Forwarded from SecAtor
SafeBreach обнаружили новый бэкдор PowerShell, который маскируется под процесс обновления Windows, оставаясь полностью незамеченным.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
SafeBreach
SafeBreach Uncovers Fully Undetectable PowerShell Backdoor | New Research
SafeBreach Labs discovered a novel, fully undetectable PowerShell backdoor disguised as part of the Windows update process.
Forwarded from SecAtor
Закономерно после появления PoC для Text4Shell, отслеживаемой как CVE-2022-42889, начались первые атаки с использованием новой уязвимости Apache Commons Text.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Wordfence
Threat Advisory: Monitoring CVE-2022-42889 "Text4Shell" Exploit Attempts
On October 17, 2022, the Wordfence Threat Intelligence team began monitoring for activity targeting CVE-2022-42889, or “Text4Shell” on our network of 4 million websites. We started seeing activity targeting this vulnerability on October 18, 2022. Text4Shell…
https://www.cyberscoop.com/wp-content/uploads/sites/3/2022/10/image002.png
The Carnegie Mellon University-designed privacy label for IoT devices has been tested with consumers and is ready to be deployed.
The Carnegie Mellon University-designed privacy label for IoT devices has been tested with consumers and is ready to be deployed.
Forwarded from ATT&CK® COMMUNITY RUSSIA CHANNEL
10th Workshop TLP WHITE.zip
243 MB
Все презентации 10 EU MITRE ATT&CK® Community Workshop [*]
Официальная ссылка на скачку.
[*]Только ⬜ TLP:WHITE ⬜. Материалы 🟩 TLP:GREEN 🟩 доступны только на оффлайн мероприятии.
📩 Подписаться 📩
Официальная ссылка на скачку.
[*]
📩 Подписаться 📩
👍1
Безопасно проектируйте микросервисы
https://medium.com/@mail.ruchitayal/mind-mapping-micro-services-design-patterns-part-2-c3f875e97f2f
https://medium.com/@mail.ruchitayal/mind-mapping-micro-services-design-patterns-part-2-c3f875e97f2f
Medium
Mind-mapping Micro-services Design Patterns — Part 2
In the previous article, I looked at the considerations to design, deploy, and access microservice-based applications. How good would be…
👍1
Forwarded from Пост Лукацкого
Forrester тут выпустил отчет (можно найти на просторах Интернета на сайтах вендоров) по решениям класса SOAR
Forwarded from AlexRedSec
Ассоциация IAPP опубликовала очередной (шестой) ежегодный сборник поставщиков технологий privacy-сегмента.
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных👌
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Минцифры России
🚀 На Госуслугах появился раздел про кибербезопасность
На портале Госуслуг в разделе «Кибербезопасность – это просто» пользователи могут:
🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные;
🔹 узнать, как обезопасить себя от различных типов угроз – от взлома аккаунта до телефонного мошенничества;
🔹 скачать специальные памятки со списком фраз телефонных мошенников и информацией, которую никогда нельзя раскрывать и др.
Также в рамках федпроекта «Информационная безопасность» Минцифры России совместно с «РТК-Солар» и СПбГУТ запустили три спецпроекта для повышения кибеграмотности граждан.
«КиберЗОЖ» – сайт о простых правилах кибербезопасности
«Сложные несложные пароли» – раздел на сайте «КиберЗОЖ» о качественной защите своего аккаунта
«Кибербуллинг» – истории блогеров в соцсетях о том, как они преодолели кибербуллинг, а также сайт для детей и подростков о борьбе с травлей в интернете
👉 Подробнее на сайте Минцифры
@mintsifry
На портале Госуслуг в разделе «Кибербезопасность – это просто» пользователи могут:
🔹 пройти тест и узнать, насколько хорошо они умеют распознавать типичные уловки интернет-мошенников и защищать свои данные;
🔹 узнать, как обезопасить себя от различных типов угроз – от взлома аккаунта до телефонного мошенничества;
🔹 скачать специальные памятки со списком фраз телефонных мошенников и информацией, которую никогда нельзя раскрывать и др.
Также в рамках федпроекта «Информационная безопасность» Минцифры России совместно с «РТК-Солар» и СПбГУТ запустили три спецпроекта для повышения кибеграмотности граждан.
«КиберЗОЖ» – сайт о простых правилах кибербезопасности
«Сложные несложные пароли» – раздел на сайте «КиберЗОЖ» о качественной защите своего аккаунта
«Кибербуллинг» – истории блогеров в соцсетях о том, как они преодолели кибербуллинг, а также сайт для детей и подростков о борьбе с травлей в интернете
👉 Подробнее на сайте Минцифры
@mintsifry