Архив метки: malware

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass — TeamCity (CVE-2024–27198, CVE-2024–27199)

Добавить комментарий

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют AuthBypass - TeamCity (CVE-2024-27198, CVE-2024-27199)

В блоге Trend Micro пишут о том, с какими целями злодеи эксплуатируют Auth­By­pass — Team­C­i­ty (CVE-2024–27198, CVE-2024–27199). Напомню, что информация об уязвимости вышла на первой неделе марта вместе с подробным описанием от компании Rapid7. Благодаря этому описанию, скрипт для эксплуатации уязвимости появился на гитхабе всего через несколько часов. Скрипт очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно после этого уязвимость начали активно эксплуатировать злоумышленники. 😈

Согласно Trend Micro, делают они это для:

🔻 Распространения программы-вымогателя Jas­min
🔻 Развертывания криптомайнера XMRig
🔻 Развертывания маяков Cobalt Strike
🔻 Развертывания бэкдора SparkRAT
🔻 Выполнения команд для закрепления в инфраструктуре (domain dis­cov­ery and per­sis­tence)

Для каждой цели эксплуатации приводят описание как именно это происходит.

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023–29059)

Добавить комментарий

Когда CVE это инцидент: затрояненный 3CX DesktopApp (CVE-2023-29059)

Когда CVE это инцидент: затрояненный 3CX Desk­topApp (CVE-2023–29059). Это давнишняя мартовская история. Пример того, на что иногда могут выдать CVE идентификатор. 3CX Desk­topApp это десктопное приложение-мессенджер с возможностью совершать телефонные звонки. 29 марта этого года выяснилось, что некоторые версии этого приложения под Win­dows и MacOS были затроянены на стороне вендора. Качаешь приложения с официального сайта — получаешь троян (infos­teal­er). Классическая Sup­ply Chain Attack. Ситуация достаточно распространенная. Можно хотя бы вспомнить Free Down­load Man­ag­er. Но вот то, что под неё CVE завели — редкость.

Когда я попытался определить тип такой внесённой "уязвимости", это вогнало меня в лёгкий ступор. В описании только про "has embed­ded mali­cious code" и перечень версий. NVD также умыли руки и выставили NVD-CWE-noin­fo (Insuf­fi­cient Infor­ma­tion).

В итоге я решил, что раз злоумышленники получили эффект равный эксплуатации RCE, то пусть будет "как бы RCE". 🙂

Прожектор по ИБ, выпуск №4 (24.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №4 (24.09.2023). Записали вчера очередной эпизод, состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

0:35 Как зашёл прошлый эпизод
2:08 Лев и Максим делятся впечатлениями от Kazan Dig­i­tal Week
7:06 На какие мероприятия по ИБ мы ходим
11:06 Приостановка сертификата ФСТЭК на Dr.Web Enter­prise Secu­ri­ty Suite
19:04 Cis­co покупает Splunk
25:59 Про RCE уязвимость BDU:2023–05857 в модулe land­ing CMS "1С-Битрикс: Управление сайтом".
30:02 Новые подробности инцидента с FDM и скрипт для детекта
32:21 Занятные моменты детектирования Lin­ux уязвимостей на примере CVE-2022–1012, RPM-based дистрибутивы и импортозамещение
44:02 Прощание от Mr. X

Прожектор по ИБ, выпуск №3 (19.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №3 (19.09.2023). С небольшим опозданием записали вчера очередной эпизод. Состав тот же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:40 Читаем комментарии к прошлому эпизоду
05:01 Сентябрьский Microsoft Patch Tues­day
5:42 Втихую исправленные уязвимости в Exchange
11:31 RCE в lib­webp
16:39 The­me­Bleed
21:28 В ИБ команде Тинькофф классно
24:27 Затрояненный Free Down­load Man­ag­er
32:31 Эмодзи как подпись
38:09 Очереди в МФЦ на удаление биометрии?
42:02 Прощание от Mr. X

Скачиваешь программу с официального сайта — получаешь малварь

3 комментария

Скачиваешь программу с официального сайта - получаешь малварь

Скачиваешь программу с официального сайта — получаешь малварь. Кейс огненный 🔥 и опять-таки про доверие вендорам ПО. Есть такая кроссплатформенная утилита для скачки файлов Free Down­load Man­ag­er. Так вот, Касперские пишут, что на официальном сайте этой утилиты три года раздавали затрояненный FDM. 😱 Причём

1. Это касалось только Lin­ux-овой версии.
2. Затрояненное ПО скачивалось не всегда, а с некоторой вероятностью и видимо в зависимости от цифрового отпечатка жертвы.
3. Сам вендор был похоже не в курсе. 🤷‍♂️ Типа сайт подломили.

После заражения устройства злоумышленники собирали сведения о системе, историю просмотров, сохраненные пароли, файлы криптовалютного кошелька и учетные данные для облачных сервисов.

Что с этим делать непонятно. Я и сам частенько забираю актуальные версии софта с официальных сайтов в формате AppIm­age. 🙄 Например, Inkscape или Open­Shot. Тоже мог бы попасться на подобную атаку. Видимо EDR в Lin­ux становится вполне себе насущной необходимостью. 🧐

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Добавить комментарий

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023–32434 — "An app may be able to exe­cute arbi­trary code with ker­nel priv­i­lege"

CVE-2023–32435 — WebKit "Pro­cess­ing web con­tent may lead to arbi­trary code exe­cu­tion"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Lin­ux и Win­dows. В том числе и в плане Vul­ner­a­bil­i­ty Management‑а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.

Что в итоге делать с Триангуляцией?

Добавить комментарий

Что в итоге делать с Триангуляцией?

Что в итоге делать с Триангуляцией? Имхо, это зависит от вашего отношения к утверждению, что Apple намеренно добавили уязвимость в iMes­sage.

1. Если это действительно так, то Apple это откровенно враждебный вендор и от всех их продуктов нужно планомерно и оперативно избавляться. Не только от айфонов, но и от mac-ов и т.д. Начиная, естественно с наиболее критичных мест.

2. Если же у вас есть основания полагать, что Apple здесь ни при чём, то тогда действуем как в любом кейсе с малварями. Мониторим подключения к C&C, проверяем iOS устройства с помощью утилиты от Kasper­sky, если заражены, то вайпаем их, iMes­sage от греха отключаем, ждём и форсим обновления Apple, сотрудникам выдаём общие рекомендации по кибергигиене.

У меня нет оснований не доверять тому, что было написано в пресс-релизе. Поэтому я, в целом, за первый вариант. Но, конечно же, хотелось бы видеть прямую рекомендацию от регуляторов. В бюллетене НКЦКИ такой рекомендации пока не было.