T.Hunter | информационная безопасность

#cve Опубликовали на Хабре нашу традиционную подборку самых интересных CVE ушедшего месяца. В мае десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода. Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE последнего весеннего месяца читайте на Хабре! @tomhunter

#news В октябре 2023-го у одного провайдера в Штатах превратились в кирпич половина роутеров — 600 тысяч устройств пришлось заменять. Инцидент получил название «The Pumpkin Eclipse», огласке его компания не предавала. На днях же подоспел анализ произошедшего: за атакой стоял деструктивный ботнет. Удар пришёлся по конкретному провайдеру и трём моделям устройств в его сетях. Основной нагрузкой шёл RAT Chalubo, для атаки была использована одна из его панелей. Увы, вредоносную нагрузку найти не удалось, так что как устройства превратились в кирпич, неизвестно. Но судя по всему, была повреждена прошивка. Скорее всего, атака была целенаправленной, но кто именно за ней стоял, также неизвестно. Так или иначе случай уникальный по масштабам ущерба, и прежде деструктивный ботнет такого плана был замечен только в одном инциденте в зоне конфликта. Подробнее о тыквенном затмении в отчёте. @tomhunter

#news Интересный подход к распространению малвари через Stack Overflow: вновь абьюзят комментарии. Но в этот раз без подгрузки вредоноса в CDN, как было с Git, всё проще — злоумышленники оставляют комменты к вопросам с предложением подгрузить пакет с PyPi под видом инструмента управления API. Ну а в нём многофункциональный инфостилер. Казалось бы, эффективность у такого подхода должна быть сомнительная. Особенно когда пакет идёт в качестве решения никак не связанной с ним проблемы. Но при этом скачать его успели почти 300 раз за день, прежде чем вредонос снесли админы. Что как бы должно послужить напоминанием, что не все советы от fellow developers бывают одинаково полезны. Даже если их постят на проверенной платформе. @tomhunter

#news На днях был арестован создатель и оператор 911 S5, одного из крупнейших ботнетов в мире с десятилетней историей. 35-летний гражданин Китая ответственен за миллиарды долларов ущерба, который нанесли злоумышленники через его сетку прокси. Сайт и инфраструктура 911 S5 перехвачены. Между тем ботнет собирали в том числе через бесплатные VPN, так же известные в узких кругах любителей ИБ-трэша как порталы в ад. Они предоставляли юзерам заявленную функциональность, в то же время превращая их устройства в прокси. В основном заражения шли в Штатах, но если названия MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, и ShineVPN звучат знакомо, это тревожный звоночек. Потому как эти порталы в ад недружественных ресурсов шли в комплекте с бэкдором от 911 S5. @tomhunter

#news Европол устроил масштабную чистку серверам ботнетов в операции Endgame. Как сообщает служба, это крупнейшая операция такого плана. Перехвачены более 100 серверов и 2,000 доменов по всему миру, связанных с дропперами IcedID, SmokeLoader, TrickBot и другим вредоносом. Ботнеты уничтожены с помощью синкхолинга. Также прошли аресты: один человек арестован в Армении, трое — на Украине. Ключевой подозреваемый, как предполагается, получил не менее $75 миллионов, предоставляя инфраструктуру под рансомварь. В розыске также семь человек, поднявших TrickBot, и восьмой — один из ключевых операторов SmokeLoader. В общем, привет из прошлого от Европола после разбора ботнета Emotet в 2021-м — часть арестованных были вовлечены ещё в его работу, и операция прошла по результатам продолжавшегося с тех пор расследования. @tomhunter

#news В США завели дело на гражданина России как предполагаемого брокера начального доступа. 31-летний Евгений Дорошенко из Астрахани, он же «FlankerWWH» и «Flanker», по документам работает по этому профилю с февраля 2019-го года. Flanker предпочитает брутфорсить доступные в сети сервисы удалённого доступа к рабочему столу, судя по истории активности, он же искал контакты для взлома NTLM-хэшей и связи с разработчиками кейлоггеров. Максимальный срок по обвинениям — до 20 лет заключения и $250 тысяч штрафа. Однако пока товарищ Дорошенко сидит в России и не рискует заезжать в страны с экстрадицией, штатовских безопасников в погонах он может не опасаться. А вот российских, кхм… @tomhunter

