Служба Power Automate, ранее известная как Microsoft Flow, позволяет пользователям автоматизировать рабочие процессы между различными приложениями и сервисами. С помощью Power Automate вы можете создавать процессы («потоки») в Microsoft 365 для Outlook, SharePoint и OneDrive, чтобы автоматически открывать доступ к файлам или отправлять их, пересылать электронные письма и выполнять ряд других действий.

В то же время, используя этот мощный инструмент автоматизации повседневных процессов, злоумышленники могут автоматически осуществлять эксфильтрацию данных, взаимодействовать с серверами C2, перемещаться внутри сети и уклоняться от обнаружения средствами безопасности.

Исследовательская лаборатория Varonis обнаружила способ обхода многофакторной аутентификации в учетных записях Box, использующих SMS-коды для подтверждения входа.

Используя этот способ, хакер может применять украденные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальной информации без доступа к телефону жертвы атаки.

Мы сообщали об этой проблеме Box в ноябре 2021 г. через HackerOne; позже специалисты Box выпустили исправление. Это уже второй способ обхода MFA в Box, обнаруженный нами за последнее время. Ознакомьтесь с нашим способом обхода MFA с помощью аутентификатора.

С ростом потребности во внедрении и использовании многофакторной аутентификации многие SaaS-провайдеры начали предлагать несколько вариантов MFA, чтобы обеспечить пользователей дополнительной защитой от атак на учетные записи и пароли. Varonis Threat Labs анализирует разные виды MFA для оценки их безопасности.

По данным Box, 97 000 компаний, включая 68% предприятий из списка Fortune 500 используют решения Box для доступа к информации из любой точки мира и удобной совместной работы.

Подобно многим приложениям, Box дает возможность пользователям без системы единого входа (SSO) использовать приложение-аутентификатор, такое как Okta Verify или Google Authenticator, или SMS с одноразовым паролем для организации второго этапа аутентификации.

Обзор исполнительной среды

Исследовательская группа Varonis обнаружила способ обхода многофакторной аутентификации для учетных записей Box, которые используют такие аутентификационные приложения, как Google Authenticator.

Используя описанный ниже метод, злоумышленник может применить украденные учетные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальных данных без предоставления одноразового пароля.

Мы сообщили об этой проблеме Box в ноябре через HackerOne; позже Box выпустил обновление.

Исследователи Varonis изучили список из 812 поддоменов и обнаружили 689 доступных экземпляров Jira. В этих экземплярах было обнаружено 3 774 общедоступных панелей управления, 244 проекта и 75 629 проблем (открытые адреса электронной почты, URL и IP-адреса).

Мы также обнаружили, что Jira REST API раскрывает больше общедоступной информации, чем веб-интерфейс. В результате администратор может считать, что информация в безопасности, тогда как злоумышленники получают доступ к большему количеству данных через API.

Если ваша компания использует сообщества Salesforce и Einstein Activity Capture, вы могли неосознанно открыть доступ к событиям календаря Outlook или Google вашего администратора в интернете из-за ошибки под названием «кротовая нора Эйнштейна», которую обнаружила исследовательская команда Varonis. События календаря, к которым предоставлен несанкционированный доступ, могут содержать очень конфиденциальные данные, например имена и адреса электронной почты участников, URL-адреса и пароли, а также программы конференций и встреч, вложенные файлы и электронные сообщения, отправленные организатору. Получив уведомление, команда Salesforce оперативно исправила эту ошибку. Однако если ваше сообщество Salesforce было создано раньше лета 2021 г., вам необходимо закрыть несанкционированный доступ к событиям календаря. 

Вот что для этого нужно сделать.

Правила YARA используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов.

Это четвертая и заключительная статья в серии публикаций, посвященных x64dbg. В этой статье мы воспользуемся полученными знаниями, чтобы продемонстрировать некоторые методы, которые можно использовать при реверс-инжиниринге вредоносного ПО.

Стековая память — это раздел памяти, используемый функциями c целью хранения таких данных, как локальные переменные и параметры, которые будут использоваться вредоносным ПО для осуществления своей злонамеренной деятельности на взломанном устройстве.

Эта статья является третьей в серии из четырех частей, посвященных x64dbg:

Эта статья представляет собой руководство по x64dbg, в котором объясняется и демонстрируется методика реверс-инжиниринга вредоносных программ. Она является продолжением нашей серии публикаций, посвященных x64dbg:

Введение и обзор применения x64dbg в качестве инструмента для анализа вредоносных программ. Этой публикацией мы открываем серию из четырех статей о x64dbg.

Поскольку обратные прокси-серверы могут обходить ограничения брандмауэра на входящий трафик, злоумышленники, проводящие APT, используют их для pivot-атак на защищенные среды. К примеру, не так давно жертвой такой атаки стала корпоративная сеть федерального агентства. Злоумышленники использовали модификацию Invoke-SocksProxy — скрипта с открытым исходным кодом для работы с обратными прокси, который можно найти на GitHub. Вот что пишет по этому поводу Агентство по кибербезопасности и инфраструктуре (СISA): Злоумышленник установил Persistence и C2 в сети жертвы через постоянный туннель SSH/обратный прокси-сервер SOCKS… Скрипт PowerShell [Invoke-SocksProxy.ps1] создал обратный прокси-сервер SMB SOCKS, который разрешил устанавливать соединения между управляемым злоумышленником VPS… и файловым сервером организации, выбранной в качестве жертвы… Invoke-SocksProxy.ps1 создает обратный прокси-сервер между локальным устройством и инфраструктурой хакера…

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

3 июля в 10:00 по североамериканскому восточному времени серверы VSA компании Kaseya выпустили зараженное вирусом исправление, которое распространилось на управляемые компанией Kaseya cерверы, что привело к компрометации и шифрованию тысяч узлов на сотнях различных предприятиях.

 Это исправление содержало вирус-вымогатель под названием Sodinokibi, разработанный печально известной группировкой REvil, что привело к шифрованию сервера и папок с общим доступом.

 Kaseya VSA — популярное программное обеспечение для удаленного управления сетью, используемое многими поставщиками услуг по управлению ИТ-инфраструктурой (Managed Security Providers, или MSP). ПО для управления сетью — идеальное место для организации бэкдора, поскольку у таких систем обычно широкие возможности доступа и множество задач, что затрудняет контроль над ними.

 В отличие от атаки логистической цепочки компании SolarWinds, при которой были скомпрометированы серверы обновлений SolarWinds, какие-либо признаки взлома инфраструктуры Kaseya отсутствуют.

 Злоумышленники использовали уязвимые серверы VSA с выходом в Интернет, обычно предшествующие многим устройствам-жертвам  в сетях MSP, используя их в качестве бэкдоров, что затруднило (или даже сделало невозможным) обнаружение либо предотвращение заражения жертвами по мере того, как вирус перемещался от серверов к подключенным устройствам.

 Кроме того, поскольку обновления обычно распространяются на множество узлов, для зараженных организаций процесс восстановления может оказаться непростым. Радиус поражения одного скомпрометированного пользователя или конечной точки обычно очень большой, поскольку у среднестатистического пользователя, как правило, есть доступ к миллионам файлов, которые ему не нужны. У администраторов или серверов с административными правами масштабы поражения просто огромны.