроконтроллерах GigaDevice функционируют недостаточно эффективно, а возможность извлечения прошивки открывает злоумышленникам доступ к выявлению уязвимостей оборудования.
Для независимой оценки безопасности чипов исследователи протестировали 11 моделей GigaDevice GD32, предварительно активировав в них защитные технологии.
На всех тестовых устройствах GD32F1x0, GD32F3x0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x и GD32F403, исследователи продемонстрировали возможность извлечения прошивки в незашифрованном виде.
При этом для обхода RDP могут быть использованы уязвимости отладочных интерфейсов, нетривиальные атаки типа fault-injection и даже инвазивное вмешательство.
В одном из примеров для извлечения понадобилось лишь 20 микросекунд.
Информация о выявленных угрозах была передана вендору в рамках политики ответственного раскрытия. Вендор планирует устранить их в новых ревизиях микроконтроллеров.
Подробный технический разбор систем RDP, способов обхода и найденных уязвимостей применительно к GigaDevice GD32 - в отчете.
Великобритания тайно требует от Apple внедрить бэкдор iCloud для доступа к любым резервным копиям, что вызывает в сообществе серьезные опасения по поводу конфиденциальности.
Как передает Washington Post, месяц назад британское правительство выдало негласное поставление, согласно которому у местных спецслужб возникает право требовать доступ ко всем зашифрованным материалам безотносительно конкретной учетной записи.
Вступление в силу этого акта ставит крест на многолетних усилиях технологических компаний в противодействии тотальному контролю за пользователями со стороны правительственных структур.
Таким образом британское правительство реализовало уведомление о технических возможностях (TCN), требуя от Apple прекратить предоставление зашифрованного хранилища на территории страны.
Apple, в свою очередь, может подать апелляцию на уведомление о возможностях Великобритании в секретную комиссию и суд, но закон требует выполнения требований даже в рамках проведения апелляционного процесса.
Технически власти требуют бэкдор, который мог бы позволить им получить доступ к сервису не только в своей юрисдикции, но и в других странах.
Действия властей продиктованы тем, что начиная с 2022 года Apple стала предоставлять сквозное шифрование для облачного хранилища, несмотря на то, что многие пользователи Apple до сих пор не включили его.
Свою позицию правительственные органы и спецслужбы Великобританий аргументируют тем, что шифрование активно используется преступниками и террористами для сокрытия своей деятельности.
Технологические компании в ответ подчеркивают важность соблюдения прав на неприкосновенность частной жизни, предупреждая, что подобные бэкдоры могут также использоваться злоумышленниками и нарушений со стороны самого правительства.
В США по этому поводу уже высказывают свое недовольство. Сенатор Рон Уайден, демократ из сенатского комитета по разведке, призвал помешать британцам шпионить за согражданами, назвав это катастрофой для национальной безопасности.
Он полагает, если Великобритания обеспечит доступ к зашифрованным данным, другие страны, разрешившие зашифрованное хранилище, например Китай и др., могут потребовать равного доступа.
Обострение борьбы в Великобритании не является чем-то новым, как мы уже неоднократно писали, технологическая сегментация постепенно реализуется, а с приходом новой администрации Белого дома - лишь ускоряется.
Но будем посмотреть.
Поставщик решений в области строительных, геопространственных и транспортных технологий Trimble предупреждает пользователей Cityworks об активных атаках, нацеленных на 0-day и связанных с заражением вредоносным ПО.
Trimble Cityworks - это решение на основе GIS, используемое для управления и обслуживания инфраструктуры муниципалитетами, коммунальными службами, на объектах транспорта и при производстве различных работ, широко представлено по всему миру.
Проблема отслеживается как CVE-2025-0994, имеет оценку CVSS v4: 8,6 и описывается как ошибка десериализации недоверенных данных.
Она позволяет аутентифицированному пользователю выполнить RCE-атаку на сервер Microsoft Internet Information Services (IIS) клиента, но для эксплуатации уязвимости требуется аутентификация.
Trimble выпустила исправления для устранения уязвимости 29 января 2025 года, однако, по данным CISA, зафиксированы несанкционированные попытки получения доступа к развертываниям Cityworks у определенного круга клиентов.
