Ранее мы публиковали достаточно развернутый пост, посвященный утекшим в сеть данным Hacking Team (HT). Мы также назвали Hacking Team кибергруппой, хотя для нее также подойдет и термин «компания». HT можно назвать кибергруппой хотя бы потому, что они специализировались на покупке эксплойтов у сторонних разработчиков, а затем использовали их в своих целях. Основным продуктом HT является система удаленного контроля RCS Galileo, причем в этот программный комплекс входят модули, фактически, для всех платформ и ОС, включая, Windows, OS X, Android, iOS, а также буткиты для них.



HT не являлась компанией «с потолка», а специализировалась на продаже Galileo государственным структурам различных стран, причем для этого оформлялись специальные договора. Она также разрабатывала различные кибер-схемы, которые позволяли им обходить антивирусное ПО. Архив с данными HT сделал всю эту информацию доступным для всех. Условно говоря, HT помогала спецслужбам «находить и обезвреживать террористов по всему миру», т. е. их деятельность являлась легитимной в рамках существующего законодательства ЕС.

Вчера мы сообщали о внеплановом обновлении для Windows с идентификатором MS15-078. Обновление исправляет Local Privilege Escalation (LPE) уязвимость, которая в наихудшем сценарии эксплуатации может использоваться и как RCE. Особенность этой уязвимости заключается в том, что эксплойт для нее также находился в архиве Hacking Team, о котором мы уже много раз писали прежде. Мы обновили нашу таблицу эксплойтов Hacking Team актуальной информацией.

Chrysler выпустил security-обновление для моделей Jeep Grand Cherokee (WK2), которое закрывает ряд уязвимостей. Уязвимости могут использоваться атакующими для получения удаленного доступа к машине. Судя по всему, обновление доступно только для клиентов (владельцев машин) Chrysler в США, Канаде и Франции. Обновлению подлежит радио/навигационная система со встроенным ПО Uconnect 8.4AN AM/FM/BT/Access/NAV.



Под «удаленным доступом» подразумевается потенциальная возможность атакующих с использованием уязвимостей удаленно получить доступ к рулевому управлению или удаленно открыть двери машины используя ПО Uconnect моделей машин 2014 и 2015 года выпуска.

Последние несколько недель пользователи Skype начали обращаться в тех. поддержку компании и писать на форуме о получении в мессенджере фишинговых ссылок от своих контактов, что может свидетельствовать о том, что те подверглись компрометации. Эта тема на форуме сообщества Skype собрала уже 28 страниц, жалобы поступают и через Twitter. Ссылки имеют укороченный формат, что явно используется злоумышленниками для сокрытия оригинального URL-адреса.



Компания хранит молчание о причинах происходящего, но известное издание The Register получило комментарий официальных лиц Microsoft, в котором они посоветовали всем пользователям сервиса сменить свои пароли для аккаунтов.

Microsoft выпустила обновление MS15-078, которое закрывает критическую Remote Code Execution (RCE) уязвимость во всех версиях Windows (CVE-2015-2426). Во второй раз за этот месяц обновлению подлежит системная библиотека Windows Adobe Type Manager Library (Atmfd.dll). Атакующие могут удаленно исполнить код в системе с использованием специальным образом сформированного файла шрифтов OpenType, который может быть размещен на вредоносном веб-сайте.



Начиная с этого месяца компания перестала поддерживать Windows Server 2003, поэтому MS15-078 адресуется для только для систем Windows Vista+. Мы рекомендуем пользователям как можно скорее установить данное обновление.

Мы писали ранее, что разработчики веб-браузера Google Chrome для Windows добавляли в него дополнительные функции противодействия эксплойтам. Речь идет о механизмах 64-битных вкладок, High Entropy ASLR, а также об отключении использования драйвера win32k.sys в sandboxed-процессах. Эти механизмы существенно усложняют для атакующих разработку рабочих RCE-эксплойтов, через которые можно получить полный доступ к системе через браузер.



В последней версии Chrome была добавлена новая функция для противодействия эксплойтам, которая прилагается к выпускаемому Adobe проигрывателю Flash Player. Недавно опубликованные данные об эксплойтах Flash Player показывают, что атакующие используют уязвимости buffer overflow, которые позволяют выполнять перезапись или порчу части широко используемого Flash vector объекта или буфера, за счет чего размещать в памяти данные шеллкода.

Правоохранительные органы США и ЕС осуществили масштабную облаву на организаторов одного из самых известных киберпреступных форумов Darkode. По информации веб-сайта известной организации Europol, им удалось произвести аресты 28 человек, связанных с Darkode, в том числе, арестован 27-летний администратор форума, известный как Mafi/Crim/Synthet!c. На текущий момент вместо стартовой страницы форума, на сайте размещено следующее уведомление.



