Полезные знания Обзор событий по кибербезопасности

fenix · 29/3/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Хакеры взламывают сайты под управлением WordPress — чтобы внедрить вредоносные скрипты, которые используют браузеры посетителей для осуществления DDoS-атак на украинские ресурсы.

Исследователи MalwareHunterTeam обнаружили взломанный сайт на WordPress. На нём использовался вышеупомянутый скрипт, который атаковал десять сайтов, в том числе ресурсы украинских правительственных, научных и финансовых организаций. Также это коснулось сайтов для рекрутинга добровольцев в Интернациональный легион территориальной обороны Украины.

Microsoft предоставила пользователям Windows возможность блокировать драйверы с уязвимостями с помощью Windows Defender Application Control и «чёрного списка» уязвимых драйверов.

Новая опция является частью набора функций безопасности Core Isolation — для устройств, использующих безопасность на основе виртуализации. Функция работает на устройствах под управлением Windows 10, Windows 11 и Windows Server 2016 и более поздних версий с включённой функцией Hypervisor-Protected Code Integrity, а также на системах под управлением Windows 10 в S-режиме.

Программный уровень безопасности WDAC, который блокирует уязвимые драйверы, защищает системы Windows от потенциально вредоносного программного обеспечения, гарантируя запуск только надежных драйверов и приложений.

Киберпреступники используют скомпрометированные серверы Microsoft Exchange для рассылки спама по электронной почте и последующего заражения компьютерных систем вредоносным ПО IcedID.

IcedID — это бэкдор, предоставляющий возможность устанавливать другие вредоносные программы, в том числе вымогатели. Жертвы получают зашифрованный ZIP-файл с паролем и инструкциями по открытию содержимого архива. При этом запускается загрузчик, который развёртывает IcedID на компьютере.

ИБ-специалисты из FortiGuard Labs обнаружили электронное письмо с вредоносным ZIP-файлом, отправленное украинской топливной компании. В ходе этой кампании также использовались скомпрометированные серверы Microsoft Exchange. Вредоносная активность была выявлена в марте нынешнего года, и преступники нацелены на энергетические, медицинские, юридические и фармацевтические организации.

В сеть утекли данные пользователей Россграм. Это российский аналог Instagram, который должен запуститься сегодня.

Все, кто оставил заявку на регистрацию до запуска, получили фейковые письма якобы от администрации сайта. Ссылка, оставленная внутри, ведёт на скачивание вредоносного приложения с Google Диск'а.

Представители Россграма подтвердили факт утечки в своём сообществе.

fenix · 30/3/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Размер оплаты начинается от 5000 рублей и может достигать 400 000 и более

Ранее международная платформа по поиску выплате награждений за найденные уязвимости HackerOne приостановила выплаты белым хакерам из из России и Белоруссии за обнаруженные ими уязвимости.

Баг баунти – это программа, по которой «этичные хакеры» получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости. Создаваемая платформа позволит экспертам по информационной безопасности легально получать вознаграждения за найденные уязвимости в продуктах участников программы баг баунти. Компания же, в свою очередь, при размещении на платформе, дает свое согласие на то, чтобы ее "ломали". При этом может ограничивать хакеров в своих действиях, например, запрещать применять социальную инженерию, не атаковать других пользователей системы или приложения.

С 1 апреля 2022 года публичные программы bug bounty открывает платформа компании «Киберполигон», в мае появится платформа Positive Technologies, пишет «Коммерсантъ». Аналогичный проект анонсировал «Ростелеком», но статус проекта пока неизвестен.

В ноябре 2021 года Positive Technologies анонсировала онлайн-платформу The Standoff 365 для проведения онлайн киберучений. В декабре завершилось ее бета-тестирование. The Standoff 365 состоит из киберполигона, на котором воссозданы операционные и бизнес-процессы топливно-энергетического комплекса и платформы баг баунти, на которой хакеры, обнаружившие уязвимости смогут получать вознаграждения. А компании, которые будут участвовать в таких программах смогут привлекать внешнюю экспертизу, тем самым улучшать уровень своей информационной безопасности. MVP готовится к первому дню форума Positive Hack Days, то есть к 18 мая. Несмотря на сжатые сроки, мы получаем и учитываем идеи наших потенциальных клиентов, чей опыт будет полезен в наборе функционала. К примеру, именно так мы дорабатывали систему биллинга для понимания клиента того, как и на что расходуется его бюджет, возможность публично раскрывать отчеты хакеров для привлечения внимания к программе и платформе.

Размер оплаты за отдельную ошибку начинается от 5000 рублей и может достигать 400 000 и более. При этом, цена за реализацию недопустимых событий может быть в десятки раз больше.

«Киберполигон» рассчитывает, что на платформе появится 10-15 публичных программ bug bounty за один-два месяца и столько же частных. Количество «белых хакеров» на ней составит до 2,5 тысяч, планируют в компании. Максимальная сумма вознаграждения за критичную уязвимость в одной из программ, которые появятся на платформе в апреле, составляет 3 млн рублей.

Израильская полиция использовала для слежки за израильтянами не Pegasus, а другой инструмент NSO – Saifan.

Глава израильского производителя шпионского ПО NSO Group сообщил, что его компания продавала полиции Израиля облегченную версию шпионской программы Pegasus, которая, однако, в отличие от международной экспортной версии, была оснащена функцией доступа к израильским телефонам.

Напомним, в начале текущего года в СМИ появилась информация о том, что полиция Израиля годами использовала Pegasus для удаленного взлома смартфонов граждан страны и негласного наблюдения за ними. Слежка, за которую отвечал специальный отдел полицейского управления киберразведки SIGINT, велась без разрешения суда и контроля над тем, какие данные собираются с устройств.

Полиция отрицала данные сообщения. Как показало инициированное премьер-министром Израиля Нафтали Беннеттом расследование, в ходе которого были изучены журналы NSO о целях наблюдения за клиентами, сообщения в СМИ не имеют под собой оснований.

Тем не менее, соучредитель и исполнительный директор NSO Шалев Хулио сообщил в эфире радиостанции Тель-Авива 103 FM о том, что израильская полиция использовала «не Pegasus, а систему под названием Saifan, которая, по сути, является облегченной версией Pegasus [...] с меньшими возможностями и более узким предназначением».

По словам Хулио, NSO предоставила по запросу правительства свои «журналы аудита» израильтян, за которыми полиция вела слежку с помощью шпионского ПО. Это косвенно признавало, что Saifan может взламывать израильские сотовые телефоны – то, что, как давно утверждала NSO, невозможно сделать с помощью Pegasus.

«У Pegasus есть защитный механизм, который предотвращает его использование против израильских номеров. Каждый пакет, когда-либо проданный клиенту за границей, никоим образом не может быть использован против израильских номеров. Так устроен Pegasus», – пояснил Хулио.

Вымогательская группировка Lapsus$ вернулась к своей преступной деятельности, несмотря на арест семерых предполагаемых участников. Специалисты организации VX-Underground поделились свидетельствами атаки на люксембургскую консалтинговую компанию по разработке программного обеспечения Globant. Преступники предположительно получили доступ к 70 ГБ данных компании.

На снимках экрана показаны папки с названиями Facebook, «apple-health-app», а также упоминаются мегакорпорации DHL, Citibank и BNP Paribas. Неизвестно, являются ли папки свидетельством раскрытия клиентских данных. Еще одна папка называется Arcserve и предположительно указывает на одноименного поставщика управления данными или, возможно, просто на резервные копии Globant.

Кроме того, Lapsus$ продолжает доставлять проблемы компании Okta, публикуя новую информации о своей кибератаке . Исследователь в области кибербезопасности Билл Демиркапи (Bill Demirkapi) обнаружил документы, в которых подробно описывается атака на аутсорсингового поставщика технической поддержки Sitel, нанятого Okta.

Документы представляют собой журнал атаки на Sitel, и подробно описывают вход в систему через RDP с последующим поиском «инструментов повышения привилегий на GitHub». Есть также свидетельства загрузки вредоносных программ, прекращения процессов программного обеспечения безопасности и дальнейших вредоносных действий.

Предположительно, Lapsus$ получила доступ к файлу DomAdmins-LastPass.xlsx. LastPass — популярное приложение для управления паролями, а DomAdmins может быть сокращением от Domain Administrators («Администраторы домена»). В других документах, обнаруженных Демиркапи, упоминается доступ суперпользователя к файлам.

Утечка данных раскрыла все подробности официальных протоколов заседаний Министерства финансов Пакистана.

Утечка официальных данных министерства финансов Пакистана стала, по-видимому, самым большим нарушением кибербезопасности, с которым когда-либо сталкивалось пакистанское учреждение.

В декабре 2021 года неизвестный хакер заявил о взломе компьютерных систем Министерства финансов Пакистана, однако факт кибератаки был опровергнут пресс-секретарем министерства Музаммилом Асламом. Спустя три месяца хакер обнародовал некоторые конфиденциальные данные министерства, включая конфиденциальную информацию, относящуюся к другим странам, международным финансовым организациям, национальным учреждениям, министерствам и ведомствам. В качестве доказательства хакер поделился набором данных электронной почты чиновника Министерства финансов за период с 2014 года по 2021 год. Получателями электронных писем чиновника были Китай, США, Саудовская Аравия и десятки других стран.

Как сообщило издание ProPakistani, электронные письма, связанные с Китаем, касались проектов Китайско-пакистанского экономического коридора (China Pakistan Economic Corridor, CPEC), истребителя-бомбардировщика JF-17 Thunder Block-III, погашения и реструктуризации китайских кредитов и других совместных предприятий между обеими странами. Данные также содержали подробную информацию о погашении и реструктуризации кредитов США, а также о кредитах Саудовской Аравии и нефтяных кредитах.

Набор данных также пролил свет на связь со Всемирным банком, рейтинговым агентством Moody's, Международным валютным фондом (МВФ), Fitch Ratings, S&P Global, Азиатским банком развития (АБР), Credit Suisse и сотнями других международных финансовых учреждений.

Наконец, утечка данных также раскрыл все подробности официальных протоколов заседаний Министерства финансов Пакистана.

По словам киберпреступника, в ближайшем будущем может произойти утечка дополнительных неуказанных конфиденциальных наборов данных.

Среднее время эксплуатации уязвимости сократилось с 42 дней в 2020 году до всего 12 дней в 2021 году.

Киберпреступники с каждым годом все быстрее выясняют, как использовать уязвимости в программном обеспечении. Так называемое «время до известной эксплуатации» (time to known exploitation, TTKE) сократилось на 71%, согласно новому отчету об уязвимостях за 2021 год компании Rapid7. Среднее время эксплуатации уязвимости сократилось с 42 дней в 2020 году до всего 12 дней в 2021 году.

По словам экспертов, основной причиной снижения TTKE стал всплеск атак с использованием уязвимостей нулевого дня, многие из которых эксплуатировались вымогательскими группировками. Как отмечают в Rapid7, 2021 год был тяжелым для сферы кибербезопасности, который начался с атаки на цепочку поставок SolarWinds , а закончился совершенно критической уязвимостью Log4Shell (CVE-2021-44228) в платформе логирования Apache Log4j на базе Java, затронувшей миллионы IT-систем.

Rapid7 зафиксировал 33 широко распространенные уязвимости, обнаруженные в 2021 году, 10 проблем, которые «эксплуатировались в реальных атаках», и еще 7 опасных проблем из-за доступного эксплоита.

Специалисты выделили несколько интересных тенденций. Например, в 2021 году 52% крупных киберинцидентов начинались с эксплуатации уязвимости нулевого дня. Как полагают эксперты, ответственность за данную тенденцию несут партнеры киберпреступных группировок, действующих по бизнес-модели «вымогательское-ПО-как-услуга». В прошлом году 64% широко используемых уязвимостей эксплуатировались вымогателями.

Список уязвимостей за 2021 год затрагивает корпоративное программное обеспечение от SAP, Zyxel, SonicWall, Accession, VMware, Microsoft Exchange (уязвимости ProxyLogon), F5, GitLan, Pulse Connect, QNAP, Forgerock, Microsoft Windows, Kaseya, SolarWinds, Atlassian, Zoho, HTTP-сервер Apache и Apache Log4j.

fenix · 31/3/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Данные пользователей сервисов Apple и Meta (признана экстремистской организацией на территории России) могли попасть в руки киберпреступников, которые выдали себя за правоохранителей.

О возможном киберинциденте, который якобы имел место в середине 2021 года, сообщило издание Bloomberg. Как отмечают СМИ, в руки третьих лиц могли попасть IP, телефонные номера и адреса пользователей.

Представившись сотрудниками правоохранительных органов, злоумышленники направили корпорациям некие «экстренные запросы», в ответ на которые техногиганты могли выдать всю интересующую информацию. Как правило, выдача данных происходит только в том случае, если так называемый сотрудник предъявит соответствующий ордер, однако формулировка «экстренный запрос» нивелирует это правило.

По данным Bloomberg, которое ссылается на три источника, преступники использовали полученные сведения для реализации схем финансового мошенничества. При этом издание почему-то не называет объём скомпрометированных данных.

Есть предположения, что за кампанией может стоять группировка Recursion Team, которая на сегодняшний день не проявляет активности в цифровом пространстве. Тем не менее участники группы примкнули к другим хакерским формированиям вроде Lapsus$.

К слову, последняя недавно вышла из отпуска и уже опубликовала информацию о новой жертве — ИТ-компании Globant.

С 31 марта в России запрещается закупать иностранный софт для критической информационной инфраструктуры (КИИ). Если такое программное обеспечение заменить ничем нельзя, тогда для его покупки потребуется специальное разрешение.

Соответствующий указ уже подписал президент России Владимир Путин. Также в документе говорится, что с 1 января 2025 года все органы власти должны отойти от использования иностранного софта на всех объектах КИИ.
В указе отмечается, что это решение власти приняли для «обеспечения технологической независимости и безопасности критической информационной инфраструктуры».

Напомним, что ранее международная НКО FIRST (Forum of Incident Response and Security Teams) приостановила членов российских CERT. А Федеральная служба по техническому и экспортному контролю (ФСТЭК) России также приостановила действие 56 сертификатов, среди которых были Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware.

Новое вымогательское ПО, написанное на языке программирования Python, атакует среды, где используется Jupyter Notebook.

Jupyter Notebook — это web-среда с открытым исходным кодом для виртуализации данных. Модульное ПО используется для моделирования данных в науке, компьютерных вычислениях и машинном обучении. Проект поддерживает более сорока языков программирования и используется такими компаниями, как Microsoft, IBM, Google и пр.

Команда исследователей Nautilus компании Aqua Security недавно обнаружила вредоносное ПО, использующее Jupyter Notebook для своих неприглядных целей.

Поскольку военный конфликт на территории Украины ускоряет оборонное сотрудничество Европейского Союза, институты ЕС столкнулись с проблемами в области кибербезопасности. Ситуация затрагивает широкий круг органов ЕС — от исполнительного органа, базирующегося в Брюсселе, до специализированных агентств, расположенных по всей Европе.

По данным базирующейся в Люксембурге Европейской счетной палаты, количество кибератак на органы ЕС в будущем может резко возрасти. Количество крупных киберинцидентов уже увеличилось более чем в десять раз в период с 2018-го по 2021-ый год.

Как сообщили европейские аудиторы, организации ЕС не в состоянии принять некоторые «основные» средства контроля кибербезопасности и тратят недостаточное количество средств в этой области. Аудиторы также заявили об отсутствии «систематического» обучения кибербезопасности и обмена информацией.

fenix · 1/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Всё большую популярность на хакерских форумах приобретает новое вредоносное ПО для похищения информации — BlackGuard. Его можно приобрести либо единоразово за $700, либо взять в аренду за $200 в месяц.

Инфостилер — это ПО для похищения чувствительных данных из различных приложений. Похищенную информацию вредонос архивирует в ZIP-архив и отправляет на C&C-сервер киберпреступников.

Оформившим подписку на BlackGuard предоставляется доступ к web-панели, где они могут получать похищенные данные, а затем использовать их самостоятельно или продавать другим киберпреступникам.

Вымогательская группировка Hive украла 850 тыс. персональных записей у американской медицинской организации Partnership HealthPlan (PHP).

Вымогатели применили новую технику, получившую название IPfuscation, — они замаскировали свою полезную нагрузку под безобидную серию легитимных IP-адресов.

Крупный поставщик медицинских услуг США подтвердил факт кибератаки — на их сайте сообщается об аномальной активности в некоторых компьютерных системах в своей сети.

Сейчас организация сотрудничает со сторонними ИБ-экспертами. Инцидент расследуется, идут попытки восстановить полную функциональность затронутых систем.

Китайская хакерская группировка Deep Panda атакует серверы VMware Horizon через уязвимость Log4Shell. Затем там устанавливается новый руткит Fire Chili.

Руткит подписан цифровым сертификатом Frostburn Studios (разработчик видеоигр) или Comodo. Именно так ему удаётся избегать обнаружения антивирусным ПО. Аналитики ИБ-компании Fortinet, отслеживающие последнюю активность Deep Panda, считают , что сертификаты были похищены у вышеупомянутых компаний.

Deep Panda — известная APT-группа из Китая, которая многие годы специализируется на кибершпионаже. В недавней кампании Deep Panda, обнаруженной специалистами Fortinet, хакерская группа развёртывает новый руткит Fire Chili для обхода обнаружения на скомпрометированной системе.

fenix · 2/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Испанская компания Iberdrola, которая является производителем и поставщиком электроэнергии, подверглась кибератаке. Об этом

Для просмотра ссылки необходимо нажать Вход или Регистрация

сайт bullfrag.com со ссылкой на газету elDiario.

По данным издания, инцидент произошел 15 марта. Как показало расследование национального института кибербезопасности (Incibe), в результате кибератаки были раскрыты личные данные 1,3 млн клиентов Iberdrola. В частности, злоумышленники получили доступ к информации об удостоверениях личности, домашних адресах, номерах телефонов, электронной почте. Сведения о банковских счетах или кредитных картах клиентов раскрыты не были.

Компания подтвердила взлом и оперативно предупредила пострадавших пользователей. Группа Iberdrola заверила, что принимает соответствующие меры для предотвращения подобных атак в будущем. Специалисты Iberdrola связывают данный инцидент с DDoS-атакой на сайт Конгресса депутатов.

Хакеры часто используют подобные типы кибератак для сбора данных и дальнейшего использования в фишинговых кампаниях. Целью киберпреступников в большинстве случаев является кража банковской информации у пользователей. Поэтому Iberdrola также рекомендовала пострадавшим пользователям не доверять подозрительным электронным письмам, сообщениям или звонкам, запрашивающим финансовые данные.

На сайте «Сухого» появилось сообщении с критикой военной операции России якобы от имени генерального директора Объединенной авиастроительной корпорации (ОАК) Юрия Слюсаря.