Опубликованные Trimble IoCs указывают на то, что 0-day используется для установки загрузчика на основе Rust, который запускает Cobalt Strike, и инструмента удаленного доступа на Go под названием VShell, а также других неопознанных полезных нагрузок.
CISA, в свою очередь, представили свои рекомендации, прежде всего, по ICS для CVE-2025-0994, даже несмотря на то, что Cityworks не является непосредственной частью промышленных систем, но так или иначе связана.
В настоящее время неизвестно, кто стоит за атаками и какова конечная цель кампании.
Пользователям, использующим уязвимые версии ПО, рекомендуется обновить свои экземпляры до последней версии (15.8.9 и 23.10) для обеспечения оптимальной защиты от наблюдаемых атак. Все предыдущие версии подвержены уязвимости.
Поставщик указал, что некоторые локальные развертывания имеют слишком привилегированные разрешения IIS.
Кроме того, некоторые развертывания имеют неподходящие конфигурации каталогов вложений, что также следует устранить.
Как мы и предполагали, клиентуру вновь приобретенного штатами разработчика шпионского ПО Paragon решили основательно проредить (по уже отработанной схеме), ограничив доступ европейских структур и спецслужб на рынок перспективных технологий кибершпионажа.
Поводом стал раздутый WhatsApp (принадлежащий признанной в России экстремистской Meta) скандал с атаками на пользователей мессенджера из числа политической оппозиции и представителей СМИ.
Поэтому после появившихся сообщений о том, что итальянское правительство преследовало журналистов и активистов, Paragon отключила доступ Италии к своей платформе.
Итальянские чиновники, в свою очередь, опровергли все заявления, которые якобы указывали на шпионаж со стороны правительства в отношении ярых критиков Мелони.
Тем не менее, итальянское агентство по кибербезопасности связалось с Meta по поводу хакерской кампании и выяснило, что действительно 7 из почти 90 жертв были из Италии.
Причем данные жертв из соображений безопасности им переданы не были.
А сама кампания затрагивает также 13 других стран ЕС, включая: Бельгию, Грецию, Латвию, Литву, Австрию, Кипр, Чешскую Республику, Данию, Германию, Нидерланды, Португалию, Испанию и Швецию.
Так что в ближайшее время следует ожидать серию громких скандалов, которые сейчас придутся очень кстати для новой администрации Белого дома, приступившей к выстраиванию отношений с действующим политическим руководством ЕС.
Первопроходец санкционной дорожки, другой израильский производитель шпионского ПО - NSO Group после дрессировки теперь послушно отчитывается по всем своим обязательствам, предоставляя целый отчет о прозрачности [PDF].
Согласно отчету, в 2024 году поставщик отклонил контракты на сумму более 20 млн. долл. из-за проблем, связанных с нарушением прав человека, имея 51 клиента в 31 стране, 46 из которых - спецслужбы и правоохранители. Вероятно, все были согласованы с большим братом.
Продолжаем следить.
Chainalysis констатирует снижение доходов банд вымогателей по итогам 2024 года до 813,5 млн долларов США с 1,25 млрд долларов США, полученных годом ранее.
Причем в первом полугодии прошлого года на счета банд поступило 459,8 млн долларов США, однако после июля 2024 года транши замедлились примерно на 3,94%.
При этом число ransomware-атак и жертв во втором полугодии наоборот возросло, но выкупов стало поступать меньше.
Ситуация усугубляется тем, что экосистема ransomware стала все более фрагментированной после ударов спецслужб по LockBit и BlackCat.
Появилось множество новичков, отказавшихся от охоты на крупную дичь в пользу мелких и средних организаций, что, в свою очередь, привело и к более скромным требованиям по части выкупа.
По данным Coveware, средний размер суммы выкупа за вымогательство в четвертом квартале 2024 года составил $553 959 (в третьем квартале - $479 237), при том, что средний размер платежа, напротив, снизился с $200 000 до $110 890, почти на 45%.
Тем не менее, платежи по-прежнему остаются последним гарантированным способом для жертв, не имеющих альтернатив по восстановлению критически важных данных.
Правда, некорректно работающие утилиты дешифрования как новых, так и старых штаммов, а также растущее недоверие к злоумышленникам, не всегда соблюдающим условия договоренностей, все чаще отталкивают жертв от переговоров, даже если у них нет иного выбора.
