cookie

We use cookies to improve your browsing experience. By clicking «Accept all», you agree to the use of cookies.

avatar

SecAtor

Руки-ножницы российского инфосека. Для связи - [email protected]

Show more
Advertising posts
36 026Subscribers
+3724 hours
+797 days
+46130 days

Data loading in progress...

Subscriber growth rate

Data loading in progress...

Исследователи F.A.C.C.T. рассказали про вопиющий случай использования вредоносного ПО SapphireStealer на новостях о результатах президентских выборов. Малварь маскировалась под pdf-файл с информацией о прошедшей избирательной кампании и распространялась через поддельный ресурс, имитирующий домен Правительства РФ. Пока не припомним, но это вроде как первый задокументированный случай использования киберпреступниками ВПО, замаскированного под официальные документы ЦИК в период выборов. Волей-неволей это вызывает опасения относительно возможного использования подобных методов в будущем, в частности на едином дне голосования, запланированном на 8 сентября 2024 года. Сам вредонос SapphireStealer, по сути, рядовой стилер на C# способный собирать информацию о хосте, перехватывать данные из популярных браузеров (Chrome, Opera, Brave, Microsoft Edge и др.), а также из Telegram, отправляя награбленное через email или тот же мессенджер. Исходники SapphireStealer были обнаружены еще в марте 2022 года на форуме zelenka.guru, которые были выложены пользователем barion89. Поскольку малварь была слита в паблик, то существуют различные более функциональные экземпляры. Собственно, в исследуемом случае вредоносное файло помимо выполнения функций стилера, содержало в себе пейлоад, который ставился в автозагрузку через планировщика задач Windows. Пейлоад обращался к серверу за дополнительными инструкциями, адрес которого получал через Telegram-канал, а также формировал уникальный идентификатор жертвы, используя данные процессора и системной платы, попутно отправляя запросы к серверу. Не будем тыкать пальцем поскольку использование вредоносного ПО в политических целях в целом не новость, но берем на заметку, что в преддверии выборов целесообразно повышать общий уровень осведомленности по кибербезу обычного избирателя.
Show all...
Избирательный стилер: SapphireStealer маскировался под листовку ЦИК о выборах президента

Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили pdf-файл с политинформацией о прошедших президентских выборах с модифицированным стилером SapphireStealer . Эту вредоносную программу,...

Исследователи Positive Technologies выкатили исследование, посвященное анализу kill chain ведущих APT-группировок, нацеленных на Ближний Восток, ставший в последнее время привлекательной мишенью для кибератак. В регионе сосредоточена высокая концентрация промышленных компаний и предприятий энергетического сектора, выступающих драйвером процессов цифровизации, что в совокупности привлекает внимание хакеров. Как отмечают исследователи, из 141 расследованной атаки на страны Ближнего Востока более 80% этих атак носили целевой характер. Главный мотив большинства атак - кибершпионаж. Поэтому Ближний Восток регулярно находится на прицеле АРТ-групп, осуществляющих многоэтапные, тщательно спланированные атаки, нацеленные на конкретную отрасль или группу отраслей, преследуя политические, экономические и военные интересы. Некоторые группы APT также были замечены в хактивистских кампаниях и операциях, направленных на саботаж. Как выяснили исследователи, на самом деле не явлись хактивистскими по своей природе.  Возглавляют список наиболее атакованных стран Саудовская Аравия и ОАЭ, далее - Израиль, Иордания и Египет. Почти все изученные APT хотя бы один раз атаковали правительственный сектор, а 69% - нацеливались энергетику. Также можно выделить военно-промышленный комплекс, который в силу геополитических особенностей региона занимает достаточно высокое место в рейтинге. Без внимания не остались СМИ и телеком. Но главное в отчете - достаточно углубленный анализ kill chain, включающий все этапы атак 16 групп APT, действовавших в странах Ближнего Востока за последние несколько лет. Тактика и методы этих групп описаны в рамках матрицы MITRE ATT&CK для предприятий (версия 13.1) со ссылками на подробные описания упомянутых методик. Кроме того, исследователи консолидировали инфу по каждой группе, а также наглядно уложили TTPs всех АРТ в рамках heat map, не позабыв о главном - как им противостоять.
Show all...
How APT groups operate in the Middle East

