Уязвимости факсимильной связи могут выдать атакующим данные предприятия

Уязвимости факсимильной связи могут выдать атакующим данные предприятия

Считается, что факсимильная связь давно устарела и должна уйти в прошлое. Однако факсы до сих пор активно используются в корпоративной среде, о чем говорят исследования — около 46,3 миллионов факсимильных аппаратов по-прежнему используются в организациях. Исследователи в области кибербезопасности на днях обнаружили уязвимости в протоколах факсимильной связи, которые можно использовать для компрометации корпоративных сетей.

Негативный оттенок обнаруженным уязвимостям придает тот факт, что из-за логического устаревания этой технологии ей мало уделяют внимание — соответствующие патчи долго не выходят.

Разработчики гораздо быстрее устраняют недостатки безопасности в более современных технологиях. Именно такой расклад ставит под угрозу многие предприятия, которые, скорее всего, об этом не подозревают.

О наличии проблем безопасности сообщили руководитель исследовательской группы Check Point Янив Бальмас и исследователь по безопасности Эяль Иткин. Эксперты выступили в рамках конференции DEF CON 26.

Для демонстрации недостатков специалисты использовали серию устройств HP Officejet Pro — HP Officejet Pro 6830 и OfficeJet Pro 8720.

Все, что требуется для успешной атаки — номера факсов, которые очень легко найти на корпоративном сайте, или просто запросив информацию лично. После получения этой информации злоумышленники могут отправить специально созданный вредоносный файл.

Из обнаруженных уязвимостей есть одна, приводящая к переполнению буфера, и другая — CVE 2017-976 («Devil's Ivy» — дьявольский плющ). «Дьявольский плющ» позволяет удаленно выполнить код через обработку ошибок в базе данных.

По словам исследователей, вредоносный файл можно оснастить вымогателем, вредоносным майнером или программой для шпионажа. Уязвимости в протоколах могут быть использованы для декодирования и загрузки вредоносных программ в память.

Если атакованное устройство подключено к сети, то вредоносная программа, загруженная в память, сможет распространяться и компрометировать другие системы. Специалисты из Check Point сообщили о своих выводах HP, которая уже подготовила обновления, устраняющие эти бреши.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru