Windows 11 Restore — восстановление с нюансами
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
С дырочкой в правом боку…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Мы искренне верим, что все в этом канале уже видели новость об обнаруженных исходниках, утекших из «Яндекса», поэтому не будем дублировать эту тему. Ей и так кишат все заголовки тематических ресурсов.
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
Огонь по секторам
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
👍1
Новые рекорды…
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками
От корпорации до стартапа, мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Незащищенные беспроводные связи…
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Известия
План «Перехват»: чем опасно подключение к бесплатному Wi-Fi
Эксперты заявили о риске хищения данных при использовании открытых сетей
👍1
Обновы подъехали!
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Anti-Malware
Microsoft пропатчила три уязвимости в Windows, используемые в кибератаках
Microsoft, строго придерживаясь календаря, выпустила очередные ежемесячные обновления. Рекомендуется не тянуть с их установкой, поскольку разработчики устранили три уязвимости, активно
👍1
Daddy goes bad…
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
👍4
Боремся с фишингом через OneNote-вложения…
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Microsoft Store - Download Center
Download Administrative Template files (ADMX/ADML) for Microsoft Office from Official Microsoft Download Center
This download includes the Group Policy Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise, Office LTSC 2024, Office LTSC 2021, Office 2019, and Office 2016 and also includes the OPAX/OPAL files for the Office Customization Tool…
Понеслась тайваньская вода по трубам…
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
👍3
All Hail TP-Link ASIC (нет)
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
👍1
Hinata DDoS-ботнет
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Anti-Malware
Ботнет Hinata способен создать DDoS-поток мощностью свыше 3,3 Тбит/с
Новый DDoS-зловред, обнаруженный на ловушках Akamai Technologies, распространяется посредством брутфорса SSH и эксплуатации хорошо известных уязвимостей в сетевых устройствах. Вредонос HinataBot
Походу, BreachForums — всё
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
👍1
Dark Power — эффективно и недорого
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
Лишь вопрос времени…
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
CISOCLUB
Киберпреступники начали использовать ChatGPT для фишинга и мошенничества
Возможности инновационного ИИ-решения начали активно использовать злоумышленники в марте 2023 года. Зафиксированы рассылки первых фишинговых писем по электронной почте, которые были разработаны с помощью этого чат-бота, сообщает издание «Известия». Компания…
Один подорожник для приложеньки Росреестра, пожалуйста!
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.
Rilide тиранит браузеры Chromium
Trustwave SpiderLabs Research сообщают, что объявилась новая зверушка для браузеров Chromium — маскирует себя под безопасные расширения (чаще Google Drive), а сама тянет конфиденциальные данные и крипту.
Список функций:
— мониторинг;
— просмотр истории браузера;
— скриншоты;
— внедрение скриптов;
— отображение фейковых диалогов (для двухфакторной аутентификации, конечно).
Trustwave заявляет, что пока зафиксированы два метода распространения: один — посредством трояна Ekipa, второй связан с Aurora.
Источник: https://www.anti-malware.ru/news/2023-04-05-111332/40881
Trustwave SpiderLabs Research сообщают, что объявилась новая зверушка для браузеров Chromium — маскирует себя под безопасные расширения (чаще Google Drive), а сама тянет конфиденциальные данные и крипту.
Список функций:
— мониторинг;
— просмотр истории браузера;
— скриншоты;
— внедрение скриптов;
— отображение фейковых диалогов (для двухфакторной аутентификации, конечно).
Trustwave заявляет, что пока зафиксированы два метода распространения: один — посредством трояна Ekipa, второй связан с Aurora.
Источник: https://www.anti-malware.ru/news/2023-04-05-111332/40881
Anti-Malware
Вредонос Rilide атакует Chromium-браузеры под видом аддона Google Drive
Новая вредоносная программа Rilide атакует основанные на Chromium браузеры. Зловред маскируется под безопасные с виду расширения и пытается вытащить конфиденциальные данные и криптовалюту жертвы.Об
👍1
Любителям «яблок» стоит накатить обновления!
Спецы из Google Threat Analysis Group и Amnesty International Security Lab выявили две zero-day уязвимости в iOS, iPadOS и macOS и Safari им присвоили следующие регалии:
• CVE-2023-28205 — некорректное использование динамической памяти, затрагивающее WebKit. Можно заюзать баг для выполнения кода при специально сформированном веб-контенте.
• CVE-2023-28206 — баг записи за пределами границ в IOSurfaceAccelerator. Дает возможность приложению выполнить код с правами ядра.
Apple уже выложила заплатки. Первый пункт пофиксили, улучшив менеджмент памяти, второй — посредством улучшения алгоритма проверки входящих данных.
Патчи доступны в версиях iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1.
Настоятельно рекомендуем обновиться!
