iOS un MacOS “0day” pielietošana pret aktīvistiem

Google atklāje hakerus, kas izvietoja ļaunatūru Hong Kongas ziņu un politikas portālos. Ļaunatūra izmantoja iOS un MacOS nulles dienas ievainojamības.

Nozagti lietotāju data no Robinhood

Robinhood trading platformas darbinieki iekrituši phishing uzbrukumā, rezultātā hakeri ieguvuši pieeju support sistēmai. Šis incidents ir līdzīgs pagājušā gada Twitter hakam, jo tāpat kā toreiz hakeriem ir bijusi iespēja mainīt lietotāju iestatījumus, piem. atslēgt MFA, pievienot kontam jaunu ierīci, utt.

Šoreiz gan neviens konts nav ticis pārtverts, lai gan uzbrucēji paspējuši lejupielādēt Robinhood lietotāju kontaktus.

Viltus draudi no FBI adreses

Kāds no FBI serveriem izmantots viltus draudu vēstuļu izsūtīšanai. Epasti nesaturēja linkus un pielikumus, tādēļ nav skaidrs to mērķis, taču rezultātā FBI zvanu centri bija pārslogoti ar jautājumiem no epastu saņēmējiem, tādēļ faktiski tika radīta denial-of-service (DoS) situācija.

Tā kā epasti tika izsūtīti no reālas FBI sistēmas, tad tie izgāja DKIM un SPF pārbaudes, liekot pat tehniskiem cilvēkiem domāt, ka epasti ir reāli. Viena no versijām, kā tehniski uzbrukums varēja tikt veikts.

NSO Group trojāns “Pegasus”

NSO Group ražotais un komerciāli pārdotais trojāns Pegasus atrasts uz sešu Palestīnas aktīvistu telefoniem. Šie cilvēki izmantojuši Izraēlas SIM kartes, kas iet pretrunā ar NSO Group apgalvojumu, ka Izraēlas, ASV un dažu citu valstu numuri ir ievietoti melnajā sarakstā un Pegasus nespēj tos inficēt.

Uzbrukumi Ķīnas aviolīnijām

Ķīna publicējusi neparastu press-relīzi, informējot par to, ka 2020. gada laikā valstī uzlaustas vairākas aviolīnijas. Uzbrukumu mērķis bija pasažieru datubāzes un lidojumu vēsture, kas visticamāk norāda uz izlūkdienestu darbību.Lai gan ASV un Eiropas valstīs šāda veida atskaites tiek publicētas regulāri, Ķīna līdz šim nav atklājusi informāciju par vērienīgiem uzbrukumiem.

Austrālijas HES mājaslapa

Austrālijas HES operatora web serveris bija uzlauzts un hakeri pavadījuši tur 9 mēnešus, pirms uzbrukums tika pamanīts. Par laimi kompromitētas tikušas tikai vecas sistēmas un hakeri nav mēģinājuši pāriet dziļāk iekšējā tīklā.

Magniber grupa izmanto Internet Explorer eksploitus

Magniber izmanto Ineternet Explorer eksploitus. CVE-2021-26411 un CVE-2021-40444 ļauj inficēt IE, apmeklējot speciāli sagatavotu lapu. Magniber izmanto reklāmas tīklus, lai piegādātu ļaunatūru.

TeamTNT uzbrūk Docker instancēm

TeamTNT grupa meklē publiskas Docker instalācijas, lai inficēto tos ar Monero kriptomaineriem, uzbruktu citām Docker sistēmām. Uzbrucēju arsenālā ir arī container-to-host escape metodes.

Kritisks caurums PaloAlto GlobalProtect

Kritiska 0day ievainojamība (CVE 2021-3064) Palo Alto GlobalProtect VPN risinājumā ļauj neautentificētiem lietotājiem palaist sistēmā patvaļīgu kodu (Remote Code Execution). Ievainojamība ir tehniski interesanta, jo apvieno HTTP Smuggling ar Stack Overflow, taču šobrīd detalizēts apraksts nav pieejams.

Windows 10 ne līdz galam izlabotais caurums

Augustā atklātais privilege-escalation caurums Windows 10 sistēmā ticis izlabots ne līdz galam un to joprojām iespējams ekspluatēt. Ir pieejams neoficiāls mikropatch no oPatch.

