Великобритания тайно требует от Apple внедрить бэкдор iCloud для доступа к любым резервным копиям, что вызывает в сообществе серьезные опасения по поводу конфиденциальности.
Как передает Washington Post, месяц назад британское правительство выдало негласное поставление, согласно которому у местных спецслужб возникает право требовать доступ ко всем зашифрованным материалам безотносительно конкретной учетной записи.
Вступление в силу этого акта ставит крест на многолетних усилиях технологических компаний в противодействии тотальному контролю за пользователями со стороны правительственных структур.
Таким образом британское правительство реализовало уведомление о технических возможностях (TCN), требуя от Apple прекратить предоставление зашифрованного хранилища на территории страны.
Apple, в свою очередь, может подать апелляцию на уведомление о возможностях Великобритании в секретную комиссию и суд, но закон требует выполнения требований даже в рамках проведения апелляционного процесса.
Технически власти требуют бэкдор, который мог бы позволить им получить доступ к сервису не только в своей юрисдикции, но и в других странах.
Действия властей продиктованы тем, что начиная с 2022 года Apple стала предоставлять сквозное шифрование для облачного хранилища, несмотря на то, что многие пользователи Apple до сих пор не включили его.
Свою позицию правительственные органы и спецслужбы Великобританий аргументируют тем, что шифрование активно используется преступниками и террористами для сокрытия своей деятельности.
Технологические компании в ответ подчеркивают важность соблюдения прав на неприкосновенность частной жизни, предупреждая, что подобные бэкдоры могут также использоваться злоумышленниками и нарушений со стороны самого правительства.
В США по этому поводу уже высказывают свое недовольство. Сенатор Рон Уайден, демократ из сенатского комитета по разведке, призвал помешать британцам шпионить за согражданами, назвав это катастрофой для национальной безопасности.
Он полагает, если Великобритания обеспечит доступ к зашифрованным данным, другие страны, разрешившие зашифрованное хранилище, например Китай и др., могут потребовать равного доступа.
Обострение борьбы в Великобритании не является чем-то новым, как мы уже неоднократно писали, технологическая сегментация постепенно реализуется, а с приходом новой администрации Белого дома - лишь ускоряется.
Но будем посмотреть.
Как передает Washington Post, месяц назад британское правительство выдало негласное поставление, согласно которому у местных спецслужб возникает право требовать доступ ко всем зашифрованным материалам безотносительно конкретной учетной записи.
Вступление в силу этого акта ставит крест на многолетних усилиях технологических компаний в противодействии тотальному контролю за пользователями со стороны правительственных структур.
Таким образом британское правительство реализовало уведомление о технических возможностях (TCN), требуя от Apple прекратить предоставление зашифрованного хранилища на территории страны.
Apple, в свою очередь, может подать апелляцию на уведомление о возможностях Великобритании в секретную комиссию и суд, но закон требует выполнения требований даже в рамках проведения апелляционного процесса.
Технически власти требуют бэкдор, который мог бы позволить им получить доступ к сервису не только в своей юрисдикции, но и в других странах.
Действия властей продиктованы тем, что начиная с 2022 года Apple стала предоставлять сквозное шифрование для облачного хранилища, несмотря на то, что многие пользователи Apple до сих пор не включили его.
Свою позицию правительственные органы и спецслужбы Великобританий аргументируют тем, что шифрование активно используется преступниками и террористами для сокрытия своей деятельности.
Технологические компании в ответ подчеркивают важность соблюдения прав на неприкосновенность частной жизни, предупреждая, что подобные бэкдоры могут также использоваться злоумышленниками и нарушений со стороны самого правительства.
В США по этому поводу уже высказывают свое недовольство. Сенатор Рон Уайден, демократ из сенатского комитета по разведке, призвал помешать британцам шпионить за согражданами, назвав это катастрофой для национальной безопасности.
Он полагает, если Великобритания обеспечит доступ к зашифрованным данным, другие страны, разрешившие зашифрованное хранилище, например Китай и др., могут потребовать равного доступа.
