В промышленных решениях Siemens обнаружены опасные уязвимости

В продуктах Siemens SIPROTEC 5, Spectrum Power и DIGSI 5 были обнаружены в общей сложности три опасные уязвимости, успешная эксплуатация которых может привести к отказу в обслуживании, удалению файлов либо предоставить возможность мониторинга информации.
В решениях SIPROTEC 5 и DIGSI 5 выявлены две уязвимости (CVE-2019-10930 и CVE-2019-10931), предоставляющие возможность загрузить, выгрузить или удалить файлы в определенных разделах файловой системы либо вызвать отказ в обслуживании устройства. Проблемы могут быть проэксплуатированы путем отправки специально сформированных пакетов на TCP порт 443. Степень опасности узвимостей оценивается в 7,3 и 7,5 балла по шкале CVSS v3 соответственно.
Баги затрагивают следующие версии продуктов: SIPROTEC 5 (все версии до 7.90 с версиями ЦП CP300, CP200 и CP100 и сетевыми коммуникационными модулями 6MD85, 6MD86, 6MD89, 7UM85, 7SA87, 7SD87, 7SL87, 7VK87, 7SA82, 7SA86, 7SD82, 7SD86, 7SL82, 7SL86, 7SJ86, 7SK82, 7SK85, 7SJ82, 7SJ85, 7UT82, 7UT85, 7UT86, 7UT87, 7VE85) и DIGSI 5 (все версии до 7.90). Исправленная версия прошивки доступна на сайте производителя.
В моделях Spectrum Power 3 (версий 3.11 и выше), Spectrum Power 4 (версии 4.75), Spectrum Power 5 (версий 5.50 и выше), Spectrum Power 7 (версий 2.20 и выше) обнаружена уязвимость CVE-2019-10933, позволющая внедрить произвольный код в специально сформированный HTTP запрос и проводить мониторинг информации. Уязвимость связана с тем, что web-сервер позволяет осуществить XSS-атаку при переходе по вредоносной ссылке. Для успешной эксплуатации требуется взаимодействие с пользователем, при этом пользователю не обязательно быть авторизованным в web-сервисе.

Источник: https://www.securitylab.ru/news/499937.php

Microsoft исправила две уязвимости нулевого дня

Во вторник, 9 июля, Microsoft выпустила очередные ежемесячные плановые обновления безопасности для своих программных продуктов. В этот раз компания исправила 77 уязвимостей, в том числе две уязвимости нулевого дня.
Уязвимости CVE-2019-0880 и CVE-2019-1132 позволяют злоумышленнику повысить свои привилегии на атакуемой системе. С их помощью нельзя удаленно захватить контроль над компьютером, но злоумышленник, которому уже удалось проникнуть в систему, может воспользоваться ими для получения доступа к привилегированной учетной записи.
Главной из двух уязвимостей является CVE-2019-1132, затрагивающая компонент Win32k в более старых версиях Windows, в том числе в Windows 7 и Server 2008. По словам специалистов ESET, она эксплуатировалась киберпреступниками, предположительно связанными с российским правительством. Подробности о вредоносной кампании исследователи обещали опубликовать позднее.
Вторая уязвимость нулевого дня, CVE-2019-0880, затрагивает процесс splwow64.exe. Проблема была обнаружена специалистами Resecurity. Уязвимость затрагивает Windows 10, 8.1, Server 2012, Server 2016, Server 2019, а также версии Server 1803 и 1903, однако в реальных атаках она эксплуатировалась только в более старых версиях Windows. Подробности о вредоносных кампаниях, в которых использовалась данная уязвимость, пока не известны.

Источник: https://www.securitylab.ru/news/499896.php

Зловред Agent Smith поразил 25 миллионов Android-смартфонов

ИБ-исследователи обнаружили ранее неизвестный Android-зловред, который устанавливает на скомпрометированное устройство приложения для демонстрации нежелательной рекламы. Программа, получившая название Agent Smith, заразила не менее 25 млн смартфонов в Индии, Пакистане и других странах Азии, а ее командные серверы находятся в Китае.
Установщик вредоносного ПО попадает на целевое устройство под видом графического редактора, игры или порнографического приложения из репозитория 9App. Он, в свою очередь, ориентирован на посетителей, говорящих на хинди, арабском и индонезийском языках. После распаковки дроппер загружает основной модуль Agent Smith, который маскируется под Google Update или другое легитимное приложение и скрывает свой значок.
Вредоносная программа сканирует установленное на телефоне ПО в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.
Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности. Баг известен с 2017 года, однако некоторые смартфоны все еще не получили патч.
Чаще всего зловред встречается на устройствах под управлением Android 5.0 — 40% заражений приходится на пользователей этой ОС. Еще 34% составляют владельцы телефонов с релизом 6.0, а версия 8.0 фигурирует лишь в 9% инцидентов.
По оценкам ИБ-экспертов, киберпреступники могут заменить вредоносными аналогами 112 приложений, в ряде случаев приложение-двойник перехватывает баннеры, выводимые на экран легитимной версией, и заменяет их своими.
Изучив IP-адреса командных серверов Agent Smith, исследователи сделали вывод, что за вредоносным ПО стоит организация, расположенная в Гуанчжоу. Они связывают атаки с одной из китайских интернет-компаний, занимающейся продвижением мобильных приложений на зарубежных платформах.

