Microsoft 365 Defender Research Team розкрила дві вразливості з ескалації привілеїв в операційній системі Linux.

Під загальною назвою «Nimbuspwn» вразливості можуть бути пов’язані разом, щоб отримати root-права в системах Linux, дозволяючи зловмисникам розгортати корисне навантаження, типу бекдорів, і виконувати інші шкідливі дії за допомогою довільного виконання коду.

Пов'язане з китайським урядом угрупування атакує російські системи за допомогою оновленої версії трояна віддаленого доступу під назвою PlugX.

Secureworks приписує спробу вторгнення угрупуванню, яку вона відстежує як Bronze President.

Національне управління кібербезпеки (DNSC) Румунії повідомляє, що веб-сайти уряду Румунії, міністерства оборони, прикордонної поліції, національної залізничної компанії та OTP банку були атаковані російським угрупуванням під назвою Killnet.

Угрупування Killnet приписало інцидент собі у Телеграмі і заявило, що розпочало атаку, оскільки Румунія підтримує Україну після російського вторгнення.

У румунській розвідувальній службі пояснили, що сайти не працювали протягом кількох годин після того, як атаки почалися близько 4 ранку за місцевим часом.

На хакерських форумах зловмисники почали продавати послугу "Emergency Data Request" (EDR).

"Терміновий запит на дані" (EDR) — це запит офіцера поліції до технологічної компанії, розроблений для надзвичайних ситуацій, коли поліцейському потрібен онлайн-сервіс, щоб розкрити деякі дані користувача, щоб врятувати життя чи запобігти трагедії.

Як тільки шахраї проникають на сервер електронної пошти поліції (нещодавний приклад LAPSUS$), вони можуть надсилати власні EDR до онлайн-сервісів, які будуть сумлінно зливати дані своїх користувачів.

https://pluralistic.net/2022/03/30/lawful-interception/#edrs

NCC Group описали техніки взлому якими користувались хакери LAPSUS$ при нещодавніх інцидентах.

Протягом останніх 5 місяців LAPSUS$ отримав велику популярність завдяки успішним взломам великих компаній, включаючи Microsoft, Nvidia, Okta і Samsung. При цьому на відмінну від інших зловмисників учасники угрупування використовували тільки загальновідомі інструменти, не розробляючи власного шкідливого програмного забезпечення для взлому.

Новий проект PyScript дозволяє вставляти скрипти Python безпосередньо в HTML сторінки і виконувати їх у браузері без використання серверу.

Проект був анонсований в ці вихідні на PyCon US 2022 і діє як обгортка навколо проекту Pyodide, який завантажує інтерпретатор CPython як модуль браузера WebAssembly.

Які нові вразливості з'явились у вільному доступі? Якими інструментами користуються хакери? Які компанії були взломані хакерськими угрупуваннями останнім часом?

Про це та інші новини у сфері кібербезпеки в Україні та світі читайте в телеграм каналі The Hackest Ever.

Китайські хакери були помічені у експлуатації популярних антивірусних продуктів для атаки на телекомунікаційний сектор.

Фірма з кібербезпеки SentinelOne пов’язала вторгнення з угрупуванням, якого вона відстежує під ім’ям «Moshen Dragon» (він же RedFoxtrot).

Тактика Moshen Dragon передбачає експлуатацію легітимного антивірусного програмного забезпечення, що належить BitDefender, Kaspersky, McAfee, Symantec і Trend Micro, щоб завантажити ShadowPad і Talisman на зламані системи за допомогою техніки, яка називається DLL search order hijacking.

"Урядові хакери з Китаю, Ірану, Північної Кореї та Росії, а також різні не атрибутовані угрупування використовують різні теми, пов'язані з війною в Україні для своїх фішингових кампаній", - повідомляє у звіті Google Threat Analysis Group (TAG).

Кібер-угрупування намагаються викрасти облікові дані та отримати доступ до організацій в Україні, Литві, Центральній Азії, країнах Балтії та навіть самій Росії.

CERT-UA розкрила подробиці DDoS атак, спрямованих на урядові та новинні портали шляхом впровадження шкідливого JavaScript коду (під назвою «BrownFlood») в зламані сайти.

Зловмисники розміщують шкідливий JavaScript-код (BrownFlood) у структурі веб-сторінок та файлах зламаних сайтів (переважно, під управлінням WordPress), в результаті чого обчислювальні ресурси комп'ютерів відвідувачів таких сайтів використовуються для генерації аномальної кількості запитів до об'єктів атаки, URL-адреси яких статично визначено в шкідливому JavaScript-коді.

Аналізуючи штами ransomware, дослідник безпеки hyp3rlinx в рамках проекту Malvuln (що спеціалізується на пошуку вразливостей у різних шкідливих програмах) з'ясував, що зразки хакерського ПЗ вразливі для захоплення DLL - методу, який зазвичай використовується зловмисниками для впровадження шкідливого коду. Помилки були виявлені в програмах відомих хакерських угрупувань: Conti, REvil, Black Basta, LockBit та AvosLocker.

Дослідники SentinelOne виявили 10-річні вразливості в антивірусах Avast і AVG.

Ці вразливості дозволяють зловмисникам підвищувати привілегії, дозволяючи відключати продукти безпеки, перезаписувати системні компоненти, пошкоджувати операційну систему або безперешкодно виконувати шкідливі операції.

Помічені як CVE-2022-26522 і CVE-2022-26523, вразливості містяться в легітимному драйвері ядра антируткіта під назвою aswArPot.sys і були ще у версії Avast 12.1, яка була випущена в червні 2016 року.

Дослідники з Cybereason нещодавно повідомили про операцію CuckooBees, у якій китайські хакери, спонсоровані державою, намагаються викрасти таємну інформацію у десятка глобальних оборонних, енергетичних, біотехнологічних, аерокосмічних і фармацевтичних компаній.

Організації, які постраждали, не були названі, але нібито включають деякі з найбільших компаній Північної Америки, Європи та Азії. Cybereason пов’язав кампанію з Winnti Group, також відомою як APT 41.

Протягом 12-місячного розслідування Cybereason виявили, що зловмисники заволоділи інтелектуальною власністю та конфіденційною інформацією, включаючи формули, вихідний код, науково-дослідні документи та креслення, а також діаграми винищувачів, гелікоптерів, ракет тощо.