Хакеры, взломы, вирусы

[vladimir1949]

WinRAR стал опасен против воли разработчиков. Раскрыта хитрая схема, угрожающая полумиллиарду пользователей
21 Сентября 2023 13:56

Хакер нашел способ эксплуатации огромной уязвимости WinRAR, недавно закрытой разработчиками. Он решил сыграть на шумихе вокруг нее и на любопытстве пользователей и написал ПО, которое якобы демонстрирует последствия использования этой «дыры». Архив с софтом он даже снабдил роликом с примером его работы и Readme-файлом для усыпления бдительности пользователей. На деле его ПО – это всего лишь загрузчик опасного вредоноса VenomRAT.

Никому нельзя верить

► Показать

Архиватор WinRAR стал опасен для своих пользователей, коих в мире около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализуют очень хитрую схему распространения вредоносного ПО.

За новой атакой на пользователей архиватора стоит киберпреступник whalersplonk. Он решил воспользоваться шумихой вокруг «дыры» CVE-2023-40477, позволявшей запускать на компьютере жертвы произвольный код и полностью перехватывать контроль над ПК, и собрал программу, которая демонстрирует работоспособность этой уязвимости.

Другими словами, хакер написал РоС-эксплойт (Proof of Concept), который разместил в открытом доступе на портале GitHub (принадлежит Microsoft, вводит санкции против россиян) в полной уверенности, что широкое освещение проблемы CVE-2023-40477 в интернете привлечет внимание к его новому творению.

Разработчики WinRAR устранили брешь CVE-2023-40477 в сборке 6.23, вышедшей в августе 2023 г., но, вероятнее всего, не все пользователи к моменту выхода материала успели обновить архиватор на своих ПК.

Программа с двойным дном

PoC-эксплоиты создаются с целью наглядной демонстрации того, что хакеры смогут сделать с компьютером, если произойдет реальный взлом. В случае с программой whalersplonk все обстоит совершенно иначе: единственная цель, которую преследовал хакер, заключается в заражении пользователей, желающих посмотреть на последствия эксплуатации CVE-2023-40477 – это заражение его другим вредоносным ПО.

Как пишет Hacker News, запуск хакерской утилиты активирует целую цепочку действий, одна вреднее другой для ПК пользователя. В конечном итоге на него в фоновом режиме загружается вредонос VenomRAT, а это своего рода ключ от всех дверей – он открывает киберпреступнику полный доступ к компьютеру. В числе прочего утилита может следить, что пользователь набирает на клавиатуре, тем самым давая хакеру возможность влезть в его переписку и узнать пароли.

По сути, whalersplonk написал скрипт на Python, представляющий собой слегка модифицированный эксплоит для уязвимости CVE-2023-25157 в программе GeoServer. Его запуск создает batch-скрипт для загрузки PowerShell-скрипта, который скачивает из интернета VenomRAT и попутно создает в планировщике задач скрипт по регулярному запуску вредоноса.

Чтобы никто не догадался

Хакер, решивший сыграть на любопытстве пользователей WinRAR, подстраховался и максимально замаскировал свою программу под нечто совершенно безвредное и даже, наоборот, полезное. В своем профиле на GitHub он выложил Readme-файл, в котором подробно описал, что якобы делает его программа, и как ею пользоваться. Про фоновую загрузку вредоноса в файле, разумеется, упоминаний нет.

Чтобы окончательно усыпить бдительность, хакер выложил 20-секундную запись экрана, в котором демонстрировал работу программы. Он разместил ролик на заблокированном в России в 2019 г. по решению Мосгорсуда сервисе коротких видео Streamable.



К моменту выхода материала профиль whalersplonk на GitHub был недоступен – заблокирован или удален, но ролик на Streamable по-прежнему открывался. Загруженный 22 августа 2023 г., ровно за месяц он собрал лишь около 340 просмотров.

Архиватор с российскими корнями

За архиватором WinRAR стоит российский программист Евгений Рошал, выпустивший первую его версию более 28 лет назад, в апреле 1995 г. На сегодняшний день это один из самых известных и распространенных архиваторов в мире – у него около полумиллиарда пользователей.

