ITsec NEWS

​⚡️Инженеры Microsoft внедряют Rust в ядро Linux 💬В конце 2023 года были представлены абстракции Rust для кода виртуальной файловой системы (VFS) ядра Linux. Эти патчи, разработанные инженером Microsoft Ведсоном Алмейда Фильо, недавно получили вторую итерацию. В дополнение к различным улучшениям привязок Rust к VFS, новые патчи включают драйвер файловой системы EXT2, написанный на Rust и находящийся в стадии разработки. При первоначальном «запросе комментариев» по абстракциям Rust VFS в октябре прошлого года, было представлено две реализации файловых систем, использующих эти абстракции: Tarfs и PuzzleFS. PuzzleFS — это файловая система для контейнеров, а Tarfs основана на файлах Tar. Теперь, с появлением патчей RFC v2, был добавлен драйвер EXT2 на Rust, находящийся в стадии разработки, для тестирования абстракций Rust Следует отметить, что это именно EXT2, а не EXT4. Хотя EXT2 появилась в 90-х годах и не часто используется в современных системах Linux, реализация EXT2 на Rust является более простым начальным этапом по сравнению с EXT4. Инженер Microsoft Ведсон Алмейда Фильо отвечает за этот базовый драйвер EXT2, написанный на Rust, который на данный момент поддерживает только чтение. Microsoft активно способствует внедрению Rust в ядро Linux. Текущая базовая версия драйвера EXT2 на Rust состоит менее чем из 600 строк кода и полезна для тестирования новых интерфейсов Rust. Обновленные привязки Rust к VFS продолжают ориентироваться на файловые системы, поддерживающие только чтение. Новые патчи добавляют поддержку iomap, убирают буферные заголовки и реализуют другие функции. Для получения более подробной информации о последних достижениях в области Rust для ядра Linux, рекомендуется ознакомиться с патчами Rust VFS v2 (RFC). 🔔 ITsec NEWS

​⚡️Cacti вновь под ударом: сразу 12 уязвимостей открывают хакерам пути для атак 💬Разработчики Cacti, системы с открытым исходным кодом для мониторинга и управления сетями, устранили 12 уязвимостей, включая две критические, ведущие к выполнению произвольного кода. Вот наиболее серьёзные из исправленных уязвимостей: CVE-2024-25641 (оценка CVSS 9.1). Уязвимость при записи в произвольный файл в функции «Импорт пакетов», позволяющая аутентифицированным пользователям с разрешением на «Импорт шаблонов» выполнять произвольный PHP-код на веб-сервере, что способно привести к удалённому выполнению кода. CVE-2024-29895 (оценка CVSS 10.0). Уязвимость внедрения команд, позволяющая любому неаутентифицированному пользователю выполнять произвольные команды на сервере при включенной опции «register_argc_argv» в PHP. Также были устранены две другие критические уязвимости, которые могли привести к выполнению кода через SQL-инъекцию и включение файлов: CVE-2024-31445 (оценка CVSS 8.8). Уязвимость SQL-инъекции в api_automation.php, позволяющая аутентифицированным пользователям выполнять эскалацию привилегий с последующим удалённым выполнением кода. CVE-2024-31459 (оценка CVSS: временно отсутствует). Проблема включения файла lib/plugin.php, которая может быть использована вместе с уязвимостью SQL-инъекции для выполнения удалённого кода. Следует отметить, что 10 из 12 уязвимостей, за исключением CVE-2024-29895 и CVE-2024-30268 затрагивают все версии Cacti до 1.2.26 включительно. Эти проблемы были устранены в версии 1.2.27, выпущенной 13 мая 2024 года. Две другие уязвимости затрагивают версии 1.3.x для разработчиков. Данная ситуация возникла с Cacti спустя более восьми месяцев после выявления другой критической уязвимости SQL-инъекции ( CVE-2023-39361, CVSS 9.8), которая позволяла злоумышленнику получить повышенные привилегии и выполнить вредоносный код. А в начале 2023 года критическая уязвимость под идентификатором CVE-2022-46169 с оценкой CVSS 9.8 позволяла злоумышленникам взламывать доступные из Интернета серверы Cacti для распространения ботнетов MooBot и ShellBot. Поскольку PoC-эксплойты для вышеописанных уязвимостей уже доступны в публичных репозиториях GitHub, рекомендуется как можно скорее обновить свои системы до последней версии для предотвращения потенциальных угроз. 🔔 ITsec NEWS