The Middle East regularly faces attacks from APT groups—cybercriminal groups carrying out multi-stage, carefully planned attacks targeting a specific industry or group of industries. Their objective in the Middle East is to obtain information that can provide political, economic, and military advantages. Some APT groups have also been observed in hacktivist campaigns and operations aimed at sabotage. Positive Technologies has conducted a comprehensive research into the activities of the APT groups targeting organizations in the Middle East. In this article, we will discuss the tactics and techniques, which are commonly used by APT groups in the Middle East, and offer recommendations to strengthen region's protection from sophisticated targeted attacks.

Rockwell Automation выпустила три новых рекомендаций по безопасности, информируя в общей сложности об исправлении 10 уязвимостей, обнаруженных в FactoryTalk, PowerFlex и Arena Simulation. Одна из рекомендаций включает шесть недостатков в ПО Arena Simulation, в том числе пять уязвимостей высокой степени серьезности, связанных с RCE, и одну проблему средней степени серьезности раскрытия информации и DoS.  Все они были обнаружены исследователем Майклом Хайнцлем, который также представил результаты в собственных рекомендациях. Для использования каждой из них необходимо убедить целевого пользователя открыть специально созданный вредоносный файл DOE. Второй опубликованный бюллетень Rockwell Automation касается трех серьезных уязвимостей в PowerFlex, которые можно использовать для DoS. Поставщик пока не представил никаких исправлений для недостатков и советует клиентам применять меры по смягчению последствий, в том числе передовые практики ИБ для предотвращения эксплуатации. И, наконец, последняя рекомендация посвящена уязвимости средней степени серьезности, которая была обнаружена специалистами Rockwell в FactoryTalk View ME, для которой уже доступны обновления. Она позволяет злоумышленнику удаленно перезапустить терминал PanelView Plus 7, деактивируя средства защиты. В случае успешной эксплуатации возможна утрата контроля над продуктом.
Show all...
Security Advisory | Rockwell Automation

Arena® Simulation Vulnerabilities

Вслед за Mozilla препарированные на Pwn2Own 2024 в Ванкувере две 0-day исправила Google в своем Chrome. В общей сложности в рамках выпущенного обновления поставщик закрыл семь проблем безопасности. Первая 0-day отслеживается как CVE-2024-2887 и представляет собой серьезную уязвимость, связанную с путаницей типов, в WebAssembly (Wasm). Исследователь Манфред Пол продемонстрировал ее в первый день Pwn2Own как часть RCE-эксплойта с использованием созданной HTML-страницы и нацеленного как на Chrome, так и на Edge. Второй ноль отслеживается как CVE-2024-2886 и был реализован исследователем KAIST Hacking Lab на второй день конкурса CanSecWest Pwn2Own. Ошибка относится к категории UAF и затрагивает API WebCodecs, позволяя удаленным злоумышленникам выполнять произвольные операции чтения/записи через созданные HTML-страницы. KAIST Hacking Lab также смогла задействовать CVE-2024-2886 для удаленного выполнения кода с помощью эксплойта, нацеленного как на Google Chrome, так и на Microsoft Edge. Оба недостатка теперь закрыты с выпуском Google Chrome версии 123.0.6312.86/.87 для Windows и Mac и 123.0.6312.86 для пользователей Linux.
Show all...
Stable Channel Update for Desktop

The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming ...