«Это фейк. Хакерская атака на сайт „Сухого". Пример информационной войны против России и нашего авиастроения. Мы поддерживаем президента. На жалкие уколы ответим еще более ударным трудом. Наша задача — дать стране крылья. Весь 100-тысячный коллектив корпорации продолжает работу, выполнение заданий гособоронзаказа и поставки самолетов в Минобороны России для обеспечения безопасности нашей страны», — заявил Слюсарь ТАСС.

Антивоенное обращение уже убрали, сейчас сайт временно не работает.
ПАО «Компания „Сухой"», ранее ГУП «АВПК „Сухой"» — российская компания, занимающаяся разработкой, производством, маркетингом, обучением лётного персонала, послепродажным обслуживанием, включая поставку запасных частей и оборудования боевых и гражданских самолётов марки «Су» и «Бе».

В последние годы независимые исследователи и военные США все больше внимания уделяют изучению потенциальных уязвимостей в орбитальных спутниках. Устройства, созданные в первую очередь с учетом надежности и долговечности, в основном никогда не предназначались для обеспечения высокого уровня кибербезопасности. На конференции по безопасности ShmooCon в Вашингтоне исследователь в области кибербезопасности Карл Кошер (Karl Koscher) поднял вопросы о важном этапе жизненного цикла спутника — что происходит, когда старый спутник выводится из эксплуатации и переходит на «орбиту захоронения»?

В прошлом году Кошер и его коллеги получили разрешение на доступ и вещание с канадского спутника Anik F1R, запущенного для поддержки канадских вещательных компаний в 2005 году и рассчитанного на 15 лет использования. Зона действия спутника простирается от южной границы США до Гавайских островов и самой восточной части России. Спутник скоро переместится на свою «орбиту захоронения», и почти все другие службы, которые его используют, уже перешли на новый спутник.

Кошер и его коллеги из Shadytel с помощью спутника провели прямую трансляцию другой конференции по безопасности — ToorCon San Diego. Эксперт рассказал об инструментах, которые они использовали для превращения неопознанного коммерческого объекта восходящей связи (станции со специальной антенной с питанием для связи со спутниками) в командный центр для вещания со спутника.

У исследователей было разрешение на доступ как к восходящей линии связи, так и к спутнику, но эксперимент поднимает интересную тему, когда старый спутник уже не используется, но еще не переместился от Земли на свою последнюю орбиту покоя.

«Технически, на этом спутнике или на большинстве спутников нет никаких средств управления — если вы можете сгенерировать достаточно сильный сигнал, чтобы попасть туда, спутник отправит его обратно на Землю. Людям понадобится большая антенна, мощный усилитель и знание того, что они делают», — пояснил Кошер изданию Wired.

По словам Кошера, отсутствие систем аутентификации и контроля над спутниками может позволить киберпреступникам захватывать подобное оборудование.

fenix · 3/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

2 апреля лендинговый проект Inverse Finance сообщил о хакерской атаке, в результате которой похищены активы стоимостью $15,6 млн. Команда протокола обещала возместить потери пользователей.

This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse+ (@InverseFinance) April 2, 2022

«Сегодня утром один из рынков Inverse Finance, Anchor, подвергся капиталоемкой манипуляции с ценовым оракулом INV/ETH на SushiSwap, что привело к резкому росту котировок INV. Это позволило злоумышленнику взять кредит на $15,6 млн в DOLA, ETH, WBTC и YFI», — написала команда проекта.

По данным компании PeckShield, злоумышленник воспользовался уязвимостью в ценовом оракуле Keep3r, который Inverse Finance использует для отслеживания цен токенов. Эксплойт позволил хакеру «обмануть» протокол — он завысил котировки INV и использовал актив в качестве залогового обеспечения на рынке Anchor Protocol.

2/ The hack is made possible due to the price oracle manipulation bug so that when the INV (with highly manipulated price) is used as collateral to drain assets from @InverseFinance. pic.twitter.com/hDQG55XU5f
— PeckShield Inc. (@peckshield) April 2, 2022

В компании отметили, что хакеру потребовалось депонировать 901 ETH (более $3,15 млн) для осуществления атаки. Средства поступили из миксера Tornado Cash. Большую часть похищенных активов злоумышленник также перевел на адрес сервиса.

На момент написания адрес хакера практически опустошен.

Команда Inverse Finance приостановила все операции заимствования на рынке Anchor Protocol. Разработчики обратились к хакеру с просьбой вернуть украденные активы за вознаграждение.

На рассмотрение стоящей за проектом ДАО будет вынесено предложение о возмещении потерь пострадавшим пользователям.

Напомним, в марте 2022 года хакеры атаковали сайдчейн Ronin блокчейн-игры Axie Infinity. Злоумышленники вывели активы общей стоимостью $625 млн.

Неизвестный хакер взломал официальный сервер в Discord, предназначенный для держателей NFT Bored Ape Yacht Club, Mutant Ape Yacht Club и Mutant Ape Kennel Club — трех главных коллекций компании Yuga Labs.

Как сообщает ИБ-компания PeckShield, хакер разместил фишинговые ссылки на канале Mutant Ape Kennel Club, чтобы обманом заставить пользователей создавать поддельные NFT.

Команда Bored Ape Yacht Club (BAYC) сообщила, что оперативно обнаружила проблему. Также команда призвала не проходить по ссылкам, приходящим в личные сообщения. «Мы не проводим никаких стелс-минтов или бесплатных первоапрельских раздач», — заверили BAYC.

Как сообщается, хакер мог провести атаку с помощью Ticket Tool, популярного бота Discord, который автоматически генерирует запросы в службу поддержки.

Пользователи Твиттера предупредили об аналогичной уязвимости на сервере Discord Doodles, еще одной популярной коллекции NFT, но команда Doodles пока никак не прокомментировала информацию.

Компрометация учетных записей Discord — распространенный способ проведения фишинговых атак на владельцев NFT. Всего несколько недель назад недавно запущенная коллекция NFT Rare Bears заявила, что ее участники стали жертвами аналогичного инцидента и потеряли активы на сумму более 790 000 долларов .

Специалисты компании Lab52 смогли связать ранее неизвестное вредоносное ПО для Android-устройств с хакерской группировкой Turla. Исследователи обнаружили, что приложение использовало инфраструктуру, ранее уже связанную с Turla.

Эксперты выявили вредоносный APK Process Manager, играющий роль шпионского ПО для Android-устройств, которое отправляет данные с них хакерам.

Каким образом происходит заражение, пока неясно. Как правило, Turla распространяет свои вредоносные инструменты с помощью фишинговых атак, социальной инженерии, атак watering hole (заражение вредоносным ПО через взломанные сайты, посещаемые жертвой) и пр.

После установки Process Manager пытается скрыть свое присутствие на устройстве с помощью иконки в виде шестеренки, выдавая себя за системный компонент.

После первого запуска приложение получает 18 разрешений:

Доступ к данным о местоположении;

Доступ к статусу сети;

Доступ к статусу Wi-Fi;

Доступ к камере;

Доступ к интернету;

Разрешение на изменение настроек аудио;

Разрешение на чтение журналов звонков;

Разрешение на чтение списков контактов;

Разрешение на чтение данных во внешних хранилищах;

Разрешение на запись данных во внешние хранилища;

Разрешение на чтение статуса телефона;

Разрешение на чтение SMS-сообщений;

Разрешение на запись аудио;

Разрешение на отправку SMS-сообщений и пр.

Пока непонятно, использует ли вредонос сервис Android Accessibility, чтобы получить разрешения, или запрашивает их у пользователя.

Получив разрешения, шпионская программа удаляет свою иконку и запускается в фоновом режиме. Однако о ее присутствии свидетельствует постоянное уведомление, что нехарактерно для шпионского ПО, главной задачей которого является сокрытие своего присутствия на устройстве.

В ходе анализа вредоносного ПО команда Lab52 также обнаружила, что оно загружает дополнительные полезные нагрузки на устройство, и в одном случае приложение даже было загружено непосредственно из Play Store.

Приложение называется Roz Dhan: Earn Wallet cash (10 млн загрузок) и имеет реферальную систему генерирования денег.

Похоже, что вредонос загружает APK через реферальную систему приложения с целью получения комиссионных. Это очень странно, поскольку Turla специализируется на кибершпионаже.

Данный факт, а также сравнительно несложная реализация вредоноса наводят на мысль о том, что проанализированный исследователями C&C-сервер является частью инфраструктуры, которую используют несколько группировок.

Команда аппаратного кошелька Trezor сообщила об утечке личных данных клиентов, произошедшей на стороне платформы MailChimp, через которую компания проводит маркетинговые рассылки. Злоумышленники использовали информацию о пользователях в фишинговой атаке.

We will not be communicating by newsletter until the situation is resolved.
Do not open any emails appearing to come from Trezor until further notice. Please ensure you are using anonymous email addresses for bitcoin-related activity. 2/
— Trezor (@Trezor) April 3, 2022

«MailChimp подтвердила, что их сервис взломан инсайдером, нацеленным на криптовалютные компании. Нам удалось отключить фишинговый домен. Мы пытаемся определить, сколько адресов электронной почты было затронуто», — говорится в заявлении.

В Trezor отказались от маркетинговых рассылок до «разрешения ситуации». Пользователям советовали не открывать письма, якобы отправленные от лица компании.

Какие именно данные были скомпрометированы — неизвестно. Фишинговая рассылка проводилась со стороннего домена trezor.us (официальный домен — trezor.io). Пользователей просили скачать «последнюю» версию приложения Trezor Suit, предназначенного для управления кошельком.

Wow, @Trezor, this is the best phishing attempt I have seen in the last few years. I am really lucky I don't have Trezor, because if I had, I would probably actually download that update. pic.twitter.com/DaBN2Oix11
— Tomáš Kafka (@keff85) April 2, 2022

Ранее в злоумышленники загрузили в App Store фейковое приложение Trezor. У пользователей похитили как минимум $1,6 млн в криптовалютах.

Напомним, в марте криптолендинговая платформа BlockFi сообщила об утечке пользовательских данных, размещенных в CRM HubSpot.

fenix · 4/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Borat предлагает простые в использовании функции для проведения DDoS-атак, обхода UAC и установки программ-вымогателей.

На киберпреступных торговых площадках появился новый троян для удаленного доступа (RAT) под названием Borat, предлагающий простые в использовании функции для проведения DDoS-атак, обхода UAC и установки программ-вымогателей.

Borat позволяет удаленным злоумышленникам получить полный контроль над мышью и клавиатурой своей жертвы, получить доступ к файлам, сетевым точкам и скрыть любые признаки своего присутствия. Вредоносное ПО также позволяет своим операторам выбирать параметры компиляции для создания небольших полезных нагрузок для узкоспециализированных атак.

Неясно, продается ли Borat RAT за определенную цену или свободно распространяется среди киберпреступников, но специалисты из компании Cycle сообщили , что вредонос поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера.

Функции Borat включают кейлоггинг, установку программы-вымогателя и автоматическое создание записки с требованием выкупа, проведение DDoS-атак, аудиозапись, запись с web-камеры, запуск скрытого удаленного рабочего стола для выполнения операций с файлами, использование устройств ввода, выполнение кода, запуск приложений, настройка обратного прокси-сервера, сбор базовой информации о системе, внедрение вредоносного кода в легитимные процессы, кражу учетных данных и токена Discord.

По словам экспертов, данные функции делают Borat шпионским ПО и программой-вымогателем, поэтому он представляет собой опасную угрозу.

Недавний взлом стандарта Rainbow вызвал некоторые опасения, но эксперты не видят причин для беспокойства.

В ближайшие несколько недель Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) объявит о новых стандартах постквантовой криптографии для алгоритмов подписи с открытым ключом и обмена.

Предположительно может потребоваться еще несколько лет, чтобы должным образом проверить данные стандарты, тогда как реальная угроза дешифрования, исходящая от квантовых компьютеров, вероятно, появится через десять лет.

Многие специалисты хотят знать, значительно ли улучшат грядущие стандарты NIST возможности защиты зашифрованных данных от растущей угрозы. К сожалению, недавняя успешная попытка взлома одного из кандидатов в стандартные алгоритмы подписи, предпринятая исследователем IBM, вызывает ряд опасений.

Новости о взломе подписи под названием Rainbow появились в феврале нынешнего года. Как сообщила испанская газета El Pais, Rainbow был взломан чуть более чем за 50 часов, используя всего лишь портативный компьютер.

Генеральный директор компании Sandbox AQ Джек Хидари (Jack Hidary), занимающейся квантовыми технологиями, сообщил изданию Fierce Electronics, что Rainbow не станет одним из окончательных стандартов и беспокоится не о чем. Если Rainbow не попадет в список, предстоящее объявление NIST, скорее всего, будет включать шесть стандартов, в том числе три для подписи с открытым ключом и три для обмена ключами.

Хидари также предположил, что Rainbow можно «исправить», изменив ее параметры, и даже он потенциально может вернуться в список рассматриваемых стандартов.

Компании и сетевые операторы потратят большую часть следующих нескольких лет на проверку и анализ будущих стандартов NIST, прежде чем они станут широко применяться в качестве обновлений RSA. В то же время будут продолжаться другие усилия по обеспечению квантовой безопасности, такие как переход к распределению квантовых ключей для поддержки квантово-защищенных коммуникационных сетей.

На ландшафте киберугроз появился ранее неизвестный вредонос для Android-устройств, который, по словам экспертов, связан с группировкой Turla. Зловред, судя по всему, использует инфраструктуру, относящуюся к деятельности знаменитой APT-группы.
На Западе Turla принято относить к операциям российских правительственных хакеров. Эта кибергруппировка известна своими атаками на европейские и американские системы. Основной интерес злоумышленников — шпионаж. Ранее исследователи связывали бэкдор Sunburst с кампаниями Turla. Напомним, что этот вредонос использовался для атаки на цепочку поставок SolarWinds (декабрь 2020 года).

Теперь специалисты компании Lab52 заподозрили связь нового Android-зловреда с Turla. На просторах Сети был найден вредоносный APK (детектирование на VirusTotal) под названием "Process Manager", который проявлял признаки шпиона, ворующего информацию и передающего её операторам.

Исследователи пока затрудняются сказать, как именно распространяется это вредоносное приложение, однако после установки оно пытается скрыть своё присутствие в системе. Иконка вредоноса маскируется под системный компонент, чтобы пользователь не удалил его.

После первого запуска Android-шпион запрашивает у владельца мобильного устройства целых 18 разрешений, среди которых, например, доступ к камере, интернету, чтению СМС-сообщений, записи аудио, чтению и записи на внешнее хранилище, отправка СМС и т. п. При этом непонятно, использует ли вредонос специальные возможности Android Accessibility Services.

"Process Manager" собирает логи, списки контактов, текстовые сообщения, аудиозаписи, уведомления о мероприятиях и отправляет всё это в формате JSON на командный сервер (C2), расположенный по адресу 82.146.35[.]240. Несмотря на то что точный метод распространения зловреда неизвестен, можно предположить, что он доставляется через фишинговые письма или с помощью социальной инженерии. Именно эти методы в почёте у Turla.

Кроме того, команда Lab52 также выяснила, что "Process Manager" загружает дополнительный пейлоад напрямую из Google Play Store. Это довольно популярное приложение под именем "Roz Dhan: Earn Wallet cash", насчитывающее 10 млн загрузок.

fenix · 5/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.

Исследователи в области кибербезопасности из команды Symantec Threat Hunter Team связали крупную шпионскую кампанию с китайской APT-группировкой Cicada (также известной как APT10, Stone Panda, Potassium, Bronze Riverside и команда MenuPass). Кибератаки начались в середине 2021 года и продолжались до февраля 2022 года.

«Жертвами кампании Cicada стали правительственные, юридические, религиозные и неправительственные организации во многих странах мира, в том числе в Европе, Азии и Северной Америке», — сообщили специалисты.

Большинство атакованных организаций расположены в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии, наряду с одной жертвой в Японии. Как отметили эксперты, в некоторых случаях хакеры находились в сетях жертв на протяжении девяти месяцев.

В марте 2021 года исследователи из «Лаборатории Касперского» раскрыли операцию по сбору информации, предпринятую группировкой для установки имплантатов в ряде отраслей промышленности, расположенных в Японии. Затем в феврале нынешнего года APT была замешана в организованной атаке на цепочку поставок финансового сектора Тайваня с целью кражи конфиденциальной информации из скомпрометированных систем.

Новая серия атак, зафиксированная Symantec, начинается с получения первоначального доступа с помощью неисправленной уязвимости в серверах Microsoft Exchange. Ее эксплуатация позволяет киберпреступникам установить бэкдор SodaMaster. SodaMaster — троян для удаленного доступа для Windows-систем, способный похищать полезные данные и передавать их обратно на командный сервер.

Другие инструменты преступников включают утилиту дампа учетных данных Mimikatz, инструмент NBTScan для проведения внутренней разведки, WMIExec для удаленного выполнения команд и VLC Media Player для запуска пользовательского загрузчика на зараженном хосте.

У банка не было действующей лицензии на использование межсетевого экрана и надлежащего уровня кибербезопасности.

Неизвестные киберпреступники взломали компьютерные сети индийского банка Andhra Pradesh Mahesh Co-Operative Urban Bank и похитили денежные средства на сумму в несколько миллионов долларов. По словам сотрудников городской полиции Хайдарабада, у банка не было действующей лицензии на использование межсетевого экрана, надлежащей защиты от фишинга, систем обнаружения вторжений и или какой-либо системы предотвращения кибератак.

Кибератака началась с отправки более 200 фишинговых писем сотрудникам банка в ноябре 2021 года. Как минимум одно из этих писем смогло обмануть сотрудника банка и привело к установке трояна для удаленного доступа (RAT).

Кроме того, банк также решил не использовать виртуальные локальные сети, поэтому, как только RAT заработал, злоумышленники получили доступ к системам банка и получили возможность перемещаться по сети и даже в основном банковском приложении.

Как показали результаты расследования, Mahesh Bank допустил увеличение количества суперпользователей до десяти, при чем некоторые имели одинаковые пароли. Злоумышленники взломали несколько учетных записей и получили доступ к базам данных, содержащим информацию о клиентах, включая балансы счетов. Хакеры также создали новые банковские счета и перевели на них деньги клиентов. Украденные средства на сумму более $1 млн были переведены на сотни других счетов в Mahesh Bank и других финансовых учреждениях. Киберпреступники затем сняли деньги в 938 банкоматах по всей Индии и скрылись с наличными.

Городской полиции Хайдарабада удалось обнаружить нападение и заморозить около $2 млн, прежде чем преступникам удалось их снять. Согласно отчету полиции, банк «не имел надлежащей сетевой инфраструктуры», не принял меры предосторожности для изоляции приложений головного офиса от своих филиалов, не имел многих основных инструментов безопасности и не обучил свой персонал защите от фишинговых атак.

