cybersec news | ИБ и IT
Новости по кибербезопасности и IT. По всем вопросам - @cyberinfosec_bot
Mostrar más1 128
Suscriptores
-324 horas
-177 días
-6630 días
Distribuciones de tiempo de publicación
Carga de datos en curso...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
Análisis de publicación
| Mensajes | Vistas | Acciones | Ver dinámicas |
01 Компания Google снова патчит уязвимость нулевого дня в своем браузере Chrome, которая уже использовалась в атаках. Это исправление стало уже четвертым за последние две недели и восьмым патчем для 0-day в Chrome в этом году.
Свежая уязвимость имеет идентификатор CVE-2024-5274 и была обнаружена внутри компании, специалистом Google. Сообщается, что проблема типа type confusion была выявлена в JavaScript-движке V8, который отвечает за выполнение JS-кода в браузере.
Уязвимости этого типа возникают в том случае, если программа выделяет участок памяти для хранения данных определенного типа, но ошибочно интерпретирует их как данные иного типа. Обычно такие баги приводят к сбоям, повреждению данных, а также выполнению произвольного кода.
Разработчики предупредили, что им известно о существовании эксплоита для CVE-2024-5274, и уязвимость уже находилась под атаками.
Исправление для этого бага вошло в состав Chrome версий 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux должны получить обновление в версии 125.0.6422.112 в ближайшие недели. | 538 | 0 | Loading... |
02 Новая вредоносная рекламная кампания, использующая Google Ads, взяла в оборот тему выхода браузера Arc для Windows. Клюнувшие пользователи получают троянизированный установщик.
Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.
В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.
На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.
Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.
Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.
Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».
Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных. Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.
Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна. | 880 | 0 | Loading... |
03 В GitLab исправили серьезную XSS-уязвимость, которую неаутентифицированные злоумышленники могли использовать для захвата учетных записей пользователей.
Проблема отслеживается под идентификатором CVE-2024-4835 и представляет собой XSS в редакторе кода VS. Она позволяла злоумышленникам в один клик похищать закрытую информацию с помощью вредоносных страниц.
Хотя для атак не требовалась аутентификация, взаимодействие с пользователем все же было необходимо, что повышало сложность эксплуатации.
Помимо упомянутой XSS-проблемы, компания исправила еще шесть других уязвимостей, включая CSRF в Kubernetes Agent Server и ошибку отказа в обслуживании, с помощью которой злоумышленники могли нарушать загрузку веб-ресурсов GitLab.
Стоит отметить, что ранее в этом месяце CISA предупреждало, что злоумышленники активно эксплуатируют другую zero-click проблему в GitLab, CVE-2023-7028, которая тоже позволяет захватить чужую учетную запись. | 1 211 | 0 | Loading... |
04 В Минцифры прошло совещание с представителями IT-компаний, операторов связи и банков, на котором обсуждалась идея создания единой платформы для реагирования на кибератаки. Участники рынка должны были подготовить предложения по реализации этой инициативы.
Операторы связи Tele2, «Вымпелком» и «МегаФон» подтвердили свое участие в совещании и готовность участвовать в разработке концепции новой платформы. Заместитель главы Минцифры заявил, что там намерены создать с бизнесом «единую цифровую платформу», где объединятся системы «Антифрод», «Антифишинг» и банковские специализированные системы.
Хотя участники рынка в целом не против этой идеи, некоторые считают ее пока недостаточно проработанной и непонятной в плане конечной цели.
Один из рассматриваемых сценариев предполагает разделение реагирования на киберинциденты между крупными участниками рынка. Силовые ведомства будут играть скорее контролирующую роль, что может выражаться как в проверках компаний на соблюдение требований кибербезопасности, так и в вынесении решений по штрафам за допущенный инцидент.
В России уже действует ряд систем противодействия киберугрозам, таких как ГосСОПКА, «Антифрод», «Антифишинг», ФинЦЕРТ и внутренние сервисы компаний. Новая платформа может стать развитием системы «Антифрод».
Компании финансового сектора, принимающие участие в диалоге с Минцифры, считают, что новая платформа должна стать развитием системы «Антифрод». Представители Тинькофф-банка называют проект «ТелекомЦерт», поясняя, что участники рынка смогут собрать информацию о мошенничестве и анализе звонков злоумышленников. В банке считают «логичным» ужесточение ответственности операторов за пропуск мошеннического трафика.
Эксперты считают создание такой платформы технически реализуемым, но отмечают необходимость специализированной архитектуры, многоуровневой защиты данных и совместимости с существующими системами. Основной вызов - защита самой платформы от уязвимостей. | 934 | 0 | Loading... |
05 Группа ученых из Университета Цинхуа рассказала о новом методе DDoS-атак, который получил название DNSBomb. Для организации мощных DDoS-атак в данном случае используется DNS-трафик.
Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности. Так, в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации. Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Обычно пульсирующие DDoS-атаки сложнее обнаружить.
DNSBomb применяет тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver'ы.
В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.
Исследователи пишут, что в рамках тестов они использовали DNSBomb против 10 распространенных DNS-программ и 46 публичных DNS-сервисов, и добились атаки мощностью до 8,7 Гбит/сек. При этом исходный DNS-трафик был усилен в 20 000 раз от своего первоначального размера.
В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так с сохранением.
Ученые сообщают, что уведомили о проблеме все затронутые стороны, и 24 организации уже работают над исправлениями или выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.
Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями. | 1 190 | 0 | Loading... |
06 🛡 Канал для специалистов по информационной безопасности
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
➡️ Подписывайтесь и будьте в курсе ИБ вместе с @svplatform | 1 123 | 0 | Loading... |
07 ИБ-компания CloudSEK предупреждает о мошенниках, которые продают поддельное ПО, рекламируемое как Pegasus от NSO Group.
Поддельная программа была обнаружена после анализа около 25 000 сообщений людей, предлагающих Pegasus и другие инструменты NSO Group в Telegram. Затем специалисты взаимодействовали с более чем 150 потенциальными продавцами, которые предоставили доступ к 15 образцам и более 30 индикаторам компрометации.
Индикаторы компрометации включали исходный код предполагаемых образцов Pegasus, демонстрации работы образцов в реальном времени и структуру файлов. Почти все образцы были мошенническими и неэффективными, но некоторые продавались за сотни тысяч долларов. Один из продавцов предложил постоянный доступ к Pegasus за $1,5 миллиона и заявил, что совершил 4 продажи за 2 дня.
Поддельное шпионское ПО также было найдено на других платформах для обмена кодами, где, по утверждениям CloudSEK, злоумышленники распространяли свои собственные случайно сгенерированные исходные коды.
CloudSEK начала исследование продаж Pegasus после того, как Apple в апреле решила прекратить приписывать атаки с использованием шпионского ПО конкретному источнику, и вместо этого стала классифицировать их как mercenary spyware attack.
CloudSEK была не единственной организацией, которая действовала после изменения политики Apple. Исследователи компании обнаружили, что мошенники, продающие поддельный «постоянный доступ» к Pegasus, внутри радовались и приветствовали уведомление Apple.
CloudSEK отмечает, что продавцы мошеннического кода получают не только выгоду от известного бренда, рекламируя продукт как принадлежащий NSO Group, но это также помогает им оставаться вне поля зрения, продавая специально разработанное шпионское ПО под именем другой компании.
На данный момент NSO Group не предоставила комментариев по поводу подделок и их воздействия на бизнес компании.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира. | 1 176 | 0 | Loading... |
08 Разработчики LastPass добавили новую интересную функциональность: теперь менеджер паролей будет шифровать URL, сохранённые вместе с учётными данными. Это поможет снизить риски при утечках и несанкционированном доступе.
Вы наверняка знаете, как это работает: когда пользователь LastPass заходит на какой-либо ресурс, менеджер паролей сверяет URL с теми, что сохранены в аккаунте. Эта функциональность нужна для автоматической подстановки учётных данных.
Ранее занесённые ссылки не шифровались, по словам девелоперов, из-за малых мощностей. LastPass не должен был сильно нагружать процессор и хорошим тоном было минимизировать энергопотребление.