Обострение борьбы в Великобритании не является чем-то новым, как мы уже неоднократно писали, технологическая сегментация постепенно реализуется, а с приходом новой администрации Белого дома - лишь ускоряется.
Но будем посмотреть.
Washington Post
U.K. orders Apple to let it spy on users’ encrypted accounts
Secret order requires blanket access to protected cloud backups around the world, which if implemented would undermine Apple’s privacy pledge to its users.
ShadowServer предупреждает о массированном бруте с задействованием 2,8 млн. IP-адресов для нацеливания на сетевые устройства широкого спектра, в том числе Palo Alto Networks, Ivanti и SonicWall.
По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.
По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.
Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.
Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.
Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.
По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.
По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.
Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.
Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.
Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.
Исследователи из Positive Technologies представили подробности своего исследования в отношении уязвимостей в системе readout protection (RDP), используемой в микроконтроллерах GigaDevice GD32.
Представленные ранее на OFFZONE 2023 результаты подтверждают возможности реализации новых техник обхода технологий защиты от считывания.
Такие микроконтроллеры повсеместно задействуется в различных устройствах, поставляемых многими компаниями по всему миру.
При этом подобные устройства, как правило, состоят из стандартных компонентов, а прошивка создает их уникальность.
В последнее время микроконтроллеры GigaDevice вообще заменяют популярные 32-битные микросхемы производства STMicroelectronics в различном оборудовании.
Потенциальные злоумышленники могут обойти readout protection (в случае с GigaDevice — Security Protection), извлечь прошивку, поискать уязвимости, но также модифицировать или украсть ПО устройства.
Поэтому крайне важно, чтобы эта значимая интеллектуальная собственность хранится во флеш-памяти микроконтроллеров была защищена от несанкционированного считывания.
Тем не менее, Позитивам удалось выяснить, что механизмы защиты в микроконтроллерах GigaDevice функционируют недостаточно эффективно, а возможность извлечения прошивки открывает злоумышленникам доступ к выявлению уязвимостей оборудования.
Для независимой оценки безопасности чипов исследователи протестировали 11 моделей GigaDevice GD32, предварительно активировав в них защитные технологии.
На всех тестовых устройствах GD32F1x0, GD32F3x0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x и GD32F403, исследователи продемонстрировали возможность извлечения прошивки в незашифрованном виде.
При этом для обхода RDP могут быть использованы уязвимости отладочных интерфейсов, нетривиальные атаки типа fault-injection и даже инвазивное вмешательство.
В одном из примеров для извлечения понадобилось лишь 20 микросекунд.
Информация о выявленных угрозах была передана вендору в рамках политики ответственного раскрытия. Вендор планирует устранить их в новых ревизиях микроконтроллеров.
Подробный технический разбор систем RDP, способов обхода и найденных уязвимостей применительно к GigaDevice GD32 - в отчете.
Представленные ранее на OFFZONE 2023 результаты подтверждают возможности реализации новых техник обхода технологий защиты от считывания.
Такие микроконтроллеры повсеместно задействуется в различных устройствах, поставляемых многими компаниями по всему миру.
При этом подобные устройства, как правило, состоят из стандартных компонентов, а прошивка создает их уникальность.
В последнее время микроконтроллеры GigaDevice вообще заменяют популярные 32-битные микросхемы производства STMicroelectronics в различном оборудовании.
Потенциальные злоумышленники могут обойти readout protection (в случае с GigaDevice — Security Protection), извлечь прошивку, поискать уязвимости, но также модифицировать или украсть ПО устройства.
Поэтому крайне важно, чтобы эта значимая интеллектуальная собственность хранится во флеш-памяти микроконтроллеров была защищена от несанкционированного считывания.
Тем не менее, Позитивам удалось выяснить, что механизмы защиты в микроконтроллерах GigaDevice функционируют недостаточно эффективно, а возможность извлечения прошивки открывает злоумышленникам доступ к выявлению уязвимостей оборудования.
Для независимой оценки безопасности чипов исследователи протестировали 11 моделей GigaDevice GD32, предварительно активировав в них защитные технологии.