Darkode входит в пятерку самых известных и посещаемых форумов киберпреступников, на котором осуществляется торговля вредоносным ПО, ботнетами и прочими видами кибератак, включая, эксплойты нулевого дня. На этом закрытом для посторонних глаз форуме также продавалась или перепродавалась украденная киберпреступниками информация, в т. ч., персональные данные пользователей и данные кредитных карт.

Microsoft обновила свои продукты, закрыв в них большое количество уязвимостей. Всего было выпущено 4 обновления со статусом Critical и 10 со статусом Important. Обновлению подверглись ПО SQL Server, веб-браузер Internet Explorer, различные компоненты Windows и Office. Обновление MS15-065, о котором мы уже писали, исправляет 29 уязвимостей во всех версиях браузера Internet Explorer, включая, 0day RCE уязвимость CVE-2015-2425 в IE11 (Hacking Team 0day), которая, по данным MS, уже эксплуатируется itw.



Компания также закрыла другую 0day LPE уязвимость в Windows (CVE-2015-2387), эксплойт для которой находился в распоряжении Hacking Team. Мы писали про нее ранее, уязвимость присутствует в системном компоненте atmfd.dll (Adobe Type Manager Font Driver) и позволяет повышать привилегии атакующего в системе. Уязвимость была закрыта обновлением MS15-077. Работающая версия эксплойта гуляет по сети и уязвимости присвоен статус «exploited itw».

Утекшие данные архива Hacking Team не перестают нас удивлять. На сей раз речь идет об RCE уязвимости нулевого дня в новейшей версии веб-браузера Microsoft — Internet Explorer 11. Уязвимости был присвоен идентификатор CVE-2015-2425 и она была закрыта вышедшим сегодня обновлением MS15-065. Информацию об уязвимости первой опубликовала компания TrendMicro. Таким образом, речь идет, как минимум, о пяти эксплойтах нулевого дня, которые находились в арсенале кибергруппы Hacking Team.

В Adobe Flash Player обнаружена третья за последние две недели критическая 0day уязвимость, которая позволяет атакующим удаленно исполнять код через браузер. Эксплойт также присутствовал в архиве с утекшими данными Hacking Team. Уязвимость получила идентификатор CVE-2015-5123 и была позднее включена в уведомление безопасности APSA15-04, который мы уже упоминали ранее. Антивирусные продукты ESET обнаруживают эксплойт для этой уязвимости как SWF/Exploit.Agent.IR.



В свою очередь, компания TrendMicro заявила об обнаружении 0day RCE эксплойта для известного ПО Oracle Java, которое уже неоднократно попадало под объективы злоумышленников. Эксплойт был использован в направленных атаках в рамках известной кибератаки Pawn Storm. В этой операции злоумышленники использовали и вредоносное ПО для мобильных платформ, в т. ч. iOS. Антивирусные продукты ESET обнаруживают полезную нагрузку этого эксплойта как Win32/Agent.XIJ.

Компания Adobe выпустила второе за неделю уведомление безопасности APSA15-04, которое посвящено критической RCE уязвимости CVE-2015-5122. Как и ее предшественница, эта уязвимость позволяет удаленно исполнять код в популярных браузерах и обходить механизм sandbox. Эксплойт для этой уязвимости также находился в архиве с утекшими данными Hacking Team. Рабочая версия эксплойта уже размещена в сети тем же автором, который ранее публиковал эксплойт для CVE-2015-5119.



Существует серьезная опасность встраивания этого 0day эксплойта в популярные наборы эксплойтов для установки вредоносных программ на полностью обновленные up-to-date версии Windows, при чем это может быть сделано в самое ближайшее время. Эксплойт для прошлой 0day уязвимости Flash Player CVE-2015-5119 за несколько дней был адаптирован для использования сразу в шести наборах эксплойтов.

Приложение под названием Cowboy Adventure является довольно популярным в магазине приложений Google Play с количеством установок от 500 тыс. до 1 млн. Это приложение является игрой и обладает вредоносной активностью, так как используется авторами для сбора учетных данных аккаунтов пользователей социальной сети Facebook. Другое обнаруженное нами приложение со схожими вредоносными возможностями называется Jump Chess.

Вчера мы опубликовали сведения о новой очень опасной уязвимости в Adobe Flash Player (Hacking Team RCE Flash Player 0day), которая может использоваться атакующими для удаленного исполнения кода и установки вредоносных программ на всех популярных браузерах, включая, MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, причем, эксплойт поддерживает также и ОС Apple OS X. Тогда же мы указали, что злоумышленники смогут воспользоваться этой уязвимостью в своих целях. Наши прогнозы оправдались в полной мере, авторы самых распространенных наборов эксплойтов уже добавили его в свой арсенал и используют для проведения атак drive-by download.

Вчера мы писали про утечку конфиденциальных данных кибергруппы Hacking Team, которая подверглась масштабному взлому. В архиве находились исходные тексты нескольких 0day эксплойтов, в т. ч. LPE sandbox-escape эксплойт для веб-браузера Internet Explorer и опасный RCE+LPE эксплойт для актуальной версии Flash Player. Рабочая версия последнего уже гуляет по сети и представляет для пользователей очень большую опасность, поскольку эксплойт является универсальным и позволяет удаленно исполнять код сразу в нескольких браузерах (актуальные версии), включая, Google Chrome, Opera, MS Internet Explorer, и, даже, MS Edge в составе Windows 10.

Известная кибергруппа Hacking Team (@hackingteam), которая специализируется на разработке и продаже специального шпионского ПО для правоохранительных органов и спецслужб различных государств стала объектом кибератаки, в результате которой для общественности стал доступен архив с 400ГБ различной конфиденциальной информации. В сеть утекла личная переписка Hacking Team с их клиентами, заключенные договора на продажу своих кибер-изделий различным государствам, а также большое количество другой информации, связанной с деятельностью компании.



В результате утечки стало известно, что к услугам HT прибегали не только государственные структуры, но и частные компании. Также из опубликованных данных видно, что одним из клиентов HT были российские структуры или фирмы. Архив содержит и информацию о наработках кибергруппы (Exploit_Delivery_Network_android, Exploit_Delivery_Network_Windows), а также огромное количество различной поясняющей информации (wiki).

Американская автомобилестроительная компания Ford объявила об отзыве 433 тыс. машин из-за обнаруженного бага в ПО, который не позволяет штатно отключать двигатель. Затронуты оказались модели 2015г. выпуска, включая, Focus, C-MAX, и Escape. В случае присутствия бага, водитель при нажатии на кнопку выключения двигателя или при фиксировании ключа в выключенное состояние с его последующим изятием не позволит остановить двигатель машины.

Ford Motor Company is issuing a safety compliance recall for approximately 433,000 vehicles in North America, including certain 2015 Focus, C-MAX and Escape vehicles, for an issue with the body control module. In these vehicles, it could be possible for the engine to continue to run after turning the ignition key to the «off» position and removing the key, or after pressing the Engine Start/Stop button.

В этом посте мы рассмотрим новое вредоносное ПО, которое его создатели назвали Dino. Dino представляет из себя сложный бэкдор, который был разработан кибергруппой Animal Fram, стоявшей за созданием и распространением такого state-sponsored вредоносного ПО как Casper, Bunny и Babar. Он содержит в себе много интересных особенностей, включая, те из них, которые позволяют предположить его разработку теми людьми, которые говорят на французском языке.



Название Animal Farm было дано кибергруппе, которая была упомянута канадской организацией Communications Security Establishment (CSE) в серии слайдов презентации, посвященной беглому сотруднику АНБ Эдварду Сноудену в марте 2014 г. В этих слайдах указывается, что к этой группе причастны французские спецслужбы (French intelligence agency). После этого антивирусные компании обнаруживали несколько вредоносных программ, которые были созданы этой кибергруппой.

Компания Apple выпустила OS X 10.10.4, закрыв 77 security-уязвимостей в рамках обновления APPLE-SA-2015-06-30-2 (OS X Yosemite v10.10.4 and Security Update 2015-005). Как обычно, большинство закрытых уязвимостей позволяют атакующим исполнять произвольный код в OS X, в т. ч. с системными привилегиями. Apple исправила известную уязвимость в компоненте системного (firmware) ПО EFI под названием Rowhammer, которая позволяла приложению повышать свои привилегии в системе. Для системной прошивки EFI также была исправлена еще одна уязвимость CVE-2015-3692, позволявшая приложению с root привилегиями модифицировать часть системной flash-памяти.

Еще задолго до объявления даты выхода Windows 10, для пользователей стало очевидно, что Microsoft не собирается развивать специальную редакцию Windows 8 для архитектуры ARM — Windows RT, как она это делает в случае с Windows 8 или Windows Phone 8, которые получат обновления до Windows 10. В отличие от простой версии Windows 8, для RT актуальны существенные ограничения безопасности (security restrictions), схожие с iOS: для запуска разрешаются только приложения с цифровой подписью, приложения можно устанавливать только из Windows Store, все приложения работают в изолированной среде AppContainer.

Компания Apple выпустила iOS 8.4 (APPLE-SA-2015-06-30-1 iOS 8.4), исправив ряд серьезных security-уязвимостей в своей фирменной мобильной ОС (актуально для таких устройств как iPhone 4s+, iPod touch 5 и iPad 2+). Компания устранила известную уязвимость, которая делала возможной удаленную перезагрузку устройства с использованием специальным образом сформированного текстового сообщения.



Apple также исправила ряд уязвимостей, аналогичных известной уязвимости Masque, о которой мы подробнее писали здесь. Предыдущая Masque уязвимость позволяла перезаписывать одно приложение iOS другим, причем новое приложение получало доступ к данным предыдущего. Новые уязвимости также относятся к неверной работе iOS с bundle ID уже установленных приложений, что позволяет атакующим тем или иным способом получить доступ к данным установленного приложения.