Однако так было в 2008 году, когда менеджер паролей увидел свет, а сегодня аппаратное обеспечение шагнуло далеко вперёд. Шифровать и расшифровывать такие URL теперь можно на лету, и пользователь даже ничего не заметит.
Чтобы усилить защиту данных веб-сёрферов, разработчики LastPass наконец решили добавить шифрование URL. | 959 | 0 | Loading... |
09 В марте команда безопасности WhatsApp сообщила о серьёзной угрозе для пользователей мессенджера. Несмотря на мощное шифрование, пользователи по-прежнему уязвимы для правительственного надзора. Внутренний документ, полученный The Intercept, утверждает, что содержание переписок 2 миллиардов пользователей остается защищенным, однако правительственные агентства могут обходить шифрование, чтобы определить, кто общается друг с другом, выяснить состав частных групп и, возможно, даже местоположение пользователей.
Уязвимость связана с анализом трафика - методом мониторинга сетей, основанным на наблюдении за интернет-трафиком в национальном масштабе. Документ указывает, что WhatsApp не является единственным сервисом, подверженным такой угрозе. Согласно внутренней оценке, компании Meta, владеющей WhatsApp, рекомендуется принять дополнительные меры безопасности для защиты небольшой, но уязвимой части пользователей. Эти меры могут включать более надежное шифрование трафика, маскировку метаданных и другие способы противодействия анализу трафика на национальном уровне.
На фоне продолжающегося вооруженного конфликта в секторе Газа предупреждение об уязвимости вызвало серьезную озабоченность у некоторых сотрудников Meta. Сотрудники WhatsApp выразили опасения, что эта уязвимость потенциально может быть использована израильскими спецслужбами для слежки за палестинцами в рамках своих оперативных программ в секторе Газа, где цифровое наблюдение играет роль при определении целей. Четыре сотрудника, пожелавшие остаться неназванными, сообщили The Intercept о том, что такие опасения имели место внутри компании. При этом важно отметить, что никаких конкретных доказательств злоупотребления уязвимостью на тот момент представлено не было.
Представитель Meta заявила, что у WhatsApp нет уязвимостей и документ отражает лишь теоретическую возможность, не уникальную для WhatsApp. | 1 027 | 0 | Loading... |
10 Специалисты Elastic Security Labs и Antiy выявили новую кампанию по добыче криптовалюты под кодовым названием REF4578, в ходе которой вредоносное ПО GhostEngine использует уязвимые драйверы для отключения антивирусных программ и запуска майнера XMRig.
Elastic Security Labs и Antiy отметили высокую степень сложности атаки. В своих отчетах компании поделились правилами обнаружения угрозы, чтобы помочь защитникам обнаруживать и останавливать такие атаки. Однако ни один из отчетов не связывает деятельность с известными хакерскими группами и не предоставляет деталей о жертвах, поэтому происхождение и масштаб кампании остаются неизвестными.
Пока неясно, каким образом злоумышленникам удается взломать серверы, однако атака начинается с выполнения файла Tiworker.exe, который маскируется под легитимный файл Windows. Исполняемый файл является первой стадией запуска GhostEngine, который представляет собой PowerShell-скрипт для загрузки различных модулей на зараженное устройство.
После запуска Tiworker.exe скачивает скрипт get.png с C2-сервера, который служит основным загрузчиком GhostEngine. PowerShell-скрипт загружает дополнительные модули и их конфигурации, отключает Windows Defender, включает удаленные службы и очищает различные журналы событий Windows.
Скрипт проверяет наличие как минимум 10 МБ свободного места на диске, чтобы продолжить заражение, и создает запланированные задачи для обеспечения устойчивости угрозы. Затем скрипт загружает и запускает исполняемый файл smartsscreen.exe – основное вредоносное ПО GhostEngine. Программа отключает и удаляет EDR-решения, а также загружает и запускает XMRig для майнинга криптовалюты.
Для отключения программ защиты GhostEngine загружает 2 уязвимых драйвера: aswArPots.sys для завершения процессов EDR и IObitUnlockers.sys для удаления связанных исполняемых файлов.
Специалисты Elastic рекомендуют защитникам обратить внимание на подозрительные выполнения PowerShell, необычную активность процессов и сетевой трафик, указывающий на криптовалютные пулы. | 1 207 | 0 | Loading... |
11 Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» сообщают, что заблокировали шпионскую активность APT-группировки Obstinate Mogwai в инфраструктуре неназванного российского телеком-оператора. В атаке хакеры использовали старую, но не полностью устраненную уязвимость десериализации в параметре ViewState.
Уязвимость позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP NET. Исследователи отмечают, что сам факт ее эксплуатации нелегко обнаружить, а методика реагирования ранее не описывалась в профильных сообществах.
Проблема параметра ViewState известна еще с 2014 года. Фактически она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, подменять или портить данные.
Расследование началось после того, как защитные средства обнаружили подозрительную активность в инфраструктуре неназванной телеком-компании. Оказалась, что к этому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных самой компании и ее клиентов.
Эксперты пишут, что несколько раз находили вредоносные инструменты группировки в атакованной сети и удаляли их. Однако через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость исследователи назвали эту хак-группу Obstinate Mogwai и обещают в будущем опубликовать подробный отчет от этих хакерах.
Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP NET. Сериализация – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений. Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации выполнять произвольный код.
Уязвимость была частично исправлена все в том же 2014 году. | 858 | 0 | Loading... |
12 CISA включило уязвимость, влияющую на Mirth Connect от компании NextGen Healthcare, в свой каталог известных эксплуатируемых уязвимостей (KEV).
Уязвимость, обозначенная как CVE-2023-43208, связана с удалённым выполнением кода без аутентификации и возникла в результате неполного исправления другой критической уязвимости — CVE-2023-37679, имеющей рейтинг 9.8 по шкале CVSS.
Mirth Connect — это платформа для интеграции данных с открытым исходным кодом, широко используемая в американском здравоохранении для обмена данными между различными системами.
Информация об этой уязвимости впервые появилась благодаря специалистам Horizon3 в конце октября 2023 года, а дополнительные технические детали вместе с PoC-эксплойтом были опубликованы в январе 2024 года.
Исследователь безопасности Навин Санкавалли сообщил, что CVE-2023-43208 связана с небезопасным использованием библиотеки Java XStream для обработки XML-данных, что делает уязвимость легко эксплуатируемой.
CISA не предоставила информации о характере атак, использующих эту уязвимость, и неясно, кто и когда начал их использовать.
Помимо уязвимости в Mirth Connect агентство также внесла в каталог KЕV недавнюю уязвимость Type Confusion, влияющую на браузер Google Chrome, которую компания признала эксплуатируемой в реальных атаках.
Федеральным агентствам США предписано обновить программное обеспечение до исправленной версии: Mirth Connect версии 4.4.1 или выше, а также Chrome версии 125.0.6422.60/.61 для Windows, macOS и Linux в срок до 10 июня 2024 года, чтобы защитить свои сети от активных киберугроз. | 963 | 0 | Loading... |
13 🏜 Вирус, посиди в «песочнице»! Как работает Sandbox и от чего зависит эффективность этого класса решений
Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox.
➡️ В новой статье на сайте разобрались, что такое «Песочница», как вредоносы пытаются обойти этот класс решений и какие ошибки в настройке могут снизить эффективность Sandbox. | 1 188 | 1 | Loading... |
14 Сегодня состоялся релиз долгожданной адвенчуры Senuas Saga Hellblade II от студии Ninja Theory на консолях Xbox и ПК. Поскольку Microsoft, будучи издателем, не стала навешивать серьезных систем антипиратской защиты, вроде Denuvo или привязки к Xbox Live, команда FLT мгновенно отчиталась о взломе. Об этом сообщает тематическая ветка на Reddit. DRM-защиту обошли при помощи эмулятора Steam, а общий вес загружаемого архива составил 48 ГБ. | 883 | 0 | Loading... |
15 Мир Jailbreak для PS4 продолжает активно развиваться, и недавние обновления для эксплойта PPPwn, предназначенного для версии прошивки 11.00, открывают новые горизонты для пользователей. Эти обновления позволяют выполнять Jailbreak без необходимости использования компьютера, предлагая множество альтернативных решений, таких как Raspberry Pi, телевизоры и роутеры.