В WinRAR периодически находятся как мелкие, так и критические уязвимости, но разработчики стараются оперативно устранять их – CVE-2023-40477, к примеру, они закрыли всего через несколько дней после ее обнаружения. В 2015 г. в нем была найдена критическая брешь, которая позволяла встраивать вредоносный HTML-код в самораспаковывающийся RAR-архив.

В феврале 2019 г. в WinRAR нашли опасную «дыру», эксплуатация которой давала злоумышленнику возможность распаковать нужный ему архив в произвольный каталог Windows, например, архив с вредоносным софтом в папку автозагрузки, чтобы тот активировался при каждом включении ПК.

[vladimir1949]

Расследователи нашли шпионское ПО, которое проникает на устройства пользователя через рекламу в интернете
25.09.2023 [21:22]

Каждый пользователь постоянно оставляет «цифровые следы» в интернете, на основе которых ему демонстрируют персонализированную рекламу. Сами рекламные сети не раскрывают персональную информацию, но компании и правительства могут идентифицировать пользователя и отслеживать его перемещения и активность в интернете. А шпионское ПО идёт ещё дальше, позволяя злоумышленнику видеть содержимое устройства, звонки, текстовые сообщения, почту и получать контроль над телефоном жертвы.

► Показать

Израильская технологическая компания Insanet разработала Sherlock — средство доставки шпионского ПО через сети онлайн-рекламы, которое превращает некоторые таргетированные объявления в троянских коней. В отчёте аналитиков утверждается, что Sherlock умеет заражать компьютеры под управлением Windows, телефоны Android и iPhone. Реальные возможности нового шпионского ПО ещё изучаются, но уже точно известно, что оно способно к проникновению, мониторингу, захвату и передаче данных, а защиты от этого типа шпионского ПО пока не существует.

Sherlock — не первое шпионское ПО, которое устанавливается на телефон без ведома и действий пользователя. Например, программа Pegasus, разработанная NSO для взлома iPhone, использует уязвимости в iOS, чтобы незаметно проникнуть в телефон. Apple выпустила обновление безопасности для последней уязвимости лишь 7 сентября 2023 года.

Sherlock отличается от программ типа Pegasus использованием рекламных сетей, а не уязвимостей в устройствах пользователя. Злоумышленник, использующий Sherlock, создаёт рекламную кампанию, сфокусированную на демографических данных и местонахождении цели, и размещает рекламу, содержащую шпионское ПО. Как только потенциальная жертва просмотрит рекламу, шпионское ПО будет тайно установлено на её устройство.

Рекламные сети уже много лет используются для доставки вредоносного программного обеспечения. В большинстве случаев вредоносное ПО нацелено на компьютеры, а не на телефоны, является неизбирательным и предназначено для блокировки данных пользователя в рамках атаки программы-вымогателя или кражи паролей для доступа к онлайн-аккаунтам или сетям организации. Рекламные сети постоянно сканируют вредоносную рекламу и быстро блокируют её при обнаружении.

Шпионское ПО нацелено на телефоны, ориентировано на конкретных людей или узкие категории пользователей и предназначено для тайного получения конфиденциальной информации и отслеживания чьей-либо деятельности. После проникновения в систему оно сможет записывать нажатия клавиш, делать снимки экрана и использовать различные механизмы отслеживания, передавая украденные данные своему создателю.

С 2011 по 2023 год правительства по меньшей мере 74 стран заключили контракты с коммерческими компаниями на приобретение шпионского ПО или технологий цифровой криминалистики. Эти технологии используются правоохранительными органами для наблюдения и сбора разведывательной информации, а также для борьбы с преступностью и терроризмом. Шпионское ПО применяется при следственных действиях, особенно в случаях, связанных с киберпреступностью, организованной преступностью или угрозами национальной безопасности.

Компании используют шпионское ПО для наблюдения за компьютерной деятельностью сотрудников якобы для защиты интеллектуальной собственности, предотвращения утечки данных или обеспечения соблюдения политик компании. Частные детективы могут использовать шпионское ПО для сбора информации и доказательств для клиентов по юридическим или личным вопросам. Хакеры применяют такие программы для кражи информации в разнообразных схемах мошенничества или вымогательства.

Особое опасение вызывает тот факт, что продажа широкой аудитории продвинутого шпионского ПО Insanet была официально разрешена израильским правительством. Это потенциально подвергает риску практически каждого. От повального использования этого шпионского ПО пока спасает только очень высокая его цена. По данным экспертов, одно заражение обходится использующему эту технологию в $6,4 млн.

