Архив метки: malware

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024–6387)

Добавить комментарий

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSHion (CVE-2024-6387)

Злоумышленники распространяют в соцсетках вредоносное приложение под видом эксплоита для regreSSH­ion (CVE-2024–6387). Как сообщают эксперты Kasper­sky, атака рассчитана на специалистов по компьютерной безопасности. Злоумышленники предлагают жертвам исследовать архив, который якобы содержит рабочий эксплойт, список IP-адресов и некую полезную нагрузку.

🔻 Исходный код напоминает слегка отредактированную версию нефункционального proof-of-con­cept эксплоита для этой уязвимости, который уже был в паблике.

🔻 Один из Python-скриптов имитирует эксплуатацию уязвимости на IP-адресах из списка. На самом деле он запускает вредоносное ПО для закрепления в системе и скачивания дополнительной полезной нагрузки. Зловред модифицирует /etc/cron.hourly и запуск команды ls.

Если исследуете чужой код, делайте это в надёжно изолированной среде и имейте в виду, что вас могут попытаться таким образом нахрапом атаковать. 😉

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass — TeamCity (CVE-2024–27198, CVE-2024–27199)

Добавить комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют Auth­By­pass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jas­min
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain dis­cov­ery and per­sis­tence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023–29059)

Добавить комментарий

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

Когда CVE это инцидент: затрояненный 3CX Desk­topApp (CVE-2023–29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX Desk­topApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Win­dows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта — получаешь троян (infos­teal­er). Классическая Sup­ply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Down­load Man­ag­er. Но вот то, что под неё CVE завели — редкость.

Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embed­ded mali­cious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noin­fo (Insuf­fi­cient Infor­ma­tion).

В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂

Прожектор по ИБ, выпуск №4 (24.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №4 (24.09.2023). Записали вчера очередной эпизод, состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

0:35 Как зашёл прошлый эпизод
2:08 Лев и Максим делятся впечатлениями от Kazan Dig­i­tal Week
7:06 На какие мероприятия по ИБ мы ходим
11:06 Приостановка сертификата ФСТЭК на Dr.Web Enter­prise Secu­ri­ty Suite
19:04 Cis­co покупает Splunk
25:59 Про RCE уязвимость BDU:2023–05857 в модулe land­ing CMS "1С-Битрикс: Управление сайтом".
30:02 Новые подробности инцидента с FDM и скрипт для детекта
32:21 Занятные моменты детектирования Lin­ux уязвимостей на примере CVE-2022–1012, RPM-based дистрибутивы и импортозамещение
44:02 Прощание от Mr. X

Прожектор по ИБ, выпуск №3 (19.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tues­day
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в lib­webp
16:39 The­me­Bleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Down­load Man­ag­er
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

Скачиваешь программу с официального сайта — получаешь малварь

3 комментария

Скачиваешь программу с официального сайта - получаешь малварь

Скачиваешь программу с официального сайта — получаешь малварь. Кейс огненный 🔥 и опять-таки про доверие вендорам ПО. Есть такая кроссплатформенная утилита для скачки файлов Free Down­load Man­ag­er. Так вот, Касперские пишут, что на официальном сайте этой утилиты три года раздавали затрояненный FDM. 😱 Причём

1. Это касалось только Lin­ux-овой версии.
2. Затрояненное ПО скачивалось не всегда, а с некоторой вероятностью и видимо в зависимости от цифрового отпечатка жертвы.
3. Сам вендор был похоже не в курсе. 🤷‍♂️ Типа сайт подломили.

После заражения устройства злоумышленники собирали сведения о системе, историю просмотров, сохраненные пароли, файлы криптовалютного кошелька и учетные данные для облачных сервисов.

Что с этим делать непонятно. Я и сам частенько забираю актуальные версии софта с официальных сайтов в формате AppIm­age. 🙄 Например, Inkscape или Open­Shot. Тоже мог бы попасться на подобную атаку. Видимо EDR в Lin­ux становится вполне себе насущной необходимостью. 🧐

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Добавить комментарий

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023–32434 — "An app may be able to exe­cute arbi­trary code with ker­nel priv­i­lege"

CVE-2023–32435 — WebKit "Pro­cess­ing web con­tent may lead to arbi­trary code exe­cu­tion"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Lin­ux и Win­dows. В том числе и в плане Vul­ner­a­bil­i­ty Management‑а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.