Эксперты в области кибербезопасности составили подробный технический отчет об операциях FIN7 (также известной как Carbanak) с конца 2021 по начало 2022 года, показывающий, что злоумышленники продолжают вести активную деятельность, развиваются и пробуют новые методы монетизации.

Несмотря на то, что в 2018 году некоторым членам группировки были предъявлены обвинения, а в 2021 году был вынесен приговор одному из ее участников, FIN7 не исчезла и продолжала разрабатывать новые инструменты для скрытых атак.

Исследователи из Mandiant опубликовали новый список индикаторов компрометации FIN7, основанный на анализе новых образцов вредоносных программ, связанных с группировкой. Свидетельства, собранные в результате ряда кибератак, побудили аналитиков объединить восемь ранее подозреваемых группировок в FIN7, что указывает на широкий спектр операций данных преступников.

PowerShell-бэкдор под названием PowerPlant уже много лет связан с FIN7, однако хакеры продолжают разрабатывать его новые варианты. FIN7 настраивает функциональность и добавляет новые функции в PowerPlant, а также развертывает новую версию в середине операции. Во время установки PowerPlant получает разные модули с командного сервера. Два наиболее часто используемых модуля называются Easylook и Boatlaunch.

Easyloook — утилита разведки, которую FIN7 использует не менее двух лет для сбора сведений о сети и системе, таких как оборудование, имена пользователей, регистрационные ключи, версии операционной системы, данные домена и пр.

Boatlaunch — вспомогательный модуль, исправляющий PowerShell-процессы на скомпрометированных системах с помощью 5-байтовой последовательности инструкций, которая приводит к обходу AMSI. AMSI (интерфейс сканирования на вредоносные программы) — встроенный инструмент Microsoft, который помогает обнаруживать вредоносное выполнение PowerShell, поэтому Boatlaunch помогает предотвратить данный механизм защиты.

Еще одна новая разработка — обновленная версия загрузчика Birdwatch, который теперь имеет два варианта: Crowview и Fowlgaze. Оба варианта написаны на языке .NET, но, в отличие от Birdwatch, имеют возможность самоудаления, поставляются со встроенными полезными нагрузками и поддерживают дополнительные аргументы.

Еще одним интересным открытием является причастность FIN7 к различным группировкам вымогателей. В частности, аналитики обнаружили свидетельства взломов FIN7, обнаруженных непосредственно перед инцидентами с программами-вымогателями, такими как Maze, Ryuk, Darkside и BlackCat/ALPHV.

Как ранее сообщал SecurityLab, на прошлых выходных многие пользователи аппаратных кошельков Trezor стали получать по электронной почте поддельные уведомления об утечке данных. В уведомлениях говорилось, что пользователи должны сбросить PIN-коды своих кошельков, для чего им якобы нужно установить новую версию ПО Trezor Suite. После установки поддельное ПО похищало сид-фразу для восстановления кошелька и передавало ее злоумышленникам.

Позднее представители Trezor сообщили, что фишинговые сообщения рассылались с платформы MailChimp, скомпрометированной инсайдером, который атаковал криптовалютные компании.

Директор по информационной безопасности MailChimp Шивон Смайт (Siobhan Smyth) подтвердила изданию TechCrunch, что платформа обнаружила взлом 26 марта 2022 года. Злоумышленники получили доступ к инструменту, использующемуся сотрудниками техподдержки и командой администрирования учетных записей. Сама MailChimp стала жертвой мошенничества с использованием техник социальной инженерии, направленного на ее персонал. В результате мошенникам удалось получить учетные данные одного из сотрудников.

По словам Смайт, компания отключила скомпрометированной учетной записи сотрудника доступ к корпоративной сети и приняла дополнительные меры для предотвращения распространения атаки на других сотрудников.

«Когда нам становится известно о каком-либо неавторизованном доступе к учетной записи, мы сразу же уведомляем об этом ее владельца и незамедлительно принимаем меры для предотвращения дальнейшего доступа. Мы также рекомендуем нашим пользователям включить двухфакторную аутентификацию и другие настройки безопасности учетных записей и паролей», - сообщила Смайт.

По данным BleepingComputer, злоумышленники скомпрометировали 319 учетных записей MailChimp и экспортировали «данные об аудитории» из 102 клиентских аккаунтов. Кроме того, они получили доступ к ключам API неизвестного количества пользователей, и компании пришлось их отключить.

С помощью ключей API злоумышленники могли осуществлять фишинговые атаки даже без доступа к клиентскому порталу MailChimp.

В настоящее время компания уже уведомила затронутых пользователей в криптовалютном и финансовом секторе.

Немецкий производитель ветрогенераторов Nordex был вынужден

Для просмотра ссылки необходимо нажать Вход или Регистрация

свои IT-системы на заводах по всему миру в результате кибератаки 31 марта нынешнего года.

Компания Nordex специализируется на проектировании, производстве и продаже ветрогенераторов. Объем ее продаж в 2021 году составил порядка $6 млрд. У компании есть заводы в Германии, Китае, Мексике, США, Бразилии, Испании и Индии.

На прошлой неделе компания сообщила об обнаружении вторжения в свои сети «на ранней стадии» и принятии соответствующих мер.

«Из внутренних и внешних специалистов незамедлительно была собрана команда реагирования на инциденты безопасности для сдерживания атаки и предотвращения ее дальнейшего распространения, а также для оценки ее масштабов. Отключение некоторых IT-систем может затронуть наших клиентов, сотрудников и держателей акций. Nordex Group предоставит дальнейшую информацию, когда будет известно больше», - говорится в уведомлении компании.

Напомним, в прошлом месяце атака на спутниковую компанию Viasat вызвала сбои в работе систем управления 5,8 тыс. ветрогенераторов в Германии.

По данным Renewables Now, компании удалось восстановить инструменты удаленного мониторинга для 85% пострадавших систем.

В ноябре прошлого года крупнейший в мире производитель ветрогенераторов Vestas пострадал от атаки вымогательского ПО. Как и Nordex, ему пришлось отключить свои IT-системы на многих предприятиях в целях предотвращения дальнейшего распространения атаки.

fenix · 9/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Гражданин Украины Денис Ермак был участником хакерской группы FIN7, которую США считают ответственной за многочисленные взломы американских компаний.

В США гражданин Украины получил пять лет тюрьмы за преступную деятельность в составе хакерской группы FIN7, сообщает американский Минюст.

В пресс-релизе ведомства говорится, что 32-летний Денис Ермак был хакером высокого уровня и в составе FIN7 с 2016 по 2018 год искал уязвимости, которые можно использовать для внедрения в компьютерные сети.

Киберпреступной группе удалось взломать сети по всей территории США и получить доступ к личным данным порядка 20 млн человек. Общий ущерб для американской экономики от деятельности этого преступного сообщества составил около $1 млрд.

Украинец был экстрадирован из Таиланда в феврале 2020 года после того, как суд подтвердил законность американского запроса. В ноябре 2021 года Ермак признал свою вину по двум пунктам обвинений: сговор с целью совершения мошенничества с использованием электронных средств связи и сговор с целью взлома компьютера.

Tesla может начать производство робота-гуманоида, известного как Optimus, уже в следующем году, заявил в четверг генеральный директор Илон Маск.

Производитель электромобилей впервые преставил робота, также известного как Tesla Bot, на своем «Дне ИИ» в августе 2021 года, заявив, что это будет машина общего назначения, способная выполнять широкий круг задач.

«У нас есть шанс начать производство первой версии Optimus , в следующем году», — сказал Маск в четверг на открытии нового завода по сборке автомобилей Tesla в Остине, штат Техас, где он появился на сцене — в ковбойской шляпе и солнцезащитных очках.

Однако Tesla еще не представила рабочий прототип робота, и не объявляла подробности о ходе разработки. Тогда же Маск рассказал, что робот будет дружелюбным и сможет взять на себя опасные или однотипные, скучные задачи. К примеру, он сможет ходить в магазин за продуктами.

По плану в основу робота ляжет полностью автономный компьютер Dojo и нейросети, способные распознавать мир и ориентироваться в нем. Рост робота около 173 см, вес — 57 кг. Робот может ходить со скоростью 8 км/ч и поднимать предметы до 20 кг. Планируется, что он будет работать с помощью нейросетей, которые «распознают мир и понимают, как ориентироваться в нём». Производитель планирует использовать те же технологии, что и для функции автономного вождения в Tesla. По его словам, Tesla уже можно считать самой крупной в мире робототехнической фирмой, поскольку их электромобили — как полуразумные роботы на колесах.

Также он пообещал, что в компании позаботятся о том, чтобы Optimus «оказался безопасным помощником, а не Терминатором». Таким образом глава Tesla назвал основное отличие умной машины от кинематографического робота-убийцы. В заключение Маск заметил, что роботы могут изменить мир в большей степени, чем автомобили.

Microsoft успешно сорвала вредоносные операции, проводимые против Украины группировкой APT28, связываемой западными ИБ-экспертами с российскими спецслужбами. Техногигант получил контроль над семью доменами, являющимися частью вредоносной инфраструктуры.

APT28 (она же Strontium и Fancy Bear) использовала отключенные Microsoft домены для атак на множество украинских организаций, в том числе на СМИ, а также на американские и европейские правительственные учреждения и научные организации.

«В среду, 6 апреля, мы получили судебный ордер, разрешающий нам захватить контроль над семью интернет-доменами, использующимися Strontium для осуществления атак. С тех пор мы переадресовали эти домены на sinkhole («воронку», подконтрольный специалистам сервер – ред.) Microsoft, что позволило нам предотвратить их использование группировкой Strontium и уведомить жертв», – сообщил корпоративный вице-президент Microsoft по вопросам безопасности и доверия Том Берт (Tom Burt).

Microsoft также уведомила правительство Украины о вредоносной активности группировки и срыве ее операций по взлому украинских организаций.

До этой операции, в августе 2018 года, Microsoft открыла 15 других дел против APT28, что в итоге привело к получению компанией контроля над 91 вредоносным доменом.

«Это отключение является частью текущей кампании, начатой в 2016 году, в рамках которой принимаются юридические и технические меры по изъятию используемой Strontium инфраструктуры. Мы организовали юридический процесс, позволяющий нам быстро получать на это разрешения суда», – пояснил Берт.

Инцидент предположительно был намного крупнее и затронул компьютерные системы в России, Беларуси и Польше.
23 февраля нынешнего года украинские сайты были атакованы хакерами, предположительно связанными с Китаем. Как сообщил представитель западной разведки каналу BBC, целью киберпреступников был шпионаж.

Хакеры атаковали ряд украинских правительственных и коммерческих организаций, в том числе организации, связанные с ядерной энергетикой. Некоторые западные чиновники полагают, что инцидент был намного крупнее и затронул системы в России, Беларуси и Польше.

Как утверждается, атаки были более дилетантскими и «шумными», чем обычно, словно хакеры не особо беспокоились о своей скрытности. Кроме того, в отличие от обычного поведения китайских киберпреступников, хакеры начали свою кампанию с западной инфраструктуры.

Китайские злоумышленники могли воспользоваться военным конфликтом на территории Украины, чтобы шпионить не только за Украиной, но и за Россией, Белоруссией и другими странами. Преступники хотели осуществить свои операции под «чужим флагом», пытаясь перенаправить подозрения на западные правительства.

Новая система распределения трафика (Traffic Direction System, TDS) под названием Parrot опирается на серверы, на которых размещены 16,5 тыс. web-сайтов университетов, местных органов власти, платформ для взрослых и личных блогов. Parrot используется для проведения вредоносных кампаний, в ходе которой преступники перенаправляют потенциальных жертв на фишинговые сайты и ресурсы с вредоносным ПО.

Злоумышленники покупают услуги TDS для фильтрации входящего трафика и отправки его в конечный пункт назначения, обслуживающий вредоносный контент. TDS также на легитимных основаниях используются рекламодателями и маркетологами, и некоторые из этих служб в прошлом использовались для проведения кампаний по рассылке вредоносного спама.

Parrot TDS был обнаружен аналитиками из компании Avast и в настоящее время используется для проведения кампании под названием FakeUpdate, которая распространяет троян для удаленного доступа (RAT) NetSupport через поддельные уведомления об обновлениях браузера.

Кампания предположительно началась в феврале 2022 года, но признаки активности Parrot прослеживаются еще в октябре 2021 года. Злоумышленники установили вредоносную web-оболочку на скомпрометированные серверы и скопировали ее в различные места под одинаковыми именами.

Кроме того, злоумышленники используют бэкдор-скрипт PHP, который похищает информацию о клиенте и перенаправляет запросы на командный сервер Parrot TDS.

Большинство пострадавших пользователей находились в Бразилии, Индии, США, Сингапуре и Индонезии. Как сообщили специалисты, профиль пользователя и фильтрация конкретной кампании настолько точно настроены, что злоумышленники могут атаковать конкретного человека из тысяч перенаправленных пользователей.

Как ранее сообщал SecurityLab, партнеры более нефункционирующих RaaS-сервисов BlackMatter и REvil организовали новую группировку BlackCat, также известную как ALPHV, которая уже активно атакует поставщиков сервисов планирования ресурсов предприятий и промышленные компании.

Согласно последнему отчету «Лаборатории Касперского», вымогатели заразили «большое количество корпоративных жертв».

Как именно распределяются роли в новой группировке, между ее партнерами и другими киберпреступными сервисами, пока неизвестно, сообщил старший исследователь безопасности ЛК Курт Баумгартнер (Kurt Baumgartner).

«Скорее всего, все атаки BlackCat осуществляются участниками обеих группировок, которые поддерживают код и сервис, а партнеры делают собственную работу. Некоторая работа также может делегироваться дальше брокерам доступа и взломщикам из других группировок», - пояснил Баумгартнер.

Как выяснили специалисты ЛК, BlackCat использует модифицированную версию закрытого инструмента под названием Fendr (модифицированная версия получила название ExMatter), которым ранее пользовалась только BlackMatter. В частности, «коты» использовали его для извлечения данных из сетей компаний перед развертыванием вымогательского ПО в декабре 2021-го и январе 2022 года.

Группировка является одной из немногих, использующих популярный, но все еще малораспространенный язык программирования Rust, позволяющий ей быстро компилировать инструменты для нескольких платформ. Благодаря Rust хакеры могут выпускать одну версию инструмента для Windows и Linux (кросс-компиляция) и выполнять тщательную проверку безопасности для уменьшения числа уязвимостей.

Специалисты ЛК зафиксировали атаки BlackCat на поставщика сервисов планирования ресурсов для предприятий га Среднем Востоке. Злоумышленники похитили учетные данные и зашифровали ее жесткие диски. Вторая жертва – нефтегазовая компания в Южной Америке.

Специалисты ИБ-компании Check Point обнаружили в магазине Google Play Store семь приложений, замаскированных под антивирусы, которые заражают Android-устройства банковским трояном SharkBot.

Троян похищает учетные данные и банковскую информацию, а также оснащен функцией геопозиционирования и использует прочие инвазивные техники, что отличает его от другого вредоносного ПО.

SharkBot не заражает устройства пользователей в Китае, Индии, Румынии, России, Украине и Беларуси. До того, как Google удалила вредонос из своего магазина приложений, его скачали 15 тыс. раз. Большая часть жертв приходится на Италию и Великобританию.

SharkBot использует разрешения Accessibility Services для отображения поддельных окон поверх легитимных банковских приложений. Когда ничего не подозревающий пользователь вводит свое имя и пароль в этом поддельном окне, замаскированном под форму авторизации, все эти данные сразу же отправляются на подконтрольный злоумышленникам сервер.

Примечательно, что вредонос способен автоматически отвечать на уведомления Facebook Messenger и WhatsApp для распространения фишинговой ссылки на фейковое антивирусное приложение. Таким образом, SharkBot распространяется подобно червю.

Недавно Google также удалила из Play Store ряд приложений, содержащих шпионский код, который собирал данные о местоположении пользователей.

Специалисты в области кибербезопасности из компании Insikt Group сообщили о кибератаках на сети семи индийских государственных диспетчерских центров нагрузки (State Load Dispatch Centers, SLDC), которые выполняют операции в режиме реального времени для управления сетью и диспетчеризации электроэнергии. Все семь SLDC расположены недалеко от индийско-китайской границы в Ладакхе.

По словам экспертов, помимо атак на сетевые активы, вредоносная кампания затронула национальную группу реагирования на чрезвычайные ситуации и индийский филиал логистической компании. В ходе кибератак использовался троян под названием ShadowPad, который, предположительно, связан с подрядчиками, обслуживающими Министерство государственной безопасности Китая.

Как полагают специалисты, группировка TAG-38 проникла в систему через сторонние устройства, такие как подключенные к Сети IP-камеры, которые могли остаться уязвимыми из-за наличия учетных данных по умолчанию.

Поскольку серия атак была продолжительной, целью преступников был сбор информации о критической инфраструктуре, а не финансовая выгода. Позже такая информация может быть использована для получения доступа к системе и выполнения разрушительных действий.

fenix · 10/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Популярные мусульманские молитвенные приложения Al-Moazin Lite и Qibla Compass были удалены из магазина Google Play после того, как в них было обнаружено скрытое вредоносное ПО для сбора данных, разработанное компанией, связанной с подрядчиками по национальной безопасности США.
Тайный код для сбора данных был обнаружен исследователями Джоэлом Рирдоном и Сержем Эгельманом организации AppCensus, при поиске уязвимостей в Android приложениях. В прошлом году они обнаружили целый ряд программ, которые содержали вредоносный код, позволяющий следить за владельцами телефонов.

Одно из этих приложений представляло собой сканер QR и штрих-кодов. Другими были мусульманские молитвенные приложения, в том числе Al Moazin и Qibla Compass (свыше 10 миллионов загрузок у каждого из них). Подобный код был также встроен в виджет погоды. В общей сложности зараженные приложения были скачаны более 60 миллионов раз.
Согласно исследованию, базирующаяся в Панаме компания Measurement Systems S. de RL платила разработчикам за включение ее кода в свои приложения. В результате компания смогла собирать данные о пользователях приложений, которые, по словам исследователей, содержали номера телефонов, адреса электронной почты, информацию IMEI, данные GPS и SSID маршрутизатора.

По информации Рирдона и Эгельмана, они обнаружили самый агрессивный набор разработки, который они видели за шесть лет изучения мобильных приложений.

Разработчики приложений признались журналистам, что за внедрение вредоносного кода им заплатила компания Management Systems, зарегистрированная в Панаме. Больше всего представителей этой фирмы интересовали пользователи, проживающие в странах Ближнего Востока, Центральной и Восточной Европы и Азии.

Measurement Systems связана с оборонным подрядчиком из Вирджинии, участвующим в разведывательной работе для агентств национальной безопасности США. Компания сообщила журналистам, что не занимается секретным сбором данных, и отрицала наличие связей с американскими оборонными подрядчиками.