На всех тестовых устройствах GD32F1x0, GD32F3x0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x и GD32F403, исследователи продемонстрировали возможность извлечения прошивки в незашифрованном виде.
При этом для обхода RDP могут быть использованы уязвимости отладочных интерфейсов, нетривиальные атаки типа fault-injection и даже инвазивное вмешательство.
В одном из примеров для извлечения понадобилось лишь 20 микросекунд.
Информация о выявленных угрозах была передана вендору в рамках политики ответственного раскрытия. Вендор планирует устранить их в новых ревизиях микроконтроллеров.
Подробный технический разбор систем RDP, способов обхода и найденных уязвимостей применительно к GigaDevice GD32 - в отчете.
Хабр
GigaVulnerability: обход механизмов защиты микроконтроллеров GigaDevice GD32
При разработке аппаратных решений на базе микроконтроллеров производители хотят защитить свою прошивку от попадания в руки злоумышленников, так как в ней могут содержаться чувствительная информация,...
Исследователи F.A.C.C.T. сообщают о новых масштабных фишинговых атаках TA558, нацеленных в том числе на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы.
Всего за один день, по данным исслдеовталей, злоумышленники посредством специального софта разослали письма более чем 76 тыс. адресатам из 112 стран мира.
Письма содержали вложения, загружающие и запускающие RTF-документ, задействуя уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении сценария на устройстве жертвы запускается Remcos RAT, которая позволяет хакерам получить контроль над устройством своих жертв.
Группировка ТА558 активна как минимум с 2018 года и реализует многоэтапные фишинговые атаки и различные методы социальной инженерии.
Традиционная цель всех атак ТА558 - получение доступа к внутренним системам организаций для кражи данных.
В прошлом году была замечена в аналогичных атаках с фишингом для распространения вредоносного ПО, нацеленного на предприятия, госучреждения и банкский сектор в России и Беларуси.
Всего за один день, по данным исслдеовталей, злоумышленники посредством специального софта разослали письма более чем 76 тыс. адресатам из 112 стран мира.
Письма содержали вложения, загружающие и запускающие RTF-документ, задействуя уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении сценария на устройстве жертвы запускается Remcos RAT, которая позволяет хакерам получить контроль над устройством своих жертв.
Группировка ТА558 активна как минимум с 2018 года и реализует многоэтапные фишинговые атаки и различные методы социальной инженерии.
Традиционная цель всех атак ТА558 - получение доступа к внутренним системам организаций для кражи данных.
В прошлом году была замечена в аналогичных атаках с фишингом для распространения вредоносного ПО, нацеленного на предприятия, госучреждения и банкский сектор в России и Беларуси.
Хабр
Группа TA558 снова атаковала российские и белорусские компании
27 января злоумышленники из TA558 провели масштабную фишинговую атаку, нацеленную на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы....
Более 12 000 брандмауэров GFI KerioControl подвержены эксплуатируемой критической RCE-уязвимости, отлеживаемой как CVE-2024-52875.
KerioControl — это пакет решений для сетевой безопасности, который предприятия малого и среднего бизнеса используют для обеспечения VPN, мониторинга и фильтрации трафика, создания отчетов, защиты и предотвращения вторжений.
Проблема была обнаружена в середине декабря исследователем Эгидио Романо (EgiX), который продемонстрировал потенциал опасных атак RCE, реализуемых в один клик.
Как отмечает обнаруживший проблему исследователь, пользовательский ввод, передаваемый на эти страницы через параметр GET «dest», не проходит надлежащую очистку перед использованием для генерации HTTP-заголовка «Location» в HTTP-ответе 302.
В частности, приложение некорректно фильтрует/удаляет символы перевода строки (LF). Это может быть использовано для выполнения атак HTTP Response Splitting, что, в свою очередь, позволяет реализовать XSS и, возможно, другие атаки.
При этом вектор Reflected XSS может быть использован для выполнения атак с удаленным выполнением кода в один клик.
GFI Software оперативно выпустила обновление для устранения проблемы в версии 9.4.5 Patch 1 от 19 декабря 2024 года.