#news К критической уязвимости с максимальным рейтингом в FortiSIEM опубликован эксплойт. Той самой, которую Fortinet пропатчила в феврале, CVE-2024-23108. И изначально отрицала её существование, утверждая, что это был дубликат, всплывший в результате ошибки в API. С точкой с запятой в другом аргументе в качестве единственного отличия между эксплойтами. Уязвимость под RCE с рут-правами от неаутентифицированного злоумышленника, так что десяточка по CVSS более чем оправдана. От Horizon3 доступны подробный анализ CVE и сам эксплойт. Между тем с релиза патча прошло более трёх месяцев. Так что, как водится, кто не успел обновиться, тот опоздал. @tomhunter

#news BreachForums вернулся спустя всего пару недель после перехвата его инфраструктуры ФБР. В верхнем интернете по одному из прежних адресов. Но есть нюанс: чтобы попасть на форум, нужно зарегистрироваться. На поднявшемся сайте некто под юзернеймом ShinyHunters выставил на продажу базу сайта Ticketmaster на 1,3TB и, предположительно, 560 миллионов клиентов. На фоне открытой регистрации ходят слухи, что это всё очевидный ханипот от любителей чертовски хорошего кофе. Однако Hackread утверждает, что у последних случилась накладочка с перехватом, и ShinyHunters вернули контроль над доменом уже через пару часов, связавшись с провайдером, гонконгской NiceNIC. Что объясняет отсутствие пресс-релизов за последние недели. В любом случае запасайтесь попкорном — завязка получается интересная. @tomhunter

#news Передовые новости инфобеза из Индонезии: президент запретил разработку новых приложений для правительства. Причина проста: их число перевалило за 27 тысяч. Одно министерство набрало в пользование 500 приложений. Новые же создают при вступлении в должность министров, губернаторов и чиновников. Разгадка, судя по всему, очень проста: в 2024-м правительство запросило под разработку приложений 6,2 триллиона рупий — почти 400 миллионов долларов. Так что за неуёмной цифровизацией, видимо, элементарно скрывается коррупционная схема. Как это всё работает и поддерживается можно только догадываться. Но теперь лавочку прикрывают вместе с анонсом индонезийских Госуслуг — единая платформа призвана положить конец бесконечному разрастанию мелких приложений. По персональному для каждого чиновника. @tomhunter

Завтра, 29 мая в 12:00 по Москве, пройдёт вебинар Код ИБ | БЕЗОПАСНАЯ СРЕДА. Темой выпуска станет «Как происходит предупреждение киберугроз?» Участники обсудят DPR (Data Risk Protection) как процесс предупреждения угроз — иными словами, то как проходит работа по их выявлению изнутри. От T.Hunter участие в эфире примут руководитель нашего департамента расследований Игорь Бедеров и Product Owner Денис Симонов. Зарегистрироваться можно здесь. Присоединяйтесь, будет интересно! @tomhunter

#news Редкий зверь на на территории РФ: причиной масштабного «технического сбоя» у СДЭК, судя по всему, стала рансомварь-атака. Ответственность за неё взяли на себя хакеры из Head Mare, рансомварь в системах так же подтвердил источник в компании. СДЭК с 26 мая перестала выдавать и принимать посылки по всей стране, что указывало на прилёгшие системы. Ну а теперь Head Mare опубликовала скриншоты из внутренних систем и передаёт привет безопасникам, обслуживающим СДЭК. Восстановление работы теперь упирается в наличие бэкапов у не пуганной рансомварью российской компании. И вся интрига в том, когда у СДЭК был последний. Спойлер: злоумышленники из Head Mare утверждают, что бэкапы в компании делали раз в полгода. Посылки-то, может, и в безопасности, а вот системы… @tomhunter

#news Индия отметилась масштабной утечкой данных миллионов граждан. Включая биометрию полицейских и военных. Фотографии, отпечатки пальцев, подписи, почты, свидетельства о рождении, дипломы — проще сказать, что не утекло. Причиной утечки стала незащищённая база данных от пары девелоперских компаний, в ней 1,6 миллиона документов почти на полтерабайта. Самое интересное — около 300 тысяч документов по физподготовке полицейских с ключевыми данными на них. Плюс данные из мобильных приложений полиции, включая логины и пароли в открытом виде. Что примечательно, в 2022-м в Индии значительно расширили полномочия полиции по сбору биометрических данных. И теперь они утекли, включая биометрию самих полицейских и военных. Это к вопросу о том, что когда ИБ-индустрия протестует против сбора всего и вся, к ней стоит прислушаться. Иначе будут конфузы уровня Индии. @tomhunter