Государственный подрядчик США, компания Acuity, подтвердила факт взлома своих репозиториев на GitHub, в результате которого злоумышленники похитили документы. По утверждению компании, похищенная информация являлась «устаревшей и не содержала конфиденциальных данных». Технологическая консалтинговая фирма Acuity оказывает услуги в области DevSecOps, модернизации ИТ-операций, кибербезопасности, аналитики данных и поддержки операций для федеральных заказчиков в сфере национальной безопасности. Госдепартамент США сообщил BleepingComputer о расследовании заявлений хакеров после того, как киберпреступник под псевдонимом IntelBroker опубликовал якобы похищенные данные американского правительства и военных на хакерском форуме. По соображениям безопасности Госдепартамент не может предоставить детали по природе и объему утечки. Acuity подтвердила взлом репозиториев на GitHub и заявила, что они содержат устаревшую и несекретную информацию. Сразу после обнаружения уязвимости компания применила обновления безопасности от поставщика ПО и предприняла меры по устранению угрозы согласно рекомендациям поставщика. После проведения собственного анализа и расследования с привлечением сторонних ИБ-специалистов, в Acuity не обнаружили доказательств компрометации конфиденциальных данных клиентов. Компания тесно сотрудничает с правоохранительными органами и принимает соответствующие меры для дальнейшей защиты своих операций. Один из участников атаки, известный как IntelBroker, опубликовал записи с информацией, принадлежащей сотрудникам Министерства юстиции, госдепартамента, АНБ и ФБР. Хакер также утверждает, что украденные файлы содержат секретные данные разведывательного альянса Five Eyes. Другой хакер под псевдонимом Sangierro, стоящий за атакой, сообщил BleepingComputer, что взлом произошел 7 марта. По его словам, злоумышленникам удалось использовать уязвимость на сервере CI/CD Acuity для кражи учетных данных GitHub и доступа к частным репозиториям. IntelBroker наиболее известен взломом страховой компании DC Health Link, который привел к слушаниям в Конгрессе после того, как он раскрыл личные данные членов и сотрудников Палаты представителей США. Другой случай, связанный с IntelBroker – взлом компании General Electric, в ходе которого хакер украл сведения о военных проектах агентства DARPA, включая SQL-файлы, технические документы и стратегические отчеты. Facebook Marketplace, Международный аэропорт Лос-Анджелеса (LAX) также являются жертвами хакера.

Источник: https://www.securitylab.ru/news/547328.php

Команда проекта FixedFloat раскрыла информацию о втором нарушении безопасности платформы, за которым стоят те же киберпреступники, что и за атакой в феврале. 1 апреля злоумышленники использовали уязвимость в системе безопасности FixedFloat, выведя $2,8 млн. Разработчики указали, что кража затронула исключительно средства, предназначенные для операционной ликвидности платформы, не коснувшись пользователей. Подтверждение взлома поступило от аналитиков Cyvers, которые обратили внимание на подозрительную транзакцию, исходящую из горячего кошелька FixedFloat. Киберпреступники осуществили перевод средств на общую сумму $2,8 млн. в криптовалюты Tether (USDT), Wrapped Ethereum (WETH), Dai (DAI) и USD Coin (USDC), на подозрительный кошелек. Затем хакеры конвертировали похищенные активы в Ethereum (ETH) через децентрализованную биржу (DEX) и перечислили всю сумму на платформу eXch. После всех транзакций взломанный горячий кошелек FixedFloat прекратил работу, а сайт криптобиржи был временно отключен для технического обслуживания. Инцидент последовал за предыдущей атакой 16 февраля, когда FixedFloat потерял $26 млн. из-за другой уязвимости в системе безопасности. В ответ на тот инцидент сайт биржи также был переведен в режим технического обслуживания.

Источник: https://www.securitylab.ru/news/547274.php

Независимый исследователь кибербезопасности под псевдонимом «Netsecfish» обнаружил серьёзную уязвимость в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Проблема заключается в скрипте «/cgi-bin/nas_sharing.cgi», влияющем на компонент обработчика HTTP GET запросов. Уязвимость, получившая обозначение CVE-2024-3273, связана с наличием встроенного в программное обеспечение аккаунта (имя пользователя «messagebus» без пароля) и возможностью инъекции команд через параметр «system». Это позволяет злоумышленникам удалённо выполнять команды на устройстве. Пример PoC-эксплойта, опубликованного исследователем, наглядно показывает, как добавление команды в кодировке base64 к параметру «system» приводит к её выполнению на устройстве. Белый хакер предупреждает, что успешное использование этой уязвимости может привести к несанкционированному доступу к чувствительной информации, изменению настроек системы или созданием условий для проведения атаки типа «отказ в обслуживании».
Модели устройств, на которые влияет CVE-2024-3273, следующие:
DNS-320L версии ПО 1.11, 1.03.0904.2013, 1.01.0702.2013;
DNS-325 версии ПО 1.01;
DNS-327L версии ПО1.09, Версия 1.00.0409.2013;
DNS-340L Версии 1.08.
По данным Netsecfish, в сети обнаружено более 92 000 уязвимых устройств D-Link, подверженных риску атак через эту уязвимость. Компания D-Link сообщила, что устройства достигли конца своего жизненного цикла и больше не поддерживаются. Производитель рекомендует заменить устаревшие устройства на те модели, которые ещё будут получать обновления прошивки. На своём официальном сайте D-Link также опубликовала бюллетень безопасности, чтобы повысить осведомлённость клиентов об уязвимости. А на специальной странице поддержки для устаревших устройств пользователи могут найти самые последние из выпушенных обновления безопасности и прошивки, доступные для моделей оборудования, поддержка которых была официально прекращена производителем. Компания также подчёркивает, что NAS-накопители никогда не должны быть доступны из интернета, поскольку они часто становятся целью для кражи данных или атак с использованием программ-вымогателей.