Сам по себе Jailbreak — это процесс снятия программных ограничений с устройства, позволяющий устанавливать и запускать кастомное программное обеспечение и пиратские игры.
Версия PPPwn для Raspberry Pi претерпела значительные улучшения. Ключевым обновлением стал переход на C++, что позволяет ускорить процесс взлома в 5-10 раз по сравнению с исходными скриптами на Python. Помимо этого, теперь возможно загружать полезную нагрузку с Raspberry Pi непосредственно в PS4 напрямую.
Разработчик Stooged добавил веб-сервер и веб-интерфейс, что позволяет управлять Raspberry Pi через телефон или непосредственно с PS4. Эти нововведения дают возможность перезапускать сервер, запускать эксплойт и загружать полезную нагрузку с USB на Raspberry Pi.
Поддерживаемые модели Raspberry Pi включают: Raspberry Pi 5, Raspberry Pi 4 Model B, Raspberry Pi 400, Raspberry Pi 3B+, Raspberry Pi 2 Model B, Raspberry Pi Zero 2 W и Zero W с USB-Ethernet адаптером. Как оптимальное сочетание цены и производительности рекомендуется использовать Raspberry Pi 4 Model B.
Одна из самых интересных версий PPPwn позволяет запускать эксплойт прямо с телевизора бренда LG, устраняя необходимость в дополнительных устройствах. Телевизоры LG обладают достаточной мощностью, чтобы запускать эксплойт менее чем за 20 секунд, что делает этот метод одним из самых быстрых.
Разработчики zauceee и llbranco объединили усилия для улучшения этой версии. В последней версии 1.2 добавлена поддержка TV на aarch64 и возможность автоматического запуска эксплойта при включении телевизора. Также можно назначить кнопку пульта для запуска эксплойта в любое время. | 937 | 0 | Loading... |
16 Профессор Массимилиано Сала из Университета Тренто в Италии недавно обсудил будущее блокчейн-технологий, их связь с шифрованием и квантовыми вычислениями с командой Ripple в рамках университетской лекционной серии компании.
Сала уделил внимание потенциальной угрозе, которую представляют квантовые компьютеры по мере их развития. По словам профессора, современные методы шифрования могут оказаться легко решаемыми для квантовых компьютеров будущего, что ставит под угрозу целые блокчейны.
По словам профессора, "квантовые компьютеры могут легко решать задачи, лежащие в основе цифровых подписей, что потенциально подрывает механизмы защиты активов пользователей на блокчейн-платформах". Это гипотетическая парадигма, называемая "Q-day", момент, когда квантовые компьютеры станут достаточно мощными и доступными для того, чтобы злоумышленники могли взламывать классические методы шифрования.
Такие изменения могут иметь далеко идущие последствия для любой сферы, где важна безопасность данных — в том числе для экстренных служб, инфраструктуры, банковского дела и обороны. Однако наиболее разрушительными эти изменения могут быть для мира криптовалют и блокчейна.
Сала предупреждает, что "все классические криптосистемы с открытым ключом должны быть заменены на аналоги, защищенные от квантовых атак". Идея заключается в том, что будущий квантовый компьютер или алгоритм квантовой атаки может взломать шифрование этих ключей с помощью математической грубой силы.
Следует отметить, что Биткойн, самая популярная криптовалюта и блокчейн в мире, попадает под эту категорию.
Хотя в настоящее время не существует практического квантового компьютера, способного на такое, правительства и научные учреждения по всему миру готовятся к "Q-day", рассматривая его как неизбежность. Сала считает, что такое событие не является неминуемым в ближайшее время. | 938 | 0 | Loading... |
17 Владельцы iPhone по всему миру жалуются на странный баг в iOS, который приводит к тому, что переключатель «Разрешить приложениям запрашивать отслеживание» в настройках конфиденциальности внезапно перестал работать.
Сам переключатель вдруг стал неактивным, а под ним появилась надпись: «Этот параметр нельзя изменить, потому что профиль ограничивает его или потому, что ваш Apple ID находится под управлением родителя, не соответствует минимальным возрастным требованиям или в нём отсутствует информация о возрасте». Однако пользователи заверяют, что ни одна из этих причин к ним не относится.
Интересно, что проблема наблюдается не только в iOS 17.5, но и в более старых версиях ПО, включая iOS 17.4.1, iOS 17.4 и iOS 16.6. Apple пока не комментирует ситуацию, но вполне вероятно, что это проблема на стороне сервера. | 882 | 0 | Loading... |
18 В последние несколько дней владельцы iPhone по всему миру жалуются на странный баг в iOS, который приводит к тому, что переключатель «Разрешить приложениям запрашивать отслеживание» в настройках конфиденциальности внезапно перестал работать.
Согласно сообщениям в Х и на Reddit, сам переключатель вдруг стал неактивным, а под ним появилась надпись: «Этот параметр нельзя изменить, потому что профиль ограничивает его или потому, что ваш Apple ID находится под управлением родителя, не соответствует минимальным возрастным требованиям или в нём отсутствует информация о возрасте». Однако пользователи заверяют, что ни одна из этих причин к ним не относится. | 1 | 0 | Loading... |
19 Мошенники, освоившие голосовую связь в мессенджерах, придумали новый предлог для получения доступа к аккаунтам ДБО. Они звонят от имени крупных российских банков и предлагают продлить срок действия карты.
О новой уловке телефонных мошенников предупредил ВТБ, подчеркнув, что обслуживание банковских карт в России сейчас продлевается автоматически. В рамках данной схемы обмана в мессенджерах создан ряд поддельных аккаунтов банков, с которых и поступают звонки.
Тем, кого беспокоит истекающий срок карты, присылают внешнюю ссылку на вредоносный файл и просят продиктовать одноразовый код, который в виде СМС придет на смартфон. Получив ключи от личного кабинета в онлайн-банке, злоумышленники смогут вывести деньги со счета или оформить на имя жертвы кредит. | 907 | 2 | Loading... |
20 Ботнет Ebury, существующий с 2009 года, заразил почти 400 000 Linux-серверов, и примерно 100 000 из них все еще скомпрометированы, сообщают аналитики ESET.
ESET наблюдает за Ebury уже более десяти лет, и на этой неделе исследователи сообщили, что недавние действия правоохранительных органов позволили им получить представление о деятельности малвари за последние пятнадцать лет.
Так, последнее расследование ESET проводилось в сотрудничестве с голландским Национальным подразделением по борьбе с преступлениями в сфере высоких технологий, которое недавно изъяло backup-сервер, использовавшийся киберпреступниками.
Голландские аналитики отмечают, что операторы Ebury порой используют поддельные или ворованные личности и даже берут псевдонимы других киберпреступников, чтобы ввести в заблуждение правоохранителей.
Судя по последним атакам Ebury, операторы малвари предпочитают взламывать хостинг-провайдеров и осуществлять атаки на цепочки поставок, атакуя клиентов, арендующих виртуальные серверы у взломанных организаций.
Обычно первоначальная компрометация осуществляется с помощью украденных учетных данных, которые хакеры используют для проникновения на серверы. Затем малварь извлекает список входящих/исходящих SSH-соединений из wtmp и файла known_hosts, а также крадет ключи аутентификации SSH, которые в итоге используются для попыток входа в другие системы.
Кроме того, злоумышленники могут использовать известные уязвимости в ПО, работающем на серверах, чтобы получить дополнительный доступ или повысить свои привилегии.
Исследователи пишут, что инфраструктура хостинг-провайдеров, включая OpenVZ или хосты контейнеров, может использоваться для развертывания Ebury в нескольких контейнерах или виртуальных средах.
На следующем этапе атаки операторы малвари перехватывают SSH-трафик на целевых серверах в дата-центрах, используя спуфинг Address Resolution Protocol для перенаправления трафика на подконтрольный им сервер. | 1 048 | 1 | Loading... |
21 🛡 Канал для специалистов по информационной безопасности
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
➡️ Подписывайтесь и будьте в курсе ИБ вместе с @svplatform | 1 073 | 0 | Loading... |
22 Министерство юстиции США предъявило обвинение двум братьям в манипуляциях с блокчейном Ethereum и хищении криптовалюты на сумму $25 млн. всего за 12 секунд в рамках мошеннической схемы.