Repost from Russian OSINT
📖❗️ Facebook шпионила за трафиком пользователей в Snapchat, Amazon, YouTube Пишут, что в 2016 году Facebook* запустила секретный проект 🚠по перехвату и расшифровке сетевого трафика пользователей в Snapchat. Корпорация Цукерберга хотела понять поведение пользователей в мобильном приложении конкурента. В судебных документах указывается секретное название проекта 👻"Охотники за привидениями". Прям как в одноимённом фильме. Деятельность Meta* в этом направлении коснулась не только Snapchat...корпорация пыталась анализировать трафик пользователей при взаимодействии с приложениями Amazon и YouTube. Учитывая, что эти приложения используют шифрование, Facebook пришлось разработать 🤔"специальную технологию для обхода".
"Этот проект был частью программы In-App Action Panel (IAPP), которая использовала технологию "перехвата и расшифровки" трафика пользователей в Snapchat, а затем и YouTube и Amazon", - пишут адвокаты в документе.
Цукерберг в 2016 поручил специалистам Meta* "раздобыть надёжную аналитику в отношении конкурентов, минуя шифрование". Так родился проект "Охотники за привидениями", в рамках которого появился Onavo VPN для перехвата трафика пользователей. Meta приобрела Onavo у 🇮🇱израильской фирмы более 10 лет назад, обещая пользователям приватный доступ к сети. Однако на деле сервис использовался для шпионажа за конкурирующими приложениями с помощью MITM десятков миллионов людей, которые скачали Onavo. ✒️ Серия скандалов с Meta* [1,2,3,4] продолжает набирать обороты. *Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как 🏴‍☠️ экстремистская. @Russian_OSINT
Show all...
Халява штука приятная, но за нее как ни крути приходится платить. Как оказалось, в Google Play минимум 17 бесплатных приложений VPN были с вредоносным SDK на борту, который превращал Android-устройства в резидентские прокси, используемые конечными бенефициарами для разного рода кибермахинаций. Резидентные прокси часто имеют и легитимное применение для разного рода маркетинговых исследований, рекламы и SEO, но многие киберпреступники используют их для сокрытия своей активности, включая мошенничества с рекламой, спама, фишинга, подбора учетных данных и т.д. Собственно, в нынешнем случае жертвы становились объектами несанкционированного использования интернет-трафика мобильных девайсов без их ведома с сопряженным риском попасть в неприятную ситуацию, например к причастности к злонамеренной деятельности третей стороны. В отчете HUMAN's Satori раскрываются 28 приложений в Google Play, которые тайно превращали устройства Android в прокси. Из них 17 предлагались как Free VPN. Аналитики Satori разобрали сомнительные приложения и выяснили, что те использовали набор инструментов разработки (SDK) от LumiApps, который содержал библиотеку на языке Golang для выполнения проксирования "Proxylib". Благо ребята из Google не стали церемониться и удалили все приложения с LumiApps SDK из Play Store в феврале 2024 года, а также нацелили Google Play Protect для их обнаружения в будущем. Но, как мы это уже не раз бывало, разработчики подобных приблуд уже не раз находили способы обхода ограничений и детектирования.
Show all...
Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes

HUMAN's Satori Threat Intelligence team uncovered a group of 28 apps that turned user devices into residential proxy nodes.