[vladimir1949]

Хакеры из России и Украины заявили о взломе «всех систем» Sony. Группировка Ransomed.vc собирается продать украденные данные

Цена не сообщается

Cyber Security Connect сообщает, что хакерская группировка Ransomed.vc заявила об успешном взломе защитных систем Sony Group и теперь угрожает продать украденные данные.

Группировка Ransomed.vc начала свою деятельность только в сентябре, но «на её счету уже впечатляющее количество жертв и Sony – одна из них», как утверждает Cyber Security Connect.

► Показать

«Мы успешно взломали все системы Sony. Мы не будем требовать за них выкуп. Мы продадим данные, из-за того, что Sony не хочет платить. Данные продаются», — заявили в Ransomed.vc.

В качестве доказательства взлома предоставляются скриншоты страницы входа в систему, внутренняя презентация PowerPoint с изложением деталей тестового стенда и ряд Java-файлов.

Ransomed.vc также опубликовал файловое дерево всей утечки, в котором, судя по всему, содержится около 6000 файлов, что кажется небольшим для «всех систем Sony». В список включены «файлы журналов сборки», широкий спектр ресурсов Java и файлы HTML. Во многих файлах присутствуют японские символы.

Группа также указала «дату публикации» — 28 сентября 2023 года. Если никто не купит данные, то, предположительно, тогда Ransomed.vc опубликует их. Цена не сообщается.

По данным Cyber Security Connect, Ransomed.vc является одновременно и оператором программ-вымогателей, и организацией, предоставляющей программы-вымогатели как услугу. Большинство участников группировки базируются в России и Украине.

Sony пока не прокомментировала информацию.

[vladimir1949]

Китайские хакеры тайно захватили роутеры Cisco в важнейших секторах США — ФБР и АНБ забили тревогу
30.09.2023 [14:48]

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

► Показать

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года, Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.

[vladimir1949]

«Лаборатория Касперского» рассказала о новых версиях финансовых зловредов

Устройства российских пользователей атакует новая версия уже известного стилера, который крадет логи криптовалютных кошельков. Эксперты «Лаборатории Касперского» проанализировали новые вредоносные инструменты, один из которых, стилер Lumma, атакует в том числе российских пользователей.

Откуда взялся Lumma. Его предвестник — стилер Arkei, впервые замеченный в мае 2018 г. Lumma — это новая версия Arkei. Она распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance. В Lumma есть и функции, которых не было в предыдущих версиях стилера, — возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.

► Показать

Эволюция Zanubis. Банковский троянец Zanubis, который атакует пользователей из Перу под видом легитимных приложений, известен с 2022 г. Он выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 г. появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk — популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях.

Как выяснили эксперты, для связи с командным сервером троянец использует протокол WebSocket и библиотеку Socket.IO. Это позволяет ему адаптироваться и оставаться на связи даже в случае проблем. Как и во многих современных вредоносных программах, у Zanubis нет фиксированного списка приложений для атаки: этот список злоумышленники могут настроить под каждое конкретное устройство. При этом зловред может создавать второе соединение, позволяющее получить полный контроль над устройством и даже полностью заблокировать его под видом обновления для Android.

Новый криптор. Эксперты «Лаборатории Касперского» также проанализировали ASMCrypt — недавно обнаруженный криптор/загрузчик, продающийся на подпольных форумах. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.

«В погоне за прибылью злоумышленники активно используют тему криптовалют и имитируют приложения государственных учреждений. На примере стилера Lumma и троянца Zanubis можно проследить, как меняется ландшафт вредоносного ПО и сама природа подобных киберугроз. Специалистам в области кибербезопасности нужно постоянно отслеживать изменения вредоносного кода и тактик злоумышленников. Чтобы защититься от развивающихся угроз, организациям важно сохранять бдительность и быть в курсе того, как они эволюционируют. Наши отчеты предоставляют информацию о новейших вредоносных инструментах и методах злоумышленников. Это позволяет нам быть на шаг впереди в борьбе за цифровую безопасность», — сказала Татьяна Шишкова, ведущий исследователь угроз информационной безопасности в «Лаборатории Касперского».