Братья манипулировали процессом проверки транзакций в блокчейне Ethereum, получая доступ к ожидающим частным транзакциям, изменяя их, завладевая криптовалютой жертв и отклоняя запросы на возврат украденных средств. Вместо возврата преступники принимали меры для сокрытия незаконных доходов.
Обвинение утверждает, что братья изучали поведение своих жертв на рынке с декабря 2022 года, готовясь к атаке и принимая меры для сокрытия своих личностей и похищенных средств. Они использовали несколько криптовалютных адресов, иностранные биржи и создавали подставные компании. После атаки обвиняемые перемещали украденные активы через серию транзакций, чтобы скрыть их источник и владельца.
Во время подготовки и выполнения атаки братья, среди прочего, предприняли следующие шаги:
- Создали серию валидаторов Ethereum, скрывая свои личности через подставные компании, промежуточные криптовалютные адреса, иностранные биржи и сеть для повышения приватности;
- Проводили серию тестовых транзакций, так называемых «приманок», чтобы выявить переменные, которые наиболее вероятно привлекут ботов MEV, ставших жертвами эксплуатации;
- Выявили и использовали уязвимость в коде реле MEV-Boost, которая привела к преждевременному раскрытию полного содержания предложенного блока;
- Переставили предложенный блок в свою пользу и опубликовали его в блокчейне Ethereum, что привело к краже у трейдеров криптовалюты на сумму около $25 млн.
В ходе всего процесса братья также искали в интернете информацию о проведении атаки, скрытии своего участия в эксплуатации Ethereum, отмывании криминальных доходов через биржи с низкими требованиями к верификации, нанимали адвокатов с опытом в криптовалюте, изучали процедуры экстрадиции и преступления, описанные в обвинении. | 897 | 1 | Loading... |
23 Компания Google анонсировала внушительный набор новых функций безопасности для своей мобильной операционной системы Android. Среди них — инновационная технология обнаружения кражи смартфона, способная распознавать момент, когда устройство выхватывают из рук владельца.
Некоторые из этих нововведений будут реализованы уже в финальном релизе Android 15 грядущей осенью. Однако функция распознавания кражи и ряд других возможностей станут доступны для смартфонов с гораздо более старыми версиями, благодаря чему ими сможет воспользоваться намного больше людей.
Технология «Блокировка при краже» срабатывает, улавливая нехарактерные для владельца резкие движения. Чтобы предотвратить доступ злоумышленника к данным на устройстве, экран моментально блокируется. Система также отслеживает другие сигналы, свидетельствующие о противоправных действиях, и сможет блокировать экран для защиты, если кто-то попытается отключить смартфон от сети, лишив его удаленного доступа.
Кроме того, Google представила удобный способ удаленной блокировки экрана на случай, если гаджет окажется не в тех руках. Зайдя на сайт android(.)com/lock, пользователь может ввести номер своего телефона и пройти аутентификацию — отличный вариант, если под рукой окажется только чужой телефон или ПК. Все эти функции появятся позднее в этом году благодаря обновлению фирменных сервисов Google Play для смартфонов на Android 10 и новее.
В Android 15 также будут реализованы дополнительные средства защиты персональных данных, включая «приватные пространства». Эта опция позволит размещать приложения и конфиденциальную информацию в отдельной изолированной области памяти, блокируемой уникальным PIN-кодом. Google также внедрит защиту на случай принудительного сброса настроек, требующую ввода учетных данных владельца при последующей настройке. | 1 047 | 0 | Loading... |
24 На прошлой неделе США, совместно с Великобританией и Австралией, предъявили обвинения и наложили санкции против Дмитрия Хорошева, которого считают лидером известной вымогательской группировки LockBit.
Настоящий лидер LockBit, известный в сети под псевдонимом «LockBitSupp», быстро прокомментировал заявления правоохранителей, утверждая, что последние ошиблись. Якобы он — никакой не Хорошев, и ему жаль этого парня в связи с возможными проблемами, с которыми он теперь может столкнуться из-за ложных обвинений в связи с LockBit.
Исследователь Брайан Кребс с портала KrebsonSecurity решил собственноручно разобраться, какими фактами оперировали власти сразу трёх стран, когда выносили свои обвинения. | 943 | 0 | Loading... |
25 Созданный в Пензенском университете (ПГУ) антивирус использует нейросети и машинное обучение и не требует постоянного подключения к интернету. Разработку планируют завершить в этом году, а в ноябре подать заявку на сертификацию.
Из рассказа руководителя проекта можно понять, что вооруженный ИИ защитный софт способен предугадывать действия пользователя, и его можно подстроить под конкретные условия и задачи. Пока готова только версия для Windows, умеющая распознавать трояны, руткиты и нелегальные майнеры.
Для выявления фактов заражения используются два вида анализа:«нейросетевой» и «нейросигнатурный». В первом случае написанная на Python нейросеть оценивает работу кода, выполняя сравнение с известными ей алгоритмами поведения вредоносов.
Второй компонент определяет угрозы, используя ИИ в комбинации с традиционным сигнатурным анализом. Авторы проекта исходили из того, что написанный с нуля зловред — большая редкость, вирусописатели обычно в той или иной степени используют наработки коллег по цеху.
По замыслу, созданный в стенах ПГУ антивирус можно будет использовать как в корпоративном окружении, так и в индивидуальном порядке. Продукт планируют распространять по подписке.
Заметим, без связи с сетью такой софт сможет детектировать только вредоносные программы с заимствованиями, притом теми, с которыми он уже сталкивался. Впрочем, приведенное репортером описание слишком лаконично и туманно, стоит подождать более конкретных дополнений. | 885 | 0 | Loading... |
26 Подоспели майские апдейты от Microsoft, в этот раз включающие патчи для 61 уязвимости, две из которых активно используются в реальных кибератаках. Ещё для одной в сети лежит готовый эксплойт.
Статус критической достался лишь одной бреши из набора — возможности удалённого выполнения кода в Microsoft SharePoint Server. По категориям проблемы в этот раз распределились следующим образом: 17 багов повышения прав; 2 проблемы обхода защитных функций; 27 уязвимостей удалённого выполнения кода; 7 дыр, приводящих к раскрытию информации; 3 возможности провести DoS; 4 бага, допускающих спуфинг.
Две уязвимости, закрытые в мае 2024 года, уже фигурируют в атаках киберпреступников, ещё одна имеет готовый общедоступный эксплойт.
CVE-2024-30040 — обход защитных функций в Windows MSHTML. Атакующему придётся обманом заставить жертву загрузить вредоносный документ, при запуске которого злоумышленник сможет выполнить произвольный код в системе.
CVE-2024-30051 — повышение прав, затрагивающее корневую библиотеку Windows DWM. Киберпреступник может получить привилегии уровня SYSTEM с помощью соответствующего эксплойта. Специалисты «Лаборатории Касперского» утверждают, что именно эта брешь используется в атаках Qakbot.
CVE-2024-30046 — проблема отказа в обслуживании, затрагивающая Microsoft Visual Studio. Готовый эксплойт для этой дыры лежит в сети, хотя в реальных атаках она пока замечена не была. | 890 | 0 | Loading... |
27 CISA и ФБР заявили, что в период с апреля 2022 года по май 2024 года операторы вымогателя Black Basta успешно атаковали более 500 организаций.
Совместный отчет, опубликованный в сотрудничестве с Министерством здравоохранения и социальных служб, а также Межштатным центром по обмену информацией и анализу, гласит, что группировка зашифровала и похитила данные у организаций в 12 из 16 секторов критической инфраструктуры.
Хотя не сообщается, что именно послужило поводом для публикации этого предупреждения, на прошлой неделе вымогателя Black Basta связывали с масштабной атакой на системы медицинского гиганта Ascension, в результате которой медики оказались вынуждены перенаправлять машины скорой помощи в незатронутые учреждения.
После взлома Ascension Министерство здравоохранения США тоже выпустило собственный бюллетень безопасности с предупреждением о том, что Black Basta «в последнее время увеличила количество атак на сектор здравоохранения».
