FANCY BEAR атаковала американский «МОЗГОВОЙ ЦЕНТР»
Удалось ли злоумышленникам похитить какую-либо информацию, пока неизвестно.
APT-группировка Fancy Bear (другие названия Strontium и APT28) атаковала Центр стратегических и международных исследований в Вашингтоне.
Как сообщает CNN, суд штата Вирджиния передал специалистам Microsoft контроль над несколькими принадлежащими группировке доменами под общим названием «Strontium Domains» (LOGIN-CSIS.ORG, CSIS.EVENTS, CSIS.EXCHANGE и CSIS.CLOUD). Согласно материалам суда, сайты представляли собой поддельные страницы авторизации во внутренних системах Центра и могли использоваться преступниками для похищения учетных данных и целенаправленного фишинга.
Удалось ли злоумышленникам похитить какую-либо информацию, в материалах суда не указано. Старший директор по связям Центра стратегических и международных исследований Эндрю Шварц (Andrew Schwartz) также не сообщает, были ли атаки успешными.
С Центром связано множество высокопоставленных лиц, которые могут быть интересны Fancy Bear, в том числе бывший госсекретарь США Генри Киссинджер (Henry Kissinger). «Центр находится под постоянными кибератаками, осуществляемыми разными государствами. Мы обнаружили этот инцидент сразу же и при участии Microsoft смогли остановить его», – сообщил Шварц.
Центр стратегических и международных исследований (The Center for Strategic and International Studies, CSIS) – аналитический институт в США, созданный в 1962 году во время второй волны создания «мозговых центров». Центр проводит исследования по вопросам политики и стратегический анализ политических, экономических вопросов и вопросов безопасности по всему миру.
Уязвимость в заброшенном плагине используется для взлома сайтов на WP
Плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь.
Эксперты компании Defiant зафиксировали атаки на сайты на WordPress, использующие плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку в мае минувшего года, оставив неисправленной уязвимость в коде, чем и воспользовались киберпреступники.
Уязвимости (CVE-2019-6703) подвержены все версии Total Donations. По данным исследователей, код плагина содержит ряд недочетов дизайна, которые подвергают риску внешних манипуляций плагин и сайт, на котором он установлен.
В частности, плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, а не просто отключить его.
Конечная точка позволяет атакующему изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp.
По словам исследователей, все попытки связаться с разработчиками и обратить их внимание на проблему оказались безрезультатными. Поскольку Total Donations является платным, его пользовательская аудитория не так велика, однако не исключено, что плагин может быть установлен на сайтах с огромным количеством пользователей, являющихся лакомой целью для киберпреступников.
Напомним, ранее бывший сотрудник команды разработчиков популярного плагина для WordPress взломал официальный сайт WPML и разослал клиентам сообщение о том, что плагин якобы содержит множественные неисправленные уязвимости.
Криптовалютная биржа LOCALBITCOINS подверглась кибератаке
Злоумышленникам удалось скомпрометировать один из сторонних виджетов, используемый на форуме.
В минувшие выходные криптовалютный сервис LocalBitcoins был вынужден приостановить работу сайта из-за кибератаки, в ходе которой злоумышленники пытались украсть средства из учетных записей пользователей.
Атака продолжалась примерно пять часов, в течение этого времени пользователи при попытке входа на форум LocalBitcoins переадресовывались на фишинговую страницу, имитирующую страницу авторизации сервиса. Злоумышленники собирали учетные данные пользователей и с их помощью пытались авторизоваться в аккаунтах, запрашивая одноразовые коды для двухфакторной аутентификации, если данная функция была включена в учетных записях.
Представители LocalBitсoins остановили атаку, отключив форум и транзакции на платформе для предотвращения кражи средств со скомпрометированных аккаунтов.
Согласно сообщению представителей криптовалютного сервиса, злоумышленникам удалось скомпрометировать один из сторонних виджетов, используемый на форуме. В настоящее время проблемный виджет отключен. Администрация не раскрыла данные, о каком виджете идет речь. Представители компании также признали, что злоумышленникам удалось похитить в общей сложности около 7 биткойнов ($28,2 тыс.) со счетов пяти жертв.
Несмотря на то, что злоумышленникам удалось перехватить одноразовые коды двухфакторной аутентификации, администрация сервиса все равно порекомендовала пользователям использовать данную функцию в качестве меры защиты от взломов.
Опубликованы подробности и Exploit для уязвимости в VirtualBox
Уязвимость предоставляет возможность атакующему выйти за пределы виртуализированной среды и получить привилегии уровня Ring 3.
Исследователь в области кибербезопасности Сергей Зеленюк обнародовал подробную информацию об уязвимости в виртуальной машине Oracle VirtualBox, позволяющей выйти за пределы виртуализированной среды гостевой машины и повысить привилегии до уровня кольца защиты (Ring) 3 (почти все пользовательские программы). Проблема затрагивает VirtualBox 5.2.20 и более ранние версии.
Уязвимость содержится в совместном базовом коде ПО и может быть проэксплуатирована на виртуальных машинах, сконфигурированных с подключением сетевого адаптера Intel PRO/1000 MT Desktop (82540EM) в режиме Network Address Translation (NAT) – настройка по умолчанию, позволяющая гостевым системам получить доступ к внешним сетям.
По словам исследователя, Intel PRO/1000 MT Desktop (82540EM) содержит уязвимость, которая предоставляет возможность атакующему с правами администратора\суперпользователя на гостевой системе выйти за пределы среды, получить привилегии уровня Ring 3 и повысить их до уровня Ring 0 (режим ядра) через /dev/vboxdrv.
Специалист также опубликовал PoC-код для эксплуатации уязвимости. Эксплоит был успешно протестирован на Ubuntu 16.04 и 18.04. Видео с демонстрацией работы эксплоита размещено ниже. Технические подробности уязвимости опубликованы здесь .
Уязвимость в сервисах Microsoft позволяла взломать любую учетную запись
Индийский исследователь безопасности Сахад Нк (Sahad Nk) обнаружил несколько уязвимостей, позволяющих злоумышленникам взломать учетные записи пользователей сервисов Microsoft, начиная от Office и заканчивая Outlook.
Проводя исследование для сайта SafetyDetective, исследователь смог захватить контроль над поддоменом компании Microsoft (success.office.com). Благодаря неправильной конфигурации поддомена Нк удалось настроить web-приложение Azure, указывавшее на запись CNAME поддомена. Таким образом он не только получил контроль над success.office.com, но также смог получать все отправляемые ему данные.
Далее в игру вступила вторая уязвимость. Приложения Microsoft Office, Outlook, Store и Sway отправляют поддомену success.office.com токены авторизации. Когда пользователь авторизовался в Microsoft Live, сервис login.live.com отправлял токен прямиком на подконтрольный исследователю сервер. Нк было достаточно лишь отправить жертве электронное письмо с ссылкой, после нажатия на которую в его руках оказался бы действительный токен сеанса. В таком случае для взлома учетной записи не понадобилось бы ни имя пользователя, ни пароль.
Поскольку у исследователя был доступ со стороны Microsoft, отправленная жертве ссылка была бы представлена в виде URL-адреса login.live.com, что позволило бы ей обойти спам-фильтры и защиту от фишинга.
Исследователь сообщил Microsoft об уязвимости еще в июне нынешнего года, однако компания исправила ее лишь в ноябре.