Oligo сообщает о массовом взломе сотен кластеров с системами искусственного интеллекта Anyscale Ray благодаря критической уязвимости, которую поставщик отказался исправлять, рассматривая ее как проектное решение. В ноябре 2023 года Anyscale обнаружила пять уязвимостей Ray, исправив четыре из них: CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 и CVE-2023-48023. Однако пятая CVE-2023-48022, критическая RCE-ошибка, осталась без исправлений, поскольку, по мнению Anyscale, платформа никогда не предназначалась для Интернета и не нуждалась в аутентификации. Anyscale заявляет, что уязвимость можно использовать только в развертываниях, нарушающих рекомендации документации проекта по ограничению использования в строго контролируемой сетевой среде. Своевременно смекнувшие фишку хакеры быстро развернули начиная как минимум с 5 сентября 2023 года кампанию ShadowRay с целью захвата вычислительных мощностей для майнинга и кражи конфиденциальных данных тысяч компаний. CVE-2023-48022 имеет оценку CVSS 9,8 и позволяет злоумышленникам получить доступ ко всем заметкам в кластере, включая учетные данные. По данным Oligo, с помощью этой ошибки были взломаны сотни кластеров Ray, злоумышленники похитили массу информации, включая данные рабочей нагрузки ИИ, учетные данные баз данных, хэши паролей, ключи SSH, а также токены OpenAI, HuggingFace и Stripe. Более того, многие кластеры работали с правами root, обеспечивая доступ к конфиденциальным облачным сервисам, что потенциально могло привести к утечке конфиденциальной информации, включая данные клиентов. Скомпрометированные кластеры также предоставляли доступ к API Kubernetes и токены Slack. Oligo отмечает, что большинство скомпрометированных кластеров были заражены криптомайнерами, в том числе XMRig, NBMiner и Zephyr на базе Java, а также обратными оболочками для постоянного доступа. Учитывая масштаб атак и цепочку событий, Oligo полагают, что за ShadowRay стоит опытная хакерская группа, которой удалось избежать обнаружения благодаря Interactsh для запросов на подключение и общей дезорганизацией относительно спорной CVE. Исследователи также обнаружили полезную нагрузку, закодированную в base64, выявляя попытки повысить привилегии на взломанных машинах с использованием сценариев с открытым исходным кодом, которые не обнаруживаются ни одним AV-движком VirusTotal. Учитывая, что фреймворк имеет более 30 500 звезд на GitHub и задействуется многими организациями по всему миру, включая Amazon, Spotify, LinkedIn, Instacart, Netflix, Uber и OpenAI, последствия ShadowRay в перспективе могут быть очень печальными. Будем посмотреть.
Show all...
ShadowRay: First Known Attack Campaign Targeting AI Workloads Exploited In The Wild

The Oligo research team discovered a live crypto miner campaign targeting a vulnerability in Ray, a widely used open-source AI framework.

Владельцам популярных в России и не только камер Uniview IPC2322LB стоит поскорее озаботиться обновлением, ведь для критической уязвимости CVE-2023-0773 с CVSS 9,1 теперь доступен PoC. Исследователи SSD-disclosure выкатили отчет с подробным описанием проблемы. Ошибка позволяет удаленным злоумышленникам обойти процесс аутентификации и получить несанкционированный доступ, отправив специально созданные пакеты. При этом в сочетании с выходом из CLI и повышением привелегий, также подробно описанным в отчете исследователями, безопасность устройства Uniview может быть полностью скомпрометирована. Поставщик выпустил бюллетень по безопасности (здесь) с указанием всех затронутых версий и доступных исправлений.
Show all...
SSD Advisory - Uniview IPC2322LB Auth Bypass and CLI escape - SSD Secure Disclosure

Summary The Uniview IPC2322LB processes authentication requests allows remote attackers to bypass the authentication process and gain unauthorized access. If this is combined with a CLI escape, the Uniview device’s security can be completely compromised. Credit Yoseop Kim working for SSD Labs Korea Vendor Response The vendor has released an advisory that addresses this issue: … SSD Advisory – Uniview IPC2322LB Auth Bypass and CLI escape Read More »