Чтобы защититься от подобных киберугроз, эксперты «Лаборатории Касперского» рекомендуют: создавать резервные офлайн-копии данных, к которым не смогут получить доступ злоумышленники, чтобы в экстренной ситуации ими можно было быстро воспользоваться; установить защитные программы от программ-вымогателей для всех конечных устройств; пользователям — защищать все устройства, с помощью которых кошелек подключается к интернету, с помощью надежного решения; компаниям — предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.

[vladimir1949]

Хакеры украли личные данные тысяч сотрудников Sony через уязвимость нулевого дня
05.10.2023 [14:59]

Подразделение Sony Interactive Entertainment (SIE) сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.

В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.

► Показать

В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.

В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.

Компания подтвердила ресурсу BleepingComputer.com факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).

Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.

[vladimir1949]

BYOD — удобство или угроза в эпоху кибератак? Microsoft вынесла вердикт
12:00 / 6 октября, 2023

Почему личные устройства сотрудников — худшие враги безопасности любой организации?

Исследование компании Microsoft показало, что от 80 до 90% всех вымогательских атак в течение последнего года происходили с устройств, которые не находятся под контролем организаций. Эти данные были опубликованы в последнем отчёте Microsoft « Digital Defense Report 2023 ».

Организации, практикующие политику «Принеси своё собственное устройство» (Bring Your Own Device, BYOD), ставят свои сети под угрозу атак. Личные устройства, принесённые из дома сотрудниками, обычно не обладают необходимыми мерами безопасности и часто являются входной точкой компрометации.

► Показать

Некоторые эксперты считают, что BYOD никогда не сможет обеспечить такой же уровень безопасности, как полностью контролируемое устройство, предоставленное самой организацией. Поэтому самым надёжным решением, по мнению многих, будет банальный отказ от такого способа работы.

В то же время, Центр кибербезопасности Великобритании (NCSC) предлагает рекомендации по грамотному внедрению политики BYOD, учитывая все её преимущества, такие как удобство использования и экономия средств для компании. Да и сама Microsoft придерживается правильной интеграции BYOD в организации вместо её полного запрета.

Тем не менее, доля успешных атак с использованием личных устройств сотрудников может возродить дискуссии о целесообразности применения BYOD в современных организациях.

Угроза от BYOD усугубляется в том числе общим резким ростом вымогательских атак в этом году. По данным той же Microsoft, число атак с использованием программ-вымогателей, управляемых человеком, увеличилось более чем на 200 процентов с сентября 2022 года.

При этом только 2% попыток атак привели к реальному развёртыванию вымогательского ПО у жертв, что является хорошим показателем. Как отмечается, высокоэффективную защиту от современных вымогательских атак удаётся обеспечить лишь благодаря по-настоящему надёжным мерам безопасности.

Рекомендации организациям, которые не хотят попасть в эти злополучные 2 процента, не изменились по сравнению с рекомендациями прошлых лет:

внедряйте меры безопасности с нулевым доверием и наименьшими привилегиями;

регулярно создавайте резервные копии;

развёртывайте решения, которые обнаруживают злоумышленников на основе известных сигналов и автономно устраняют угрозы.

Согласно данным Microsoft, большинство вымогательских атак в июне 2023 года было осуществлено всевозможными аффилиатами RaaS-групп. Исследователи насчитывают их больше сотни. Самые активные четыре RaaS-группы в настоящее время — Magniber, LockBit, Hive и BlackCat. Они стали инициаторами почти двух третей всех глобальных вымогательских атак.

Именно по причине роста числа аффилиатов, Microsoft считает, что число вымогательских атак будет лишь увеличиваться и в 2024 году наверняка побьёт новые «рекорды».

Ключевой тенденцией, наблюдаемой в деятельности преступников-вымогателей за последний год, стало «резкое увеличение» методов удалённого шифрования, используемых операторами программ-вымогателей.

«Удалённое шифрование — это когда компьютерная программа шифрует файл на другом компьютере, а затем отправляет зашифрованный файл на исходный компьютер, подменяя оригинал. Это может произойти, если один компьютер в сети взломан и имеет доступ к другому компьютеру», — объяснили в Microsoft.