Однако даже по прошествии трех недель, по данным Censys, более 23 800 экземпляров оставались уязвимыми.
В начале января Greynoise уже обнаружила активные попытки эксплуатации уязвимости с использованием представленного исследователем PoC, нацеленные на кражу административных CSRF-токенов.
Несмотря на предупреждение об активной эксплуатации, Shadowserver Foundation сообщает, что 12 229 межсетевых экранов KerioControl остаются уязвимыми для атак с использованием CVE-2024-52875.
Большинство из них детектиуруются в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии.
Благодаря наличию публичного PoC для CVE-2024-52875 требования к эксплуатации значительно упрощаются, что позволяет даже неопытным хакерам принимать участие в активной эксплуатации.
Так что если вы еще не установили обновление, настоятельно рекомендуем накатить KerioControl версии 9.4.5 Patch 2, выпущенную 31 января 2025 года, которая также содержит дополнительные улучшения по части безопасности.
KerioControl — это пакет решений для сетевой безопасности, который предприятия малого и среднего бизнеса используют для обеспечения VPN, мониторинга и фильтрации трафика, создания отчетов, защиты и предотвращения вторжений.
Проблема была обнаружена в середине декабря исследователем Эгидио Романо (EgiX), который продемонстрировал потенциал опасных атак RCE, реализуемых в один клик.
Как отмечает обнаруживший проблему исследователь, пользовательский ввод, передаваемый на эти страницы через параметр GET «dest», не проходит надлежащую очистку перед использованием для генерации HTTP-заголовка «Location» в HTTP-ответе 302.
В частности, приложение некорректно фильтрует/удаляет символы перевода строки (LF). Это может быть использовано для выполнения атак HTTP Response Splitting, что, в свою очередь, позволяет реализовать XSS и, возможно, другие атаки.
При этом вектор Reflected XSS может быть использован для выполнения атак с удаленным выполнением кода в один клик.
GFI Software оперативно выпустила обновление для устранения проблемы в версии 9.4.5 Patch 1 от 19 декабря 2024 года.
Однако даже по прошествии трех недель, по данным Censys, более 23 800 экземпляров оставались уязвимыми.
В начале января Greynoise уже обнаружила активные попытки эксплуатации уязвимости с использованием представленного исследователем PoC, нацеленные на кражу административных CSRF-токенов.
Несмотря на предупреждение об активной эксплуатации, Shadowserver Foundation сообщает, что 12 229 межсетевых экранов KerioControl остаются уязвимыми для атак с использованием CVE-2024-52875.
Большинство из них детектиуруются в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии.
Благодаря наличию публичного PoC для CVE-2024-52875 требования к эксплуатации значительно упрощаются, что позволяет даже неопытным хакерам принимать участие в активной эксплуатации.
Так что если вы еще не установили обновление, настоятельно рекомендуем накатить KerioControl версии 9.4.5 Patch 2, выпущенную 31 января 2025 года, которая также содержит дополнительные улучшения по части безопасности.
Karmainsecurity
GFI Kerio Control <= 9.4.5 Multiple HTTP Response Splitting Vulnerabilities | Karma(In)Security
This is the personal website of Egidio Romano, a very curious guy from Sicily, Italy. He's a computer security enthusiast, particularly addicted to webapp security.
Да-да, эти знаменитые миллион дропов и два колл-центра размером с Рязань.
Telegram
Банкста
Более 2 млн человек вовлечены в обналичивание похищенных мошенниками средств. К ним относятся как мошенники из колл-центров за границей, так и "дропы", которые предоставляют свои банковские данные третьим лицам. @banksta
Apple выпустила экстренные обновления с исправлением критической 0-day для своих флагманских платформ iOS и iPadOS, предупреждая о ее использовании в таргетированных и чрезвычайно сложных атаках.
CVE-2025-24200 позволяет злоумышленникам, имеющим физический доступ к заблокированному iPhone или iPad, отключить режим ограниченного доступа USB и получить доступ к необновленным устройствам.