Microsoft Patch Tuesday

• kritisks Remote Code Execution iekš Microsoft Exchange (0day, ekspluatēts savvaļā) — sk. caurumi.lv rakstu
• Remote Code Execution iekš Windows Defender
• Remote Code Execution RDP klientā (piem. nosūtot RDP shortcut epasta pielikumā)
• Excel 0day, kas ļauj palaist Macros bez lietotāja apstiprinājuma.
• Hyper-V escape (virtualizētā mašīna var laist kodu uz saimniekservera)

BusyBox

BusyBox programmatūras kopā atrastas 14 kritiskas ievainojamības, 10 no tām - Remote Code Execution. BusyBox ir populārs risinājums, kas tiek izmantots dažādās IoT ierīcēs un Linux distributīvos.

Nucleus

Atrastas ievainojamības Nucleus iebūvētajā operetājsistēmā, kas tiek izmantota medicīniskajās un industriālajās sistēmās. Pārsvarā ‘Denial of Service" tipa.

Apache Storm

Divas RCE ievainojamības populārā open source analītikas risinājumā Apache Storm. Ievainojamas atrada Github komanda un tās ir kritiskas, jo var tikt ekspluatētas bez autentifikācijas.

GoCD

GoCD - populārā Continuous Delivery rīkā - atrastas vairākas ievainojamības, kas ļauj pārņemt serveri, nozagt vai modificēt pirmkodu. GoCD tiek izmantots kā viena no komponente arī citos CI/CD risinājumos, kuri līdz ar to arī ir ievainojami.

Nu jau publicētas vairākas ievainojamības, kas var tikt ekspluatētas atsevišķi vai kopā, ar vairākiem publiskie pieejamiem PoC. Šie caurumi var tikt ekspluatēti masveidā un var tikt izmantoti backdoor izvietošanai vai citiem piegādes ķēdes uzbrukumiem.

https://portswigger.net/daily-swig/gocd-bug-chain-provides-second-springboard-to-supply-chain-attacks

EGG CASH Kriptoplatformas īpašnieka arests

Nīderlandēs arestēts Denis Dubnikov, Krievijas pilsonis, kas uzturējis divas nelegālas kripto-apmaiņas platformas. ASV ir pieprasījusi viņa ekstradīciju un apgalvo, ka platformas izmantotas naudas atmazgāšanai no Ryuk izspiedējvīrusiem un Hydra narkotirgoņu platformas.

Aizturētā advokāts apgalvo, ka ASV ir “nolaupījuši” Denisu, jo sākumā viņam atteica iebraukt Meksikā un tad atpakaļceļā aizturēja Nīderlandēs, tranzīta laikā.

REvil un GandCrab operatoru aresti

Ar Eiropola palīdzību Rumānijā arestēti divi REvil ransomware grupas sadabības partneri, savukārt Kuveitā arestēts GandCrab ransomware-as-a-service dalībnieks.

Sankcijas pret Chatex kriptoplatformu

ASV sankcijas pret vēl vienu Krievijas kripto-apmaiņas platformu: Chatex. Pēc ASV datiem 40% Chatex tranzakciju ir saistītas ar dažādām noziedznieku grupām.

BotenaGo uzbrūk IoT iekārtām

BotenaGo – jauna Golang valodā rakstīta ļaunatūra, kas izmanto vairāk kā 30 eksploitus, mērķētus uz rūteriem un citām IoT ierīcēm.

CloudFlare apraksts par botnetu “Mēris”

Detalizēts apraksts no Cloudflare par regulāriem uzbrukumiem no botneta “Mēris”. Neskatoties uz to, ka CloudFlare spēj pilnībā bloķēt šāda izmēra uzbrukumus, viņi ir novērojuši ap 50 uzbrukumiem dienā. Galvenās industrijas, kas tikušas skartas ir bankas, finanšu organizācijas un apdrošināšanas kompānijas.

Kopumā var secināt, ka “Mēris” tiek tirgots kā dDoS-for-hire platforma un ir diezgan aktīvs. Vairums uzbrukumu tārgeto Ķīnas, Austrālijas un ASV kompānijas.

Transavia

Nīderlandes aviokompānijai Transavia uzlikts 400.000 EUR liels sods par nepietiekamu IT drošību, kā rezultātā pagājušajā gadā ir noticis kiberincidents. Dutch Data Protection Agency atklāja, ka Transavia IT darbinieki izmantojuši viegli uzminamas paroles bez MFA, kā rezultātā hakeriem bijusi iespēja iegūt pieeju diviem kontiem un nozagt 83.000 pasažieru informāciju.

Bug-bounty writeup caurumam, kas ļāva pārņemt GSuite

Foršs writeup par nu jau trīs gadus vecu bug bounty, kas ļāva pārņemt Google Suite kontus (pievienot sevi kā admin lietotāju svešas organizācijas GSuite).