cybersec news | ИБ и IT

Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» сообщают, что заблокировали шпионскую активность APT-группировки Obstinate Mogwai в инфраструктуре неназванного российского телеком-оператора. В атаке хакеры использовали старую, но не полностью устраненную уязвимость десериализации в параметре ViewState. Уязвимость позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP NET. Исследователи отмечают, что сам факт ее эксплуатации нелегко обнаружить, а методика реагирования ранее не описывалась в профильных сообществах. Проблема параметра ViewState известна еще с 2014 года. Фактически она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, подменять или портить данные. Расследование началось после того, как защитные средства обнаружили подозрительную активность в инфраструктуре неназванной телеком-компании. Оказалась, что к этому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных самой компании и ее клиентов. Эксперты пишут, что несколько раз находили вредоносные инструменты группировки в атакованной сети и удаляли их. Однако через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость исследователи назвали эту хак-группу Obstinate Mogwai и обещают в будущем опубликовать подробный отчет от этих хакерах. Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP NET. Сериализация – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений. Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации выполнять произвольный код. Уязвимость была частично исправлена все в том же 2014 году.

CISA включило уязвимость, влияющую на Mirth Connect от компании NextGen Healthcare, в свой каталог известных эксплуатируемых уязвимостей (KEV). Уязвимость, обозначенная как CVE-2023-43208, связана с удалённым выполнением кода без аутентификации и возникла в результате неполного исправления другой критической уязвимости — CVE-2023-37679, имеющей рейтинг 9.8 по шкале CVSS. Mirth Connect — это платформа для интеграции данных с открытым исходным кодом, широко используемая в американском здравоохранении для обмена данными между различными системами. Информация об этой уязвимости впервые появилась благодаря специалистам Horizon3 в конце октября 2023 года, а дополнительные технические детали вместе с PoC-эксплойтом были опубликованы в январе 2024 года. Исследователь безопасности Навин Санкавалли сообщил, что CVE-2023-43208 связана с небезопасным использованием библиотеки Java XStream для обработки XML-данных, что делает уязвимость легко эксплуатируемой. CISA не предоставила информации о характере атак, использующих эту уязвимость, и неясно, кто и когда начал их использовать. Помимо уязвимости в Mirth Connect агентство также внесла в каталог KЕV недавнюю уязвимость Type Confusion, влияющую на браузер Google Chrome, которую компания признала эксплуатируемой в реальных атаках. Федеральным агентствам США предписано обновить программное обеспечение до исправленной версии: Mirth Connect версии 4.4.1 или выше, а также Chrome версии 125.0.6422.60/.61 для Windows, macOS и Linux в срок до 10 июня 2024 года, чтобы защитить свои сети от активных киберугроз.

🏜 Вирус, посиди в «песочнице»! Как работает Sandbox и от чего зависит эффективность этого класса решений Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox. ➡️ В новой статье на сайте разобрались, что такое «Песочница», как вредоносы пытаются обойти этот класс решений и какие ошибки в настройке могут снизить эффективность Sandbox.

Сегодня состоялся релиз долгожданной адвенчуры Senuas Saga Hellblade II от студии Ninja Theory на консолях Xbox и ПК. Поскольку Microsoft, будучи издателем, не стала навешивать серьезных систем антипиратской защиты, вроде Denuvo или привязки к Xbox Live, команда FLT мгновенно отчиталась о взломе. Об этом сообщает тематическая ветка на Reddit. DRM-защиту обошли при помощи эмулятора Steam, а общий вес загружаемого архива составил 48 ГБ.

Мир Jailbreak для PS4 продолжает активно развиваться, и недавние обновления для эксплойта PPPwn, предназначенного для версии прошивки 11.00, открывают новые горизонты для пользователей. Эти обновления позволяют выполнять Jailbreak без необходимости использования компьютера, предлагая множество альтернативных решений, таких как Raspberry Pi, телевизоры и роутеры. Сам по себе Jailbreak — это процесс снятия программных ограничений с устройства, позволяющий устанавливать и запускать кастомное программное обеспечение и пиратские игры. Версия PPPwn для Raspberry Pi претерпела значительные улучшения. Ключевым обновлением стал переход на C++, что позволяет ускорить процесс взлома в 5-10 раз по сравнению с исходными скриптами на Python. Помимо этого, теперь возможно загружать полезную нагрузку с Raspberry Pi непосредственно в PS4 напрямую. Разработчик Stooged добавил веб-сервер и веб-интерфейс, что позволяет управлять Raspberry Pi через телефон или непосредственно с PS4. Эти нововведения дают возможность перезапускать сервер, запускать эксплойт и загружать полезную нагрузку с USB на Raspberry Pi. Поддерживаемые модели Raspberry Pi включают: Raspberry Pi 5, Raspberry Pi 4 Model B, Raspberry Pi 400, Raspberry Pi 3B+, Raspberry Pi 2 Model B, Raspberry Pi Zero 2 W и Zero W с USB-Ethernet адаптером. Как оптимальное сочетание цены и производительности рекомендуется использовать Raspberry Pi 4 Model B. Одна из самых интересных версий PPPwn позволяет запускать эксплойт прямо с телевизора бренда LG, устраняя необходимость в дополнительных устройствах. Телевизоры LG обладают достаточной мощностью, чтобы запускать эксплойт менее чем за 20 секунд, что делает этот метод одним из самых быстрых. Разработчики zauceee и llbranco объединили усилия для улучшения этой версии. В последней версии 1.2 добавлена поддержка TV на aarch64 и возможность автоматического запуска эксплойта при включении телевизора. Также можно назначить кнопку пульта для запуска эксплойта в любое время.