USB Restricted Mode - это ключевая функция безопасности, появившаяся семь лет назад в iOS 11.4.1, которая блокирует создание соединения с USB-аксессуарами, если устройство было заблокировано более часа.
Функционал предназначен для противодействия криминалистическому ПО Graykey и Cellebrite (используемому силовиками) и предотвращению извлечения данных с заблокированных iOS-устройств.
0-day была обнаружена и раскрыта исследователями Citizen Lab и представляет собой проблему авторизации, устраненную в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 с улучшенным управлением состоянием.
Среди затронутых устройств: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения (и все новее), а также iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения.
Apple отмечает в отчете, что эта уязвимость могла быть использована в чрезвычайно сложной атаке, направленной в отношении конкретных пользователей, но не представила каких-либо подробностей о реальных случаях эксплуатации.
Тем не менее, участие в раскрытии Citizen Lab указывает на возможные целевые атаки с использованием шпионского или иного спецализированного ПО.
Как бы то ни было, настоятельно рекомендуется не медлить с установкой обновлений, дабы исключить потенциально возможные попытки атак.
CVE-2025-24200 позволяет злоумышленникам, имеющим физический доступ к заблокированному iPhone или iPad, отключить режим ограниченного доступа USB и получить доступ к необновленным устройствам.
USB Restricted Mode - это ключевая функция безопасности, появившаяся семь лет назад в iOS 11.4.1, которая блокирует создание соединения с USB-аксессуарами, если устройство было заблокировано более часа.
Функционал предназначен для противодействия криминалистическому ПО Graykey и Cellebrite (используемому силовиками) и предотвращению извлечения данных с заблокированных iOS-устройств.
0-day была обнаружена и раскрыта исследователями Citizen Lab и представляет собой проблему авторизации, устраненную в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 с улучшенным управлением состоянием.
Среди затронутых устройств: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения (и все новее), а также iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения.
Apple отмечает в отчете, что эта уязвимость могла быть использована в чрезвычайно сложной атаке, направленной в отношении конкретных пользователей, но не представила каких-либо подробностей о реальных случаях эксплуатации.
Тем не менее, участие в раскрытии Citizen Lab указывает на возможные целевые атаки с использованием шпионского или иного спецализированного ПО.
Как бы то ни было, настоятельно рекомендуется не медлить с установкой обновлений, дабы исключить потенциально возможные попытки атак.
Apple Support
About the security content of iOS 18.3.1 and iPadOS 18.3.1 - Apple Support
This document describes the security content of iOS 18.3.1 and iPadOS 18.3.1
Тем временем американские и европейские силовики провернули новую международную операцию под кодовым названием Operation Phobos Aetor в отношении инфраструктуры и членов банды вымогателей 8Base.
В мероприятиях принимали участие британская NCA, ФБР США, Европол, а также агентства из Баварии, Бельгии, Чехии, Франции, Германии, Японии, Румынии, Испании, Швейцарии и Таиланда.
Силовикам удалось установить личности и арестовать в Таиланде 4 подозреваемых, которые принимали участие в распространении программы-вымогателя Phobos, а также нейтрализовать инфраструктуру банды 8Base.
По сообщениям местных СМИ, cреди арестованных — двое мужчин и две женщины, все европейцы. Личности подозреваемых не разглашаются.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых.
Арестованным вменяются атаки с использованием Phobos с целью получения выкупа по меньшей мере в отношении 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Кроме того, хакеров обвиняют в получении преступного дохода в размере 16 млн. долл. посредством атак, жертвами которых стали более 1000 человек по всему миру.
По результатам обысков силовики изъяли более 40 вещественных доказательств, включая мобильные телефоны, ноутбуки и криптокошельки.
Помимо арестов накрыли сайты 8Base, которые использовались для переговоров и в качестве DLS. Теперь они конфискованы Баварским государственным управлением уголовной полиции по поручению Генеральной прокуратуры в Бамберге.
8Base, как известно, начала свою деятельность в марте 2022 года и позиционировала себя как простых «пентестеров», но на самом деле могла быть ребрендинг другой банды.
