Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Инфостилер Agent Tesla атакует нефтегазовую промышленность

Ученые и исследователи из более чем 25 стран опубликовали открытое письмо, в котором призвали правительства не злоупотреблять приложениями для отслеживания случаев заражения COVID-19 с целью слежения за гражданами.
Ученые предложили децентрализовать данные о зараженных COVID-19

Специалист ИБ-компании Agile Information Security Педро Рибейро (Pedro Ribeiro) раскрыл подробности о четырех неисправленных уязвимостях в ПО корпоративного класса IBM Data Risk Manager (IDRM), предназначенном для анализа активов организации и связанных с ними рисков. Исследователь решил предать огласке информацию об уязвимостях и PoC-эксплоиты для них после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.
Для четырех неисправленных уязвимостей в IBM IDRM опубликованы PoC-эксплоиты

Французское правительство попросило компанию Apple снять некоторые технические ограничения, препятствующие разработке мобильного приложения StopCovid для отслеживания распространения коронавирусной инфекции (COVID-19).
Франция не сможет запустить приложение StopCovid без помощи Apple

Специалисты компании RACK911 Labs продемонстрировали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.
Представлен способ превращения антивирусов в инструмент для самоуничтожения

Разработчики OpenSSL выпустили обновление безопасности для криптографической библиотеки OpenSSL, устраняющее опасную DoS-уязвимость (CVE-2020-1967). Эксплуатация уязвимости позволяет злоумышленнику осуществлять атаки типа «отказ в обслуживании» (DoS). Это первая проблема, обнаруженная в OpenSSL в 2020 году.
В OpenSSL исправлена опасная DoS-уязвимость

За последний месяц в сети появилось множество жалоб от пользователей Nintendo на взломы учетных записей и в некоторых случаях на похищение денег.
Хакеры массово взламывают аккаунты Nintendo и покупают игровую валюту

Тема сегодняшнего выпуска — стартапы и инвестиции в сфере информационной безопасности. Гости нашей студии расскажут, как стать привлекательным проектом для инвестора, и обозначат ниши, где стоит ждать появления прорывных технологий.

Positive Technologies представляет программу нового эфира «ИБшник на удаленке».

Министерство цифрового развития, связи и массовых коммуникаций РФ опубликовало список из 79 системообразующих организаций, которые могут получить дополнительную господдержку в условиях пандемии коронавирусной инфекции (COVID-19). В перечень вошли крупнейшие российские интернет-компании «Яндекс» и Mail.ru Group, а также «Лаборатория Касперского».
«Яндекс» и Mail.ru Group вошли в список системообразующих организаций

Киберпреступники атакуют военные организации в США с помощью фишинговых писем, эксплуатирующих тепу пандемии коронавируса. Согласно отчету Центра по борьбе с киберпреступностью при Министерстве обороны США, злоумышленники нацелились не только на оборонные предприятия – их главной целью является Пентагон.
Хакеры атакуют Пентагон с помощью фишинговых писем на тему COVID-19

Разработчики сервиса видеоконференций Zoom несколько месяцев знали о существовании опасных уязвимостей в своем продукте, однако не спешили их исправлять.
Zoom несколько месяцев игнорировала сообщения об уязвимостях в ее сервисе

Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.
Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D

Специалисты из компании ESET обнаружили критические уязвимости в трех разных контроллерах «умного» дома — Fibaro Home Center Lite, eQ-3 Homematic Central Control Unit (CCU2) и ElkoEP eLAN-RF-003. Эксплуатация проблем позволяет злоумышленнику удаленно выполнить код, похитить данные и осуществить MitM-атаки.
Уязвимости в «умных» хабах подвергают дома риску удаленных атак

Специалисты из компании Cisco Talos обнаружили уязвимость в сервисе для видеоконференций Zoom. Ее эксплуатация позволяет злоумышленнику идентифицировать всех зарегистрированных пользователей Zoom внутри определенной организации.
Уязвимость в Zoom позволяла идентифицировать сотрудников компаний

Специалисты ИБ-стартапа ZecOps обнаружили в iOS сразу две уязвимости нулевого дня, которые Apple исправит в следующем релизе своей мобильной операционной системы iOS 13. Проблемы затрагивают iOS, начиная с версии iOS 6.0, выпущенной в сентябре 2012 года с выходом iPhone 5, и заканчивая актуальной iOS 13.4.1.
В iOS обнаружены уязвимости нулевого дня

Второй раз подряд Администрация адресного пространства Интернет (Internet Assigned Numbers Authority, IANA) испытывает трудности с проведением церемонии подписания ключей корневой зоны (KSK). Если в прошлый раз причиной проблемы оказался физический сейф, где хранились необходимые для церемонии материалы, то сейчас на пути IANA встал коронавирус.
Из-за коронавируса IANA впервые в истории изменила процедуру подписания ключей KSK

Новый вариант DDoS-ботнета Hoaxcalls, который может быть использован для крупномасштабных вредоносных кампаний, распространяется через неисправленную уязвимость, затрагивающую управление сетевой инфраструктурой ZyXEL Cloud CNM SecuManager.
Новая версия ботнета Hoaxcalls эксплуатирует RCE-уязвимость в ZyXel

Как показывает практика, физически изолированные компьютеры отнюдь не являются неприступной крепостью, и при желании их можно взломать (яркий пример – атаки Stuxnet). Тем не менее, заразить отключенный от интернета компьютер (например, подключив к нему вредоносное устройство) – это одно, а вот извлечь из него данные – совсем другое.
Представлен способ извлечения данных из изолированных систем с помощью радио

Минкомсвязи РФ предложило ввести удаленную идентификацию абонентов сотовой связи через Единую систему идентификации и аутентификации (ЕСИА) и созданную на ее базе Единую биометрическую систему (ЕБС) компании «Ростелеком». Как считают в министерстве, это поможет ведению бизнеса, пока салоны связи закрыты, а в будущем поспособствует развитию виртуальных eSIM, пишет «КоммерсантЪ».
Минкомсвязи предложило удаленную идентификацию абонентов

Депутаты Госдумы от «Справедливой России» Федот Тумусов и Дмитрий Ионин предложили законопроект о прекращении блокировок Telegram. По словам авторов, безуспешные попытки блокировать мессенджер «наносят урон престижу государственной власти».
В Госдуме предложили прекратить попытки блокировать Telegram

Исследователь безопасности Джеймс Форшоу (James Forshaw) из команды Google Project Zero рассказал о проблеме в ядре Windows 10, позволявшей осуществить побег из песочницы Google Chrome.
Обновление Windows 10 ослабило безопасность Google Chrome