Источник: https://www.securitylab.ru/news/547326.php

Критическая уязвимость (SQL-инъекция) в популярном плагине LayerSlider для WordPress могла использоваться для извлечения конфиденциальной информации из баз данных, например, хешей паролей. LayerSlider представляет собой инструмент для создания слайдеров, галерей изображений и анимации на сайтах под управлением WordPress. Плагин используется примерно на миллионе сайтов. Проблема, получившая идентификатор CVE-2024-2879 и оценку 9,8 балла по шкале CVSS, описывается SQL-инъекция, затрагивающая все версии плагина с 7.9.11 по 7.10.0. Уязвимость была обнаружена ИБ-исследователем AmrAwad и устранена в версии 7.10.1, выпущенной 27 марта 2024 года. За ответственное раскрытие и обнаружение уязвимости специалист получил вознаграждение в размере 5500 долларов. Как сообщают эксперты Wordfence, проблема позволяла злоумышленникам извлекать конфиденциальные данные из БД уязвимых сайтов, что угрожало утечкой информации или полной компрометацией ресурса. Уязвимость была связана с обработкой параметра id в функции плагина ls_get_popup_markup. Так как должная обработка параметра id не проводилась, атакующие могли внедрить вредоносный SQL-код в специально подготовленные запросы, что приводило к выполнению команд. Структура возможных запросов сводила возможную атаку к слепой SQL-инъекции по времени, то есть злоумышленникам необходимо было наблюдать за временем отклика, чтобы получить данные из БД. Но, несмотря на эти ограничения, CVE-2024-2879 все равно позволяла извлекать информацию из БД, не требуя аутентификации. Wordfence объясняет, что проблема усугублялась тем, что запросы подготавливались без помощи функции $wpdb->prepare(), которая предотвращает SQL-инъекции, гарантируя, что пользовательский ввод будет очищен перед использованием в запросах к базе данных.

Источник: https://xakep.ru/2024/04/05/layerslider-flaw/

Jamf Threat Labs обнаружила новую волну атак с использованием вредоносных объявлений и поддельных веб-сайтов на пользователей Apple macOS с целью кражи конфиденциальных данных. Один из вариантов атаки направлен на пользователей, которые ищут в Google браузер Arc Browser. Рекламные объявления перенаправляют жертв на визуально похожие вредоносные сайты, которые распространяют инфостилер Atomic Stealer. Примечательно, что доступ к злонамеренному сайту возможен только через специально сгенерированную ссылку, предположительно, для уклонения от обнаружения. Скачиваемый с поддельного сайта файл дискового образа устанавливает Atomic Stealer, требующий ввода системного пароля пользователя через поддельное окно запроса. Кроме того, был обнаружен поддельный сайт, предлагающий программу для планирования групповых встреч, которая на самом деле устанавливает другой инфостилер, способный собирать данные связки ключей пользователей, сохраненные учетные данные в веб-браузерах и информацию из криптовалютных кошельков. Вредонос также запрашивает у пользователя пароль для входа в macOS с помощью вызова AppleScript для выполнения своих вредоносных действий. Атаки с использованием вредоносного ПО проводились на жертв под предлогом обсуждения возможностей трудоустройства и интервью для подкаста, после чего им предлагалось загрузить приложение с сайта, чтобы присоединиться к видеоконференции. Атаки инфостилера часто нацелены на специалистов криптоиндустрии из-за их крупных балансов кошельков. Инфостилер частично совпадает с другим стилером Realst, который распространялся через поддельные блокчейн-игры и нацеливался на пользователей Windows и macOS. Полученные данные свидетельствуют о том, что угрозы для сред macOS растут, включая продвинутые техники анти-виртуализации и механизмы уклонения от обнаружения. Напомним, что недавно специалисты Bitdefender обнаружили новый вариант AMOS Stealer (Atomic Stealer), одной из наиболее распространенных киберугроз для пользователей macOS за последний год. На данный момент новый вариант практически не обнаруживается антивирусами.

Источник: https://www.securitylab.ru/news/547163.php