Источник: https://threatpost.ru/agent-smith-has-25-mln-users-in-south-east-asia/33426/

Обнаружена новая бесфайловая вредоносная кампания

Специалисты Microsoft предупредили пользователей об активной вредоносной кампании по заражению компьютеров вредоносным ПО Astaroth, которую сложно детектировать привычными решениями безопасности.
Кампания была обнаружена командой разработчиков Windows Defender ATP, коммерческой версии антивирусного продукта Windows Defender. По словам участницы команды Андреа Лелли (Andrea Lelli), специалисты заподозрили неладное после обнаружения резкого скачка в использовании инструмента Windows Management Instrumentation Command-line (WMIC).
WMIC представляет собой легитимный инструмент в современных версиях Windows, однако внезапный скачок в его использовании явно указывал на вредоносную кампанию. Присмотревшись внимательнее, специалисты обнаружили масштабную операцию по рассылке фишинговых писем с ссылкой на web-сайт, содержащий файл .LNK.
После загрузки и открытия файла запускался WMIC и ряд других легитимных инструментов Windows, которые загружали дополнительный код, перебрасывали данные один другому и выполняли код исключительно в памяти (так называемое бесфайловое выполнение). Поскольку никакие файлы при этом на диск не сохранялись, привычные решения безопасности атаку не детектировали.
На финальном этапе атаки на систему загружалось вредоносное ПО Astaroth, представляющее собой инфостилер для похищения учетных данных для ряда приложений. Первые атаки с его использованием были обнаружены в 2018 году. В феврале нынешнего года вредонос атаковал пользователей в Европе и Бразилии.
Специалисты Microsoft зафиксировали новую кампанию в мае-июне. Более 95% от всех затронутых пользователей проживают в Бразилии. Как отметила Лелли, ни на одном этапе атаки не использовались файлы, которые не были бы системными. Подобный тип атаки, когда используются только инструменты, уже присутствующие на системе, называется «living off the land». За последние три года атаки данного типа используются все чаще, вынуждая производителей антивирусных решений разрабатывать новые способы их детектирования.

Источник: https://www.securitylab.ru/news/499861.php

Рост фишинга связали с распространением арендной модели

Среди операторов мошеннических кампаний растет популярность арендных платформ, работающих по модели Phishing-as-a-Service. Распространение таких площадок снижает порог для начинающих киберпреступников, в результате чего угроза фишинга не снижается, несмотря на усилия ИБ-специалистов и просветителей.
Таковы результаты исследования компании Cyren, которая изучила предложения на подпольных торговых сайтах. По словам экспертов, ассортимент таких сервисов включает пакеты с шаблонами фишинговых страниц и мощностями для их размещения. Это позволяет злоумышленникам быстро запустить поддельный сайт для кражи данных Office 365, LinkedIn, OneDrive, Google, Dropbox. Ежемесячная стоимость использования такой страницы составляет от 30 до 80 долларов, причем продавцы гарантируют клиентам жизнеспособность фишинговых ссылок и замену заблокированных адресов.
По словам исследователей, фишерам постоянно приходится изобретать новые методы обмана пользователей, которые становятся внимательнее и грамотнее. Последний факт подтверждает и статистика «Лаборатории Касперского», которая ранее сообщила о сокращении попыток переходов по вредоносным ссылкам. Среди традиционных методов фишинга эксперты называют рассылку ложных уведомлений об удалении email-аккаунта, поддельных голосовых сообщений, предупреждений о проблемах с доставкой письма.
Кроме того, с распространением антифишинговых систем на базе машинного обучения мошенники стали активно применять специализированные техники сокрытия от обнаружения. Сегодня, по данным Cyren, такие приемы встречаются в 87% кампаний. Среди наиболее популярных методов исследователи называют:
Кодирование HTML-символов — затрудняет сканирование текста автоматическими средствами, оставляя его читаемым для веб-браузера и почтового клиента.
Шифрование содержимого — содержимое страницы шифруется, а не кодируется с помощью HTML, а JavaScript уже возвращает текст в исходный вид в браузере.
Блокировка проверки — отказывает в доступе к фишинговой странице определенным IP-адресам, узлам, автоматическим средствам, ассоциируемым с ИБ-системами.
Внедрение ссылок во вложения — URL фишинговой страницы добавляется не в тело мошеннического письма, где его легко найти и проверить, а в прикрепленный документ (обычно это pdf-файл с множеством изображений и единственной кнопкой, ведущей на фишинговый сайт).
Внедрение опасного контента — добавление вредоносного скрипта в легитимный сайт для перенаправления трафика на фишинговую страницу.
Облачный хостинг у известных провайдеров — например, при размещении страницы в облаке Azure преступники могут использовать действительные сертификаты Microsoft и размещаться в доменах, которые ассоциируются у пользователей с легитимными сервисами корпорации.
Все эти меры позволяют фишерам наращивать свою активность на фоне общего укрепления информационной безопасности. Так, по данным специалистов Антифишинговой рабочей группы, в I квартале 2019 года количество поддельных площадок выросло по сравнению с предыдущим отчетным периодом на четверть — со 138 тысяч до 180 тысяч.

Источник: https://threatpost.ru/phishing-as-a-service-enables-rapid-growth-of-new-scam-campaigns/33334/