Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
На международной конференции Security Analyst Summit наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) представили несколько крайне увлекательных исследований. Мы не станем подробно пересказывать каждое из них — просто кратко обрисуем самое интересное.
Шпионская платформа StripedFly
Практически детективное расследование, в ходе которого наши эксперты выяснили что зловред, ранее детектировавшийся как обычный майнер криптовалюты Monero, на самом деле является прикрытием для сложной модульной угрозы, способной поражать машины как под Windows, так и под Linux. Различные модули StripedFly умеют красть информацию с компьютера, снимать скриншоты, записывать звук с микрофона, перехватывать пароли Wi-Fi. Впрочем, с тем же успехом модули могут функционировать и в качестве шифровальщика-вымогателя, и для майнинга криптовалюты.
Интересно, что угроза способна распространяться с помощью эксплойта EthernalBlue, хотя казалось бы этот вектор был запатчен еще в 2017 году. Кроме того, StripedFly может заражать системы под Linux и Windows с запущенным SSH сервером, используя для этого украденные ключи и пароли. Подробное исследование c индикаторами компрометации можно найти на блоге Securelist.
Подробности атаки Operation Triangulation
Ещё один доклад Security Analyst Summit был посвящён продолжению исследований атаки Operation Triangulation, целью которой были в том числе и наши сотрудники. Подробный анализ угрозы позволил нашим экспертам обнаружить пять уязвимостей в системе iOS, причем четыре из них (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990) были уязвимостями нулевого дня. Они затрагивали не только iPhone, но также iPod, iPad, macOS, Apple TV и Apple Watch. Также выяснилось, что помимо инфицирования устройств через iMessage, злоумышленники могли атаковать и браузер Safari. Вот в этом посте можно прочитать подробности о процессе анализа данной угрозы.
Посмотреть статью полностью
-
Автор KL FC Bot
Требования к ИБ непрерывно растут по мере цифровизации бизнеса, увеличения стоимости инцидентов и ужесточения регуляторики. Растет и сложность атак на организации. По данным сервиса Kaspersky Incident Response за 2024 год, в 39% расследованных инцидентов эксплуатировались уязвимости в публично доступных серверах компании, а треть атак использовали легитимные учетные данные для проникновения в организацию. Получив начальный доступ, злоумышленники часто стараются «не шуметь». Они не применяют вредоносное ПО, а ограничиваются легитимными сетевыми инструментами: средствами удаленного доступа (AnyDesk, SSH, RDP), утилитами туннелирования (Cloudflare, ngrok), системными службами (PsExec, PowerShell). Для скачивания дополнительных инструментов, выгрузки украденных данных и передачи команд также используются крупные легитимные сервисы — от Amazon S3 и Cloudflare до GitHub и Google Calendar, причем 87% трафика зашифровано.
Чтобы детектировать такие атаки и останавливать их развитие, в распоряжении команды ИБ должны быть современные инструменты, между которыми автоматизирован обмен информацией в реальном времени. Какие возможности будут ключевыми?
Расшифровка трафика и анализ на уровне приложений
Сам факт установки соединения с сервером мало что значит в условиях, когда подавляющее большинство веб-сервисов работает на хостинг-инфраструктуре крупных компаний (Amazon, Microsoft, Google, Cloudflare) и каждым из них так или иначе могут злоупотреблять атакующие.
Вот несколько примеров широко известных атак, в которых злоумышленники опираются на публичные сервисы для загрузки ВПО, С2 и кражи данных.
Атака на цепочку поставок, в которой было скомпрометировано популярное офисное ПО для VoIP-телефонии 3CXDesktopApp, загружала необходимые компоненты с GitHub. Еще одна атака, в ходе которой злоумышленники использовали легитимное ПО виртуализации QEMU, чтобы создать на скомпрометированном хосте RDP-прокси для дальнейшего доступа к другому хосту внутренней сети в обход традиционного файрвола. Кампания EastWind с использованием бэкдора CloudSorcerer получает команды с публичных сервисов «Живой Журнал», Quora и Dropbox; также на Dropbox отправляются украденные файлы. Многочисленные атаки при помощи шифровальщика ALPHV BlackCat на организации из сферы здравоохранения, в которых для эксфильтрации данных использовались серверы Dropbox и Mega.nz. Кампания SERPENTINE#CLOUD, в которой которой загрузка ВПО ведется с серверов WebDAV через туннели Cloudflare — бесплатный сервис trycloudflare позволяет злоумышленникам раздавать любые файлы, не регистрируя хостинг и обходя обычные проверки хостинг-провайдеров.