«Это может произойти без необходимости установки хакером какого-либо дополнительного программного обеспечения на исходном компьютере. Например, когда файлы зашифрованы в общей папке или если файлы зашифрованы во время сеанса удалённого рабочего стола, когда хакер имеет доступ к файловой системе».

Своевременно обнаружить такие атаки очень трудно, поэтому большинство случаев, когда злоумышленники всё же смогли проникнуть в корпоративную систему и применить удалённое шифрование — заканчивается успешно для вымогателей.

В завершение, учитывая постоянное развитие киберугроз, эксперты настаивают на внедрении самых последних и строгих мер безопасности, а также регулярных проверках защищённости корпоративных сетей. Только так получится дать отпор киберпреступникам и сохранить свои драгоценные данные.

[vladimir1949]

Закон кибербумеранга: вымогательская группа Lorenz стала жертвой своей же утечки

Данные всех, кто пытался связаться с хакерами за 2 года, оказались в открытом доступе.

Группа вымогателей Lorenz непреднамеренно раскрыла данные всех людей, которые пытались связаться с ней через онлайн-форму на темном сайте в течение последних двух лет. Среди этих данных — имена, email-адреса и темы запросов.

Проблему обнаружил исследователь безопасности, известный под псевдонимом Htmalgae. Он зафиксировал утечку бэкэнд-кода и опубликовал извлеченные сведения на GitHub .

Причиной инцидента стала ошибка в настройках веб-сервера Apache2 со стороны команды Lorenz.

► Показать

«Кто-то из Lorenz допустил ошибку в настройках веб-сервера Apache2. Это привело к утечке раскрытию формы авторизации», — объясняет Htmalgae. «Эта утечка, пожалуй, одна из самых простых, которые я когда-либо находил. Я обнаружил неисправную форму обратной связи Lorenz во время ежедневной проверки вымогательских сайтов. Мне достаточно было просмотреть исходный код страницы и скопировать адрес утекшего файла».

Htmalgae также уточнил, что Lorenz временно закрыли доступ к своей контактной форме, но основная проблема «так и осталась нерешенной». Сайт по-прежнему функционирует, пользователи могут отправлять запросы (хотя до хакеров они уже не доходят).

Сам факт утечки может подорвать репутацию группы в киберкриминальном мире и привести к арестам.

Lorenz впервые появилась на радаре экспертов в 2021 году. Есть версия, что их вымогательское ПО — модификация штамма .sZ40, обнаруженного в октябре 2020 года. Этот штамм, в свою очередь, связан с программой ThunderCrypt 2017 года.

Хакеры часто применяют тактику, известную как «двойной выкуп». После компрометации файлов шифруются сами устройства. Такой подход не позволяет жертве восстановить информацию с помощью резервных копий, избегая переговоров с преступниками.

Группа также известна как брокер начального доступа (initial access broker, IAB). Простыми словами, она продает доступ к корпоративным сетям атакованных компаний другим киберпреступникам.


Cybereason оценивает уровень угрозы, исходящей от Lorenz, как «высокий», подчеркивая разрушительный характер их действий. Говорят, что хакеры используют особо изощренные методы, находя к каждой компании «особый подход».

Однако в 2023 году, несмотря на свою активность, Lorenz не попала ни в один в топ вымогательских группировок. За 10 месяцев на их сайте были опубликованы всего 16 жертв.

[vladimir1949]

Admin/1234: стандартные учётные данные в Cisco Emergency Responder чуть не стали причиной масштабной атаки
17:35 / 5 октября, 2023

Root-доступ на любом устройстве можно было получить в два клика, успели ли хакеры воспользоваться шансом?

Компания Cisco выпустила обновления безопасности для устранения уязвимости в Cisco Emergency Responder (CER), из-за которой злоумышленники могли входить в необновлённые системы с помощью жёстко закодированных учётных данных.

CER помогает организациям эффективно реагировать на чрезвычайные ситуации, позволяя точно отслеживать местоположение IP-телефонов, позволяя перенаправлять экстренные вызовы в соответствующие пункты реагирования общественной безопасности.

► Показать

Уязвимость, зарегистрированная под идентификатором CVE-2023-20101 , позволяет неаутентифицированным атакующим получить доступ к целевому устройству, используя учётную запись root с постоянными учётными данными, которые нельзя было изменить.