До июня 2023 года группа оставалась относительно незаметной, после чего начала сливать данные десятков жертв.
Также в атаках 8Base были замечены артефакты вируса-вымогателя Phobos, а в VMware выявили много общего с RansomHouse, включая стиль записок о выкупе и сайты DLS, но совпадение в полной мере не было подтверждено.
Среди известных жертв банды - Nidec Corporation, японский технологический гигант с доходом в 11 млрд. долл., и Программа развития Организации Объединенных Наций (ПРООН).
Как отмечали в бюллетене HHS, 8Base в основном нацелена на компании малого и среднего бизнеса в США, Бразилии, Великобритании, Австралии, Германии, Канаде и Китае, а отсутствие среди них стран СНГ может указывать на «связи с Россией».
А связей кроме как на бумаге пока не оказалось.
Быть может после криминалистики, конечно, последуют новые аресты, но будем посмотреть.
В мероприятиях принимали участие британская NCA, ФБР США, Европол, а также агентства из Баварии, Бельгии, Чехии, Франции, Германии, Японии, Румынии, Испании, Швейцарии и Таиланда.
Силовикам удалось установить личности и арестовать в Таиланде 4 подозреваемых, которые принимали участие в распространении программы-вымогателя Phobos, а также нейтрализовать инфраструктуру банды 8Base.
По сообщениям местных СМИ, cреди арестованных — двое мужчин и две женщины, все европейцы. Личности подозреваемых не разглашаются.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых.
Арестованным вменяются атаки с использованием Phobos с целью получения выкупа по меньшей мере в отношении 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Кроме того, хакеров обвиняют в получении преступного дохода в размере 16 млн. долл. посредством атак, жертвами которых стали более 1000 человек по всему миру.
По результатам обысков силовики изъяли более 40 вещественных доказательств, включая мобильные телефоны, ноутбуки и криптокошельки.
Помимо арестов накрыли сайты 8Base, которые использовались для переговоров и в качестве DLS. Теперь они конфискованы Баварским государственным управлением уголовной полиции по поручению Генеральной прокуратуры в Бамберге.
8Base, как известно, начала свою деятельность в марте 2022 года и позиционировала себя как простых «пентестеров», но на самом деле могла быть ребрендинг другой банды.
До июня 2023 года группа оставалась относительно незаметной, после чего начала сливать данные десятков жертв.
Также в атаках 8Base были замечены артефакты вируса-вымогателя Phobos, а в VMware выявили много общего с RansomHouse, включая стиль записок о выкупе и сайты DLS, но совпадение в полной мере не было подтверждено.
Среди известных жертв банды - Nidec Corporation, японский технологический гигант с доходом в 11 млрд. долл., и Программа развития Организации Объединенных Наций (ПРООН).
Как отмечали в бюллетене HHS, 8Base в основном нацелена на компании малого и среднего бизнеса в США, Бразилии, Великобритании, Австралии, Германии, Канаде и Китае, а отсутствие среди них стран СНГ может указывать на «связи с Россией».
А связей кроме как на бумаге пока не оказалось.
Быть может после криминалистики, конечно, последуют новые аресты, но будем посмотреть.
Khaosod English
Thai-Swiss-US Operation Nets Hackers Behind 1,000+ Cyber Attacks
Thai police arrested four European hackers in Phuket who allegedly stole $16 million through ransomware attacks affecting over 1,000 victims worldwide. The suspects, wanted by Swiss and US authorities
Воодушевленные индийским кинематографом хакеры решили угнать аккаунт полиции Индии в X.
И сделали это с болливдуским масштабом, заменив наименование Thane_R_Police на dubaigovt (или «Правительство Дубая»). Подписку и прочие атрибуты также прикрутили.
Ну, а далее все по традиционной схеме мамонта, пусть даже с бомбейским акцентом.
И сделали это с болливдуским масштабом, заменив наименование Thane_R_Police на dubaigovt (или «Правительство Дубая»). Подписку и прочие атрибуты также прикрутили.
Ну, а далее все по традиционной схеме мамонта, пусть даже с бомбейским акцентом.