View the full article
-
Автор KL FC Bot
Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
View the full article
-
Автор KL FC Bot
14 ноября компания Google выпустила бюллетень, в котором сообщила о серьезной уязвимости в ряде процессоров компании Intel, начиная с поколения Ice Lake, выпущенного в 2019 году. Потенциально, эта уязвимость может приводить к отказу в обслуживании, эскалации привилегий или раскрытию чувствительной информации. На момент подготовки статьи обновления микрокода, закрывающие проблему, были выпущены для 12-го и 13-го поколений процессоров Intel (соответственно, Alder Lake и Raptor Lake). Патчи для процессоров 10-го и 11-го поколений (Ice Lake и Tiger Lake) готовятся. Полный список подверженных процессоров представлен на сайте Intel в виде огромной таблицы.
По словам представителей Intel, о нестандартном поведении процессоров инженеры компании знали, но проблема считалась некритичной, и ее решение отложили на первую половину 2024 года. Но ситуация изменилась, когда исследователи из компании Google, независимо от Intel, обнаружили проблему. Собственно, все детали уязвимости мы знаем от специалистов Google, а конкретно из статьи Тависа Орманди.
Фаззинг процессоров
Тавис Орманди имеет на своем счету множество обнаружений серьезных уязвимостей в различных программах и устройствах. Совсем недавно мы писали о его предыдущем исследовании, в ходе которого была обнаружена уязвимость Zenbleed в процессорах AMD. Тогда Тавис говорил о развитии применения фаззинга для поиска аппаратных проблем.
Фаззинг — это метод, который подразумевает подачу случайной информации на ввод тестируемой информационной системы. Как правило, ее применяют для автоматизированного поиска уязвимостей в софте: создается специальная «оснастка», позволяющая взаимодействовать с программой и отслеживать ее состояние. Дальше происходят десятки и сотни тысяч тестов, в ходе которых можно обнаружить нестандартное поведение тестируемого кода.
В случае испытания процессоров все несколько сложнее. Мы должны генерировать случайные программы, которые при этом работают без собственных сбоев, и выполнять их на процессоре. Как в таком случае отделить штатное поведение процессора от аномального? Ведь далеко не всегда ошибка в процессе выполнения ПО приводит к сбою. Орманди предложил методику, в рамках которой одинаковый «случайный» код одновременно выполняется на разных процессорах. По идее, результат работы одной и той же программы должен быть одинаковый, а вот если результат отличается, то возможно это признак проблемы. Именно такой подход выявил проблему в процессорах Intel.
Посмотреть статью полностью
-
Автор KL FC Bot
В последнее время на новостных сайтах, связанных с тематикой информационной безопасности, часто упоминалась система управления контентом (CMS) WordPress. Чаще всего причиной были уязвимости во всевозможных плагинах и темах для нее; впрочем, наши коллеги также наблюдали кейс, в котором злоумышленники распространяли трояны через плохо защищенные WordPress-сайты. Само по себе это не удивительно — данная CMS остается одной из самых популярных. Но такое количество обнаруженных в ее плагинах уязвимостей и связанных с ней инцидентов говорит о том, что за ней тщательно следят не только исследователи из мира ИБ, но и злоумышленники.
Инциденты, связанные с WordPress
Только за это лето стало известно о нескольких достаточно серьезных инцидентах, в которых злоумышленники действовали через WordPress.
Плагин Gravity Forms: компрометация сайта и заражение кода
В начале июля злоумышленники получили доступ к сайту Gravity Forms, популярного расширения для создания форм, и внедрили вредоносный код в версии 2.9.11.1 и 2.9.12 плагина. Сайты, на которых эти версии плагина были установлены администраторами вручную или через инструмент управления PHP-зависимостями Composer в период с 9 по 10 июля, были заражены зловредом.
Зловред блокировал дальнейшие попытки обновления пакета, скачивал и устанавливал дополнительный вредоносный код и добавлял учетные записи с правами администратора. В результате злоумышленники получали возможность захватить сайт и использовать его для какой-либо вредоносной активности.
Разработчики Gravity Forms рекомендуют всем своим пользователям проверить, не установлена ли у них потенциально опасная версия. Инструкции, как это легко сделать, можно найти в предупреждении об инциденте на официальном сайте плагина. Там же находится и инструкция по устранению угрозы. Ну и, разумеется, необходимо обновить плагин до версии 2.9.13.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти