Троян Godfather, или «…ты делаешь это без уважения»
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Семерка превращается в тыкву
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Эксперты компании Group IB выпустили интересный отчет о трендах кибербезопасности и прогнозах угроз — доступен по ссылке. Интересное чтиво, рекомендуется к ознакомлению.
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Group-IB
Hi-Tech Crime Trends 2022/2023
Benefit from Group-IB’s flagship cybersecurity report and explore the current threat landscape trends and forecasts
Windows 11 Restore — восстановление с нюансами
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
С дырочкой в правом боку…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Мы искренне верим, что все в этом канале уже видели новость об обнаруженных исходниках, утекших из «Яндекса», поэтому не будем дублировать эту тему. Ей и так кишат все заголовки тематических ресурсов.
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
Огонь по секторам
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
👍1
Новые рекорды…
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками
От корпорации до стартапа, мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Незащищенные беспроводные связи…
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Известия
План «Перехват»: чем опасно подключение к бесплатному Wi-Fi
Эксперты заявили о риске хищения данных при использовании открытых сетей
👍1
Обновы подъехали!
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Anti-Malware
Microsoft пропатчила три уязвимости в Windows, используемые в кибератаках
Microsoft, строго придерживаясь календаря, выпустила очередные ежемесячные обновления. Рекомендуется не тянуть с их установкой, поскольку разработчики устранили три уязвимости, активно
👍1
Daddy goes bad…
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
👍4
Боремся с фишингом через OneNote-вложения…
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Microsoft Store - Download Center
Download Administrative Template files (ADMX/ADML) for Microsoft Office from Official Microsoft Download Center
This download includes the Group Policy Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise, Office LTSC 2024, Office LTSC 2021, Office 2019, and Office 2016 and also includes the OPAX/OPAL files for the Office Customization Tool…
Понеслась тайваньская вода по трубам…
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
👍3
All Hail TP-Link ASIC (нет)
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
👍1
Hinata DDoS-ботнет
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Anti-Malware
Ботнет Hinata способен создать DDoS-поток мощностью свыше 3,3 Тбит/с
Новый DDoS-зловред, обнаруженный на ловушках Akamai Technologies, распространяется посредством брутфорса SSH и эксплуатации хорошо известных уязвимостей в сетевых устройствах. Вредонос HinataBot
Походу, BreachForums — всё
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
👍1
Dark Power — эффективно и недорого
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
Лишь вопрос времени…
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
CISOCLUB
Киберпреступники начали использовать ChatGPT для фишинга и мошенничества
Возможности инновационного ИИ-решения начали активно использовать злоумышленники в марте 2023 года. Зафиксированы рассылки первых фишинговых писем по электронной почте, которые были разработаны с помощью этого чат-бота, сообщает издание «Известия». Компания…
Один подорожник для приложеньки Росреестра, пожалуйста!
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.