Исследователи считают, что Management Systems всего лишь "прокладка" для другой компании — американского оборонного предприятия Vostrom Holdings из Вирджинии. Что интересно, у Vostrom Holdings есть еще одна дочерняя компания — Packet Forensics. Она занимается киберразведкой и заключает официальные контракты по "защите федеральных сетей" с правительством США.

В январе 2021 года стало известно, что разработчик приложения Salaat First (Prayer Times), напоминающего мусульманам, когда нужно молиться, без ведома пользователей записывал и продавал детализированную информацию об их местоположении брокеру данных, который, в свою очередь, продавал геоданные другим клиентам.

Американский производитель автомобильных инструментов Snap-on сообщил об утечке данных в связи с кибератакой.

Snap-on является лидером на рынке инструментов, ПО и диагностических сервисов для транспортной сферы. В частности, компания владеет брендами Mitchell1, Norbar, Blue-Point, Blackhawk и Williams.

На этой неделе производитель сообщил об утечке данных. Обнаружив в своих сетях подозрительную активность в марте нынешнего года, Snap-on был вынужден отключить все свои системы. Компания обратилась к внешним ИБ-специалистам за помощью в анализе инцидента и уведомила правоохранительные органы.

Как показало расследование, 1-3 марта 2022 года злоумышленники похитили персональные данные (имена, номера социального страхования, даты рождения и идентификационные номера) сотрудников. Всем затронутым утечкой сотрудникам Snap-on предлагает бесплатную годовую подписку на сервис защиты от кражи личности IDX.

Хотя производитель не сообщил никаких подробностей о кибератаке, ответственность за нее взяла нашумевшая кибервымогательская группировка Conti, которая уже начала было публиковать на своем сайте утечек похищенные у него файлы. По словам вымогателей, им удалось похитить у Snap-on 1 ГБ данных. Однако данные оставались на сайте недолго и вскоре были удалены, а название компании больше не появлялось в списке жертв. Не исключено, что руководство Snap-on приняло решение заплатить вымогателям.

«Лантри» (`Luntry`) –– российское решение для безопасности и наблюдения за происходящим в Kubernetes (включая OpenShift и Managed Kubernetes) на уровне контейнеров, образов, K8s-ресурсов, сервисов, их взаимосвязи и эволюции. За последнее время было обнаружено большое количество серьезных уязвимостей в облачных решениях и тех, которые обеспечивают их работу: CVE-2022-0811, CVE-2022-21701, CVE-2022-24348, CVE-2022-0492, CVE-2022-0847, CVE-2022-0185. Компании активно переходят в Kubernetes, что требует непрерывного контроля происходящего в облаках и выстраивания процессов DevSecOps. Luntry позволяет: сделать Kubernetes понятным на всех уровнях: от контейнеров до микросервисов; поддерживать высокий уровень безопасности в быстроменяющейся среде; планировать меры безопасности при помощи визуализации компонентов и их взаимосвязей; быстро реагировать на сбои и инциденты в системе; использовать API для создания ресурсов и политик безопасности. Что предоставляет Luntry для обеспечения надежной и безопасной работы Kubernetes? Управление уязвимостями образов (на базе Kubernetes operators) Policy Engine (Kyverno или OPA Gatekeeper) Runtime Security (обнаружение на базе eBPF сенсора) Предотвращение (AppArmor политики) Контроль взаимоотношений между K8s-ресурсами Ведение истории изменений для troubleshooting и root cause analysis Визуализация и защита сети (на базе NetworkPolicy или авторизационных политик ServiceMesh) Анализ RBAC (по субъектам, правам и ролям) Интеграция с SIEM (выгрузка в syslog в CEF формате) Luntry – это решение для всех участников непрерывного процесса разработки и жизненного цикла приложений (DevSecOps) и их эффективного взаимодействия.

Исследователи выявили уязвимость под идентификатором CVE-2022-22292, которую можно использовать для взлома мобильных устройств, работающих на Android 9, 10, 11 и 12. Проблема затрагивает встроенное приложение «Телефон».

Эксперты нашли брешь CVE-2022-22292 в «родном» приложении, которое запускается с правами системы на смартфонах Samsung. Специалисты указали на небезопасный компонент, содержащийся в приложении «Телефон» и позволяющий осуществлять операции на девайсе без взаимодействия с пользователем.

«Уязвимость могла позволить атакующим сбросить устройство к заводским настройкам (другими словами, удалить все файлы и данные пользователя), звонить на разные номера, инсталлировать / деинсталлировать приложения, а также ослаблять HTTPS за счёт установки произвольных корневых сертификатов», — пишет команда Kryptowire.

Все перечисленные исследователями действия условный злоумышленник мог осуществить без какого-либо взаимодействия с атакованным пользователем. На данный момент, к счастью Samsung устранила описанную уязвимость.

Кстати, интересно отметить, что южнокорейский техногигант пропатчил свои смартфоны от Dirty Pipe быстрее, чем Google Pixel. Судя по всему, Samsung действительно не пренебрегает безопасностью владельцев мобильных устройств.

fenix · 11/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Недавно обнаруженная критическая уязвимость Spring4Shell (CVE-2022-22965) с начала апреля 2022 года активно используется злоумышленниками для запуска вредоносного ПО Mirai в Сингапуре.

«Эксплуатация уязвимости позволяет злоумышленникам загружать образцы Mirai в папку «/tmp» и запускать их после изменения разрешения с помощью «chmod», — отметили эксперты из компании Trend Micro.

Проблема получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и позволяет злоумышленникам удаленно выполнять код в приложениях Spring Core в нестандартных обстоятельствах, предоставляя возможность получить полный контроль над скомпрометированными устройствами.

Ранее Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) добавило уязвимость Spring4Shell в свой список известных эксплуатируемых уязвимостей на основе «свидетельств активной эксплуатации».

Уязвимость новая, и проэксплуатировать ее можно удаленно, если приложение Spring развернуто на сервере Apache Tomcat с распространенной конфигурацией. Для эксплуатации уязвимости атакующему необходимо установить местоположение и идентифицировать установки web-приложения, использующие DeserializationUtils. Уязвимость не затрагивает приложения Spring, использующие Spring Boot и встроенный Tomcat.

Исследователь в области кибербезопасности Брэд Дункан (Brad Duncan) обнаружил вредоносную кампанию по распространению нового инфостилера под названием ПО META. Популярность нового вредоносного ПО для кражи информации растет среди киберпреступников.

META является одним из новых похитителей информации, наряду с Mars Stealer и BlackGuard. Операторы последних решили воспользоваться уходом Raccoon Stealer с рынка, который заставил многих преступников искать себе новую платформу.

Инструмент META продается по цене $125 за ежемесячную подписку или $1 тыс. за неограниченное пожизненное использование и рекламируется как улучшенная версия RedLine.

Новая кампания по распространению спама указывает на то, что META активно используется в атаках для кражи криптовалютных кошельков и паролей, хранящихся в браузерах Google Chrome, Microsoft Edge и Mozilla Firefox.

Мошенники прибегли к «стандартному» подходу, рассылая письма с электронными таблицами Microsoft Excel с макросами. В сообщениях содержатся фальшивые и не очень правдоподобные заявления о переводе средств потенциальной жертвы. Файлы электронных таблиц содержат приманку DocuSign, которая побуждает цель «включить контент», необходимый для запуска вредоносного Макрос VBS в фоновом режиме.

Когда вредоносный скрипт запускается, он загружает различные полезные данные, включая DLL-библиотеки DLL и исполняемые файлы, с нескольких сайтов, включая GitHub. Некоторые из загруженных файлов имеют кодировку base64 с целью избежать обнаружения защитным программным обеспечением.

На компьютерной системе жертвы собирается конечная полезная нагрузка под названием qwveqwveqw.exe, которое, предположительно, является случайным. В целях обеспечения персистентности также добавляется новый раздел реестра.

EXE-файл генерирует трафик на командный сервер даже после перезагрузки системы, перезапуская процесс заражения на устройстве. META изменяет конфигурации Защитника Windows через PowerShell, исключая исполняемые файлы из списка сканирования.

Octo — новый банковский троян для Android-устройств, который недавно был замечен в реальных кибератаках. Вредонос предоставляет злоумышленникам удалённый доступ, с помощью которого они осуществляют мошеннические операции. Судя по всему, авторы Octo при разработке трояна брали за основу зловред ExoCompact. Атаки операторов ExoCompact прекратились в 2018 году, тогда же исходный код программы утёк в Сеть. Тем не менее Octo существенно отличается от ExoCompact качественно доработанным модулем, обеспечивающим удалённый доступ к заражённому устройству. Функция MediaProjection системы Android передаёт злоумышленникам то, что происходит на дисплее смартфона (обновляется каждую секунду), а знаменитая служба Accessibility Service для людей с ограниченными возможностями позволяет удалённо осуществлять действия на девайсе. Для маскировки вредоносной активности Octo использует наложение в виде чёрного экрана, устанавливает минимальный уровень яркости дисплея и отключает все уведомления с помощью режима «не беспокоить». Таким образом, пользователь будет думать, что мобильное устройство находится в спящем режиме, хотя на деле оно может выполнять отправленные киберпреступником команды. Оператор при этом может имитировать нажатия и жесты на дисплее, писать текст, изменять данные в буфере обмена и осуществлять скроллинг.

Также в распоряжении Octo есть мощный кейлогер, способный мониторить и записывать все действия владельца Android-смартфона. Среди интересных функций трояна специалисты отмечают следующие:
Блокировка уведомлений от конкретных приложений.
Перехват СМС-сообщений.
Отключение звука и блокировка экрана.
Запуск отдельных приложений.
Открытие / закрытие сессий удалённого доступа.
Обновление списка C2 (командный сервер).
Открытие URL.
Отправка СМС-сообщений на любой номер.

Администрация киберпространства Китая (CAC) проверит работу алгоритмов рекомендаций техгигантов вроде ByteDance и Tencent. Об этом пишет Bloomberg.

Согласно заявлению CAC, во время выездных проверок компании обяжут предоставить сервисы рекомендаций контента. Под аудит попадут крупные веб-сайты, платформы и продукты с большим влиянием, однако их названия не указываются.

Регулятор проверит, как социальные сети подают рекламу и контент для привлечения пользователей.

Кампания направлена на внедрение и обеспечение соблюдения правил, опубликованных в августе 2021 года. Они регламентируют использование алгоритмов подбора контента для пользователей. 1 марта 2022 года правила вступили в силу.

Это часть более широких мероприятий, направленных на сдерживание растущего влияния крупнейших корпораций Китая, чьи платформы контролируют сферы общественного дискурса и развлечений.

Напомним, в январе 2022 года Администрация киберпространства Китая предложила порядок регулирования дипфейков.

В октябре 2021 года Министерство науки и технологий КНР представило набор этических принципов регулирования искусственного интеллекта.

Мо Абушерд (Moe Abourched) и Катерина Абуршед (Kateryna Abourched) подозреваются в осуществлении мошеннической схемы, в ходе которой они обманом заставили школьный округ в штате Мичиган (США) перевести большую сумму денег на банковский счет своего калифорнийского маникюрного салона.

По словам полиции, округ и налогоплательщики стали жертвами online-мошенничества под названием BEC-атака (business email compromise – компрометация деловой почты). В ходе мошеннической операции было украдено $2,8 млн. Банки смогли отозвать около половины этой суммы после того, как мошенничество было раскрыто. Супруги отрицают какие-либо правонарушения.

Согласно судебным документам, неизвестный хакер взломал учетную запись электронной почты одного из сотрудников отдела кадров школьного округа и через электронные письма убедил коллегу из финансового отдела сменить банковский счет, на который отправлялись медицинские страховые выплаты. Электронные письма были краткими и вежливыми.

Полиция отследила перевод денег на банковский счет салона, принадлежащий семье Абуршед. После обнаружения кражи Мо Абуршед связался с полицией и сказал, что европейская женщина по имени Дора обманом заставила его принять средства и перевести их на другие счета. Как сообщил агент секретной службы информагентству AFP, утверждения Абуршеда являются ложными, и он использовал аналогичную уловку после BEC-атаки на складскую компанию во Флориде.

«Мои клиенты стали невольными жертвами этой схемы», — сказал адвокат Абушедов Кевин Грес (Kevin Gres).

Мошенники BEC используют различные методы для взлома законных учетных записей корпоративной электронной почты и обманом заставляют сотрудников отправлять электронные платежи или совершать покупки. Целенаправленные фишинговые электронные письма являются распространенным типом атак, но эксперты говорят, что мошенники быстро научились правдоподобно выдавать себя за руководителей компании и оказывать влияние на подчиненных.

В течение многих лет как мошенничество BEC, так и атаки программ-вымогателей рассматривались в основном как проблема правоохранительных органов. Это по-прежнему верно для атак BEC, но программы-вымогатели теперь являются ключевой проблемой национальной безопасности после серии разрушительных атак на критически важную инфраструктуру.

Будущее квантовых компьютеров может быть за кремниевыми спиновыми кубитами.

Новое исследование ученых Принстонского университета прокладывает путь для использования технологий на базе кремния в квантовых вычислениях и будет способствовать увеличению их использования в качестве альтернативы другим технологиям квантовых вычислений, таким как сверхпроводники и захваченные ионы.

В ходе исследования ученым удалось с помощью двухкубитного кремниевого квантового устройства добиться беспрецедентного уровня точности более 99,8%. На сегодняшний день это наивысшая точность для двухкубитного шлюза в полупроводнике. Точность, заключающаяся в способности кубита (наименьшей единицы информации в квантовом компьютере), выполнять операции без ошибок, является ключевым моментом для практических высокопроизводительных квантовых вычислений.

Исследователи по всему миру пытаются выяснить, какие технологии, сверхпроводниковые кубиты, захваченные ионы или кремниевые спиновые кубиты, больше всего подходят на роль базовых элементов квантовых вычислений. И, что немаловажно, специалисты изучают, какие технологии являются наиболее подходящими для коммерческого использования.

С помощью кремниевого устройства, так называемой двойной квантовой точки, ученые Принстонского университета смогли захватить два электрона и заставить их взаимодействовать между собой. Таким образом им удалось использовать спиновое состояние каждого электрона в качестве кубита, а взаимодействие между электронами позволило эти кубиты запутать.

Кубит – своего рода квантовый бит, являющийся наименьшей единицей данных в компьютерных технологиях. Как и бит, кубит кодируется с информацией, которая может иметь значение ноля или единицы.

Тем не менее, в отличие от бита, кубит может использовать принципы квантовой механики, что позволяет ему выполнять задачи, которые обычному биту не под силу. Например, он может обладать суперпозицией нолей и единиц, то есть, быть одновременно и нолем, и единицей. Благодаря этому квантовые компьютеры имеют огромное преимущество перед обычными.

В спиновых кубитах «спин» означает момент импульса электрона. Это квантовое свойство, проявляющееся в виде крошечного магнитного диполя, который можно использовать для кодирования информации. В качестве примера можно привести стрелку компаса, указывающую южный и северный полюс и вращающуюся в соответствии с магнитным полем Земли.

Спин – свойство электрона, используемого в квантовых устройствах на основе кремния. Для сравнения, обычные компьютеры работают путем управления отрицательным зарядом электрона.

В целом, кремниевые спиновые кубиты имеют преимущества перед другими типами кубитов.

«Идея состоит в том, что каждая система должна масштабироваться до множества кубитов. В настоящее время другие системы кубитов имеют реальные физические ограничения масштабируемости. Размер может быть реальной проблемой для этих систем. Места, куда все это можно втиснуть, не так много», – пояснил руководитель исследования Адам Миллс (Adam Mills).

Кремниевые спиновые кубиты состоят из одиночных электронов и чрезвычайно малы. Использовавшееся в ходе исследования устройство имело диаметр всего 100 нм, тогда как диаметр обычных сверхпроводниковых кубитов превышает 300 микрон, поэтому много их на чип не уместить.

Еще одно преимущество кремниевых спиновых кубитов заключается в том, что обычная электроника сегодня базируется на кремниевой технологии. По мнению авторов исследования, для создания миллиона или десяти миллионов кубитов для практического применения подойдет только твердотельная система, которую можно масштабировать, используя стандартную полупроводниковую промышленность.

fenix · 12/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Итальянский модный бренд Ermenegildo Zegna подтвердил атаку программы-вымогателя в августе 2021 года, которая привела к обширному сбою IT-систем.

Подробности об инциденте стали известны после подачи формы SEC 424B3 , которая призвана предупредить инвесторов о рисках нарушения бизнеса и утечках данных в результате кибератак. Кибератака произошла в августе 2021 года, затронув большинство IT-систем компании.

Как сообщили представители Zegna, компания не вступала в переговоры со злоумышленниками касательно уплаты выкупа, поэтому им пришлось восстанавливать данные из резервных копий в течение нескольких недель после инцидента.

Хотя в то время Zegna сообщила о несанкционированном доступе к своим системам, только заявка SEC подтвердила, что это была атака программы-вымогателя.

В прошлом году ответственность за данную атаку взяла на себя вымогательская группировка RansomEXX. Похищенные данные были опубликованы на сайте утечек данных с целью принуждения жертвы к выплате выкупа. Как утверждали хакеры, им удалось украсть 20,74 ГБ данных.

Израильский производитель коммерческого шпионского ПО NSO Group обратился в Верховный суд США с целью предотвратить громкий судебный процесс, инициированный сервисом WhatsApp, пишет Associated Press.

Согласно поданному в суд заявлению, компания NSO должна считаться иностранным правительственным агентом и, следовательно, иметь право на иммунитет в соответствии с законодательством США, ограничивающим судебные иски против иностранных государств. Запрос обжалует ряд предыдущих постановлений федерального суда, которые отвергли аналогичные аргументы NSO.

WhatsApp подал в суд на NSO в 2019 году за заражение 1,4 тыс. пользователей сервиса высокотехнологичным шпионским ПО. Истец потребовал оградить все платформы Facebook (ныне запрещенная на территории Российской Федерации компания META) от производителя шпионского ПО и возместить ущерб.

Предоставление NSO суверенного иммунитета сильно помешает делу WhatsApp. Это также может обеспечить израильской компании защиту от потенциально рискованного процесса, в ходе которого могут быть раскрыты ее клиенты и технологические секреты. NSO добивается закрытия всего дела.

В своей петиции компания заявила, что суды низшей инстанции на протяжении многих лет высказывали неоднозначные мнения о суверенном иммунитете, и для Верховного суда было крайне важно вынести решение по вопросу, имеющему столь большое значение для национальной безопасности во всем мире.

«Многие страны, в том числе Соединенные Штаты, полагаются на частных подрядчиков для выполнения или поддержки основной государственной деятельности. Такие подрядчики никогда не смогут добиться иммунитета […] тогда Соединенные Штаты и другие страны могут вскоре обнаружить, что их военные и разведывательные операции сорваны судебными исками против их агентов», - говорится в петиции.

Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) обязало федеральные гражданские ведомства и все американские организации установить исправления для уязвимости в межсетевых экранах WatchGuard Firebox и XTM.

Речь идет о высокоопасной уязвимости повышения привилегий CVE-2022-23176, которая эксплуатировалась APT-группой Sandworm, связываемой ИБ-экспертами с российскими спецслужбами, и которую CISA добавила в свой каталог активно эксплуатируемых хакерами уязвимостей. Sandworm использовала ее для создания нашумевшего ботнета Cyclops Blink из сетевых устройств WatchGuard для небольших и домашних офисов, который недавно был

Для просмотра ссылки необходимо нажать Вход или Регистрация

американскими правоохранительными органами.

Федеральные гражданские органы исполнительной власти (Civilian Executive Branch Agencies, FCE

должны обезопасить свои системы до 2 мая 2022 года. Кроме того, CISA настоятельно рекомендовало всем организациям в США установить патчи против CVE-2022-23176.

Cyclops Blink затронул 1% установок межсетевых экранов WatchGuard, а также маршрутизаторы производства ASUS.

Ранее правительственные агентства США и Великобритании выпустили совместное уведомление безопасности, согласно которому организациям следует считать все зараженные вредоносным ПО устройства скомпрометированными. Администраторы должны незамедлительно отключить online-доступ к интерфейсу управления.

Разработчики GitHub представили функцию Dependency Review GitHub Action, которая сканирует запросы пользователей на предмет внесенных изменений в зависимости и выдает ошибку, если какие-либо новые зависимости содержат уязвимости.

В настоящее время Dependabot уже предупреждает разработчиков при обнаружении уязвимостей в их существующих зависимостях, но нововведение направлено на обеспечение безопасности при добавлении новой зависимости.

Функция доступна для частных репозиториев с лицензией Github Advanced Security и для всех общедоступных репозиториев на GitHub Marketplace и на вкладке «Действия» пользовательского репозитория под заголовком «Безопасность».

Dependency Review GitHub Action поддерживается конечной точкой API, которая различает зависимости между любыми двумя версиями. Это достигается путем добавления нового действия GitHub для проверки зависимостей в существующий рабочий процесс в одном из проектов.

Разработчики используют свои проекты с открытым исходным кодом как способ выражения политической позиции. В частности, они добавляют в последние версии проектов, широко использующихся в приложениях многих организаций, код с ошибками или сообщения протестного характера и даже умышленно портят функционал, не задокументировав эти изменения заранее. Когда приложение получает обновленную версию проекта, неожиданно для пользователей запускается этот наново добавленный код.

Недавно разработчик npm-пакета event-source-polyfill выразил российским пользователям свой протест против военной операции на территории Украины. Как сообщает Bleeping Computer, 17 марта нынешнего года российский разработчик под псевдонимом Yaffle добавил в свою популярную библиотеку event-source-polyfill интересный фрагмент кода.

Данная библиотека предназначена для реализации существующих функций JavaScript в браузерах, которые их не поддерживают. Это делает ее очень популярной – event-source-polyfill используется более 135 тыс. GitHub-репозиториев и еженедельно загружается 600 тыс. раз из npm.

Недавно выпущенная версия библиотеки 1.0.26 заставляет приложения, в которых она используется, отображать для пользователей в России антивоенные сообщения через 15 секунд после запуска. Спустя почти четыре недели после релиза данная версия все еще присутствует в npm и GitHub.

Это уже третий в нынешнем году случай, когда разработчики использовали свои проекты с открытым исходным кодом для выражения протеста. В январе саботаж библиотек colors и faker их создателем потенциально «сломал» тысячи использующих их производственных приложений, а выпущенная в прошлом месяце деструктивная версия node-ipc удаляла все данные с жестких дисков пользователей в России и Беларуси.

Однако случай с event-source-polyfill отличается от двух предыдущих, поскольку новая версия библиотеки не причиняет никакого вреда, а даже рекомендует использовать надежные источники информации, доступ к которым можно получить через Tor.

Исследователи в области кибербезопасности из компании «Лаборатория Касперского» рассказали о банковском трояне под названием Fakecalls. Помимо обычных шпионских функций, у него есть интересная способность «разговаривать» с жертвой, имитируя общение с сотрудником банка.

Fakecalls имитирует мобильные приложения популярных корейских банков, в том числе KB (Kookmin Bank) и KakaoBank. Помимо привычных логотипов создатели трояна выводят на экран Fakecalls номера службы поддержки соответствующих банков. Номера телефонов кажутся реальными (один из номеров можно найти на главной странице официального сайта KakaoBank).

При установке троян запрашивает целый ряд разрешений, включая доступ к контактам, микрофону и камере, геолокации, обработке звонков и пр.

В отличие от других банковских троянов, Fakecall может имитировать телефонные разговоры со службой поддержки. Если жертва звонит на горячую линию банка, троян незаметно разрывает соединение и вместо обычного приложения для звонков открывает свой фальшивый экран вызова. Пока пользователь ничего не подозревает, злоумышленники берут ситуацию в свои руки.

Единственное, что может выдать троян — поддельный экран звонка. У Fakecalls только один язык интерфейса — корейский. Это означает, что если на телефоне выбран другой язык системы, то жертва, скорее всего, почует неладное.

После перехвата звонка возможны два сценария. В первом Fakecalls связывает жертву напрямую с киберпреступниками, поскольку у приложения есть разрешение на совершение исходящих звонков. Во втором случае троян воспроизводит предварительно записанный звук, имитирующий стандартное приветствие банка. Злоумышленники записали несколько фраз на корейском языке, обычно произносимых сотрудниками голосовой почты или call-центра. Мошенники под видом сотрудника банка могут попытаться выманить у жертвы платежные данные или другую конфиденциальную информацию.

Помимо исходящих вызовов, Fakecalls также может подделывать входящие звонки. Когда злоумышленники хотят связаться с жертвой, троян выводит свой экран поверх системного. В результате пользователь видит не реальный номер, используемый злоумышленниками, а тот, который показывает вредонос, например, номер телефона службы поддержки банка.

Кибервымогательская группировка BlackCat (ALPHV) снова напомнила о себе, заявив об атаке на Флоридский международный университет (ФМУ). По словам хакеров, им удалось похитить 1,2 ТБ личных документов студентов, преподавателей и сотрудников, в том числе контракты, номера соцстрахования, электронные адреса и пр.

«Сегодня кибервымогательская группировка опубликовала похищенные у ФМУ чувствительные данные. Мы провели расследование и пока не выявили никаких свидетельств того, что эта чувствительная информация была скомпрометирована. В настоящее время какая-либо дополнительная информация отсутствует», - сообщили представители ФМУ изданию The Record Media.

ФМУ стал уже восьмым университетом в США, в нынешнем году пострадавшим от атаки вымогательского ПО, после колледжа Олоне, Государственного университета Саванны, Университета Детройт Мерси, Колледжа Централии, Общественного колледжа Филлипса Университета Арканзаса, колледжа Национального университета и Государственного университета Северной Каролины A&T.

По словам специалиста ИБ-компании Recorded Future Аллана Лиски (Allan Liska), в марте 2022 года его команда зафиксировала 37 открытых сообщений об атаках вымогательского ПО на учебные заведения. Для сравнения, за весь 2021 года таких сообщений было всего 127.

В первые три месяца 2022 года было зафиксировано больше кибератак, чем в любом предыдущем году, добавил Лиска. На долю BlackCat приходятся атаки как минимум на три учебных заведения в США.

Второй раз в нынешнем году ФБР воспользовалось ордером на обыск и арест имущества с целью очистки от вредоносного ПО устройств, принадлежащих частным компаниям и пользователям без их непосредственного одобрения. Бюро воспользовалось ордером на обыск и арест, чтобы отключить ботнет Cyclops Blink, предположительно управлявшийся APT-группой Sandworm.

Cyclops Blink представляет собой модульное вредоносное ПО, предназначенное для заражения и управления сетевыми устройствами, такими как маршрутизаторы и межсетевые экраны. Одной из главных целей вредоноса являлись межсетевые устройства WatchGuard Firebox. Кроме того, он
атаковал маршрутизаторы производства ASUS.

ФБР удалось восстановить образ прошивки одного из скомпрометированных устройств WatchGuard с разрешения его владельца и благодаря этому изучить вредонос. Эксперты также осуществляли мониторинг трафика зараженного устройства, что позволило им идентифицировать один из релейных C&C-серверов на территории США.

Получив доступ к серверу и проанализировав его работу, специалисты установили, что C&C-серверы Cyclops Blink использовали цифровые сертификаты с определенными характеристиками. Просканировав интернет в поисках этих характеристик, они смогли идентифицировать 38 C&C-серверов, и 22 из них находились в США. С помощью ордеров на обыск и арест имущества ФБР получило контроль над некоторыми серверами.

Специалисты разработали особую технику, позволившую им подделать панель управления серверами в сети Tor и отправлять команды подконтрольным им ботам. Совместно с WatchGuard и другими правоохранительными органами ФБР разработало стратегию по очистке зараженных устройств, в соответствии с которой им отправлялась серия команд.

Эти команды были нужны для достижения следующих целей: подтверждения наличия на зараженном устройстве вредоносного кода, регистрации серийного номера зараженного устройства, извлечения копии вредоносного ПО и списка вшитых C&C-серверов, удаления вредоносного кода и добавления правила межсетевого экрана, блокирующего удаленный доступ к интерфейсу управления.

Такую же стратегию ФБР использовало в апреле прошлого года для копирования и последующего удаления web-оболочек с серверов Microsoft Exchange, использовавшихся китайской кибершпионской группировкой Hafnium.

Японский технологический гигант Panasonic подтвердил факт кибератаки на бизнес-операции в Канаде. Как сообщили представители компании изданию Techcrunch, Panasonic Canada стала жертвой «целевой кибератаки» в феврале нынешнего года, затронувшей некоторые из ее систем, процессов и сетей.

Ответственность за атаку взяла на себя группировка Conti, действующая по бизнес-модели «вымогательское-ПО-как-услуга» (RaaS). Подобные группировки обычно сдают в аренду свою инфраструктуру для программ-вымогателей в обмен на процент от любых доходов от выкупа.

Как утверждают киберпреступники, они украли более 2,8 ГБ данных у Panasonic Canada, включая внутренние файлы, электронные таблицы и документы, принадлежащие отделу кадров и бухгалтерии Panasonic.

Компания не уточнила, к каким данным был получен доступ и сколько людей пострадало от взлома. Также остается неизвестным, требовала ли группировка выкуп.

fenix · 13/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Киберпреступники пытаются «завербовать» банковских сотрудников в рамках новых кибератак на африканский финансовый сектор. В течение последних трех недель злоумышленники рассылают действующим сотрудникам финорганизаций электронные письма и сообщения якобы с предложением работы от банка-конкурента. Однако на самом деле предложение является фиктивным, а сообщение содержит вредоносный «сюрприз», сообщает исследовательская команда HP Wolf Security.

Для рассылки фишинговых писем злоумышленники используют электронные адреса, очень похожие на настоящие, но с отличием в один-два символа (так называемый тайпсквоттинг – атака, при которой мошенники используют имена доменов, похожие на настоящие, но с «опечаткой», в надежде, что жертва не заметит разницы).

Если жертва попадается на удочку, ей приходит второе письмо с HTML-вложением. После открытия файла его содержимое декодируется и отображается в виде окна web-загрузчика. Жертве предлагается загрузить файл, который уже хранится на компьютере. Злоумышленники используют данную технику, известную как HTML smuggling, для эффективного обхода механизмов безопасности, блокирующих трафик вредоносных сайтов.

Файл содержит VBS-скрипт, который после двойного нажатия на него мышью инициирует создание ключа реестра для обеспечения постоянства на системе, выполнение скриптов PowerShell и развертывание GuLoader.

GuLoader – загрузчик для доставки на атакуемую систему вредоносного ПО RemcosRAT. Вредонос представляет собой коммерческий троян для удаленного доступа (RAT), предлагаемый на киберпреступных форумах по подписке за невысокую плату.

Предназначенный для атак на Windows-ПК троян оснащен функцией кейлоггера, а также способен делать снимки экрана, следить за жертвой через камеру и микрофон компьютера, похищать данные ОС и персональные файлы, фиксировать активность жертвы в браузере и загружать дополнительное вредоносное ПО.

Атакуя сотрудников банков, злоумышленники, вероятнее всего, пытались получить доступ ко внутренним системам банков либо через корпоративные машины, либо через личные устройства персонала, работающего удаленно.

В первом квартале 2022 года количество вымогательских DDoS-атак сократилось на 52% в сравнении с последним кварталом 2021 года. Согласно последним статистическим данным Cloudflare, только 17% ее клиентов, пострадавших от DDoS-атак, сообщили о вымогательстве в январе, 6% в феврале и всего 3% в марте.

Специалисты Cloudflare также сообщили о колоссальном росте DDoS-атак на уровне приложений на 164% в годовом исчислении. Наиболее примечательными тенденциями в этой категории являются увеличение на 5086% по сравнению с предыдущим кварталом числа DDoS-атак на прикладном уровне против индустрии бытовой электроники и увеличение на 2131% по сравнению с предыдущим кварталом против интернет-медиа.

Еще одной новой тенденцией, вызывающей беспокойство, является метод отражения-усиления, который уже активно используется преступниками. Атаки с отражением начинаются с небольшого пакета, отраженного внутри закрытой сети, и его размер увеличивается с каждым «отскоком». При достижении возможного верхнего предела результирующий огромный объем трафика направляется на цель.

Cloudflare сообщила о резком росте объемных DDoS-атак — количество атак со скоростью более 100 Гбит/с выросло на 645% по сравнению с предыдущим кварталом, а атаки со скоростью более 10 млн пакетов в секунду — более чем на 300% по сравнению с предыдущим кварталом.

Хакеры могли получить доступ к учетным данным пользователей и медицинским записям, блокировать лифты и двери, наблюдать за помещениями и пр.

Производитель мобильных роботов Aethon устранил ряд уязвимостей в своих больничных роботах Tug. Эксплуатация проблем позволяла киберпреступникам удаленно управлять тысячами медицинских устройств.

Использование пяти уязвимостей, получивших название JekyllBot:5, не требовало особых привилегий или взаимодействия с пользователем. После эксплуатации киберпреступники могли получить доступ к учетным данным пользователей и медицинским записям, выполнить блокировку лифтов и дверей, наблюдать за помещениями, внести изменения в процессе ухода за пациентами и приемом лекарств.

Уязвимости были обнаружены специалистами из фирмы Cynerio. Проблемы получили оценки от 7,6 до 9,8 по шкале CVSS. К счастью, ни одна из этих уязвимостей не использовалась в реальных атаках. Специалисты обнаружили «несколько» больниц в США и по всему миру, которые использовали подключенных к интернету роботов. В каждом из этих случаев исследователи могли использовать уязвимости для удаленного управления роботами из исследовательской лаборатории Cynerio Live. Cynerio сообщила производителю роботов Aethon о своих находках, и компания исправила проблемы в последней версии прошивки роботов.

В ходе анализа роботов Tug исследователи из Cynerio обнаружили аномальный сетевой трафик, который, по их мнению, был связан с датчиками лифта и дверей роботов. Они обнаружили соединение от лифта к серверу с открытым HTTP-портом, предоставлявшее доступ к web-порталу компании, на котором отображался статус роботов Tug, карты больниц, а также фото и видео того, что роботы видели в реальном времени.

По словам экспертов, портал также позволял неавторизованному пользователю управлять роботами. Кроме того, исследователи обнаружили некоторые уязвимости в HTML на странице web-портала Tub, которые позволяли злоумышленнику внедрять вредоносный javascript-код на любой компьютер, запрашивавший данные о роботах.

В частности, уязвимости содержались в реализации JavaScript и API TUG Homebase Server, а также в web-сокете, который полагался на абсолютное доверие между сервером и роботами для передачи им команд. Самая опасная из проблем (CVE-2022-1070) получила оценку в 9,8 балла по шкале CVSS. Уязвимость связана с тем, что продукт не проверяет личность пользователей на обоих концах канала связи или не обеспечивает целостность канала. Это может позволить неавторизованным злоумышленникам, подключиться к web-узлу домашнего базового сервера Tug и удаленно управлять роботами.

«Методы /api/tug/v3/ и /api/tug/v2/ были свободно доступны через HTTP на портах 8081 и 80 и могли использоваться злоумышленниками, не прошедшими проверку подлинности, для получения фотографий в реальном времени от роботов TUG, координат устройства и другой потенциально конфиденциальной информации», — предупредили исследователи.

Команда реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA приняла ряд неотложных мер по реагированию на попытку кибератаки на объект критической инфраструктуры. Целью атаки было выведение из строя высоковольтных электрических подстанций, компьютеров, серверов, сетевого оборудования и АСУ ТП украинской электроэнергетической компании.

Как сообщают специалисты CERT-UA и ИБ-компании ESET, которые помогли отразить и проанализировать атаку, злоумышленники намеревались вывести из строя электроподстанции с помощью вредоносного ПО Industroyer2. По их словам, вредоносные действия были запланированы на 8 апреля 2022 года, но судя по дате компиляции файлов, атака готовилась как минимум за две недели до этого срока.

"В ходе новой атаки киберпреступники совершили попытку развернуть вредоносное программное обеспечение Industroyer2 на высоковольтных электрических подстанциях в Украине. В дополнение к Industroyer2, в ходе атаки группа Sandworm использовала несколько семейств вредоносных программ для уничтожения данных, в том числе CaddyWiper", - сообщают в ESET.

По данным ESET, вредоносное программное обеспечение под названием Industroyer было использовано для отключения электроэнергии в Киеве в декабре 2016 года. Предыдущая версия Industroyer могла взаимодействовать с промышленными системами управления, которые, как правило, используются в электрических системах, в частности IEC-101, IEC-104, IEC 61850 и OPC DA.

Для атаки на компьютеры, серверы и АСУ ТП под управлением ОС Windows злоумышленники планировали использовать деструктивное вредоносное ПО (вайпер) CaddyWiper, предназначенное для удаления всех данных с зараженных систем. Как ранее сообщал SecurityLab, CaddyWiper является одним из четырех обнаруженных вайперов, применявшихся в атаках на Украину с начала текущего года.

Серверы под управлением Linux хакеры намеревались атаковать с помощью вредоносных скриптов-деструкторов ORCSHRED, SOLOSHRED и AWFULSHRED.

«Известно, что организация-жертва подверглась двум волнам атак. Первичная компрометация произошла не позднее февраля 2022 года. Отключение электрических подстанций и выведения из строя инфраструктуры предприятия было запланировано на вечер пятницы 8 апреля 2022 года. Однако реализацию вредоносного плана на текущий момент удалось предотвратить», - сообщила CERT-UA.