Сокращению выплат выкупов также способствовали усилия правоохранителей, активизировавших операции по нейтрализации инфраструктуры киберпреступников и сервисов по отмыванию криптовалют, что подрывает финансовые стимулы и повышает барьеры для входа.
При этом в 2024 году было зафиксировано самое большое количество случаев заражения ransomware с 2021 года - 5263 атаки, что на 15% больше, чем в предыдущем году.
Как отмечают в NCC Group, на промышленность пришлось 27% (1424) всех атак с использованием программ-вымогателей в 2024 году, что на 15% больше, чем в 2023 году. Северная Америка стала лидером по числу жертв с 55%.
Наиболее часто наблюдаемыми штаммами программ-вымогателей в 2024 году были Akira (11%), Fog (11%), RansomHub (8%), Medusa (5%), BlackSuit (5%), BianLian (4%) и Black Basta (4%), акторы-одиночки смогли захватить 8% доли рынка.
В числе новых участников, отметившихся за последние месяцы: Arcus Media, Cloak, HellCat, Nnice, NotLockBit, WantToCry и Windows Locker.
После проблем у LockBit и экзит-скама BlackCat еще одним интересным явлением стал подъем RansomHub RaaS, поглотшей множество оставшихся без работы их операторов, что позволило ей выдать наибольшее количество жертв в 2024 году и войти в ТОП-10.
Более детальная статистика и разбор отдельных кейсов по вымогателям - отчете.
Valve удалила игру PirateFi с игровой платформы Steam после того, как в ней обнаружился вредоносный код для кражи cookie из браузера и захвата учетных записей.
По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.
На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.
Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.
Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.
Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.
Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.
В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.
Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.
Продолжение по вчерашней новости...
🌐 Google попытались разъяснить свою позицию и утверждают, что не планируют заниматься сканированием пользовательского контента на телефонах. Корпорация использует алгоритмы машинного обучения только локально для выявления нежелательного контента без передачи на сервера.
Для работы новой фичи на телефоне требуется минимум 2 ГБ RAM.
Google подтверждает, что Android SafetyCore позволяет классифицировать контент на устройстве с помощью ИИ
It's unfortunate that it's not open source and released as part of the Android Open Source Project and the models also aren't open let alone open source. It won't be available to GrapheneOS users unless they go out of the way to install it.
Google Messages использует это новое приложение для классификации сообщений на спам, вредоносное ПО, обнаженную натуру и т. д. Обнаружение наготы - это дополнительная функция, которая размывает медиафайлы.
Установилось само. Не поняла такоего прикола . Неприятно.
Установилось вообще ни откуда и без согласования.....? Удаляю.
Само установилось без разрешения. Это что вообще?
Само скачалось
Не хочу, чтобы любые приложения устанавливались без моего согласия. Удаляю из принципа.
Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.
Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.
Предполагаемая цель злоумышленников - кибершпионаж.
Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.
Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.
Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.
По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.
Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.
После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.
Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.
Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.
Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.
Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.
На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.
Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.
Технические подробности и IoC - в отчете.
Исследователи Wiz обнаружили новый вариант обхода уже исправленной уязвимости в NVIDIA Container Toolkit, который можно использовать для выхода за пределы изоляции контейнера и получения полного доступа к базовому хосту.
Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.
Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).
В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.
Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.
Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.
Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.
Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.
Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».
Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.
Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.
Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.
Fortinet пересмотрела свои рекомендации по CVE-2024-55591, предупреждая о еще одной уязвимости, отлеживаемой как как CVE-2025-24472 (CVSS: 8,1).
Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.
Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.
Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.
Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.
Progress Software устранила несколько серьезных уязвимостей безопасности в своем ПО LoadMaster, которые могли быть использованы злоумышленниками для выполнения произвольных системных команд или загрузки любого файла из системы.
Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.
Среди исправленных недостатков:
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.
- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.
Уязвимости затрагивают следующие версии ПО LoadMaster:
- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).
Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.
Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.
Но будем посмотреть.
Apple обнаружила высокосерьезную уязвимость OpenSSL, открывающую возможности для MitM-атак.
Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке.
CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.
Появилась c OpenSSL 3.2 с реализацией поддержки RPK.
Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.
Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию.
Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.