ИБ-специалисты полагают, Black Basta является ребрендингом известной хак-группы Conti, так как на это указывают сходства используемых техник хакеров и стилей ведения переговоров. | 1 144 | 0 | Loading... |
28 🛡 Security Awareness: почему важно осознавать угрозы
По данным FraudWatch International, 95% нарушений кибербезопасности происходят из-за ошибки пользователя. И даже самые продвинутые технологии не смогут защитить компании от киберугроз, если сотрудники не осознают свою ответственность и не выполняют требования безопасности. Поэтому повышение уровня осведомленности о безопасности — это один из ключей к защите информации и предотвращению кибератак.
➡️ В новой статье на сайте рассказали, что такое Security Awareness и почему это направление играет особую роль для бизнеса и всей отрасли информационной безопасности в целом. | 1 218 | 0 | Loading... |
29 Исследовательская группа Cybernews обнаружила в Интернете колоссальный набор данных, содержащий личную информацию исключительно граждан Китая. Количество данных уже превысило 1,2 миллиарда записей и продолжает расти.
Первая запись в этот архив была добавлена 29 апреля, а всего за неделю количество данных увеличилось до 1 230 703 487 записей. Утечка занимает около 100 гигабайт и содержит в основном номера телефонов, но зачастую и другие чувствительные данные, такие как домашние адреса и номера удостоверений личности.
Большая часть данных собрана из ранее утекших публичных баз, но также присутствуют уникальные и ранее не виданные наборы данных. Исследователи предполагают, что за сбором данных стоит некая организованная группа с потенциально недобрыми намерениями.
Что входит в утечку:
- 668 304 162 записей, включающих номера учётных записей QQ и телефонные номера. QQ — чрезвычайно популярное приложение для социальных сетей в Китае, похожее на WhatsApp.
- 502 852 106 записей, содержащих идентификаторы учётных записей Weibo и номера телефонов. Weibo — китайская платформа микроблогов, похожая на гибрид Twitter и Facebook.
- 50 557 417 записей из базы данных ShunFeng, включающей номера телефонов, имена и адреса. ShunFeng предоставляет логистические/курьерские услуги в Китае.
- 8 064 215 записей в наборе данных Siyaosu, раскрывающих имена, номера телефонов, адреса и номера удостоверений личности.
- 746 310 записей Chezhu, включающих имена, номера телефона, адреса электронной почты, домашние адреса и номера удостоверения личности.
- 100 790 записей Pingan, содержащие имена, номера телефонов, адреса электронной почты, домашние адреса, заказанные услуги, номера карт и выплаченную сумму по страховке. Pingan — страховая компания в Китае.
- 78 487 записей в поддиапазоне Jiedai, включающих имена, телефонные номера, домашние адреса, номера удостоверений личности, места работы, данные об образовании, имена партнеров и их телефонные номера. | 1 027 | 0 | Loading... |
30 Исследователями издания TechCrunch было выявлено около четырёх десятков рекламных ссылок с доменом «gov.in», принадлежащих правительствам различных штатов Индии, таких как Бихар, Гоа, Карнатака, Керала, Мизорам и Телангана. Ссылки вели на платформы, которые позиционируются как «самая популярная в Азии платформа онлайн-ставок» и «ведущее приложение для ставок на крикет в Индии».
Как именно мошенники смогли разместить эти рекламные объявления на сайтах правительства и как долго действовали перенаправляющие ссылки, до сих пор не установлено. Некоторые из затронутых веб-страниц принадлежат таким серьёзным организациям, как департамент полиции и отдел по налогообложению имущества.
Обнаружив проблему в начале недели, представители издания немедленно сообщили о ней в Индийскую службу компьютерных чрезвычайных ситуаций (CERT-In), предоставив примеры затронутых сайтов.
Через некоторое время агентство CERT-In подтвердило получение информации и сообщило о начале расследования.
На текущий момент неизвестно, была ли устранена уязвимость, которая позволила несанкционированный доступ к сайтам, однако работа по этому киберфронту ведётся максимально активно.
В июне прошлого года журналисты TechCrunch уже сообщали о подобных случаях мошенничества, когда через уязвимости в CMS-системе на американских государственных сайтах публиковались объявления о предоставлении услуг по взлому Instagram. | 923 | 0 | Loading... |
31 В сети распространяется мошенническая схема по угону Telegram-аккаунтов. Разводилы пользуются пробелами в знаниях пользователей, чтобы заставить их самостоятельно отдать всё.
Мошенники пишут жертве в Telegram под видом техподдержки мессенджера. Они утверждают, что получили заявку на полное удаление аккаунта, и спрашивают подтверждения. Когда человек говорит, что никаких заявок не оставлял, разводилы присылают ссылку, по которой якобы нужно подтвердить свой отказ от удаления.
Разумеется, сайт стилизован под официальный, а после перехода нужно ввести данные аккаунта, в том числе одноразовый код и облачный пароль. Получив всё это, разводилы мигом меняют пароль и используют учетную запись для фишинга от имени её прежнего владельца.
Чтобы избежать обмана, Роскачество призывает пользователей использовать сложные пароли, подключать двойную аутентификацию и быть осторожными при переходе по подозрительным ссылкам в Telegram. | 883 | 1 | Loading... |
32 Исследователи кибербезопасности из Citizen Lab уже не первый год отслеживают деятельность израильской компании NSO Group, разработчика шпионского ПО Pegasus. В 2019 году специалисты выявили, что данное программное обеспечение использовалось для взлома телефонов журналистов и защитников прав человека через уязвимость в WhatsApp.
Несмотря на благие намерения исследователей, компания NSO, находящаяся в чёрном списке правительства США, активно судится с Citizen Lab, пытаясь выведать методы, которыми компания проводила свой анализ. Суд, впрочем, последовательно отклоняет попытки NSO получить доступ к документации Citizen Lab, однако обстановка продолжает постепенно накаляться.
Судебное разбирательство против NSO началось ещё в 2019 году, когда WhatsApp и Meta подали в суд на производителя шпионского софта, обвиняя его в отправке вредоносных программ на около 1400 устройств по всему миру.
В последнее время NSO активно пытается пересмотреть свой медийный образ, особенно после включения в черный список в 2021 году. Так, в ноябре прошлого года после атак ХАМАС 7 октября компания обратилась в Госдепартамент с предложением обсудить использование Pegasus как «критически важного инструмента в борьбе с терроризмом».
Судебные иски против NSO включают не только дело WhatsApp, но и другие иски, в том числе от журналистов из Сальвадора, компании Apple и вдовы убитого журналиста Джамаля Хашогги. Все эти иски в той или иной степени опираются на исследования Citizen Lab. В связи с чем, как было сказано выше, NSO уже дважды пыталась добиться предоставления дополнительной информации от Citizen Lab по поводу методов их расследования.
Первая попытка была отклонена в марте, а вторая в апреле этого года. Судья Гамильтон осудила требования NSO как «явно чрезмерные». Однако она оставила компании шанс попробовать ещё раз, если NSO сможет предоставить доказательства того, что лица, отнесённые Citizen Lab к категории целей из гражданского общества, фактически занимались «криминальной/террористической деятельностью». | 960 | 2 | Loading... |
33 Microsoft развертывает GPT-4 в изолированной от интернета облачной среде Azure Government Top Secret, предназначенной для использования армией США. О решении стало известно по итогам интервью с Уильямом Шаппелем, главным техническим директором по стратегическим миссиям и технологиям.
Новая система предназначена для обработки огромных объемов секретной информации в интересах американских разведывательных служб. Это первый случай, когда LLM-модель функционирует в полной изоляции от Всемирной паутины и работает по принципу Air Gap. Такой подход позволяет предотвратить утечку или преднамеренный взлом данных.
Как только технология получит необходимые аккредитации, Пентагон сможет использовать GPT-4 в защищенной среде.
Microsoft, являющаяся крупным инвестором OpenAI, гарантирует, что Пентагон сможет использовать возможности генеративного ИИ в безопасной среде без риска разглашения секретной информации. По словам Шаппелла, благодаря возможностям GPT-4, которые Microsoft развернула через Azure OpenAI Service в Azure Government Top Secret, Пентагон сможет адаптировать технологию под свои нужды, настраивать ее и добавлять собственные данные.