Компания HP предупредила о критических уязвимостях в клиенте Teradici PCoIP для Windows, Linux и macOS, которые затрагивают 15 млн конечных точек. Поставщик компьютеров и программного обеспечения обнаружил, что Teradici содержит недавно обнаруженную уязвимость синтаксического анализа сертификата OpenSSL, которая вызывает бесконечный цикл отказа в обслуживании и множественные уязвимости целочисленного переполнения в Expat.

Teradici PCoIP — проприетарный протокол удаленного рабочего стола, лицензированный многими поставщиками продуктов виртуализации, приобретенный HP в 2021 году и с тех пор используемый в ее собственных продуктах. Согласно официальному сайту, продукты Teradici PCoIP развернуты на 15 млн конечных точек, поддерживая правительственные учреждения, воинские части, игровые студии, вещательные корпорации, новостные организации и пр.

Компания HP сообщила о десяти уязвимостях, три из которых имеют критический уровень опасности и получили оценку в 9,8 балла по шкале CVSS.

Одной из наиболее опасных проблем является уязвимость отказа в обслуживании в OpenSSL (CVE-2022-0778), вызванная синтаксическим анализом вредоносного сертификата. Эксплуатация проблемы вызывает цикл, из-за которого программное обеспечение перестанет отвечать на запросы.

Уязвимости целочисленного переполнения (CVE-2022-22822, CVE-2022-22823 и CVE-2022-22824) в libexpat потенциально могут привести к неконтролируемому потреблению ресурсов, повышению привилегий и выполнению удаленного кода.

Пользователям настоятельно рекомендуется обновиться до версии 22.01.3 или более поздней, в которой используются версии OpenSSL 1.1.1n и libexpat 2.4.7.

Специалисты из компании Sophos рассказали подробности о кибератаке неизвестных группировок на сети регионального правительственного агентства США. Хакеры провели более пяти месяцев в поисках нужной информации, а две или более группировок были активны в сети жертвы до того, как последняя развернула полезную нагрузку программы-вымогателя Lockbit.

В течение всего периода атаки хакеры использовали браузер Chrome для поиска (и загрузки) хакерских инструментов на скомпрометированный компьютер, где они получили свой первоначальный доступ. Хотя злоумышленники удалили многие журналы событий с подконтрольных систем, экспертам удалось обнаружить некоторые цифровые следы.

Как стало известно благодаря логам, злоумышленники устанавливали различные коммерческие инструменты удаленного доступа на доступные серверы и рабочие столы. Преступники предпочли инструмент IT-управления ScreenConnect, но позже переключились на AnyDesk, пытаясь обойти контрмеры ИБ-экспертов. Также были обнаружены журналы загрузки различных инструментов RDP-сканирования, эксплойтов, перебора паролей и свидетельства успешного использования этих инструментов.

Исследователи выявили множество других вредоносных программ, от ПО для перебора паролей до криптомайнеров и пиратских версий коммерческого программного обеспечения VPN-клиента. Были свидетельства того, что злоумышленники использовали бесплатные инструменты, такие как PsExec, FileZilla, Process Explorer или GMER, для выполнения команд, перемещения данных с одной системы на другую и отключения процессов, которые препятствовали их усилиям.

Технические специалисты, управляющие пострадавшей сетью, оставили защитную функцию отключенной после завершения обслуживания. В результате некоторые системы остались уязвимыми к атаке злоумышленников, которые отключили защиту конечных точек на серверах и настольных компьютерах.

Первоначальная компрометация произошла почти за полгода до того, как следователи обнаружили взлом. Злоумышленникам повезло, поскольку учетная запись, которую они использовали для взлома через RDP, была не только локальным администратором на сервере, но также имела права администратора домена, что давало ей возможность создавать учетные записи уровня администратора на других серверах и рабочих столах.

После трехнедельного перерыва злоумышленники удаленно подключились и установили инструмент Mimikatz. Первая попытка взлома была предотвращена, однако позже хакерам удалось запустить Mimikatz через скомпрометированную учетную запись. Киберпреступники также пытались собрать учетные данные с помощью другого инструмента под названием LaZagne.

Более чем через четыре месяца после первоначальной компрометации поведение злоумышленников внезапно стало более четким и целенаправленным, а следы IP-адресов прослеживались до Эстонии и Ирана.

Через шесть месяцев после начала атаки хакеры запустили Advanced IP Scanner и почти сразу же начали перемещение по сети на несколько конфиденциальных серверов. В течение нескольких минут злоумышленники получили доступ к множеству конфиденциальных данных.

fenix · 14/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

В совместном бюллетене по кибербезопасности, выпущенном CISA, АНБ, ФБР и Министерством энергетики (Department of Energy, DOE) США, содержится предупреждение о потенциальных атаках на автоматизированные системы управления технологическим процессом со стороны хакерских группировок, поддерживаемых иностранными правительствами.

Злоумышленники могут использовать специально разработанное модульное вредоносное ПО для сканирования, компрометации и получения контроля над АСУ ТП и устройствами диспетчерского управления и сбора данных (SCADA).

«APT-группировки могут использовать модули для сканирования на предмет целевых устройств, проведения разведки сведений об устройстве, загрузки вредоносной конфигурации/кода на систему, резервного копирования или восстановления содержимого устройства и изменения параметров», — отметили специалисты.

К устройствам АСУ ТП/SCADA, подверженным риску взлома и кибератак, относятся: программируемые логические контроллеры (ПЛК) Schneider Electric MODICON и MODICON Nano, ПЛК Omron Sysmac NJ and NX, и серверы Open Platform Communications Unified Architecture (OPC UA).

У хакеров также есть вредоносное ПО для эксплуатации уязвимости CVE-2020-15368 и проведения атак на системы под управлением Windows с материнскими платами ASRock для выполнения вредоносного кода, перемещения по сети и нарушения работы IT- или ОТ-сред.

Хотя федеральные агентства не предоставили никакой дополнительной информации о хакерских инструментах и вредоносных программах, специалисты компании Dragos активно отслеживают набор вредоносных инструментов под названием PIPEDREAM.

«Dragos с высокой уверенностью полагает, что PIPEDREAM еще не применялся в реальных атаках для разрушительных действий. Это редкий случай доступа и анализа вредоносных возможностей, разработанных злоумышленниками до их развертывания, и дает защитникам уникальную возможность подготовиться заранее. PIPEDREAM может манипулировать широким спектром программируемых логических контроллеров промышленного управления и промышленного программного обеспечения, включая контроллеры Omron и Schneider Electric. Он также позволяет выполнять атаки на промышленные технологии CoDeSyS, Modbus и OPC UA», — говорится в сообщении компании.

Mandiant также отслеживает этот набор инструментов под названием INCONTROLLER и отметила «исключительно редкую и опасную возможность кибератаки».

Федеральные агентства рекомендуют ИБ-специалистам начать принимать меры для защиты своих промышленных сетей от атак с использованием этих новых возможностей и вредоносных инструментов.

В рамках глобальной операции подразделению по борьбе с цифровой преступностью Digital Crimes Unit (DCU) компании Microsoft удалось отключить десятки доменов, использовавшихся в качестве C&C-серверов известным ботнетом ZLoader.

Благодаря судебному ордеру специалисты Microsoft осуществили синкхолинг 65 вшитых доменов, с помощью которых операторы ZLoader управляли своим ботнетом, а также 319 доменов, зарегистрированных с помощью алгоритма генерирования доменов и использовавшихся в качестве резервных каналов связи.

«В ходе расследования мы установили, что одним из разработчиков компонента, использовавшегося ZLoader для распространения вымогательского ПО, является Денис Маликов, проживающий в Симферополе на Крымском полуострове. Мы решили сообщить имя человека, связанного с этим делом, с целью дать киберпреступникам понять, что они не смогут прятаться за анонимностью в интернете для осуществления преступлений», - сообщила главный директор DCU Эми Хоган-Берни (Amy Hogan-Burney).

В расследовании Microsoft также принимали участие операторы связи и ИБ-компании, в том числе ESET, Lumen Black Lotus Labs, Palo Alto Networks Unit 42 и Avast.

Zloader (другие названия Terdot и DELoader) представляет собой хорошо известный банковский троян, впервые обнаруженный в августе 2015 года, когда он использовался в атаках на ряд клиентов британских финансовых компаний.

Вредонос способен делать скриншоты, собирать файлы cookie, похищать учетные данные и банковскую информацию, запускать механизм персистентности, использовать легитимные инструменты безопасности и обеспечивать злоумышленникам удаленный доступ к зараженной системе.

Подобно вредоносному ПО Zeus Panda и Floki Bot, Zloader почти полностью базируется на исходном коде трояна Zeus v2, утекшем в Сеть более десяти лет назад.

Вредонос использовался в атаках на банки по всему миру, от Австралии и Бразилии до Северной Америки. Злоумышленники собирали финансовые данные с помощью web-инъекций, выманивая у клиентов зараженных банков их коды авторизации и учетные данные с помощью социальной инженерии.

Zloader также оснащен функциями бэкдора и удаленного доступа и может использоваться в качестве загрузчика дополнительного вредоносного ПО.

В последнее время трояном активно пользовались различные кибервымогательские группировки, в частности Ryuk, Egregor, DarkSide и BlackMatter.

Оператором Enemybot является группировка Keksec, специализирующаяся на криптомайнинге и DDoS-атаках.

Специалисты ИБ-компании Fortinet

Для просмотра ссылки необходимо нажать Вход или Регистрация

новый ботнет на базе исходного кода Mirai, получивший название Enemybot. Ботсеть набирает обороты, заражая модемы, маршрутизаторы и IoT-устройства через известные уязвимости.

Оператором Enemybot является киберпреступная группировка Keksec, специализирующаяся на криптомайнинге и DDoS-атаках. И та и другая деятельность осуществляется с помощью ботнета, заражающего IoT-устройства и использующего их вычислительную мощность.

ВмEnemybot используется обфускация строк, а его C&C-сервер спрятан за узлами Tor, поэтому картировать его и отключить в настоящее время весьма сложно.

После заражения устройства Enemybot подключается к C&C-серверу и ждет команд для выполнения. Большинство команд относятся к DDoS-атакам, но не ограничиваются ими.

Особый интерес вызывают команды, нацеленные на игру ARK: Survival Evolved и серверы OVH, поскольку могут указывать на то, что целью злоумышленников может быть вымогательство. Кроме того, команда LDSERVER позволяет им добавлять в полезную нагрузку новые URL-адреса, чтобы решать проблемы с сервером загрузки. Это интересно, поскольку большинство ботнетов на базе Mirai имеют фиксированные вшитые URL для загрузки.

Enemybot атакует различные архитектуры, начиная от распространенных x86, x64, i686, darwin, bsd, arm и arm64 и заканчивая устаревшими ppc, m68k и spc.

Что касается эксплуатируемых ботнетом уязвимостей, то они отличаются в зависимости от варианта вредоноса, но три из них используются всеми:

CVE-2020-17456 – удаленное выполнение кода в маршрутизаторах Seowon Intech SLC-130 и SLR-120S;

CVE-2018-10823 – удаленное выполнение кода в маршрутизаторах D-Link DWR;

CVE-2022-27226 – cronjob-инъекция в мобильных маршрутизаторах iRZ.

Конституционный суд (КС) рассмотрит жалобу программиста Антона Мамичева, решившего оспорить отказ Санкт-Петербургского городского суда в уплате компенсации за нарушение его интеллектуальных прав швейцарской Veeam Software AG и ее дочерним ООО «Интервим». Ранее Мамичеву отказали в иске к швейцарской компании, которая использовала созданную им программу, из-за того, что сам программист нарушил условия использования задействованного в ней открытого кода. . Если КС удовлетворит требования, это может стать причиной изменений в Гражданском кодексе в пользу IT-специалистов, работающих с открытым кодом, сообщает Коммерсант.

КС 12 апреля принял к рассмотрению жалобу программиста Антона Мамичева на нарушение его интеллектуальных прав решением Санкт-Петербургского городского суда в рамках процесса в отношении швейцарской Veeam Software AG (основана россиянами Андреем Бароновым и Ратмиром Тимашевым) в 2020 году.

Господин Мамичев отстаивал интеллектуальные права на программу для разработчиков контента электронных курсов eLearning Metadata Manager, которые, по мнению истца, присвоил бывший работодатель — ООО «Интервим» и контролирующая его швейцарская Veeam Software AG.

В 2018 году Мамичев подал иск на 43,8 млн руб. к ООО «Интервим» и Veeam Software AG — администратору домена, на котором размещена спорная программа, провайдеру хостинга Amazon Technologies Inc. и регистратору доменного имени GoDaddy.com. Позднее он отказался от требований к Amazon Technologies Inc. и GoDaddy.com, а сумма иска снизилась до 27,6 млн руб. Приморский районный суд взыскал в пользу программиста 23 млн руб.

Для обеспечения персистентности на взломанных Windows-системах, APT-группа Hafnium использует вредоносное ПО Tarrask.

Связанная с Китаем APT-группа Hafnium начала использовать новое вредоносное ПО Tarrask для обеспечения постоянства на скомпрометированных Windows-системах,

Для просмотра ссылки необходимо нажать Вход или Регистрация

Microsoft Threat Intelligence Center (MSTIC).

Hafnium в основном атакует организации в США, включая центры исследований инфекционных заболеваний, юридические фирмы, высшие образовательные учреждения, оборонных подрядчиков, научные и неправительственные организации. Атаки осуществляются путем эксплуатации уязвимостей в доступных через интернет серверах, а для управления вредоносным ПО используются легитимные фреймворки с открытым исходным кодом наподобие Covenant.

Как пояснили специалисты MSTIC, для обеспечения персистентности на системе Tarrask создает скрытые запланированные задачи и новые ключи для них:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

«Первый подключ, созданный в директории Tree, совпадает с именем запланированной задачи. Созданные в нем значения (Id, Index и SD) содержат метаданные для регистрации задачи в системе. Второй подключ, созданный в директории Tasks, представляет собой сопоставление GUID со значением идентификатора, найденным в ключе Tree. Значения, созданные в Actions, Path, Triggers и т.д., содержат базовые параметры, необходимые для облегчения выполнения задачи», - сообщили эксперты.

В изученной специалистами Microsoft атаке злоумышленники создали запланированную задачу WinUpdate через HackTool:Win64/Tarrask для повторной установки прерванного подключения к C&C-серверам. Они удалили значение Security Descriptor (SD) из реестра Tree. SD определяет элементы управления доступом для запуска запланированной задачи.

Суть в том, чтобы стереть значение SD из директории Tree, тогда задача будет скрыта от Windows Task Scheduler и утилиты командной строки schtasks. Единственный способ увидеть эту активность - вручную проверить редактор реестра.

Эксперты отметили, что выполнение команды reg delete для удаления значения SD приведет к ошибке «Отказано в доступе» даже при запуске из командной строки с повышенными привилегиями. Единственный способ удалить значение SD – выполнить команду в контексте пользователя SYSTEM. По этой причине вредоносное ПО Tarrask использовало кражу токенов для получения разрешений безопасности, связанных с процессом lsass.exe.

Разработчики плагина Elementor Website Builder для WordPress выпустили новую версию 3.6.3, в которой исправлена критическая уязвимость удаленного выполнения кода, потенциально затрагивающая 500 тыс. сайтов.

Хотя для эксплуатации уязвимости требуется авторизация, она все равно является критической, поскольку проэксплуатировать ее может любой человек, авторизовавшийся на уязвимом сайте.

Злоумышленник, создавший обычную учетную запись пользователя на затронутом сайте, может поменять его название и тему и изменить его до неузнаваемости. Исследователи из Plugin Vulnerabilities

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что проэксплуатировать уязвимость может и неавторизованный пользователь, но у них нет подтвержденного сценария.

Проблема заключается в отсутствии необходимой проверки доступа в файле плагина module.php, загружаемом по каждому запросу в процессе действия admin_init, даже для неавторизованных пользователей.

Уязвимость появилась в версии Elementor 3.6.0, выпущенной 22 марта 2022 года.

До версий плагина 3.6.x обновились 30,7% пользователей, то есть, максимальное количество уязвимых сайтов может составлять порядка 1,5 млн. 13 апреля плагин был загружен немногим более 1 млн раз. Учитывая, что загружена была последняя версия Elementor, можно предположить, что уязвимыми остаются 500 тыс. сайтов.

Специалисты Plugin Vulnerabilities также опубликовали PoC-код в качестве доказательства возможности проэксплуатировать уязвимость. Администраторам сайтов рекомендуется установить последнюю версию плагина Elementor или удалить его вовсе.

Агентство кибербезопасности и безопасности инфраструктуры (CISA) США добавило десять новых проблем в свой список активно эксплуатируемых уязвимостей, в том числе опасную уязвимость повышения локальных привилегий в системном драйвере Windows Common Log File System Driver (CVE-2022-24521).

В соответствии с обязательной операционной директивой (BOD 22-01), выпущенной в ноябре, все агентства Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch Agencies, FCE

должны защитить свои системы от этой уязвимости. CISA дало им время до 2 мая на исправление уязвимости CVE-2022-24521 и блокировку попыток эксплуатации.

CISA также добавило в свой каталог еще девять уязвимостей, включая критическую уязвимость удаленного выполнения кода (CVVS 9,8) в библиотеке среды выполнения Microsoft Remote Procedure Call (RPC), которая была исправлена в апреле 2022 года.

Федеральные агентства должны исправить активно используемую уязвимость (CVE-2022-23176) в межсетевых экранах WatchGuard Firebox и XTM. Хакерская группировка Sandworm ранее использовала эту уязвимость для создания ботнета Cyclops Blink.

fenix · 15/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Одной из жертв стала компания, которая занимается добычей полезных ископаемых.

Русскоязычная группа вымогателей OldGremlin провела две новые атаки на российские компании в конце марта, обыгрывая тему санкций и уход платежных систем Visa и Mastercard из России, сообщили в пресс службе Group-IB.

Rad Recorder | The Blog | — That smart Gremlin dude from Gremlins: The New...

"Group-IB зафиксировала две новые атаки русскоязычной группы вымогателей OldGremlin на российские компании 22 и 25 марта. В первой рассылке от 22 марта вымогатели обыгрывают тему санкций и "полный уход" платежных систем Visa и Mastercard - письмо было написано от имени старшего бухгалтера известной российской финансовой организации. Для оформления новой банковской карты клиенту необходимо было изучить инструкцию и заполнить анкету. На самом деле письма содержали ссылки на вредоносный документ, расположенный в DropBox", - пояснили в компании.