​⚡️Экстренное исправление 0day: Google защитила пользователей Chrome от раскрытия данных 💬 Google выпустила экстренные обновления безопасности для браузера Chrome, чтобы устранить уязвимость нулевого дня, активно используемую в атаках. Уязвимость CVE-2024-4761 связана с проблемой записи данных за пределы границ (out-of-bounds) в JavaScript-движке V8, который отвечает за выполнение JavaScript-кода в браузере. Подобные проблемы возникают, когда программе разрешается записывать данные за пределами указанного массива или буфера, что может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям программы. Google также отметила, что ей известно о существовании эксплойта для CVE-2024-4761. Компания устранила уязвимость в версиях Chrome 124.0.6367.207/.208 для Mac и Windows и 124.0.6367.207 для Linux. Обновления будут постепенно распространяться среди всех пользователей в ближайшие дни и недели. Для пользователей канала Extended Stable исправления будут доступны в версии 124.0.6367.207 для Mac и Windows. Chrome автоматически обновляется при наличии нового обновления безопасности, но пользователи могут убедиться, что используют последнюю версию, перейдя в раздел Настройки > О браузере Chrome, дождавшись завершения обновления и нажав на кнопку Перезапустить для применения изменений. 🔔 ITsec NEWS

​⚡️Apple против журналистики: новая ИИ-функция обрушит доходы издателей 💬 Ассоциация новостных медиа Великобритании (NMA) направила письмо Apple с предупреждением, что планируемое внедрение ИИ-блокировки рекламы в iOS 18 может угрожать доходам новостных изданий. Сообщается, что Apple планирует представить в своем браузере Safari инструмент Web Eraser, который станет частью обновления iOS 18 и позволит пользователям удалять нежелательные элементы веб-страниц, включая рекламу и баннеры. NMA выразила обеспокоенность, что усиление блокировки рекламы нанесет ущерб журналистике, которая уже страдает из-за уменьшения распространения новостей через социальные сети. В письме NMA отмечается, что профессиональная журналистика требует финансирования, а рекламные доходы являются важным источником для многих издателей. «Блокировка рекламы — это грубый инструмент, который затрудняет возможность создателей контента стабильно финансировать свою работу и может привести к тому, что потребители пропустят важную информацию. Кроме того, использование ИИ в новом инструменте Web Eraser от Apple может вызвать серьезные вопросы относительно редакционной ответственности, так как ИИ может выборочно удалять или изменять содержание статей и контекст вокруг них», - говорится в письме. Ассоциация призывает Apple к консультациям с NMA и отмечает, что уже ведет переговоры с британскими законодателями по поводу законопроекта о цифровых рынках, конкуренции и правах потребителей. Apple, развивающая собственный рекламный бизнес, не ответила на запрос о комментариях. Компания не получает доход от рекламы в интернете и, возможно, меньше обеспокоена блокировкой рекламы, чем доходами от приложений на iOS. 🔔 ITsec NEWS