Apple обнаружила высокосерьезную уязвимость OpenSSL, открывающую возможности для MitM-атак.
Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке.
CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.
Появилась c OpenSSL 3.2 с реализацией поддержки RPK.
Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.
Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию.
Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.
RPK отключены по умолчанию как в клиентах, так и в серверах TLS.
Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.
Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.
Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.
OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.
Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке.
CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.
Появилась c OpenSSL 3.2 с реализацией поддержки RPK.
Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.
Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию.
Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.
RPK отключены по умолчанию как в клиентах, так и в серверах TLS.
Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.
Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.
Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.
OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.
Microsoft выкатила свой традиционный PatchTuesday за февраль 2025 года с исправлениями 55 уязвимостей, в том числе 4 0-day, две из которых активно эксплуатируются в атаках.
В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.
Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.
Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:
- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.
Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.
Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.
- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.
Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.
Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.
Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.
Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце.
Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.
Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.
Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.
Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.
Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.
Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.
Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:
- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.
Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.
Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.
- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.
Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.
Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.
Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.
Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце.
Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.
Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.
Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.
Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.
Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Progress Software устранила несколько серьезных уязвимостей безопасности в своем ПО LoadMaster, которые могли быть использованы злоумышленниками для выполнения произвольных системных команд или загрузки любого файла из системы.
Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.
Среди исправленных недостатков:
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.
- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.
Уязвимости затрагивают следующие версии ПО LoadMaster:
- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).
Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.
Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.
Но будем посмотреть.
Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.
Среди исправленных недостатков:
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.
- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.
Уязвимости затрагивают следующие версии ПО LoadMaster:
- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).
Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.
Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.
Но будем посмотреть.
Прославленная «особой технологией» разработки ПО Ivanti выпустила обновления, устраняющие многочисленные уязвимости в Connect Secure (ICS), Policy Secure (IPS) и Cloud Services Application (CSA), которые могут быть использованы для RCE.
Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:
- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.
- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.
- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.
- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.
Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.
Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.
Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.
В общем, 50 оттенков Ivanti. И все коричневые.
Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:
- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.
- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.
- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.
- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.
Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.
Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.
Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.
В общем, 50 оттенков Ivanti. И все коричневые.
Ivanti
February Security Update | Ivanti
Our priority is to provide responsible and transparent communication to our customers, so they are empowered to defend their environments.
Fortinet пересмотрела свои рекомендации по CVE-2024-55591, предупреждая о еще одной уязвимости, отлеживаемой как как CVE-2025-24472 (CVSS: 8,1).
Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.
Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.
Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.
Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.
Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.
Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.
Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.
Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Forwarded from Social Engineering
• Capture the Flag (CTF) — игра, в которой участники пытаются захватить флаг противников и защитить свой. Популярной ее сделали командные шутеры вроде Quake и Team Fortress, но в какой-то момент хакерам пришла идея спроецировать CTF на информационную безопасность.
• Единственный способ преуспеть в CTF — постоянно участвовать в CTF. Держите подборку ресурсов, которые помогут прокачать свой скилл в различных аспектах информационной безопасности.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Wiz обнаружили новый вариант обхода уже исправленной уязвимости в NVIDIA Container Toolkit, который можно использовать для выхода за пределы изоляции контейнера и получения полного доступа к базовому хосту.
Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.
Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).
В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.
Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.
Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.
Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.
Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.
Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».
Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.
Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.
Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.
Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.
Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).
В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.
Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.
Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.
Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.
Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.
Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».
Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.
Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.
Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.
cwe.mitre.org
CWE -
CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition (4.16)
CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition (4.16)
Common Weakness Enumeration (CWE) is a list of software weaknesses.
На горизонте нарисовалась новая банда вымогателей под названием Sarcoma, которая не так давно препарировала производителя печатных плат и носителей интегральных схем Unimicron на Тайване.
Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.
Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.
Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.
В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.
Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.
Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.
Кроме того, Unimicron официально не подтвердила утечку данных.
Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.
Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.
В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.
Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.
Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.
После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.
Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.
Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.
Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.
Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.
Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.
В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.
Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.
Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.
Кроме того, Unimicron официально не подтвердила утечку данных.
Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.
Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.
В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.
Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.
Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.
После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.
Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.
Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.
