Darknet Methods

2023-08-12 16:32:13 Фишинговая платформа EvilProxy используется для атак на руководителей компаний

EvilProxy становится одной из наиболее популярных платформ для фишинга и атак на учетные записи, защищенные с помощью многофакторной аутентификации (МФА). Исследователи Proofpoint обнаружили 120 000 фишинговых писем, отправленных более чем 100 организациям с целью взлома учетных записей Microsoft 365.

Принцип работы EvilProxy весьма прост: когда жертва заходит на фишинговую страницу, обратный прокси демонстрирует ей легитимную форму для входа, перенаправляет запросы и возвращает ответы с настоящего сайта компании. Когда жертва вводит свои учетные данные и код МФА на фишинговой странице, те тоже перенаправляются на сервер настоящей компании, а в ответ возвращается файл cookie сеанса.

В итоге прокси злоумышленника получает возможность украсть этот файл cookie, содержащий токен аутентификации. Затем этот токен может использоваться для входа на сайт от лица пострадавшего пользователя, минуя защиту многофакторной аутентификации. Открыть/Комментировать

2023-08-10 17:32:39 Microsoft исправила 87 уязвимостей, включая RCE в Microsoft Office

В рамках августовского «вторника обновлений» компания Microsoft устранила 87 уязвимостей в своих продуктах, две их которых уже использовали хакеры. Кроме того, 23 проблемы позволяли удаленного выполнить произвольный код, хотя только шесть из них были признаны критическими.

Обе уязвимости нулевого дня уже использовались злоумышленниками в атаках, а информация о проблеме ADV230003 была публично раскрыта еще до выхода патчей. Речь идет об углубленном исправлении для Microsoft Office Defense, которое наконец устранило проблему CVE-2023-36884.

CVE-2023-36884 представляет собой серию 0-day уязвимостей в Office и Windows, связанных с удаленным выполнением HTML-кода. В прошлом месяце Microsoft выпустила только руководство по обнаружению этих публично раскрытых и неисправленных багов.

Уязвимости позволяли злоумышленникам создавать документы Microsoft Office, которые могли обходить защиту Mark of the Web (MoTW), из-за чего такие файлы открывались без каких-либо предупреждений и позволяли удаленно выполнить произвольный код. Открыть/Комментировать

2023-08-08 18:02:51 Исследователи джейлбрейкнули Tesla и разблокировали платные функции

Исследователи из Берлинского технического университета разработали метод джейлбрейка инфотейнмент-систем на базе процессоров AMD. Дело в том, что такие системы используются во всех последних моделях автомобилей Tesla, и исследователи получили возможность запускать на них любое ПО, а также разблокировать платные функции автомобилей.

Созданная исследователями атака позволяет извлечь уникальный ключ RSA, привязанный к железу (Tesla использует его для аутентификации автомобиля в своей сервисной сети), а также активировать программно заблокированные функции, включая подогрев сидений и Acceleration Boost, за которые владельцы Tesla обычно должны платить отдельно. При этом отмечается, что разблокировать таким способом функцию Full-Self Driving (FSD, знаменитый «автопилот» Tesla) не получится.

Свое исследование специалисты представят на конференции BlackHat 2023 в этом месяце. Уже сейчас известно, что они обнаружили, что человек, имеющий физический доступ к плате Infotainment and Connectivity ECU (ICE) автомобиля, может использовать известную атаку против AMD Secure Processor (ASP), на котором строится блок управления инфотейнмент-системами MCU-Z.

Фактически экспертам удалось взломать информационно-развлекательную систему, опираясь на прошлое исследование, которое обнаруживало возможность внедрения ошибок и извлечения секретов. Так как инфотейнмент-система Tesla основана на уязвимом процессоре AMD Zen 1, использование ранее обнаруженных уязвимостей помогло осуществить ее джейлбрейк. Открыть/Комментировать

2023-08-06 17:01:38 В промышленных маршрутизаторах Milesight обнаружены RCE-уязвимости

Эксперты Cisco Talos предупредили, что десятки уязвимостей в промышленных маршрутизаторах Milesight UR32L могут использоваться для выполнения произвольного кода и команд.