Подозрительная рассылка была вовремя замечена системой для защиты инфраструктуры от целевых атак. Одна из жертв - российская компания, специализирующаяся на добыче полезных ископаемых - была оперативно предупреждена об угрозе, подчеркнули в компании. 25 марта была проведена новая рассылка с фейковым договором от имени известной консалтинговой компании, жертвами могли стать большое количество компаний, пояснили в Group-IB.

Впервые активность вымогателей из OldGremlin была выявлена аналитиками Group-IB весной 2020 года. Несмотря на то, что группа является русскоязычной, она активно атаковала российские компании - банки, промышленные предприятия, медицинские организации и разработчиков софта, напомнили в компании.

"Всего за два года "гремлины", по провели 13 кампаний по рассылке вредоносных писем. Самым "урожайным" оказался 2020 год - OldGremlin отправили 10 рассылок якобы от имени российского металлургического холдинга, белорусского завода "МТЗ", а также медиахолдинга РБК. Эксперты Group-IB предполагают, что новые рассылки могли заразить большое количество компаний, и в ближайшие месяцы злоумышленники без лишней спешки медленно и аккуратно будут продвигаться в их инфраструктуре, обходя "дефолтные" системы защиты", - считают в Group-IB.

Об этом заявил спецпредставитель президента России по вопросам международного сотрудничества в области информационной безопасности, исполняющий обязанности директора департамента МИД РФ Андрей Крутских.

«Хакерский интернационал наращивает количество компьютерных атак на Россию. Разношерстные кибергруппировки используют для нападений информационно-коммуникационные устройства граждан западных стран, зачастую без их ведома», - говорится в заявлении.

Крутских рассказал, что злоумышленники пытаются нарушить работу объектов критической инфраструктуры России. Речь идет о госструктурах, жизненно важных предприятиях, финансовых учреждениях и т. д.

«По данным российских специалистов, еженедельно извне в нашем информпространстве осуществляются сотни тысяч диверсий – преимущественно с территории Северной Америки, государств-членов ЕС и Украины», — рассказал представитель МИД РФ.

Он также заявил, что стало много случаев кражи персональной и конфиденциальной информации. Наиболее серьезные инциденты были связаны с производителями энергоресурсов и сельхозпродукции, транспортных компаний, органов исполнительной и судебной власти.

«Один из последних случаев – атаки на ресурсы госкорпорации «Роскосмос», бессовестно совершенные в преддверии Дня космонавтики», — признался Крутских. По его мнению, за подобными случаями нападения «стоят западные интернет-гиганты».

Компания Cisco выпустила исправления для критической уязвимости в Wireless LAN Controller (WLC), позволявшей неавторизованному злоумышленнику удаленно захватывать контроль над затронутой системой.

Уязвимость CVE-2022-20695 получила максимальных 10 баллов из 10 по шкале оценивания опасности. С ее помощью злоумышленник мог обойти механизм аутентификации и авторизоваться на устройстве через интерфейс управления WLC.

Уязвимость существовала из-за некорректной реализации алгоритма проверки подлинности пароля. Злоумышленник мог проэксплуатировать ее путем авторизации на затронутом устройстве с помощью придуманных им учетных данных и получить привилегии администратора для дальнейших вредоносных действий, в частности для захвата контроля над всей системой.

Проблема затрагивает только продукты с Cisco WLC Software Release 8.10.151.0 и Release 8.10.162.0, в которых режим RADIUS Compatibility в MAC Filter установлен как «Другой»:

3504 Wireless Controller;
5520 Wireless Controller;
8540 Wireless Controller;
Mobility Express;
Virtual Wireless Controller (vWLC).

Пользователям настоятельно рекомендуется обновиться до версии WLC 8.10.171.0, в которой уязвимость была исправлена. Версия Cisco Wireless LAN Controller 8.9 и более ранние, а также версия 8.10.142.0 и более ранние уязвимости не подвержены.

Проблема была обнаружена исследователем безопасности из компании Bispok. Никаких свидетельств ее эксплуатации в реальных хакерских атаках не выявлено.

Компания Microsoft исправила новую уязвимость в коммуникационном протоколе Windows Remote Procedure Call (RPC), вызвавшую большое беспокойство у исследователей безопасности из-за своего повсеместного распространения и потенциального масштаба кибератак, которые станут возможными после появления эксплоита.

Уязвимость (CVE-2022-26809) была исправлена 12 апреля в рамках ежемесячного «вторника исправлений». Проблема отмечена как критическая, поскольку позволяет неавторизованному удаленному злоумышленнику выполнить код.

Проэксплуатировав уязвимость, злоумышленник сможет выполнять любые команды с привилегиями RPC-сервера, которые во многих случаях повышены до уровня системы и предоставляют полный административный доступ к атакуемому устройству.

RPC представляет собой протокол связи, позволяющий процессам взаимодействовать друг с другом, даже если эти программы запущены на другом устройстве. RPC позволяет процессам на разных устройствах коммуницировать между собой, при этом хосты RPC слушают удаленные соединения через порты TCP, чаще всего 445 и 135.

После выхода исправлений исследователи безопасности быстро осознали потенциал эксплуатации уязвимости. По их словам, проблема позволяет осуществлять широкомасштабные атаки наподобие червя Blaster в 2003 году и WannaCry в 2017 году.

Исследователи уже начали публиковать результаты своих исследований уязвимости, которыми могут воспользоваться хакеры для создания эксплоита. К примеру, специалисты компании Akamai отследили баг до переполнения буфера в rpcrt4.dll DLL.

Исследователю Sentinel One Антонио Кокомацци (Antonio Cocomazzi) удалось успешно проэксплуатировать уязвимость на кастомном сервере RPC.

Хорошая новость заключается в том, что уязвимыми являются только определенные конфигурации RPC.

Аналитик CERT/CC Уилл Дорманн (Will Dormann) рекомендовал администраторам заблокировать порт 445 в сетевом периметре, чтобы уязвимые серверы не были доступны через интернет. Блокировка порта обезопасит не только от внешних атак, но также от возможных сетевых червей, которые попытаются проэксплуатировать уязвимость. Тем не менее, если не установить исправления от Microsoft, устройства все равно будут уязвимы к атакам хакеров, уже присутствующих в сети.

Поскольку уязвимость идеальна для бокового перемещения по сети, уже совсем скоро ее могут взять на вооружение операторы вымогательского ПО.

Специалисты ИБ-компании Check Point обнаружили неисправленную уязвимость в NFT-маркетплейсе Rarible, позволяющую захватывать чужие учетные записи и похищать криптовалютные активы. Злоумышленник может обманом заставить жертву нажать на вредоносный NFT и получить контроль над ее криптовалютным кошельком.

Rarible – торговая площадка, позволяющая создавать, покупать и продавать произведения NFT-искусства, в том числе фотографии, игры и мемы. Маркетплейс насчитывает более 1,2 млн активных пользователей.

Злоумышленник может отправить жертве ссылку на вредоносное NFT-изображение, которое после открытия в новой вкладке выполняет JavaScript-код, позволяющий получить полный контроль над ее NFT путем отправки на кошелек запроса setApprovalForAll.

SetApprovalForAll API позволяет торговым площадкам (в данном случае Rarible) передавать проданные токены с адреса продавца на адрес покупателя на основе реализованного смарт-контракта.

«Это очень опасная функция, поскольку может позволить получить контроль над вашими NFT любому, кто сможет заставить вас подписать сделку. Пользователи не всегда понимают, какие именно разрешения они дают, подписывая транзакцию. В большинстве случаев жертва думает, что это обычная транзакция, когда на самом деле она отдает контроль над собственными NFT», – пояснили исследователи.

Уязвимость потенциально затрагивает только пользователей, добровольно согласных покинуть сайт Rarible.com, перейти на сторонний ресурс с вредоносным контентом и подписать предложенную там транзакцию. Простого нажатия жертвой на ссылку недостаточно, нужно еще, чтобы она подтвердила транзакцию.

fenix · 15/4/22

RuRansom – деструктивное ПО, атакующее исключительно Россию

Хотя в названии используется слово «ransom» («выкуп»), RuRansom является не вымогательским ПО, а вайпером.

Специалисты подразделения анализа киберугроз компании VMware, занимающейся разработкой ПО для виртуализации, опубликовали анализ вредоносного ПО RuRansom, которое атакует системы в России.

Впервые о RuRansom рассказали эксперты ИБ-компании Trend Micro в марте нынешнего года. Хотя в названии вредоноса используется слово «ransom», что означает «выкуп», RuRansom является не вымогательским ПО, а вайпером, поскольку безвозвратно уничтожает зашифрованные файлы своих жертв.

В записке с требованием выкупа, которые обычно отображают программы-вымогатели, автор вредоноса сообщает свои истинные мотивы. По его словам, он создал RuRansom с единственной целью – причинить ущерб России.

«Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», – сообщается в записке.

Вайпер написан на языке программирования .NET и распространяется подобно червю. Во время выполнения он немедленно вызывает функцию IsRussia(), проверяет публичный IP-адрес системы с помощью сервиса

Для просмотра ссылки необходимо нажать Вход или Регистрация

. По IP-адресу вредонос определяет местоположение машины с помощью еще одного сервиса с URL-структурой

Для просмотра ссылки необходимо нажать Вход или Регистрация

ip>.

Если геолокационные данные машины не содержат слово «Россия», появляется уведомление «Программу могут запускать только российские пользователи», и выполнение прекращается.

Для просмотра ссылки необходимо нажать Вход или Регистрация

fenix · 15/4/22

Приложения для видеоконференции слушают разговоры даже с выключенным микрофоном

Кнопки выключения звука в приложениях на самом деле не отключают микрофон.

Группа исследователей Висконсинского университета в Мэдисоне и Чикагского университета Лойолы установила, что отключение звука в популярных приложениях для видеоконференции на самом деле не выключает микрофон устройства, и даже с отключенным звуком у них есть доступ к аудиоданным.

Исследование под названием «Действительно ли звук отключен?: Анализ кнопок выключения звука в приложениях для видеоконференции» (A Privacy Analysis of Mute Buttons in Video Conferencing Apps) будет представлено на конференции Privacy Enhancing Technologies Symposium в июле нынешнего года.

По словам исследователей, кнопки выключения звука в приложениях не деактивируют микрофон, как это позволяет делать интерфейс микрофона в ОС. Для отключения микрофона эти кнопки полагаются на управление в браузере или WebRTC.

Проблема заключается в том, что видео- и аудиосигналы в приложениях обрабатываются по-разному. В ОС наподобие macOS или Windows отключение камеры в приложении происходит на уровне системы, то есть, камера отключается полностью, о чем свидетельствует отсутствие светового индикатора на устройстве.

В свою очередь, программные кнопки отключения звука зависят от приложения, и понять по световому индикатору, что микрофон включен, можно крайне редко. Хотя механизмы управления позволяют отключать микрофон на уровне ОС, проблема в том, что кнопки регулирования звука в приложениях работают не так, как многие думают.

Одни приложения непрерывно мониторят все, что улавливает микрофон, даже когда звук выключен, другие делают это периодически. Одно приложение даже отправляет статистические данные аудио на свои серверы телеметрии.

Исследователи установили, что Zoom (Enterprise), Slack, Microsoft Teams/Skype, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord могут захватывать аудио даже с отключенным микрофоном, но большинство из ничего не делают с этой возможностью. Тем не менее, приложение Cisco Webex, как оказалось, измеряет аудиосигнал даже с отключенным микрофоном. Примерно каждую минуту оно отправляет сетевые пакеты с данными телеметрии аудио на свои серверы.

Для просмотра ссылки необходимо нажать Вход или Регистрация

fenix · 16/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Связь между двумя группировка была обнаружена после того, как исследователи в области безопасности получили доступ к внутреннему VPS-серверу Conti.

Исследователи в области кибербезопасности обнаружили связь между программой-вымогателем Conti и недавно появившейся вымогательской группировкой Karakurt.

Conti — одна из самых плодовитых группировок киберпреступников на сегодняшний день, которая не ослабевает, несмотря на масштабную утечку внутренних разговоров и исходного кода.

Karakurt действует по крайней мере с июня 2021 года. Хакеры крадут данные у компаний, а потом принуждают их к выплате выкупа, угрожая опубликовать похищенную информацию. Примерно за два месяца (с сентября по ноябрь 2021 года) жертвами Karakurt стали более 40 организаций.

Связь между двумя группировками была обнаружена после того, как исследователи в области безопасности получили доступ к внутреннему VPS-серверу Conti с учетными данными пользователя, которого они считают лидером всего синдиката. На сервере VPS хранилось более 20 ТБ данных, которые Conti украла у своих жертв.

По словам экспертов из турецкой консалтинговой компании Infinitum, VPS-сервер размещен у провайдера Inferno Solutions в России, который поддерживает анонимные способы оплаты и принимает заказы через соединения VPN и TOR. При этом Inferno Solutions заявляет, что «не терпит спамеров, мошенников или киберпреступников», всегда на стороне клиента и «не беспокоит клиентов в случае сомнительных и неправомерных жалоб».

Оказавшись внутри учетных записей электронной почты Protonmail и Mega Upload, исследователи обнаружили входящие электронные письма от хостинг-провайдера Inferno Solutions, что позволило им получить удаленный доступ к панели администрирования VPS-сервера. Анализ информации на сервере хранения показал, что у Conti были данные с более старой отметкой времени, принадлежащие жертвам, сведения о которых не были обнародованы.

Участник Conti, учетные записи которого взломали специалисты, использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и скачивания украденных данных. Одно подключение указывало на IP-адрес, где группировка вымогателей Karakurt разместила свой сайт и публиковала украденные данные от неплательщиков.

Расследование Chainalysis выявило несколько кошельков Karakurt, которые отправляли криптовалюту на кошельки, контролируемые Conti. По данным исследователей, выплаты от жертв составляли от $45 тыс. до $1 млн.

Хотя администратор Conti не сохранил пароли в FTP-клиенте, исследователи Infinitum получили учетные данные SSH для командного сервера Karakurt, воспользовавшись неисправленной уязвимостью в FileZilla. Специалисты также получили закрытый ключ SSH, который позволил подключиться к web-серверу Karakurt для их сайта утечек данных.

fenix · 18/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Industrial Spy позиционирует себя как торговую площадку, где компании могут покупать данные своих конкурентов.

Киберпреступники запустили новую подпольную торговую площадку Industrial Spy, на которой продаются данные, похищенные у взломанных компаний. Некоторые данные участникам Industrial Spy также доступны бесплатно.

Хакерские форумы такого рода не являются чем-то новым, однако вместо того, чтобы требовать у компаний выкуп, пугая их огромными штрафами за утечку данных, Industrial Spy позиционирует себя как торговую площадку, где компании могут покупать данные своих конкурентов, в том числе коммерческие тайны, производственные чертежи, финансовые отчеты и клиентские базы данных.

На торговой площадке доступны различные пакеты предложений. Пакеты «Премиум» стоят миллионы долларов, а самые дешевые – отдельные файлы по $2. К примеру, в настоящее время в категории «Премиум» предлагаются данные одной индийской компании за $1,4 млн. Однако многие данные можно купить и в виде отдельных файлов.

Кроме того, Industrial Spy предлагает бесплатные пакеты данные, очевидно, для привлечения клиентов.

Некоторые компании, чьи данные представлены в категории «Общие», в прошлом становились жертвами вымогательского ПО. Отсюда следует, что злоумышленники могли загрузить эти файлы с сайтов утечек кибервымогательских группировок с целью их перепродажи через Industrial Spy.

Согласно оценкам специалистам, данный взлом станет вторым крупнейшим в этом году после атаки на сеть Ronin.

Beanstalk, протокол ориентированной на кредитование стабильной монеты, построенный на Ethereum, был взломан в воскресенье утром. Протокол потерял около 182 миллионов долларов в различных криптоактивах, согласно выводам компании по блокчейн-безопасности PeckShield.
Из протокола Beanstalk злоумышленники украли более 80 миллионов долларов в криптовалютах, в том числе 24 830 ETH. На данный момент эта сумма в ETH эквивалентна примерно 75,8 миллиона долларов. Остальные украденные средства поступили в виде истощенной ликвидности, привязанной к управляющему токену протокола.

B cepии твитoв специалисты PeckShield пoяcнили, чтo xaкepы cмoгли иcпoльзoвaть aтaку флэш-кpeдитa, чтoбы пpиoбpecти бoльшoe кoличecтвo тoкeнoв BEAN.

Согласно оценкам специалистам, данный взлом станет вторым крупнейшим в этом году после атаки на сеть Ronin.

Сервис GitHub обнаружил свидетельства того, что неизвестный злоумышленник воспользовался похищенными пользовательскими токенами OAuth для несанкционированной загрузки конфиденциальных данных из репозиториев ряда организаций.

«Атакующий воспользовался похищенными пользовательскими токенами OAuth, выпущенными для сторонних интеграторов OAuth, Heroku и Travis-CI, для загрузки данных нескольких десятков организаций, включая NPM», -

Для просмотра ссылки необходимо нажать Вход или Регистрация

представитель GitHub Майк Хэнли (Mike Hanley).

Токены доступа OAuth как правило выпускаются приложениями и сервисами для авторизованного доступа к определенным пользовательским данным и связи друг с другом без необходимости обмениваться учетными данными. Это один из наиболее распространенных методов передачи авторизации от сервиса единого входа (single sign-on, SSO) к другому приложению.

По состоянию на 15 апреля 2022 года список затронутых приложений OAuth включал:

Heroku Dashboard (ID: 145909);

Heroku Dashboard (ID: 628778);

Heroku Dashboard – Preview (ID: 313468);

Heroku Dashboard – Classic (ID: 363831);

Travis CI (ID: 9216).

Токены не были похищены путем взлома GitHub или его систем, поскольку сервис не хранит их в оригинальном, доступном для использования формате.

Ранние свидетельства атаки были обнаружены 12 апреля, когда GitHub зафиксировал множественные попытки несанкционированного доступа к своей производственной среде NPM с использованием скомпрометированного ключа AWS API.

Этот ключ предположительно был получен путем загрузки неназванных приватных NPM-репозиториев с помощью похищенного токена OAuth одного из двух затронутых приложений. GitHub уже отозвал токены доступа этих приложений.

«На данный момент мы установили, что атакующий не модифицировал какие-либо пакеты и не получил доступ к каким-либо данным пользовательских аккаунтов или учетным данным», - заявили в компании.

Компании Adobe, Microsoft, Intel, Twitter, японские производители фотоаппаратов Sony и Nikon, а также разработчик чипов Arm намерены совместно разработать стандарты, гарантирующие подлинность изображений и видеороликов в интернете.

Как сообщило издание Nikkei Asia, группа под названием Coalition for Content Provenance and Authenticity (C2PA) разрабатывает открытый стандарт, предназначенный для работы с любым программным обеспечением, демонстрирующим доказательства несанкционированного доступа.