X (formerly Twitter)
Rapid7 (@rapid7) on X
The Sarcoma ransomware group emerged in October & placed within the top 10 most active actors for the month.
Sarcoma's double-extortion strategy combines #ransomware encryption with data exfiltration to pressure ransom payment — impacting nearly 40 orgs…
Sarcoma's double-extortion strategy combines #ransomware encryption with data exfiltration to pressure ransom payment — impacting nearly 40 orgs…
Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.
Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.
Предполагаемая цель злоумышленников - кибершпионаж.
Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.
Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.
Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.
По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.
Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.
После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.
Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.
Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.
Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.
Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.
На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.
Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.
Технические подробности и IoC - в отчете.
Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.
Предполагаемая цель злоумышленников - кибершпионаж.
Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.
Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.
Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.
По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.
Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.
После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.
Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.
Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.
Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.
Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.
На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.
Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.
Технические подробности и IoC - в отчете.
securelist.ru
Агенты для Mythic, Merlin и Loki, атакуют российские компании
Merlin, малоизвестный агент для Mythic, атакует российские компании в рамках одной кампании с Loki. Мы назвали группу, стоящую за этой активностью, Mythic Likho.
Symantec в новом отчете отмечает, что инструменты, используемые китайскими APT, задействовались в недавней атаке с вымогательстом, по всей видимости, хакером в качестве подработки.
Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).
По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.
В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.
Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.
Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.
При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).
Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.
Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.
Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.
Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.
Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.
Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.
Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.
В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!
Замеченный набор включает в себя легитимный исполняемый файл Toshiba, который устанавливается на системах жертв для загрузки вредоносной DLL-библиотеки, которая развертывает сильно замаскированную полезную нагрузку, содержащую бэкдор PlugX (он же Korplug).
По данным Symantec, ранее бэкдор был связан с китайской Mustang Panda (aka Earth Preta) и никогда не применялся злоумышленниками в других странах.
В период с июля 2024 по январь 2025 года вариант PlugX использовался в атаках на структуры МИД страны Юго-Восточной Европы, правительство другой страны Юго-Восточной Европы, два министерства и оператора связи в Юго-Восточной Азии.
Все эти вторжения были обусловлены целью кибершпионажа, и тот же инструментарий был замечен в ноябре 2024 года с нацеливанным на компанию по разработке ПО в Южной Азии.
Злоумышленник использовал исполняемый файл Toshiba для загрузки вредоносной DLL и развертывания того же варианта PlugX, который наблюдался в APT-атаках, а затем запустил на системах жертвы штамм ransomware под названием RA World.
При этом для первоначального доступа использовалась известная уязвимость брандмауэра Palo Alto Networks (CVE-2024-0012).
Злоумышленник заявил, что получил административные учетные данные в инфраструктуре организации, выкрал учетные данные Amazon S3 с сервера Veeam и извлек содержимое контейнеров S3, прежде чем запустить шифровальщик.
Как отмечают в Symantec, большинство инструментов китайских APT не являются общедоступными, а значит инсайдер, имеющий к ним доступ, вероятно, использовал их для атаки с целью вымогательства.
Причем атака с использованием программы-вымогателя, вероятно, совершалась одним лицом, желающим подзаработать к пенсии, используя инструментарий своего работодателя.
Безусловно, нельзя исключать использования ransomware в качестве приманки для рядовой операции, но Synantec полагает, что цель не имела стратегического значения.
Злоумышленнику не удалось эффективно замести следы. Хакер, по-видимому, был заинтересован в получении оплаты, потратив время на переписку с жертвой.
Symantec также отмечает, что для китайских групп нетипично участие в операциях по вымогательству, это больше характерно для северокорейцев.
Кроме того, основываясь на детектировании прокси-инструмента под названием NPS, злоумышленник мог быть связан с APT Bronze Starlight (aka Emperor Dragonfly), которая ранее была замечена в использовании вымогателей в качестве приманки.
В общем, выкуп получить, очевидно, не удалось, так что при любом раскладе: это залет, боец!
Security
China-linked Espionage Tools Used in Ransomware Attacks
Espionage actor may be moonlighting as RA World attacker.