Работа над системой длилась 18 месяцев, в том числе капитальный ремонт существующего ИИ-суперкомпьютера в Айове. Модель, размещенная в облаке, является статической, то есть она может читать файлы, но не учиться на их основе или в открытом Интернете. По словам Шаппелла, правительство может сохранить свою модель «чистой» и предотвратить попадание конфиденциальной информации на платформу. По его словам, около 10 000 человек теоретически смогут получить доступ к ИИ.
Шаппелл отметил, что в коммерческом использовании уже применяются аналогичные приложения, и теперь правительство сможет разрабатывать подобные решения для своих задач. Однако Шаппелл отказался прогнозировать точную дату аккредитации GPT-4 для работы с секретными данными, подчеркнув, что процесс аккредитации находится под контролем правительства. | 1 168 | 2 | Loading... |
34 🛡 Канал для специалистов по информационной безопасности
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
➡️ Подписывайтесь и будьте в курсе ИБ вместе с @svplatform | 1 081 | 0 | Loading... |
35 Минцифры расширило список данных, который организаторы хранения информации хранят и передают по запросу силовым ведомствам: теперь в него входит не только IP-адрес пользователя, но и его сетевой порт.
Сетевые порты — это виртуальные конечные точки, которые соединяют передачу данных между несколькими приложениями, службами или устройствами в сети.
Специалисты утверждают, что иногда очень сложно определить пользователей, размещающих незаконную информацию в интернете, поэтому данные изменения позволят увеличить эффективность работы силовиков.
Документ был опубликован на официальном портале проектов правовых актов.
По закону к организаторам хранения информации относится любое физическое или юридическое лицо, владеющее сайтом с функцией коммуникации между пользователями.
А это соцсети, мессенджеры, файловые хранилища, онлайн-магазины, площадки объявлений и другие.
В рамках закона о «суверенном Рунете» данные об IP-адресах сайтов и пользователей уже сохраняются.
Согласно пояснительной записке, сложность заключается в определении, кому из абонентов принадлежит IP-адрес. Ведь организаторы хранения информации используют разные методы оптимизации нагрузки и защиты от DDoS-атак, а также перенаправляют запросы пользователей и не протоколируют их порты. А некоторые абоненты и вовсе могут задействовать виртуальные частные сети и прокси-серверы.
Уже осенью Роскомнадзор планирует начать собирать с операторов связи географические координаты всех используемых ими IP-адресов. По мнению специалистов, данная стратегия позволит увеличить эффективность борьбы с DDoS-атаками и позволит точечно блокировать ресурсы, размещающие незаконную информацию, в отдельно взятых регионах. | 1 012 | 3 | Loading... |
36 Лаборатория Касперского представила обзор изменений в ландшафте киберугроз за первый квартал 2024 года. В отчёте отмечается рост числа уязвимостей в программном обеспечении, что подчеркивает важность своевременной реакции на новые угрозы.
По статистике, последние 5 лет демонстрируют устойчивый рост количества уязвимостей, зарегистрированных с CVE-идентификаторами. Такая тенденция связана с развитием программ поощрения за выявление уязвимостей и соревнований по поиску недостатков в системе безопасности, что стимулирует научные исследования в этой области.
Кроме того, разработчики популярного ПО, операционных систем и языков программирования внедряют все более эффективные механизмы защиты и мониторинга, что также приводит к частому обнаружению уязвимостей. Наконец, с увеличением сложности и количества программных продуктов возрастает и вероятность появления новых уязвимостей.
В 2023 году было зарегистрировано рекордное количество критических уязвимостей. Например, доля критических уязвимостей в первом квартале 2024 года остаётся высокой, что указывает на необходимость усиления защитных мер и внедрения менеджмента исправлений.
Отчёт также выделяет важность эксплойтов — программ, позволяющих использовать уязвимости для вредоносных целей. Статистика показывает, что наибольший интерес среди злоумышленников вызывают уязвимости, которые позволяют получить контроль над системой.
Дополнительно приводится анализ эксплуатации уязвимостей в рамках APT-атак, которые нацелены на инфраструктуры организаций. В 2023 году особенно активно эксплуатировались уязвимости в сервисах удалённого доступа и механизмах разграничения доступа.
В первом квартале 2024 года наблюдалось значительное количество эксплойтов, направленных на серверы Microsoft Exchange. Кроме того, многие эксплойты затрагивали различные программные продукты, используемые в бизнес-системах для решения разнообразных задач, что связано с широким спектром ПО, которое может быть интегрировано в корпоративные сети. | 1 062 | 0 | Loading... |
37 В начале 2024 года в киберпространстве активизировалась группировка MorLock, атакующая предприятия с использованием программ-вымогателей. За короткий период времени было атаковано не менее 9 крупных и средних российских компаний. О тактике группы рассказали специалисты F.A.C.C.T. в новом отчете.
Злоумышленники MorLock используют вымогательские программы LockBit 3.0 и Babuk, что характерно и для других кибергрупп, но благодаря уникальным тактикам, техникам и процедурам MorLock удается выделить среди прочих. Группа предпочитает действовать втайне, не проявляя активности на киберфорумах и в соцсетях, контакты для выкупа передают через зашифрованные каналы коммуникации.
Интересный момент в деятельности MorLock связан с отсутствием эксфильтрации данных перед их шифрованием, что сокращает время проведения атаки и уменьшает шансы на предотвращение инцидента. В случаях успешной атаки компании-жертвы сталкиваются с требованиями о выкупе, размер которого может достигать сотен миллионов рублей.
Как начальный вектор атаки MorLock часто использует уязвимости в публично доступных приложениях, например, Zimbra, или скомпрометированные учетные данные, приобретенные на закрытых торговых платформах. Для дальнейшего распространения вредоносного ПО в сетях жертв применяются инструменты – Sliver для постэксплуатации и SoftPerfect Network Scanner для сетевой разведки. Некоторые инструменты киберпреступники загружали на хосты непосредственно с официальных сайтов с помощью веб-браузера жертвы.
Особенность MorLock также в том, что в случае наличия в сети жертвы «популярного российского корпоративного антивируса», атакующие получают доступ к его административной панели, отключают защиту и используют этот вектор для дальнейшего распространения вредоносного ПО.
Инструменты и методы MorLock постоянно развиваются, а список индикаторов компрометации доступен для общего ознакомления на GitHub, что позволяет IT-специалистам и компаниям-жертвам оперативно реагировать на угрозы. | 1 257 | 0 | Loading... |
38 Исследователи из компании Oversecured обнаружили многочисленные уязвимости в различных приложениях и системных компонентах устройств Xiaomi и Google, работающих под управлением Android. По словам экспертов, эти баги дают доступу к произвольным операциям, ресиверам и сервисам с системными привилегиями, чреваты кражей произвольных файлов, а также утечкой данных устройства, настроек и учетной записи.
В Oversecured сообщают, что 20 уязвимостей затрагивают различные приложения и компоненты Xiaomi, включая:
Gallery;
GetApps;
Mi Video;
MIUI Bluetooth;
Phone Services;
Print Spooler;
Security;
Security Core Component;
Settings;
ShareMe;
System Tracing;
Xiaomi Cloud.
Отмечается, что Phone Services, Print Spooler, Settings и System Tracing являются легитимными компонентами из Android Open Source Project (AOSP), но они были модифицированы китайским производителем для добавления дополнительной функциональности, что и привело к появлению обнаруженных недостатков.
Среди наиболее значимых проблем, найденных исследователями, можно отметить инъекцию шелл-команд, затрагивающую приложение System Tracing, а также ошибки в приложении Settings, которые могли привести к хищению произвольных файлов, а также утечке через намерения информации об устройствах Bluetooth, подключенных сетях Wi-Fi и экстренных контактах.
Также был обнаружен баг, связанный с повреждением памяти в приложении GetApps, которое, в свою очередь, берет начало от Android-библиотеки LiveEventBus. По словам Oversecured, сопровождающим проекта сообщили о проблеме больше года назад, однако она до сих пор не устранена.
Oversecured пишет, что уведомила Xiaomi об уязвимостях в конце апреля 2023 года, и к настоящему времени все проблемы уже устранены. Теперь пользователям рекомендуется как можно скорее установить последние обновления для защиты от потенциальных рисков.