Потребность в способах обеспечения доверия к фотографиям и видео возросла с появлением дипфейков — продвинутой формы манипуляций с использованием искусственного интеллекта. C2PA будет обращаться к большему количеству платформ социальных сетей, таких как YouTube, чтобы ознакомить как можно больше людей со стандартом.

Согласно техническому стандарту, данные о «происхождении» изображения или видео «криптографически связаны» с контентом таким образом, что можно определить факт подделки. Старые методы обнаружения подделок требовали тщательного сравнения с подлинными изображениями. Хотя историю редактирования и другие метаданные можно сохранить, несанкционированное вмешательство может быть осуществлено с помощью специального программного обеспечения, которое иногда невозможно обнаружить.

Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран недокументированных возможностей или добавления механизмов блокировки работы ПО. В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.

В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В связи с тем, что разработчики программного обеспечения (ПО) из недружественных РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, одна из первых рекомендуемых мер со стороны регуляторов — отключить автоматические обновления.

Как следствие, со временем в ПО выявляются новые уязвимости, которые не устраняются путем установки обновления, и возникает риск компрометации. Вероятность, что она произойдет, может быть выше риска внедрения НДВ.

Таким образом, служба кибербезопасности (КБ) находится перед выбором: обновлять ПО с риском получить НДВ или принять риск эксплуатации уязвимости.

Алгоритм, представленный на схеме в простой форме, должен помочь сотруднику безопасности и подразделению КБ принять решение о необходимости обновления.

При работе с алгоритмом необходимо учитывать следующее:

Алгоритм является рекомендацией, применение которой лежит в вашей зоне ответственности.
Алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение может отличаться. Поэтому применение алгоритма должно в обязательном порядке учитывать контекст организации.
ПО перед обновлением в продуктивной среде должно быть проверено на корректную работоспособность в тестовой среде или тестовой выборке.
Если возможно препятствовать эксплуатации уязвимости наложенными средствами защиты, не рекомендуется производить обновление.
Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации.
Не рекомендуется применять алгоритм принятия решения для обновления ПО, используемого в АСУ ТП.
Алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС

В бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО. Скачать бюллетень НКЦКИ в формате

Для просмотра ссылки необходимо нажать Вход или Регистрация

.

Троян распространяется через фишинговые сообщения с вредоносным документом Excel.

Киберпреступники атакуют украинские правительственные организации с помощью фишинговых сообщений, заражающих их системы вредоносным ПО IcedID.

Банковский троян IcedID (другое название BankBot) впервые вышел на киберпреступную арену в 2017 году. В то время он был оснащен тем же функционалом, что и другое банковское вредоносное ПО, в том числе Gozi, Zeus и Dridex, однако его код был уникальным и не базировался на чьем-то другом исходнике. В частности, IcedID мог осуществлять атаки «человек в браузере» и перехватывать финансовую информацию пользователей.

Команда экстренного реагирования на компьютерные инциденты Украины (CERT-UA) обнаружила фишинговые сообщения, содержащие вредоносный документ Excel «Мобилизационный реестр.xls». После открытия документа и включения встроенных макросов на систему загружается и выполняется файл, расшифровывающий и запускающий загрузчик GzipLoader, который загружает троян IcedID.

Как в прошлом месяце сообщал SecurityLab, киберпреступники используют скомпрометированные серверы Microsoft Exchange для рассылки спама по электронной почте и последующего заражения компьютерных систем вредоносным ПО IcedID. ИБ-специалисты из FortiGuard Labs обнаружили электронное письмо с вредоносным ZIP-файлом, отправленное украинской топливной компании. В ходе данной атаки также использовались скомпрометированные серверы Microsoft Exchange.

Кроме того, CERT-UA опубликовала отдельное уведомление о кибератаках на украинские правительственные организации через XSS-уязвимость в Zimbra Collaboration Suite (CVE-2018-6882).

Специалисты в области кибербезопасности из компании Symantec

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что северокорейская киберпреступная группировка Lazarus взламывает сети компаний химического сектора в целях шпионажа.

Шпионская операция, вероятно, является продолжением кампании Dream Job, которая началась еще в августе 2020 года. Преступная схема включала использование фальшивых предложений о работе с целью заставить соискателей переходить по ссылкам или открывать вредоносные вложения, которые затем позволяли преступникам установить шпионское ПО на компьютеры жертв. В ходе кампании Dream Job были атакованы оборонные, правительственные и инженерные организации в 2020 и 2021 годах.

Lazarus обратила свое внимание на химические компании в январе нынешнего года. ИБ-специалисты обнаружили сетевую активность хакеров в «ряде организаций, базирующихся в Южной Корее». Атаки обычно начинаются с отправки вредоносного HTML-файла, который копируется в DLL-файл с именем scskapplink.dll для компрометации приложения в системе.

«Файл DLL внедряется в INISAFE Web EX Client, который является легитимным программным обеспечением для управления системой. Файл scskapplink.dll обычно представляет собой подписанный троянский инструмент с добавленным вредоносным экспортом», — отметили эксперты.

Внедренный вредоносный код загружает и выполняет полезную нагрузку бэкдора с командного сервера, который использует ключ/значение параметра URL «prd_fld=racket». В этот момент вредоносное ПО повторно подключается к командному серверу, выполняет shell-код и загружает дополнительное вредоносное ПО.

Кроме того, преступники используют Windows Management Instrumentation (WMI) для перемещения по сети и внедрения DreamSecurity в приложение MagicLine на других компьютерах.

В одном случае злоумышленники украли учетные данные из разделов реестра SAM и SYSTEM, а затем провели несколько часов, запуская неизвестный shell-код с помощью загрузчика final.cpl. В других случаях хакеры установили BAT-файл для обеспечения персистентности в сети, а также установили инструменты посткомпрометации, в том числе SiteShoter, позволяющий делать скриншоты.

fenix · 19/4/22

https://top.probiv.uno/attachments/mm1234567-png.138469/

Частично выведена из строя база данных, а также парализована работа некоторых почтовых отделений в регионах.

Неизвестные киберпреступники атаковали Почту Болгарии «Български пощи». Пресс-служба национального почтового оператора сообщила, что незамедлительно были предприняты все необходимые меры.

По некоторым данным, из-за кибератаки была частично выведена из строя база данных, а также парализована работа некоторых почтовых отделений в регионах.

В результате кибератаки возможны трудности с использованием некоторых услуг, которые оказывала Почта Болгарии. Перебоев в выплате пенсий, социальных пособий и единовременных пасхальных премий в отделениях связи по всей стране не будет, говорится в сообщении пресс-службы.

Для взлома использовалась шпионская программа Pegasus израильской компании NSO Group.

Объединенные Арабские Эмираты (ОАЭ) и Индию подозревают в причастности к попыткам взлома мобильных телефонов сотрудников МИД Великобритании и канцелярии премьер-министра страны Бориса Джонсона, пишет газета The Telegraph.

По информации издания, сотрудники лаборатории гражданских специалистов Citizen Lab, работающей в Школе Мунка при канадском Университете Торонто, обнаружили не менее пяти попыток взлома телефонов, принадлежащих сотрудникам британского МИД, в период с июля 2020 по июнь 2021 года. Попытки взлома осуществлялись при помощи шпионской программы Pegasus, созданной израильской NSO Group.

Кроме того, 7 июля 2020 года была предпринята попытка заразить телефон сотрудника премьерской канцелярии. По данным экспертов, за ней стояли спецслужбы ОАЭ, а за остальными — Индия, Иордания и Кипр.

Сообщается, что в Национальном центре кибербезопасности Великобритании изучили на наличие вредоносного ПО телефон Бориса Джонсона и ряда сотрудников канцелярии, но зараженное устройство не обнаружили. На Даунинг-стрит эту информацию комментировать отказались.

Власти США предупредили криптовалютные компании об атаках хакерской группировки Lazarus.

Агентство кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и Министерство финансов США предупредили об атаках северокорейской хакерской группировки Lazarus на организации в сфере криптовалют и блокчейна с помощью вредоносных криптовалютных приложений.

Используя методы социальной инженерии, хакеры вынуждают сотрудников криптовалютных компаний загружать и запускать вредоносные криптовалютные приложения для Windows и macOS. С помощью этих приложений они получают доступ к компьютерам жертв, распространяют по сетям вредоносное ПО и похищают закрыты ключи, позволяющие инициировать мошеннические транзакции в блокчейне и похищать криптовалютные активы из кошельков.

«Проникновение начинается с большого количества целенаправленных фишинговых сообщений, которые рассылаются сотрудникам криптовалютных компаний, как правило, системным администраторам или сотрудникам отдела разработки/IT-операций (DevOps), через различные коммуникационные платформы. Сообщения часто подделываются под предложения высокооплачиваемой работы, чтобы заставить получателя загрузить вредоносные криптовалютные приложения, называемые правительством США TraderTraitor», – сообщается в совместном уведомлении CISA, ФБР и Минфина США.

TraderTraitor представляет собой набор кроссплатформенных приложений на базе Electron, созданных с помощью JavaScript и Node.js. Полезная нагрузка приложений включает обновленные macOS- и Windows-версии Manuscrypt – кастомизированного трояна для удаленного доступа (RAT), который собирает системную информацию и спосбен выполнять произвольные команды и загружать дополнительное вредоносное ПО.

Список приложений TraderTraitor:

DAFOM: «криптовалютное портфолио» (macOS);

TokenAIS: якобы помогает «создать портфолио трейдинга на базе ИИ» для криптовалют (macOS);

CryptAIS: якобы помогает «создать портфолио трейдинга на базе ИИ» (macOS);

AlticGO: якобы предоставляет курс криптовалют в режиме реального времени и прогнозирует его колебания (Windows);

Esilet: якобы предоставляет курс криптовалют в режиме реального времени и прогнозирует его колебания (macOS);

CreAI Deck: якобы является платформой для «искусственного интеллекта и глубокого обучения» (Windows и macOS).

Специалисты швейцарской ИБ-компании PRODAFT опубликовали результаты 18-месячного исследования, посвященного кибервымогательской группировке PYSA.

PYSA (аббревиатура выражения «Protect Your System, Amigo» – «Защищай свою систему, друг») является наследником вымогательского ПО Mespinoza. Вредонос был впервые обнаружен в декабре 2019 года и в последнем квартале 2021 года являлся четвертым в списке наиболее часто использующихся программ-вымогателей.

С сентября 2020 года группировка похитила конфиденциальную информацию у 747 жертв. В январе 2022 года ее серверы были отключены.

По данным Intel 471, большинство жертв находится в США (59,2% от всех атак PYSA) и Великобритании (13,1%). Чаще всего PYSA атаковала правительственные, образовательные и здравоохранительные организации.

Подобно другим кибервымогательским группировкам, PYSA использовала тактику двойного вымогательства – публиковала похищенные файлы жертвы, если она отказывалась платить выкуп.

Вредонос шифровал файлы, добавляя расширение .pysa. Для их расшифровки требовался закрытый RSA-ключ, получить который можно было, только заплатив выкуп вымогателям. Почти 58% жертв, заплативших требуемую сумму, смогли восстановить доступ к своим файлам.

Специалистам PRODAFT удалось обнаружить публично доступную папку .git, управляемую операторами PYSA, и выяснить логин одного из авторов проекта – [email protected] .

В операции PYSA использовалось как минимум 11 учетных записей, большинство из которых были созданы 8 января 2021 года. 90% всей активности в панели управления вредоносом приходилось на четыре учетные записи – t1, t3, t4 и t5.

В инфраструктуру PYSA также входили контейнеры docker, включая публичные серверы утечек, базы данных и управляющие серверы, а также облако Amazon S3 для хранения зашифрованных файлов.

«Группировка поддерживается компетентными разработчиками, применяющими к циклу разработки современные операционные парадигмы. Это указывает на профессиональную среду с хорошо организованным распределением обязанностей, а не плохо связанную сеть полуавтономных хакеров», – сообщили исследователи.

Исследователи из Института Понемона провели анализ того, как организации управляют безопасностью и стабильностью своих систем на базе Linux. Результаты исследования помогут организациям, использующим системы на базе Linux, сравнить свои процессы с аналогами и лучшими практиками.

Организации ежегодно тратят в среднем $3,5 млн на мониторинг своих систем на наличие угроз и уязвимостей и внедрение процессов управления исправлениями. Каждую неделю организации тратят около 1075 часов на мониторинг и исправление систем. Это включает 340 часов простоя системы во время применения исправлений, что создает значительную нагрузку на группы безопасности и влияет на производительность. По словам 45% респондентов, их организации не приемлют простой производительности ради установки исправлений.

Несмотря на инвестиции, респонденты не были полностью уверены в своей способности быстро найти и исправить все критические уязвимости в своих системах и снизить риски безопасности до приемлемого уровня. Более 56% респондентов потратили больше месяца на исправление критических и опасных проблем. Кроме того, у 5% респондентов на установку критических исправлений ушло больше года.

Около трети организаций не осознают своей ответственности за безопасность систем, размещенных в облаке. Многие облачные системы без активного управления безопасностью полагаются на элементы управления безопасностью по умолчанию и удачу.

Организации подвергаются риску из-за неспособности достаточно быстро обнаруживать и исправлять уязвимости для всех систем, за управление которыми они несут ответственность. Как показали результаты исследования, только 43% респондентов считают, что у них есть достаточные ресурсы и опыт для своевременной установки исправлений.

Киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки.

Вредоносная кампания в настоящее время еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».

Если пользователь зашел на сайт через непосредственное подключение – загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.

Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.

Файл загрузчика на Delphi представляет собой исполняемый файл «Windows 11 setup». После запуска он удаляет временный файл is-PN131.tmp и создает новый файл .TMP, куда записывает 3078 КБ данных.

С помощью CreateProcess Windows API вредонос создает новые процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестраy, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.

Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл – VBA-скрипт, необходимый для запуска dfl.cmd.

На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.

С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).

App Tracking Transparency не всегда препятствует скрытому сбору личных данных или цифровых отпечатков пользователей.

В прошлом году Apple ввела обязательную политику прозрачности отслеживания приложений (App Tracking Transparency, ATT), которая запрещает производителям приложений отслеживать действия пользователей в других программах без предварительного получения явного разрешения. Защитники конфиденциальности высоко оценили эту инициативу, однако результаты исследования , проведенного экспертами из Оксфордского университета, опровергли заявления техногиганта. ATT не всегда препятствует скрытому сбору личных данных или цифровых отпечатков пользователей.

Согласно ATT, без пользовательского согласия приложение не может получить доступ к так называемому уникальному идентификатору для рекламодателей (The Identifier for Advertisers, IDFA), который iOS или iPadOS назначает для отслеживания пользователей в других установленных приложениях. В то же время Apple также начала требовать от производителей приложений предоставлять «метки конфиденциальности», в которых указывалось, какие типы данных о пользователях и устройствах они собирают, а также как эти данные используются.

По словам исследователей, хотя ATT во многих отношениях работает так, как предполагалось, лазейки в структуре также дали возможность компаниям, особенно крупным, таким как Google и Facebook, обойти средства защиты и накапливать еще больше данных. Несмотря на обещание Apple большей прозрачности, ATT может дать многим пользователям ложное чувство безопасности.

Исследователи также выявили девять приложений для iOS, использовавшие код на стороне сервера для создания общего идентификатора пользователя, который дочерняя компания Umeng китайского техногиганта Alibaba может использовать для отслеживания между приложениями.

Эксперты сравнили 1685 приложений, опубликованных до и после вступления в силу ATT, и пришли к выводу, что количество используемых ими библиотек отслеживания осталось примерно одинаковым. Наиболее широко используемые библиотеки, в том числе SKAdNetwork от Apple, Google Firebase Analytics и Google Crashlytics, не изменились. Почти четверть приложений якобы не собирают никаких пользовательских данных, но большинство из них (80%) содержали как минимум одну библиотеку трекеров.

Компании по отслеживанию, особенно крупные, имеющие доступ к большому объему информации из первых рук, по-прежнему тайно отслеживают пользователей. Они могут сделать это с помощью ряда методов, включая использование IP-адресов для связывания конкретных идентификаторов установки между приложениями и с помощью функций авторизации различных приложений.

В список затронутых продуктов входят планшеты IdeaPad, игровые устройства Legion, а также ноутбуки Flex и Yoga.

Lenovo исправила три уязвимости (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972) в прошивке UEFI, эксплуатация которых позволяет развертывать и успешно запускать вредоносное ПО в BIOS ноутбука Lenovo.

При кибератаках на UEFI вредоносные операции загружаются на скомпрометированное устройство на ранней стадии процесса загрузки. Таким образом вредоносное ПО может подделывать данные конфигурации, устанавливать персистентность и обходить меры безопасности, которые загружаются только на этапе ОС.

По словам специалистов из ESET, уязвимости затрагивают «более ста различных моделей потребительских ноутбуков с миллионами пользователей по всему миру» и вызваны драйверами, предназначенными для использования только на этапе разработки продуктов Lenovo. В список затронутых продуктов входят планшеты IdeaPad, игровые устройства Legion, а также ноутбуки Flex и Yoga.

Первая уязвимость (CVE-2021-3970) затрагивает функцию обработчика SW SMI и вызвана неправильной проверкой вводимых данных. Она позволяет злоумышленникам читать/записывать в SMRAM, что, в свою очередь, может привести к выполнению вредоносного кода с привилегиями SMM и развертыванию флэш-имплантатов SPI.

Две другие уязвимости (CVE-2021-3971 и CVE-2021-3972) связаны с драйверами SecureBackDoor и SecureBackDoorPeim.

Злоумышленники с достаточно высоким уровнем привилегий могут использовать CVE-2021-3971 для изменения настроек прошивки UEFI, а CVE-2021-3972 требует вмешательства в переменные NVRAM для развертывания вредоносных имплантатов.

ESET сообщила Lenovo о трех уязвимостях 11 октября 2021 года, и компания исправила обнаруженные проблемы. Пользователям рекомендуется немедленно применить исправления.

Уязвимость позволяет злоумышленникам получить права администратора.

Архиватор 7-Zip содержит опасную уязвимость, позволяющую захватить системные права в оболочке Windows. Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора, сообщает портал Tom's Hardware.

На прошлой неделе исследователь Каган Чапар раскрыл информацию об уязвимости в 7-Zip, которая может привести к повышению привилегий и выполнению команд. Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.

Эксплуатация данной уязвимости предполагает перемещение особым образом сконфигурированного файла с расширением .7z в область графического интерфейса приложения, где размещается подсказка, выводимая при открытии системного меню в разделе Help и подменю Contents. Согласно имеющимся данным, проблема возникает из-за неверной настройки прав для библиотеки 7z.dll и переполнения буфера.

После получения сообщения о проблеме создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом Экс экс.exe, созданном Microsoft. Специалисты уверены, что такого рода процесс имеет косвенную связь с использованием уязвимости.

Полезные знания Обзор событий по кибербезопасности

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Эксперт

Похожие темы