​⚡️DNS-шпионаж: хакеры активно следят за вами через Интернет 💬 В последнее время хакеры всё чаще используют метод DNS-туннелирования для отслеживания, когда жертвы открывают фишинговые письма и переходят по вредоносным ссылкам, а также для сканирования сетей на предмет уязвимостей. DNS-туннелирование заключается в кодировании данных или команд, которые отправляются и принимаются через DNS-запросы. Это превращает DNS, важнейший компонент сетевой связи, в скрытый канал передачи данных. Злоумышленники кодируют данные различными способами, такими как Base16 или Base64, или используют собственные алгоритмы текстового кодирования, чтобы эти данные можно было получить при запросе DNS-записей, таких как TXT, MX, CNAME и Address. DNS-туннелирование часто используется хакерами для обхода сетевых межсетевых экранов и фильтров в операциях с C2-инфраструктурой и VPN-сетями. Исследовательская группа Unit 42 из Palo Alto Networks недавно обнаружила дополнительные случаи использования DNS-туннелирования во вредоносных кампаниях, направленных на отслеживание жертв и сканирование сетей. Первая кампания, получившая название «TrkCdn», сосредоточена на отслеживании взаимодействия жертв с фишинговыми письмами. Хакеры встраивают контент в электронное письмо, которое при открытии выполняет DNS-запрос к субдоменам, контролируемым злоумышленниками. Эти субдомены возвращают DNS-ответ, ведущий на сервер, контролируемый атакующими, который и доставляет вредоносный контент, такой как реклама, спам или фишинговые материалы. В отчёте Unit 42 также описана кампания, использующая DNS-туннелирование для отслеживания доставки спам-сообщений, получившая название «SpamTracker». Эта кампания схожа с «TrkCdn», но ориентирована на мониторинг доставки спама. Ещё одна обнаруженная аналитиками кампания, названная «SecShow», использует DNS-туннелирование для сканирования сетевых инфраструктур. Хакеры встраивают IP-адреса и метки времени в DNS-запросы для последующего маппинга сетевых конфигураций и обнаружения потенциальных уязвимостей, которые могут быть использованы для вторжения, кражи данных или отказа в обслуживании. Хакеры выбирают DNS-туннелирование вместо более традиционных методов, чтобы обойти средства безопасности, избежать обнаружения и сохранить операционную гибкость. Исследователи Unit 42 рекомендуют организациям внедрять инструменты мониторинга и анализа DNS для отслеживания и анализа логов на предмет необычных шаблонов трафика и аномалий, таких как нетипичные или объёмные запросы. Также эксперты советуют ограничить использование DNS-резолверов в сети для обработки только необходимых запросов, чтобы уменьшить вероятность злоупотребления DNS-туннелированием. 🔔 ITsec NEWS

​⚡️$300К: исходный код шифровальщика INC Ransom выставлен на продажу 💬 Киберпреступник под никнеймом «salfetka» заявил о продаже исходного кода программы-вымогателя INC Ransom. Эта программа была запущена в августе 2023 года и с тех пор функционирует по RaaS-модели. Ранее при помощи INC Ransom было атаковано подразделение Xerox Business Solutions в США, Yamaha Motor на Филиппинах, а также Национальная служба здравоохранения Шотландии. Одновременно с объявлением о продаже, исследователи безопасности начали наблюдать некоторые изменения в работе группы, ответственной за распространение вредоноса. Это может свидетельствовать о разногласиях среди её участников или о планах перехода на новый этап, который включает использование нового шифровальщика. Хакер «salfetka» выставил на продажу версии программы INC Ransom для Windows и Linux/ESXi на форумах Exploit и XSS за $300 000. По данным экспертов KELA, технические детали, указанные в объявлении, такие как использование алгоритмов AES-128 в режиме CTR и Curve25519 Donna, совпадают с публичными анализами образцов INC Ransom. Согласно информации KELA, «salfetka» активно переписывается на хакерских форумах лишь с марта 2024 года. Ранее этот пользователь хотел купить доступ к целевой сети на сумму до 7000 долларов и предлагал брокерам начального доступа сократить доходы от атак программ-вымогателей. Тем не менее, киберэксперты считают, что продажа может оказаться мошенничеством. Хакер «salfetka» мог тщательно подготавливать свой аккаунт, чтобы создать видимость легитимности предложения. Более того, на официальных ресурсах INC Ransom пока не было никаких публичных заявлений о продаже исходного кода. В пользу хакера работает лишь тот факт, что продавать код он планирует через посредника-гаранта, что может снизить риски для потенциального покупателя. В начале мая группировка INC Ransom объявила о переезде на новый веб-сайт и поделилась его адресом в сети TOR, сообщив, что старый сайт будет закрыт через два-три месяца. Более никакой информации, хотя бы косвенно связанной с продажей исходного кода, от группы не поступало. Новый дизайн страницы вымогателей визуально напоминает Hunters International, что может указывать на связь с другой RaaS-группировкой. Использование исходного кода другой операции может затруднить работу правоохранительных органов и исследователей. Тем временем, приватная продажа исходного кода программ-вымогателей, для которых нет доступных дешифраторов, также может создать новые проблемы для организаций по всему миру. Эти программы покупают мотивированные хакеры, стремящиеся улучшить свои инструменты с помощью более надёжного и проверенного вредоносного кода. Особенно это актуально для Linux/ESXi-версии, разработка которой, в целом, гораздо сложнее и обходится дороже. 🔔 ITsec NEWS