Интересно, что помимо перечисленного исследователи обнаружили еще шесть уязвимостей в ОС Google в целом. Две из них характерны для устройств Pixel, а остальные четыре затрагивают любые Android-устройства. | 899 | 0 | Loading... |
39 🏆 Ими не рождаются, ими становятся: кто такой Security Champion и где компании его найти
Безопасная разработка ПО предполагает, что все уязвимости будут выявлены и исправлены до того, как их найдут злоумышленники. При этом желательно уделять внимание вопросу безопасности продукта на всех фазах жизненного цикла ПО: от определений потребностей и планирования до развертывания. Такой подход позволяет снизить затраты компании и риски благодаря выявлению слабых мест на ранних этапах. В команде разработчиков контролем безопасности занимается Security Champion.
➡️ В новой статье на сайте обсудили с экспертами роль Security Champion в команде, его преимущества и навыки. | 1 216 | 0 | Loading... |
40 Команда Google разработала новый способ идентификации оригинальных государственных приложений.
Новое обозначение правительственных приложений появилось в Google Play Store. Оно выглядит как небольшой значок в виде здания с колоннами, подписанное словом Government и найти его можно в верхней части странички с описанием приложения, рядом с рейтингом и возрастной категорией.
Новое обозначение усложнит жизнь мошенникам: теперь будет невозможно выдать фейковое приложение за правительственное, даже если модерация Google Play Store и пропустит клона в магазин. Единственными жертвами фейков будут лишь самые невнимательные пользователи.
Чтобы получить значок, госучреждения-владельцы приложений должны соблюсти определенные условия, например, использовать для аккаунта разработчика официальный email ведомства. Сейчас приложения активно получают новое обозначение в США и некоторых странах Европы и Азии, а через некоторое время нововведение распространится на весь мир. | 1 002 | 0 | Loading... |
Photo unavailableShow in Telegram
Компания Google снова патчит уязвимость нулевого дня в своем браузере Chrome, которая уже использовалась в атаках. Это исправление стало уже четвертым за последние две недели и восьмым патчем для 0-day в Chrome в этом году.
Свежая уязвимость имеет идентификатор CVE-2024-5274 и была обнаружена внутри компании, специалистом Google. Сообщается, что проблема типа type confusion была выявлена в JavaScript-движке V8, который отвечает за выполнение JS-кода в браузере.
Уязвимости этого типа возникают в том случае, если программа выделяет участок памяти для хранения данных определенного типа, но ошибочно интерпретирует их как данные иного типа. Обычно такие баги приводят к сбоям, повреждению данных, а также выполнению произвольного кода.
Разработчики предупредили, что им известно о существовании эксплоита для CVE-2024-5274, и уязвимость уже находилась под атаками.
Исправление для этого бага вошло в состав Chrome версий 125.0.6422.112/.113 для Windows и Mac, а пользователи Linux должны получить обновление в версии 125.0.6422.112 в ближайшие недели.
Photo unavailableShow in Telegram
Новая вредоносная рекламная кампания, использующая Google Ads, взяла в оборот тему выхода браузера Arc для Windows. Клюнувшие пользователи получают троянизированный установщик.
Arc — сравнительно недавно появившийся на рынке браузер, который в первую очередь выделяется необычным интерфейсом и способом управления вкладками.
В июле 2023 года разработчики запустили версию Arc для macOS, а совсем недавно — подготовили релиз и для любителей Windows.
На злонамеренную рекламную кампанию обратили внимание исследователи из Malwarebytes. Киберпреступники заранее подготовились к запуску Windows-версии Arc и начали крутить рекламу в поисковой выдаче Google.
Как известно, у рекламной платформы Google есть серьезная проблема: злоумышленники могут маскировать в выдаче рекламу ссылками на легитимные сайты. В текущей кампании специалисты Malwarebytes зафиксировали объявления по запросу «arc installer» и «arc browser windows», отображающие URL на корректные ресурсы.
Однако после того как пользователь пройдет по такой ссылке, его перебрасывают на вредоносные сайты, замаскированные под легитимные.
Если нажать на кнопку «Download», с хостинговой платформы MEGA загрузится троянизированная версия установщика. Последняя подгружает со стороннего ресурса другой пейлоад — «bootstrap.exe».
Более того, API сервиса MEGA используется для отправки команд вредоносу и получения данных. Далее установщик фетчит изображение в формате PNG, содержащее вредоносный код и сбрасывающее конечный пейлоад — JRWeb.exe.
Поскольку жертва действительно получает установленный браузер Arc, а вся вредоносная активность происходит в фоне, вряд ли она догадается о присутствии трояна.
Photo unavailableShow in Telegram
В GitLab исправили серьезную XSS-уязвимость, которую неаутентифицированные злоумышленники могли использовать для захвата учетных записей пользователей.
Проблема отслеживается под идентификатором CVE-2024-4835 и представляет собой XSS в редакторе кода VS. Она позволяла злоумышленникам в один клик похищать закрытую информацию с помощью вредоносных страниц.
Хотя для атак не требовалась аутентификация, взаимодействие с пользователем все же было необходимо, что повышало сложность эксплуатации.
Помимо упомянутой XSS-проблемы, компания исправила еще шесть других уязвимостей, включая CSRF в Kubernetes Agent Server и ошибку отказа в обслуживании, с помощью которой злоумышленники могли нарушать загрузку веб-ресурсов GitLab.
Стоит отметить, что ранее в этом месяце CISA предупреждало, что злоумышленники активно эксплуатируют другую zero-click проблему в GitLab, CVE-2023-7028, которая тоже позволяет захватить чужую учетную запись.
Photo unavailableShow in Telegram
В Минцифры прошло совещание с представителями IT-компаний, операторов связи и банков, на котором обсуждалась идея создания единой платформы для реагирования на кибератаки. Участники рынка должны были подготовить предложения по реализации этой инициативы.
Операторы связи Tele2, «Вымпелком» и «МегаФон» подтвердили свое участие в совещании и готовность участвовать в разработке концепции новой платформы. Заместитель главы Минцифры заявил, что там намерены создать с бизнесом «единую цифровую платформу», где объединятся системы «Антифрод», «Антифишинг» и банковские специализированные системы.
Хотя участники рынка в целом не против этой идеи, некоторые считают ее пока недостаточно проработанной и непонятной в плане конечной цели.
Один из рассматриваемых сценариев предполагает разделение реагирования на киберинциденты между крупными участниками рынка. Силовые ведомства будут играть скорее контролирующую роль, что может выражаться как в проверках компаний на соблюдение требований кибербезопасности, так и в вынесении решений по штрафам за допущенный инцидент.
В России уже действует ряд систем противодействия киберугрозам, таких как ГосСОПКА, «Антифрод», «Антифишинг», ФинЦЕРТ и внутренние сервисы компаний. Новая платформа может стать развитием системы «Антифрод».
Компании финансового сектора, принимающие участие в диалоге с Минцифры, считают, что новая платформа должна стать развитием системы «Антифрод». Представители Тинькофф-банка называют проект «ТелекомЦерт», поясняя, что участники рынка смогут собрать информацию о мошенничестве и анализе звонков злоумышленников. В банке считают «логичным» ужесточение ответственности операторов за пропуск мошеннического трафика.
Эксперты считают создание такой платформы технически реализуемым, но отмечают необходимость специализированной архитектуры, многоуровневой защиты данных и совместимости с существующими системами. Основной вызов - защита самой платформы от уязвимостей.
Photo unavailableShow in Telegram
Группа ученых из Университета Цинхуа рассказала о новом методе DDoS-атак, который получил название DNSBomb. Для организации мощных DDoS-атак в данном случае используется DNS-трафик.
Фактически DNSBomb представляет собой новую вариацию атаки двадцатилетней давности. Так, в 2003 году было опубликовано исследование, в котором описывалась DDoS-атака с использованием TCP-пульсации. Такие атаки используют повторяющиеся короткие всплески больших объемов трафика для воздействия на целевую систему или сервис. Подобные импульсы могут длиться до нескольких сотен миллисекунд с периодичностью раз в несколько секунд, а атака в целом может продолжаться несколько часов или дней. Обычно пульсирующие DDoS-атаки сложнее обнаружить.
