В прошлом месяце компания Retool, специализирующаяся на разработке бизнес-приложений для клиентов, стала жертвой взлома. Жертвами взлома стали 27 облачных клиентов компании. Хакер начал свою атаку, отправив нескольким сотрудникам Retool SMS-сообщения от лица члена IT-команды, якобы решая проблему с выплатой зарплаты и предоставлением медицинской страховки. Большинство получивших проигнорировали фишинговое сообщение, за исключением одного сотрудника. Этот ничего не подозревающий сотрудник перешел по URL-ссылке в сообщении, которая перенаправила его на поддельный интернет-портал для входа. После авторизации на сайте, с ним связались по телефону, используя голос, созданный с помощью ИИ-технологий, копирующий реальный голос сотрудника. В разговоре хакер, изображая члена IT-команды, был знаком с планировкой офиса, коллегами по работе и внутренними процессами компании. В ходе беседы сотрудник начал подозревать подвох, однако предоставил атакующему дополнительный код двухфакторной аутентификации (MFA). Этот инцидент указывает на то, что атакующий, возможно, уже частично получил доступ к ресурсам Retool до этого звонка. Получив код двухфакторной аутентификации, злоумышленник добавил свое устройство к аккаунту сотрудника и получил доступ к его GSuite-аккаунту. Особенно опасным стало то, что приложение Google Authenticator недавно добавило функцию синхронизации в облаке. Это означает, что коды MFA теперь можно просматривать на нескольких устройствах, связанных с аккаунтом. Retool подчеркнула серьезность проблемы: «Если ваш Google-аккаунт скомпрометирован, ваши MFA-коды также находятся под угрозой». По словам компании, именно доступ к Google-аккаунту позволил злоумышленнику проникнуть в внутренние системы компании. Retool уже лишила хакера доступа, но решила раскрыть информацию о произошедшем, чтобы предостеречь другие компании. Они также призвали Google изменить свое приложение аутентификации, чтобы компании могли легко отключать функцию синхронизации в облаке для своих сотрудников. Google пока не комментировал эту ситуацию.

Источник: https://www.securitylab.ru/news/541866.php

Криптовалютная биржа CoinEX заявила, что неизвестные хакеры взломали ее горячие кошельки и украли активы которые использовались для поддержки работы платформы. Инцидент произошел 12 сентября, и результаты предварительного расследования показывают, что в несанкционированных транзакциях были задействованы криптовалюты Ethereum ($ETH), Tron ($TRON) и Polygon ($MATIC). В сообщении подчеркивается, что активы пользователей не пострадали в результате взлома, и все стороны, понесшие убытки, в любом случае получат полную компенсацию (украденные средства якобы составляли «очень небольшую часть» от общих активов платформы). Пока ввод и вывод средств на CoinEx временно приостановлен в целях защиты пользовательских активов и будет возобновлен только после того, как ИТ-специалисты биржи удостоверятся в том, что все риски устранены. Пока представители CoinEX не предоставили никакой информации о размере ущерба, поэтому подсчетами украденного занимаются сторонние блокчейн-аналитики. Так, по информации компании PeckShield, в ходе атаки злоумышленники похитили у CoinEx около 19 млн долларов в ETH, 11 млн долларов в TRON, 6,4 млн долларов в Smart Chain Coin ($BSC), 6 млн долларов в биткоинах (BTC), а также около 295 000 долларов в Polygon. По данным PeckShield, общий ущерб от этой атаки составил около 43 млн долларов США, а оставшиеся 72 млн долларов были выведены в более защищенные холодные кошельки. При этом, согласно более свежим подсчетам исследователей из CertiK Alert, сумма похищенных у биржи активов может превышать 53 млн долларов США. В CoinEX пока тоже не раскрывают подробности о самой атаке, но представители биржи обещают опубликовать полный отчет, когда расследование и процедуры реагирования на инциденты будут завершены. Хотя говорить об атрибуции атаки еще рано, известный блокчейн-аналитик ZachXBT уже выдвинул предположение, что взлом CoinEX может быть делом рук северокорейской хакерской группы Lazarus. Дело в том, что один из кошельков, задействованных в атаке на CoinEX, ранее уже связывали с этой группировкой. Стоит отметить, что на счету Lazarus уже немало крупных криптовалютных ограблений. К примеру, ФБР связывает с северокорейскими хакерами недавний взлом криптовалютного казино Stake.com, в ходе которого было украдено более 40 млн долларов. Также в этом году Lazarus приписывали массовый взлом криптокошельков Atomic Wallet на общую сумму более 35 млн долларов; взлом криптовалютного сервиса CoinsPaid на общую сумму более 37 млн долларов; а также компрометацию платформы обработки платежей Alphapo, в результате которой злоумышленники похитили почти 60 млн долларов в криптовалюте.