​⚡️Timitator: хакеры нового поколения атакуют критическую инфраструктуру Китая 💬 В период с 2022 по 2023 год группировка киберзлоумышленников Timitator (战术模仿者) активно атаковала китайские энергетические, научные и военные учреждения. Атаки проводились с использованием фишинга и других методов, направленных на компрометацию целевых систем. Группа Timitator использовала различные форматы вредоносных файлов, такие как «.exe», «.chm», «.iso» и «.lnk». После успешного запуска инфицированных файлов, на первом этапе загружался CobaltStrike для установления стабильного соединения, а затем через него загружался кастомный вредоносный код, позволяющий провести оценку сети и разработать индивидуальные планы атак для каждого заражённого устройства. Недавно лаборатория Xunxinfo зафиксировала новую партию фишинговых экземпляров вредоносного софта от Timitator. В них вместо CobaltStrike использовался инструмент удалённого управления, написанный на языке Rust. Некоторые из этих файлов были снабжены фальшивыми подписями Microsoft и описаниями, маскирующими их под легитимное программное обеспечение. Группировка Timitator на постоянной основе использует технику DLL Sideloading, сочетая легитимные программы с вредоносными библиотеками. Например, вместе с системой контроля температуры NitroSense использовалась зловредная библиотека WTSAPI32.dll, а с антивирусом Bitdefender — Log.dll. Эти вредоносные библиотеки были защищены оболочкой VMP, но из-за отсутствия легитимной подписи их эффективность против антивирусов была снижена. В ходе анализа было установлено, что первый этап загрузки шелл-кода совпадает с образцами, ранее приписываемыми другой хакерской группе — OceanLotus. Это свидетельствует о возможной взаимосвязи между Timitator и OceanLotus. Тем временем, Timitator продолжает активно атаковать ключевые китайские учреждения, адаптируя свои методы и инструменты для обхода современных систем защиты. Использование новых инструментов на базе Rust, а также подделка подписей свидетельствуют о высокой степени подготовленности и изобретательности злоумышленников. 🔔 ITsec NEWS

​⚡️OpenAI представила GPT-4o: первые впечатления пользователей 💬 OpenAI представила свою новейшую модель искусственного интеллекта GPT-4o (Omni). С момента анонса прошло всего несколько часов, но уже можно сказать, что реакция на новое решение весьма неоднозначная. Некоторые пользователи остались разочарованы короткой демонстрацией, которая длилась всего 26 минут. Тем не менее, компания выпустила множество видеороликов и дополнительной информации о новой модели. В OpenAI утверждают, что GPT-4o работает быстрее, чем предыдущая версия GPT-4, дешевле для разработчиков и, что особенно важно, лучше распознает и имитирует человеческие эмоции, преимущественно через аудио. Модель доступна бесплатно через ChatGPT для всех пользователей, включая тех, кто не подписан на платные услуги. Однако, сначала доступ к ней получат подписчики, обновление будет внедряться постепенно в течение нескольких недель. В настоящее время GPT-4o поддерживает только текстовые и визуальные данные, аудио и видео функции станут доступны позже. GPT-4o была разработана с нуля для обработки текста, аудио и визуальных данных одинаково эффективно. Это достигается путем преобразования всех данных в токены, что позволило повысить скорость работы и снизить стоимость. Реакции пользователей и экспертов варьируются. Некоторые специалисты отмечают, что OpenAI теперь стремится к более эмоциональному ИИ с ярко выраженной личностью, что ранее компания старалась подавлять. Другие подчеркивают важность нового приложения ChatGPT для macOS, которое позже станет доступным и для Windows, сравнивая его с "коллегой, который работает с тобой 24/7 без усталости". Многие разработчики считают, что GPT-4o близок к достижению искусственного общего интеллекта (AGI), который способен выполнять большинство экономически ценных задач лучше человека. Также отмечена новая функция, позволяющая создавать 3D-объекты из текстовых запросов. С другой стороны, некоторые журналисты и эксперты считают, что маркетинг GPT-4o как голосового ассистента "хитрый", но в действительности это "имитация интеллекта", так как голос не обязательно указывает на прорыв в возможностях. Презентация GPT-4o вызвала разочарование у некоторых специалистов, напомнив о недавних демонстрациях от Google. Они также отмечают, что OpenAI сталкивается с растущим разрывом в возможностях по сравнению с такими компаниями, как Google, Meta и Microsoft, которые имеют больше данных для обучения и лучшие инфраструктуры для разработки ИИ. Некоторые критики подвергли сомнению решение выпустить GPT-4o вместо более продвинутой GPT-5, назвав это "застоем в развитии" OpenAI. Однако другие, напротив, отметили "невероятную скорость изменений" и похвалили новинку за потенциал изменить рынок AI-ассистентов. GPT-4o находится на рынке всего несколько часов, и многие ее возможности еще не доступны широкой публике. Однако, уже сейчас можно сказать, что новинка вызвала сильные эмоции и большой интерес. 🔔 ITsec NEWS