Профессор Массимилиано Сала из Университета Тренто в Италии недавно обсудил будущее блокчейн-технологий, их связь с шифрованием и квантовыми вычислениями с командой Ripple в рамках университетской лекционной серии компании. Сала уделил внимание потенциальной угрозе, которую представляют квантовые компьютеры по мере их развития. По словам профессора, современные методы шифрования могут оказаться легко решаемыми для квантовых компьютеров будущего, что ставит под угрозу целые блокчейны. По словам профессора, "квантовые компьютеры могут легко решать задачи, лежащие в основе цифровых подписей, что потенциально подрывает механизмы защиты активов пользователей на блокчейн-платформах". Это гипотетическая парадигма, называемая "Q-day", момент, когда квантовые компьютеры станут достаточно мощными и доступными для того, чтобы злоумышленники могли взламывать классические методы шифрования. Такие изменения могут иметь далеко идущие последствия для любой сферы, где важна безопасность данных — в том числе для экстренных служб, инфраструктуры, банковского дела и обороны. Однако наиболее разрушительными эти изменения могут быть для мира криптовалют и блокчейна. Сала предупреждает, что "все классические криптосистемы с открытым ключом должны быть заменены на аналоги, защищенные от квантовых атак". Идея заключается в том, что будущий квантовый компьютер или алгоритм квантовой атаки может взломать шифрование этих ключей с помощью математической грубой силы. Следует отметить, что Биткойн, самая популярная криптовалюта и блокчейн в мире, попадает под эту категорию. Хотя в настоящее время не существует практического квантового компьютера, способного на такое, правительства и научные учреждения по всему миру готовятся к "Q-day", рассматривая его как неизбежность. Сала считает, что такое событие не является неминуемым в ближайшее время.

Владельцы iPhone по всему миру жалуются на странный баг в iOS, который приводит к тому, что переключатель «Разрешить приложениям запрашивать отслеживание» в настройках конфиденциальности внезапно перестал работать. Сам переключатель вдруг стал неактивным, а под ним появилась надпись: «Этот параметр нельзя изменить, потому что профиль ограничивает его или потому, что ваш Apple ID находится под управлением родителя, не соответствует минимальным возрастным требованиям или в нём отсутствует информация о возрасте». Однако пользователи заверяют, что ни одна из этих причин к ним не относится. Интересно, что проблема наблюдается не только в iOS 17.5, но и в более старых версиях ПО, включая iOS 17.4.1, iOS 17.4 и iOS 16.6. Apple пока не комментирует ситуацию, но вполне вероятно, что это проблема на стороне сервера.

В последние несколько дней владельцы iPhone по всему миру жалуются на странный баг в iOS, который приводит к тому, что переключатель «Разрешить приложениям запрашивать отслеживание» в настройках конфиденциальности внезапно перестал работать. Согласно сообщениям в Х и на Reddit, сам переключатель вдруг стал неактивным, а под ним появилась надпись: «Этот параметр нельзя изменить, потому что профиль ограничивает его или потому, что ваш Apple ID находится под управлением родителя, не соответствует минимальным возрастным требованиям или в нём отсутствует информация о возрасте». Однако пользователи заверяют, что ни одна из этих причин к ним не относится.

Мошенники, освоившие голосовую связь в мессенджерах, придумали новый предлог для получения доступа к аккаунтам ДБО. Они звонят от имени крупных российских банков и предлагают продлить срок действия карты. О новой уловке телефонных мошенников предупредил ВТБ, подчеркнув, что обслуживание банковских карт в России сейчас продлевается автоматически. В рамках данной схемы обмана в мессенджерах создан ряд поддельных аккаунтов банков, с которых и поступают звонки. Тем, кого беспокоит истекающий срок карты, присылают внешнюю ссылку на вредоносный файл и просят продиктовать одноразовый код, который в виде СМС придет на смартфон. Получив ключи от личного кабинета в онлайн-банке, злоумышленники смогут вывести деньги со счета или оформить на имя жертвы кредит.

Ботнет Ebury, существующий с 2009 года, заразил почти 400 000 Linux-серверов, и примерно 100 000 из них все еще скомпрометированы, сообщают аналитики ESET. ESET наблюдает за Ebury уже более десяти лет, и на этой неделе исследователи сообщили, что недавние действия правоохранительных органов позволили им получить представление о деятельности малвари за последние пятнадцать лет. Так, последнее расследование ESET проводилось в сотрудничестве с голландским Национальным подразделением по борьбе с преступлениями в сфере высоких технологий, которое недавно изъяло backup-сервер, использовавшийся киберпреступниками. Голландские аналитики отмечают, что операторы Ebury порой используют поддельные или ворованные личности и даже берут псевдонимы других киберпреступников, чтобы ввести в заблуждение правоохранителей. Судя по последним атакам Ebury, операторы малвари предпочитают взламывать хостинг-провайдеров и осуществлять атаки на цепочки поставок, атакуя клиентов, арендующих виртуальные серверы у взломанных организаций. Обычно первоначальная компрометация осуществляется с помощью украденных учетных данных, которые хакеры используют для проникновения на серверы. Затем малварь извлекает список входящих/исходящих SSH-соединений из wtmp и файла known_hosts, а также крадет ключи аутентификации SSH, которые в итоге используются для попыток входа в другие системы. Кроме того, злоумышленники могут использовать известные уязвимости в ПО, работающем на серверах, чтобы получить дополнительный доступ или повысить свои привилегии. Исследователи пишут, что инфраструктура хостинг-провайдеров, включая OpenVZ или хосты контейнеров, может использоваться для развертывания Ebury в нескольких контейнерах или виртуальных средах. На следующем этапе атаки операторы малвари перехватывают SSH-трафик на целевых серверах в дата-центрах, используя спуфинг Address Resolution Protocol для перенаправления трафика на подконтрольный им сервер.