RPK отключены по умолчанию как в клиентах, так и в серверах TLS.
Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.
Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.
Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.
OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.
Тем временем американские и европейские силовики провернули новую международную операцию под кодовым названием Operation Phobos Aetor в отношении инфраструктуры и членов банды вымогателей 8Base.
В мероприятиях принимали участие британская NCA, ФБР США, Европол, а также агентства из Баварии, Бельгии, Чехии, Франции, Германии, Японии, Румынии, Испании, Швейцарии и Таиланда.
Силовикам удалось установить личности и арестовать в Таиланде 4 подозреваемых, которые принимали участие в распространении программы-вымогателя Phobos, а также нейтрализовать инфраструктуру банды 8Base.
По сообщениям местных СМИ, cреди арестованных — двое мужчин и две женщины, все европейцы. Личности подозреваемых не разглашаются.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых.
Арестованным вменяются атаки с использованием Phobos с целью получения выкупа по меньшей мере в отношении 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Кроме того, хакеров обвиняют в получении преступного дохода в размере 16 млн. долл. посредством атак, жертвами которых стали более 1000 человек по всему миру.
По результатам обысков силовики изъяли более 40 вещественных доказательств, включая мобильные телефоны, ноутбуки и криптокошельки.
Помимо арестов накрыли сайты 8Base, которые использовались для переговоров и в качестве DLS. Теперь они конфискованы Баварским государственным управлением уголовной полиции по поручению Генеральной прокуратуры в Бамберге.
8Base, как известно, начала свою деятельность в марте 2022 года и позиционировала себя как простых «пентестеров», но на самом деле могла быть ребрендинг другой банды.
До июня 2023 года группа оставалась относительно незаметной, после чего начала сливать данные десятков жертв.
Также в атаках 8Base были замечены артефакты вируса-вымогателя Phobos, а в VMware выявили много общего с RansomHouse, включая стиль записок о выкупе и сайты DLS, но совпадение в полной мере не было подтверждено.
Среди известных жертв банды - Nidec Corporation, японский технологический гигант с доходом в 11 млрд. долл., и Программа развития Организации Объединенных Наций (ПРООН).
Как отмечали в бюллетене HHS, 8Base в основном нацелена на компании малого и среднего бизнеса в США, Бразилии, Великобритании, Австралии, Германии, Канаде и Китае, а отсутствие среди них стран СНГ может указывать на «связи с Россией».
А связей кроме как на бумаге пока не оказалось.
Быть может после криминалистики, конечно, последуют новые аресты, но будем посмотреть.
Да-да, эти знаменитые миллион дропов и два колл-центра размером с Рязань.
Читать полностью…
Исследователи F.A.C.C.T. сообщают о новых масштабных фишинговых атаках TA558, нацеленных в том числе на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы.
Всего за один день, по данным исслдеовталей, злоумышленники посредством специального софта разослали письма более чем 76 тыс. адресатам из 112 стран мира.
Письма содержали вложения, загружающие и запускающие RTF-документ, задействуя уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении сценария на устройстве жертвы запускается Remcos RAT, которая позволяет хакерам получить контроль над устройством своих жертв.
Группировка ТА558 активна как минимум с 2018 года и реализует многоэтапные фишинговые атаки и различные методы социальной инженерии.
Традиционная цель всех атак ТА558 - получение доступа к внутренним системам организаций для кражи данных.
В прошлом году была замечена в аналогичных атаках с фишингом для распространения вредоносного ПО, нацеленного на предприятия, госучреждения и банкский сектор в России и Беларуси.
ShadowServer предупреждает о массированном бруте с задействованием 2,8 млн. IP-адресов для нацеливания на сетевые устройства широкого спектра, в том числе Palo Alto Networks, Ivanti и SonicWall.
По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.
По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.
Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.
Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.
Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.
Microsoft сообщает, что злоумышленники внедряют вредоносное ПО в атаках с внедрением кода ViewState, используя статические машинные ключи ASP. NET, найденные в Интернете.
Речь идет о порочной практике, когда разработчики ПО используют публично раскрытые ключи ASP.NET validationKey и decryptionKey (предназначенные для защиты ViewState от несанкционированного доступа и раскрытия информации) из общедоступных ресурсов, тем самым подвергая свои приложения опасности со стороны злоумышленников.