Компания объяснила в своей рекомендации по безопасности: «Эта уязвимость обусловлена наличием статических учётных данных пользователя для учётной записи root, которые обычно зарезервированы для использования во время разработки. Успешная эксплуатация позволяет злоумышленнику войти в систему и выполнять произвольные команды от имени root-пользователя».

Компания заявляет, что критическая уязвимость затрагивает только Cisco Emergency Responder версии 12.5(1)SU4. Всем пользователям данной версии CER желательно как можно быстрее обновиться до 12.5(1)SU5 или более свежих версий при наличии.

Уязвимость, связанная с жёстко закодированными учётными данными, была обнаружена во время внутреннего тестирования безопасности. Команда реагирования на инциденты безопасности продуктов Cisco не обнаружила информации о публичных раскрытиях или злонамеренной эксплуатации данной уязвимости.

К сожалению, временных решений для смягчения этой уязвимости не существует, поэтому администраторам рекомендуется как можно скорее обновить уязвимые установки.

Примечательно, что на прошлой неделе Cisco призывала своих клиентов устранить уязвимость нулевого дня под идентификатором CVE-2023-20109 , нацеленную на фирменное программное обеспечение IOS и IOS XE.

А в начале сентября компания предупреждала пользователей о другой zero-day уязвимости с идентификатором CVE-2023-20269 в своих устройствах Cisco ASA и Cisco FTD. Брешь в защите активно эксплуатировали банды вымогателей для взлома корпоративных сетей.

Таким образом, для Cisco последний месяц складывается не очень удачно, ведь отовсюду то и дело лезут новые уязвимости. Тем не менее, компания быстро «латает дыры» и своевременно обеспечивает необходимую поддержку своим пользователям.

[vladimir1949]

Уязвимость в процессорах Apple позволяет злоумышленникам извлекать данные из браузеров под iOS и macOS
26.10.2023 [17:52]

Группа исследователей в сфере информационной безопасности обнаружила уязвимость в продуктах Apple, эксплуатируя которую злоумышленники могут похищать конфиденциальные данные из браузера Safari. Уязвимость, получившая название iLeakage, затрагивает устройства на базе iOS и macOS, оснащённые фирменными процессорами Apple A- и M-серий.

Атака с использованием уязвимости iLeakage основана на функции спекулятивного выполнения команд, которая позволяет процессору выполнять предварительную выборку инструкций для сокращения времени загрузки данных. В процессе работы эта функция может обрабатывать конфиденциальные данные, к которым могут получить доступ злоумышленники, проведя атаку по сторонним каналам.

► Показать

Для эксплуатации уязвимости iLeakage исследователи создали вредоносный веб-сайт. Когда владелец уязвимого устройства посещает этот ресурс с помощью API JavaScript скрытно открывается другой сайт, на котором отображаются данные, выводимые пользователю в основном окне. За счёт этого злоумышленники получают возможность доступа к любой конфиденциальной информации, которую через браузер Safari вводит жертва атаки на своём Mac или iPhone.



Исследователи опубликовали несколько видео, в которых продемонстрировали, как уязвимость iLeakage может быть использована для кражи данных. В частности, с помощью этой уязвимости они сумели получить доступ к содержимому почтового ящика Gmail жертвы, а также восстановили историю просмотров на YouTube на целевом устройстве и похитили данные для авторизации в Instagram✴, хранившиеся в Safari и автоматически подставлявшиеся браузером в соответствующие поля при авторизации.



Отмечается, что уязвимость iLeakage затрагивает не только Safari, но и другие браузеры для iOS. Это связано с тем, что Apple требует от разработчиков сторонних браузеров использования движка WebKit в своих продуктах. Хорошая новость в том, что для реализации атаки с использованием уязвимости iLeakage требуется высокий уровень технических знаний, что, возможно, является основной причиной невысокой популярности атак через функцию спекулятивного выполнение команд в сообществе киберпреступников.



Исследователи уведомили Apple о проблеме в сентябре 2022 года. Однако с тех пор компания разработала только «средство устранения уязвимости», которое необходимо активировать вручную. На этом фоне Apple заявила о намерении выпустить патч для исправления этой уязвимости. Согласно имеющимся данным, он будет включён в следующий пакет обновлений для программного обеспечения.