Дайджест Jet CSIRT [11.02.2021]

11.02.2021

Обнаружено два новых семейства шпионских программ для ОС Android

 

ИБ исследователи обнаружили два новых вида шпионского ВПО, нацеленного на ОС Android, которые используются индийской APT-группой для атак на военные и ядерные объекты в Пакистане и Кашмире. «Hornbill» и «SunBird», как назвали их исследователи, обладают развитыми возможностями по эксфильтрации SMS-сообщений, зашифрованного содержимого приложений и геолокации, а также других типов конфиденциальной информации.


Обнаружено девять уязвимостей генерации ISN, влияющих на стеки TCP/IP

 

Исследователи Forescout обнаружили уязвимости в нескольких стеках TCP/IP, в которых ISN (начальные порядковые номера в TCP-соединениях) генерируются неправильно. Данная уязвимость позволяет атаковать TCP-соединения, преимущественно на IoT-устройствах. Эксперты проанализировали 11 общих стеков: uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP, uC/TCP-IP, MPLAB Net, TI-NDKTCPIP, Nanostack и Nucleus NET. Уязвимый алгоритм генерации ISN был обнаружен в 9 из 11 случаев.


Опубликован способ эксфильтрации данных с помощью DNS-запросов

 

Исследователь Иван Борщов (Ivan Borshchov) поделился на сайте hinty.io подробным описанием метода эксфильтрации данных с помощью DNS-запросов. По замыслу эксперта, ВПО может передавать полезную нагрузку через запросы разрешения доменных имён к серверу управления, который находится под контролем злоумышленников. Такой метод может помочь злоумышленникам обойти межсетевой экран и вывести критичные данный за пределы организации.