Маршрутизаторы UR32L – весьма популярное решение для приложений M2M/IoT, так как они обеспечивают поддержку WCDMA и 4G LTE, имеют порты Ethernet и поддерживают удаленное управление.

Изучая маршрутизатор UR32L и связанное с ним решение для удаленного доступа MilesightVPN, специалисты оформили более 20 отчетов об уязвимостях, в результате которых различным проблемам было присвоено 69 идентификаторов CVE. Из них 63 уязвимости затрагивают сам промышленный маршрутизатор.

Все уязвимости, за исключением всего двух ошибок, оцениваются как уязвимости высокой степени серьезности, большинство из которых может привести к выполнению произвольного кода или команд. Открыть/Комментировать

2023-08-04 17:31:48 CISA, АНБ и ФБР составили список самых эксплуатируемых уязвимостей

Специалисты CISA, АНБ и ФБР опубликовали список 12 уязвимостей, которые злоумышленники чаще всего использовали в 2022 году.

Выяснилось, что хакеры чаще сосредотачивали свои атаки на проблемах в устаревшем софте, а не на свежих багах, обнаруженных непосредственно в 2022 году. В основном атакам подергались уязвимые системы, доступные через интернет.

Теперь регуляторы кибербезопасности в США, Австралии, Канаде, Новой Зеландии и Великобритании призывают организации по всему миру устранить эти недостатки, а также развернуть системы управления исправлениями, чтобы минимизировать риск потенциальных атак.

Помимо перечисленных выше багов к отчету специалистов прилагается список из еще 30 уязвимостей, которые часто используются для компрометации организаций, а также информация о том, как компании и организации могут уменьшить свою подверженность таким атакам. Открыть/Комментировать

2023-08-01 17:01:56 CISA предупреждает о рисках взлома из-за уязвимостей IDOR

Веб-приложения с небезопасными прямыми ссылками на объекты (IDOR, Insecure direct object references) подвергаются значительным рискам взлома, предупреждают специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA), совместно с Австралийским центром кибербезопасности (ACSC) и Агентством национальной безопасности США (АНБ).

К проблемам IDOR относятся недостатки в веб-приложениях (или приложениях, использующих уязвимые веб-API), которые позволяют злоумышленникам получать доступ к конфиденциальным данным и манипулировать ими, напрямую ссылаясь на внутренние объекты или ресурсы. То есть уязвимое веб-приложение может неправильно проверять доступ пользователя к определенным ресурсам, включая файлы, базы данных или учетные записи.

В итоге IDOR-уязвимости могут привести к несанкционированному доступу и утечке данных из-за неправильной валидации input’а и авторизации, что позволит атакующим получить доступ к ресурсам, на использование которых у них не должно быть прав. Открыть/Комментировать

2023-07-30 18:31:45 Компания CoinsPaid утверждает, что северокорейские хакеры похитили у нее 37 млн долларов

Эстонский криптовалютный сервис CoinsPaid сообщил, что 22 июля 2023 года он подвергся кибератаке, в результате которой было украдено около 37 200 000 долларов в криптовалюте. CoinsPaid считает, что ответственность за эту атаку лежит на северокорейской хак-группе Lazarus.

Несмотря на значительный ущерб и тот факт, что атака негативно сказалась на доступности платежного сервиса, в компании подчеркивают, что средства клиентов в безопасности и свободно им доступны. То есть инцидент якобы не оказал влияния на работу компании.

При этом компания не предоставила никакой информации о том, как именно эту атаку удалось связать с Lazarus.

Генеральный директор CoinsPaid, Макс Крупышев, заявил, что в расследовании инцидента компании помогают Chainalysis, Binance, Crystal, Match Systems, Staked us, OKCoinJapan и Valkyrieinvest, а также о случившемся уже уведомлены правоохранительные органы Эстонии. Открыть/Комментировать

2023-07-28 17:03:14 БД хакерского форума BreachForums выставили на продажу

В даркнете продают базу данных закрытого недавно хак-форума BreachForums (он же просто Breached). Кроме того, все данные участников форума переданы специалистам агрегатора утечек Have I Been Pwned. Таким способом продавец решил доказать подлинность БД потенциальным покупателям.

Продавец пишет, что продаст базу Breached только одному человеку за 100 000–150 000 долларов, и утверждает, что дамп содержит снапшот всей БД, датированный 29 ноября 2022 года.

Напомню, что BreachForums считался одним из крупнейших хак-форумов, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для «слива» информации. Весной 2023 года ресурс закрыли правоохранители, а его создатель и администратор был арестован. Впоследствии власти сообщали, что им удалось получить доступ к БД сайта, а в июне были изъяты домены BreachForums.

Как теперь сообщает издание Bleeping Computer, со ссылкой Have I Been Pwned, утечка содержит 212 000 записей, в том числе имена пользователей, IP-адреса и email-адреса, а также личные сообщения и пароли, хранившиеся в виде хэшей argon2. Открыть/Комментировать

2023-07-26 17:32:38 Специалисты Target придумали простой инструмент для обнаружения скиммеров

ИБ-специалисты крупного американского ретейлера, компании Target, управляющей сетью магазинов розничной торговли, работающих под брендами Target и SuperTarget, создали и запатентовали инструмент EasySweep, который можно использовать для обнаружения скиммеров в платежных терминалах.

С 2021 по 2022 год количество скиммеров, обнаруженных в США, выросло на 368%, и таким способом ежегодно похищают более 161 000 карт. Поскольку скимминговые устройства становятся все более распространенными и их все труднее обнаружить, специалисты Target всерьез озадачились вопросом обнаружения скиммеров для защиты своих клиентов.

Изначально предполагалось, что обнаруживать устройства злоумышленников можно с помощью электронных девайсов, так как некоторые из скиммеров используют Bluetooth, однако вскоре от этой идеи отказались в пользу более простого варианта и физического поиска мошеннических устройств.

Еще в 2020 году, изучив устройство множество скиммеров, и даже создав на 3D-принтере макет скиммера, специалисты Target придумали EasySweep. Это решение представляет собой простую пластиковую форму, которую любой сотрудник магазина Target может вставить в гнездо для карты на платежном терминале. Если EasySweep вставится полностью, терминал «чист», а если вставить его не получилось, на терминале может быть установлен скиммер. Открыть/Комментировать

2023-07-24 17:02:26 Исходники UEFI-буткита BlackLotus опубликовали на GitHub

Исходный код UEFI-буткита BlackLotus, который ранее продавался в даркнете за 5000 долларов, был обнаружен аналитиками компании Binarly на GitHub. Исследователи говорят, что утекшие исходники не совсем полные и содержат в основном руткит и буткит для обхода Secure Boot.

Впервые BlackLotus был замечен в октябре 2022 года. Его продавец утверждал, что буткит имеет встроенный обход Secure Boot, встроенную защиту от удаления на уровне Ring0/Ядра, а также запускается в режиме восстановления и в безопасном режиме. Сообщалось, что малварь оснащена антивиртуализацей, антиотладкой и обфускацией, что усложняет ее обнаружение и анализ. Также, согласно заявлениям продавца, защитное ПО не может обнаружить и уничтожить буткит, так как тот запускается под учетной записью SYSTEM внутри легитимного процесса.

Помимо этого BlackLotus способен отключать защитные механизмы на целевых машинах, включая Hypervisor-Protected Code Integrity (HVCI) и Windows Defender, а также обходить User Account Control (UAC). Открыть/Комментировать