Источник: https://xakep.ru/2023/09/14/coinex-hack/

Около 79% открытых для публичного доступа межсетевых экранов Juniper SRX могут быть взломаны из-за уязвимости, которая позволяет злоумышленникам дистанционно выполнять код без аутентификации. Juniper обнаружил и устранил пять уязвимостей, затрагивающих все версии Junos OS на SRX межсетевых экранах и EX Series коммутаторах. Особое внимание вызвало обновление от 7 сентября, опубликованное после того, как исследователи безопасности предоставили доказательства концепции уязвимости, и Juniper зафиксировал попытки ее эксплуатации. Две из уязвимостей связаны с изменением внешних переменных PHP (CVE-2023-36844 и CVE-2023-36845), в то время как остальные три охарактеризованы как «Отсутствие аутентификации для критической функции» (CVE-2023-36846, CVE-2023-36847, и CVE-2023-36851). 25 августа охотники за ошибками WatchTowr опубликовали многоэтапное доказательство концепции эксплойта для двух ошибок, CVE-2023-36845 и CVE-2023-36846, которые позволяли удаленно выполнять код без аутентификации путем загрузки двух файлов. Непонятно, почему Juniper решил выделить пять уникальных номеров для уязвимостей, когда две из них описаны одинаково. Все пять ошибок имеют рейтинг 5.3 по десятибалльной шкале CVSS. Однако из-за возможности комбинирования их для удаленного выполнения кода они в совокупности получили критический рейтинг 9.8 CVSS. Ситуация становится еще хуже: компания VulnCheck в понедельник опубликовала анализ, в котором ее технический директор Джейкоб Бэйнс написал, что одна только CVE-2023-36845 может обеспечить удаленное выполнение кода без аутентификации. По данным VulnCheck, несмотря на известность уязвимостей, большинство устройств, примерно 15 000, до сих пор не получили необходимых обновлений. Тем, кто использует устройства Juniper, рекомендуется как можно скорее установить обновления безопасности.

Источник: https://www.securitylab.ru/news/541912.php

Эксперты Microsoft Threat Intelligence обнаружили в библиотеке ncurses ряд ошибок, связанных с повреждением целостности информации памяти. Эти проблемы могут применяться для запуска вредоносного кода в уязвимых системах под управлением Linux и macOS. Найденные баги получили общий идентификатор CVE-2023-29491 и набрали 7,8 бала по шкале CVSS. Уязвимости были устранены по состоянию на апрель 2023 года, и Microsoft сообщает, что помогала Apple с решением проблем, связанных с этими багами и характерными для macOS. Исследователи напоминают, что переменные окружения — это определяемые пользователем значения, которые могут использоваться несколькими программами в системе и влиять на их поведение. То есть манипуляции с переменными могут вынудить приложения выполнять несанкционированные операции. В ходе аудита, который Microsoft проводила с использованием фаззинга, было замечено, что библиотека ncurses ищет ряд переменных окружения, в том числе TERMINFO, которые могут быть «отравлены», использованы для повышения привилегий и не только. В итоге обнаруженные проблемы включали: утечку информации стека, type confusion баг в параметризованной строке, ошибку off-by-one, out-of-bounds в хипе при парсинге файла базы данных terminfo, а также отказ в обслуживании с использованием отмененных строк.

Источник: https://xakep.ru/2023/09/15/ncurses/

Технический анализ, проведенный Национальным центром по чрезвычайным ситуациям с компьютерными вирусами Китая (CVERC) совместно с ИБ-компанией 360, показал, что Китай определил личности сотрудников АНБ США, ответственных за кибератаки на Северо-Западный политехнический университет Китая . Об этом сообщила китайская медиагруппа (CMG). Согласно анализу, шпионское ПО под названием SecondDate является кибероружием, разработанным АНБ. Вредоносное ПО способно перехватывать сетевой трафик, проводить атаки типа «человек посередине» (Man-in-The-Middle, MiTM) и внедрять вредоносный код. В сочетании с другими вредоносными программами SecondDate может обеспечивать сложные действия по шпионажу по всей сети. В ходе расследования кибератаки CVERC извлек несколько образцов шпионского ПО и установил личности сотрудников NSA, стоящих за этой кибершпионской операцией. В CVERC заявили, что SecondDate – это высокотехнологичный инструмент кибершпионажа, который позволяет злоумышленникам полностью контролировать целевые сетевые устройства и сетевой трафик, проходящий через эти устройства. Также исследователи добавили, что шпионское ПО может быть широко применено, так как поддерживает различные операционные системы, включая Linux, FreeBSD, Solaris и JunOS, и совместимо со многими архитектурами. Отчет показывает, что шпионское ПО SecondDate и его производные версии тайно работают в тысячах сетевых устройств в разных странах. Большинство управляемых АНБ серверов находятся в Германии, Японии, Южной Корее, Индии и на Тайване. В конце июня Северо-Западный политехнический университет объявил, что иностранные хакеры разослали фишинговые электронные письма с троянскими программами преподавателям и студентам университета, пытаясь украсть их данные и личную информацию. Согласно заявлению полиции, атака была предпринята с целью заманить учителей и студентов перейти по ссылкам фишинговых электронных писем с троянскими программами.

Источник: https://www.securitylab.ru/news/541842.php