Исследователи Black Lotus Labs компании Lumen полагают, что вредоносный ботнет TheMoon связан с Faceless, прокси-сервисом, широко представленном в даркнете. При этом они сообщают о появлении нового варианта TheMoon, который заразил тысячи устаревших маршрутизаторов для SOHO и устройств IoT в 88 странах, используемых хакерами в качестве прокси-серверов для маршрутизации трафика, включая IcedID и SolarMarker. Впервые TheMoon был замечен еще в 2014 году и тогда вредоносное ПО было нацелено уязвимости для заражения устройств LinkSys. По оценкам исследователей, к настоящему времени он может включать до 40 000 устройств. Новая наблюдаемая Black Lotus Labs кампания началась в начале марта 2024 года, когда менее чем за 72 часа атакованы более 6000 маршрутизаторов ASUS. Исследователи не уточняют, какой именно метод использовался для взлома маршрутизаторов ASUS, но, учитывая, что срок эксплуатации целевых моделей устройств истек, вполне вероятно, что злоумышленники воспользовались известными уязвимостями в прошивке. Злоумышленники также реализуют брут или используют дефолтные учетные данные. Как только вредоносная ПО получает доступ к устройству, проверяет наличие определенных сред оболочки («/bin/bash», «/bin/ash» или «/bin/sh»), в противном случае выполнение останавливается. Если обнаружена совместимая оболочка, загрузчик расшифровывает, загружает и выполняет полезную нагрузку «.nttpd», которая создает PID-файл с номером версии. Затем вредоносная программа настраивает правила iptables, чтобы отфильтровывать входящий TCP-трафик на портах 8080 и 80, разрешая при этом трафик из определенных диапазонов IP-адресов. Затем вредоносная ПО пытается связаться со списком законных NTP-серверов, чтобы обнаружить изолированные среды и проверить подключение к Интернету. Наконец, соединяется с C2, циклически перебирая набор жестко закодированных IP-адресов, а C2 отвечает инструкциями. В некоторых случаях доставляются дополнительные компоненты, например модуль-червь, который сканирует уязвимые веб-серверы на портах 80 и 8080 или файлы «.sox», которые проксируют трафик на зараженном устройстве. При этом, как заметили исследователи, устройства, зараженные вредоносным ПО TheMoon, обычно добавляются в Faceless в течение нескольких часов или дней. Однако несмотря на явную связь между TheMoon и Faceless, эти два кластера угроз представляют собой отдельные экосистемы, поскольку не все заражения вредоносным ПО становятся частью Faceless.
Show all...
The Darkside of TheMoon - Lumen

Executive Summary The Black Lotus Labs team at Lumen Technologies has identified a multi-year campaign targeting end-of-life (EoL) small home/small office (SOHO) routers and IoT devices, associated with an updated version of “TheMoon” malware. TheMoon, which emerged in 2014, has been operating quietly while growing to over 40,000 bots from 88 countries in January and

Apple выпустила iOS 17.4.1 и macOS Sonoma 14.4.1 с исправлениями для критической RCE-уязвимости. Проблема отслеживается как CVE-2024-1580 и описывается как целочисленное переполнение, приводящее к записи за пределами допустимого диапазона. Она влияет на компоненты CoreMedia и WebRTC как iOS, так и macOS и может быть реализована в процессе обработки изображений. Дефект безопасности не характерен для продуктов Apple, но затрагивает кроссплатформенный декодер AV1 с открытым исходным кодом dav1d, устранен в февральской версии dav1d 1.4.0. Целочисленное переполнение в декодере dav1d AV1 может возникнуть при декодировании видео с большим размером кадра и может привести к повреждению памяти в декодере AV1. Apple решила проблему с помощью улучшенной проверки ввода. Технический гигант включил исправления для этой ошибки в iOS и iPadOS 17.4.1, iOS и iPadOS 16.7.7, VisionOS 1.1.1, macOS Sonoma 14.4.1, macOS Ventura 13.6.6 и Safari 17.4.1 (для macOS Monterey и macOS Ventura). Ошибка была обнаружена исследователем Google Project Zero Ником Галлоуэм, который поделился техническими подробностями и демонстрационным PoC. Следует отметить, что CVE-2024-1580 имеет среднюю степень серьезности. Но ее можно использовать из сети с низкими привилегиями и без взаимодействия с пользователем. Пока что данных об эксплуатации недостатка в реальных условиях не поступало, пользователям все же следует насторожиться, ведь Apple выпустила обновления исключительно для CVE-2024-1580, что уже о чем-то говорит. Будем посмотреть.
Show all...
Sign in and get access to detailed information

We will reveal these treasures to you after authorization. We promise, it's fast!