​⚡️GPS-террор: как «умные» функции автомобилей становятся оружием в руках преследователей 💬По всей Америке жертвы преследования и домашнего насилия всё чаще сталкиваются с проблемой, связанной с возможностью отслеживания местоположения автомобилей. Она возникает из-за размытой политики безопасности, неопределённой корпоративной ответственности и рискованных поведенческих моделей в цифровом мире, которые уже стали нормой во взаимоотношениях людей. Современные автомобили оснащены множеством умных функций, схожими с теми, что присущи простым смартфонам. Wi-Fi, беспроводная зарядка, множество камер, удалённый запуск и даже диагностика в реальном времени — всем этим едва ли сейчас можно удивить среднестатистического владельца «свежей» иномарки комфорт-класса. Особое внимание среди этого вороха умных функций вызывает функция отслеживания местоположения, которая, хотя и предназначена для реагирования, например, на угон автомобиля, — нередко используется злонамеренно. Так, недавно издание New York Times рассказало о женщине, чей муж использовал возможности отслеживания местоположения их седана Mercedes-Benz для слежки и преследования. Несмотря на судебный запрет и исключительное право использования автомобиля этой женщиной после подачи заявления о домашнем насилии, представители Mercedes сообщили, что не могут отключить доступ её мужа к геолокации, так как автомобиль был зарегистрирован на его имя. Аналогичный случай ранее произошёл с женщиной из Сан-Франциско, которая обвинила компанию Tesla в недостаточных мерах по защите её конфиденциальности после того, как её муж продолжил отслеживать её перемещения через приложение Tesla, несмотря на наличие судебного запрета. В ответ на подобные инциденты, General Motors уже внедрил механизм защиты через сервис OnStar, который позволяет любому водителю скрыть данные о местоположении автомобиля от других пользователей. Электромобильный стартап Rivian также работает над подобной функцией. Пока законодательство отстаёт в решении этой проблемы, компании-производители автомобилей могли бы принять срочные меры для защиты пользователей от злоупотреблений, подобных описанным выше. Это помогло бы обеспечить безопасность и конфиденциальность для тех, кто вынужден бежать и скрываться, используя свой автомобиль как средство спасения и временное убежище от насилия. Пострадавшие от таких преступлений должны иметь право на безопасность и конфиденциальность, не дожидаясь изменений в законодательстве. Только усилиями автопроизводителей на текущий момент можно предотвратить злоупотребления и обеспечить справедливость для уязвимых групп населения. 🔔 ITsec NEWS

​⚡️PhantomCore активизировалась: новый загрузчик PhantomDL нацелен на ВПК 💬Аналитики F.A.C.C.T Threat Intelligence с марта 2024 года фиксируют активность нового загрузчика PhantomDL, который связан с кибершпионской группой PhantomCore, известной своими атаками на российские организации с начала года. PhantomDL используется для распространения вредоносных программ с помощью фишинговых писем, содержащих зашифрованные архивы с вредоносными файлами. В одном из случаев документ-приманка маскировался под акт приема-передачи строительной площадки на территории атомной отрасли России. При открытии PDF-файла в устаревших версиях программы WinRAR может быть активирован исполняемый файл. Атака основана на уязвимости CVE-2023-38831. Если используется версия WinRAR 6.23 и выше, открывается лишь легитимный PDF-документ. PhantomDL также обнаруживает, откуда осуществляется доступ к интернету. Если доступ осуществляется не с российского IP-адреса, соединение разрывается. В случае успешного соединения, загрузчик может получить команды для дальнейшего скачивания вредоносного ПО или завершения работы. За последний месяц специалисты выявили новый образец PhantomDL, который не использует методы обфускации, что облегчило его анализ и позволило подтвердить связь с уже известной деятельностью PhantomCore. Согласно исследованию F.A.C.C.T, использование PhantomDL является частью стратегии PhantomCore, направленной на обход защитных механизмов и проведение кибершпионажа против российского военно-промышленного комплекса. 🔔 ITsec NEWS