ViewState позволяет ASP.NET Web Forms контролировать состояние и сохранять вводимые пользователем данные при перезагрузке страницы.
Однако в случае, если злоумышленники получат машинный ключ, они смогут использовать его в атаках с внедрением кода для создания вредоносных полезных нагрузок путем присоединения созданного кода аутентификации сообщений (MAC).
При загрузке ViewState, отправленных через POST-запросы, среда выполнения ASP.NET на целевом сервере расшифровывает и проверяет вредоносные данные ViewState злоумышленников, загружает их в память рабочего процесса и выполняет.
Это дает им возможность удаленного выполнения кода на целевых серверах IIS, позволяя развертывать дополнительные вредоносные нагрузки.
В декабре 2024 года Microsoft зафиксировала ограниченную активность неизвестного злоумышленника, использовавшего общедоступный статический ключ ASP.NET для внедрения вредоносного кода и развертывания постэксплуатационной среды Godzilla.
В общем обнаружено более 3000 публично раскрытых ключей, которые могут быть использованы для подобных атак.
В то время как ранее известные атаки ViewState полагались на скомпрометированные или украденные ключи, которые часто продаются в даркнете, найденные раскрытые ключи могут представлять более высокий риск, поскольку доступны в нескольких репозиториях кода и могли быть внедрены в код разработки без изменений.
Microsoft представила список хэш-значений для публично раскрытых ключей, настоятельно призывая клиентов сверять их с машинными ключами, используемыми в их средах.
Чтобы блокировать такие атаки, Microsoft рекомендует безопасно генерировать машинные ключи, не использовать ключи по умолчанию или ключи, найденные в сети, шифровать элементы machineKey и connectionStrings.
Кроме того, обновлять приложения для использования ASP.NET 4.8, чтобы включить возможности интерфейса сканирования вредоносных программ (AMSI).
Компания также предупредила, что в случае успешной эксплуатации публично раскрытых ключей простой ротации ключей будет недостаточно, поскольку субъекты угрозы могли уже установить постоянство на хосте.
Исследователи AhnLab сообщают о новой тактике северокорейской APT Kimsuky, которая была замечена в недавних атаках с использованием специально разработанного RDP Wrapper и прокси-инструментов для прямого доступа к зараженным машинам.
В AhnLab полагают, что северокорейские хакеры теперь используют разнообразный набор настраиваемых инструментов удаленного доступа вместо того, чтобы полагаться исключительно на такие бэкдоры, как PebbleDash (тем не менее все еще используются).
Последняя цепочка заражений начинается с фишингового письма с прикрепленным вредоносным файлом LNK, замаскированным под документ PDF или Word.
Причем перед атакой Kimsuky проводят детальную разведку, на что указывают точные наименования получателя и компаний в электронных письмах.
Открытие файла LNK вызывает запуск PowerShell или Mshta для извлечения дополнительных полезных данных с внешнего сервера.
Среди них - PebbleDash, известный бэкдор в арсенале Kimsuky, который обеспечивает начальный контроль над системой.
Постоянство доступа и обхода мер безопасности реализуется с помощью модифицированной версии RDP Wrapper.
Кроме того, доставляются прокси-инструменты для обхода ограничений частной сети, позволяющие злоумышленникам получить доступ к системе даже в случае блокировки прямых RDP-подключений.
Упоминаемый RDP Wrapper - это легитимный инструмент с открытым исходным кодом, предназначенный для обеспечения функциональности RDP в версиях Windows, которые изначально не поддерживают его, например, Windows Home, позволяя включать подключения без изменения системных файлов.
Версия Kimsuky включает изменения в функции экспорта для обхода антивируса, и, вероятно, дифференцирует свое поведение так, чтобы обойти обнаружение на основе сигнатур.
Главным преимуществом использования пользовательской оболочки RDP является обход детектирования, поскольку соединения часто воспринимаются как легитимные, что позволяет Kimsuky дольше оставаться незамеченной.
Более того, он обеспечивает более удобное удаленное управление на основе графического интерфейса по сравнению с доступом через оболочку с помощью вредоносного ПО и может обходить брандмауэры или ограничения NAT, обеспечивая доступ RDP извне.