DNSBomb применяет тот же подход, но в другой реализации: эксплуатирует DNS-софт и современную инфраструктуру DNS-серверов, включая рекурсивные резолверы и авторитетные nameserver'ы.
В сущности, DNSBomb работает путем отправки медленного потока специально подготовленных DNS-запросов на DNS-серверы, которые пересылают данные, наращивают размеры пакетов и накапливают их, чтобы потом выпустить все сразу в виде мощного импульса DNS-трафика, направленного прямо на цель.
Исследователи пишут, что в рамках тестов они использовали DNSBomb против 10 распространенных DNS-программ и 46 публичных DNS-сервисов, и добились атаки мощностью до 8,7 Гбит/сек. При этом исходный DNS-трафик был усилен в 20 000 раз от своего первоначального размера.
В итоге атака приводит к полной потере пакетов или ухудшению качества обслуживания как на соединениях без сохранения состояния, так с сохранением.
Ученые сообщают, что уведомили о проблеме все затронутые стороны, и 24 организации уже работают над исправлениями или выпустили патчи. При этом среди пострадавших организаций числятся наиболее известные DNS-провайдеры мира.
Проблеме DNSBomb был присвоен основной CVE-идентификатор CVE-2024-33655, а также ряд других идентификаторов, связанных с конкретными DNS-решениями.
Photo unavailableShow in Telegram
🛡 Канал для специалистов по информационной безопасности
Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости.
➡️ Подписывайтесь и будьте в курсе ИБ вместе с @svplatform
Photo unavailableShow in Telegram
ИБ-компания CloudSEK предупреждает о мошенниках, которые продают поддельное ПО, рекламируемое как Pegasus от NSO Group.
Поддельная программа была обнаружена после анализа около 25 000 сообщений людей, предлагающих Pegasus и другие инструменты NSO Group в Telegram. Затем специалисты взаимодействовали с более чем 150 потенциальными продавцами, которые предоставили доступ к 15 образцам и более 30 индикаторам компрометации.
Индикаторы компрометации включали исходный код предполагаемых образцов Pegasus, демонстрации работы образцов в реальном времени и структуру файлов. Почти все образцы были мошенническими и неэффективными, но некоторые продавались за сотни тысяч долларов. Один из продавцов предложил постоянный доступ к Pegasus за $1,5 миллиона и заявил, что совершил 4 продажи за 2 дня.
Поддельное шпионское ПО также было найдено на других платформах для обмена кодами, где, по утверждениям CloudSEK, злоумышленники распространяли свои собственные случайно сгенерированные исходные коды.
CloudSEK начала исследование продаж Pegasus после того, как Apple в апреле решила прекратить приписывать атаки с использованием шпионского ПО конкретному источнику, и вместо этого стала классифицировать их как mercenary spyware attack.
CloudSEK была не единственной организацией, которая действовала после изменения политики Apple. Исследователи компании обнаружили, что мошенники, продающие поддельный «постоянный доступ» к Pegasus, внутри радовались и приветствовали уведомление Apple.
CloudSEK отмечает, что продавцы мошеннического кода получают не только выгоду от известного бренда, рекламируя продукт как принадлежащий NSO Group, но это также помогает им оставаться вне поля зрения, продавая специально разработанное шпионское ПО под именем другой компании.
На данный момент NSO Group не предоставила комментариев по поводу подделок и их воздействия на бизнес компании.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира.
Photo unavailableShow in Telegram
Разработчики LastPass добавили новую интересную функциональность: теперь менеджер паролей будет шифровать URL, сохранённые вместе с учётными данными. Это поможет снизить риски при утечках и несанкционированном доступе.
Вы наверняка знаете, как это работает: когда пользователь LastPass заходит на какой-либо ресурс, менеджер паролей сверяет URL с теми, что сохранены в аккаунте. Эта функциональность нужна для автоматической подстановки учётных данных.
Ранее занесённые ссылки не шифровались, по словам девелоперов, из-за малых мощностей. LastPass не должен был сильно нагружать процессор и хорошим тоном было минимизировать энергопотребление.
Однако так было в 2008 году, когда менеджер паролей увидел свет, а сегодня аппаратное обеспечение шагнуло далеко вперёд. Шифровать и расшифровывать такие URL теперь можно на лету, и пользователь даже ничего не заметит.
Чтобы усилить защиту данных веб-сёрферов, разработчики LastPass наконец решили добавить шифрование URL.
Photo unavailableShow in Telegram
В марте команда безопасности WhatsApp сообщила о серьёзной угрозе для пользователей мессенджера. Несмотря на мощное шифрование, пользователи по-прежнему уязвимы для правительственного надзора. Внутренний документ, полученный The Intercept, утверждает, что содержание переписок 2 миллиардов пользователей остается защищенным, однако правительственные агентства могут обходить шифрование, чтобы определить, кто общается друг с другом, выяснить состав частных групп и, возможно, даже местоположение пользователей.
Уязвимость связана с анализом трафика - методом мониторинга сетей, основанным на наблюдении за интернет-трафиком в национальном масштабе. Документ указывает, что WhatsApp не является единственным сервисом, подверженным такой угрозе. Согласно внутренней оценке, компании Meta, владеющей WhatsApp, рекомендуется принять дополнительные меры безопасности для защиты небольшой, но уязвимой части пользователей. Эти меры могут включать более надежное шифрование трафика, маскировку метаданных и другие способы противодействия анализу трафика на национальном уровне.
На фоне продолжающегося вооруженного конфликта в секторе Газа предупреждение об уязвимости вызвало серьезную озабоченность у некоторых сотрудников Meta. Сотрудники WhatsApp выразили опасения, что эта уязвимость потенциально может быть использована израильскими спецслужбами для слежки за палестинцами в рамках своих оперативных программ в секторе Газа, где цифровое наблюдение играет роль при определении целей. Четыре сотрудника, пожелавшие остаться неназванными, сообщили The Intercept о том, что такие опасения имели место внутри компании. При этом важно отметить, что никаких конкретных доказательств злоупотребления уязвимостью на тот момент представлено не было.
Представитель Meta заявила, что у WhatsApp нет уязвимостей и документ отражает лишь теоретическую возможность, не уникальную для WhatsApp.
Photo unavailableShow in Telegram
Специалисты Elastic Security Labs и Antiy выявили новую кампанию по добыче криптовалюты под кодовым названием REF4578, в ходе которой вредоносное ПО GhostEngine использует уязвимые драйверы для отключения антивирусных программ и запуска майнера XMRig.
Elastic Security Labs и Antiy отметили высокую степень сложности атаки. В своих отчетах компании поделились правилами обнаружения угрозы, чтобы помочь защитникам обнаруживать и останавливать такие атаки. Однако ни один из отчетов не связывает деятельность с известными хакерскими группами и не предоставляет деталей о жертвах, поэтому происхождение и масштаб кампании остаются неизвестными.
Пока неясно, каким образом злоумышленникам удается взломать серверы, однако атака начинается с выполнения файла Tiworker.exe, который маскируется под легитимный файл Windows. Исполняемый файл является первой стадией запуска GhostEngine, который представляет собой PowerShell-скрипт для загрузки различных модулей на зараженное устройство.
После запуска Tiworker.exe скачивает скрипт get.png с C2-сервера, который служит основным загрузчиком GhostEngine. PowerShell-скрипт загружает дополнительные модули и их конфигурации, отключает Windows Defender, включает удаленные службы и очищает различные журналы событий Windows.
Скрипт проверяет наличие как минимум 10 МБ свободного места на диске, чтобы продолжить заражение, и создает запланированные задачи для обеспечения устойчивости угрозы. Затем скрипт загружает и запускает исполняемый файл smartsscreen.exe – основное вредоносное ПО GhostEngine. Программа отключает и удаляет EDR-решения, а также загружает и запускает XMRig для майнинга криптовалюты.
Для отключения программ защиты GhostEngine загружает 2 уязвимых драйвера: aswArPots.sys для завершения процессов EDR и IObitUnlockers.sys для удаления связанных исполняемых файлов.
Специалисты Elastic рекомендуют защитникам обратить внимание на подозрительные выполнения PowerShell, необычную активность процессов и сетевой трафик, указывающий на криптовалютные пулы.