После того, как только Kimsuky закрепляются в сети, они сбрасывают вторичную полезную нагрузку.
К ним относятся кейлоггер (сохраняет данные в текстовом формате в системных каталогах), инфостилер (forceCopy, извлекает учетные данные, сохраненные в браузерах) и ReflectiveLoader на PowerShell (обеспечивает выполнение полезной нагрузки в памяти).
Последние данные AhnLab указывают на то, что Kimsuky продолжает оставаться одной из самых активных северокорейских APT и переходит на более скрытные методы удаленного доступа для увеличения продолжительности своего пребывания в скомпрометированных сетях.
Разработчики ориентированного на конфиденциальность браузера AdsPower предупреждают об инциденте, связанном с атакой на цепочку поставок, в результате которого злоумышленнику удалось взломать платформу браузера и внедрить вредоносный код.
По словам основателя SlowMist Юй Сяня, код работал как бэкдор, извлекая мнемонические фразы восстановления и закрытые ключи из расширения кошелька, отправляя их на сервер злоумышленника для дальнейшего хищения крипты пользователей браузера.
Атака была успешно реализована 21 января и оставалась незамеченной в течение трех дней, после чего AdsPower удалила код и принудительно удалила все целевые расширения из браузеров пользователей.
В компании полагают, что, по всей видимости, пострадали те пользователи, которые загрузили и установили расширения криптокошелька в период с 10:00 21 января по 10:00 24 января (UTC+0).
Разработчики уведомили всех пользователей, которые, по ее мнению, пострадали от взлома, и попросила их вывести средства, прежде чем это сделают хакеры.
По словам Джона Такнера из Secure Annex, атака, вероятно, была нацелена на расширения браузеров для MetaMask и OKX. На основании предоставленных дат это могут быть OKX 3.39.9 и MetaMask 12.10.1.
Пока расследование инцидента продолжается, по оценкам SlowMist, текущий размер похищенных хакерами криптоактивов с помощью ключей, связанных с инцидентом AdsPower, может достигать около 4,7 млн долл.
Будем следить.
Исследователи Seqrite Labs раскрывают атаки ранее неизвестной группы, известной как Silent Lynx, нацеленные на различные организации в Кыргызстане и Туркменистане.
Как отмечают исследователи, ранее эта группа была замечена в кампаниях, направленных на организации в Восточной Европе и Центральной Азии, связанные с финансовой аналитикой и экономическим прогнозированием.
Среди целей новых атак хакерской группы - сотрудники дипломатических учреждений, юристы, представители госбанков и аналитических центров.
Заражение начинается с фишингового письма с вложением в виде архива RAR для доставки в конечном итоге выступает вредоносных данных, отвечающих за реализацию удаленного доступа к скомпрометированным хостам.
Первая из двух кампаний, обнаруженная 27 декабря 2024 года, задействует архив RAR для запуска файла ISO, который, в свою очередь, включает вредоносный двоичный файл C++ и файл-приманку PDF.
Затем исполняемый файл реализует запуск скрипта PowerShell, который использует ботов в Telegram (с именами south_korea145_bot и south_afr_angl_bot) для выполнения команд и извлечения данных.
Некоторые из команд, выполняемых с помощью ботов, включают команды curl для загрузки и сохранения дополнительных полезных данных с удаленного сервера (pweobmxdlboi[.]com) или Google Диска.
В другой кампании используется вредоносный архив RAR, содержащий два файла: поддельный PDF-файл и исполняемый файл Golang, последний из которых предназначен для создания обратной оболочки к контролируемому злоумышленником серверу (185.122.171[.]22:8082).
По данным Seqrite Labs, были обнаружены некоторые тактические совпадения между Silent Lynx и YoroTrooper (он же SturgeonPhisher, ранее угрозу также профилировали Cisco Talos), который был связан с атаками на страны СНГ.
Кампании Silent Lynx демонстрируют сложную многоэтапную стратегию атак с использованием файлов ISO, загрузчиков C++, скриптов PowerShell и имплантов Golang.
Задействование ботов в Telegram для С2 в сочетании с фейковыми документами и региональным нацеливанием также подчеркивает их сосредоточенность на шпионаже в странах Центральной Азии и СПЕКА.
IOCs и MITRE ATT&CK - отчете.