Источник: https://www.anti-malware.ru/news/2023-04-10-111332/40911
Спецы из Google Threat Analysis Group и Amnesty International Security Lab выявили две zero-day уязвимости в iOS, iPadOS и macOS и Safari им присвоили следующие регалии:
• CVE-2023-28205 — некорректное использование динамической памяти, затрагивающее WebKit. Можно заюзать баг для выполнения кода при специально сформированном веб-контенте.
• CVE-2023-28206 — баг записи за пределами границ в IOSurfaceAccelerator. Дает возможность приложению выполнить код с правами ядра.
Apple уже выложила заплатки. Первый пункт пофиксили, улучшив менеджмент памяти, второй — посредством улучшения алгоритма проверки входящих данных.
Патчи доступны в версиях iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1.
Настоятельно рекомендуем обновиться!
Источник: https://www.anti-malware.ru/news/2023-04-10-111332/40911
Anti-Malware
Срочные патчи для iOS и macOS устраняют две используемые в атаках 0-day
Apple оперативно подготовила патчи, устраняющие две опасные уязвимости в iOS, iPadOS, macOS и браузере Safari. Известно, что киберпреступники уже используют эти бреши в атаках, поэтому тянуть с
👍1
Минус 38 проблем!
Коллеги, время качать обновления от Microsoft!
Майский набор патчей устраняет 38 уязвимостей, 3 из которых — 0-day, а 6 имеют статус «критических» и позволяют удаленно выполнять код.
В целом картина следующая: 8 уязвимостей, позволяющих повысить привилегии, 4 позволяют обходить защиту, дюжина — про удаленное выполнение кода, 8 связано с проблемами раскрытия информации, 5 DoS и 1 — про спуфинг (на сдачу, видимо).
Несвятая троица 0-day:
1) CVE-2023-29336 — повышение прав, Win32k, получение привилегий уровня SYSTEM (уже использовалась в реальных кибератаках);
2) CVE-2023-24932 — обход защитных функций (уже использовалась в реальных кибератаках для установки UEFI-буткита BlackLotus);
3) CVE-2023-29325 — Windows OLE, удаленное выполнение кода (описана и лежит в сети, ожидая своего часа).
В источнике есть полная таблица уязвимостей:
https://www.anti-malware.ru/news/2023-05-10-111332/41118
Не забывайте обновляться!
Коллеги, время качать обновления от Microsoft!
Майский набор патчей устраняет 38 уязвимостей, 3 из которых — 0-day, а 6 имеют статус «критических» и позволяют удаленно выполнять код.
В целом картина следующая: 8 уязвимостей, позволяющих повысить привилегии, 4 позволяют обходить защиту, дюжина — про удаленное выполнение кода, 8 связано с проблемами раскрытия информации, 5 DoS и 1 — про спуфинг (на сдачу, видимо).
Несвятая троица 0-day:
1) CVE-2023-29336 — повышение прав, Win32k, получение привилегий уровня SYSTEM (уже использовалась в реальных кибератаках);
2) CVE-2023-24932 — обход защитных функций (уже использовалась в реальных кибератаках для установки UEFI-буткита BlackLotus);
3) CVE-2023-29325 — Windows OLE, удаленное выполнение кода (описана и лежит в сети, ожидая своего часа).
В источнике есть полная таблица уязвимостей:
https://www.anti-malware.ru/news/2023-05-10-111332/41118
Не забывайте обновляться!
Anti-Malware
В мае Microsoft устранила три 0-day в Windows, две используются в атаках
Пока вчера мы отмечали День Победы, Microsoft успела выпустить майский набор патчей для Windows. В общей сложности разработчики устранили 38 проблем, включая три уязвимости нулевого дня (0-day).Шесть
👍2
Коллеги приглашают на мероприятие!
26 мая в Arthurs Spa Hotel by Mercure по адресу МО, д. Ларёво, ул. Хвойная, стр. 26 пройдет второй по счету CIRF — мероприятие, посвященное созданию открыто мыслящего ИБ-комьюнити здорового человека! В этот раз мы решили провести его за городом.
В программе — доклады от экспертов и спикеров: от технических специалистов до практикующих юристов сферы ИБ со стажем. Легкое и открытое общение без титулов и статусов, обсуждение самых наболевших вопросов, круглый стол, крутые активности на свежем воздухе и, надеемся, килотонна полезной информации и улыбок!
За настроение отвечает наш бессменный модератор Дмитрий Борощук (BeholderIsHere)!
Напоминаем вам, что мы против напористой рекламы и «продавливания» компаний и брендов. CIRF — это про пользу!
Уже нестерпимо ждем вас!
Чат здесь: https://news.1rj.ru/str/cirf_chat
Регистрация здесь: https://mko-security.ru/cirf-spring-23
Предложить доклад: https://mko-security.ru/cirf-spring-23
Для тех, кто всегда хочет продолжения вечеринки, предусмотрены скидки на номера в отеле, где будет проходить мероприятие. По всем вопросам писать сюда: https://news.1rj.ru/str/kordovski
26 мая в Arthurs Spa Hotel by Mercure по адресу МО, д. Ларёво, ул. Хвойная, стр. 26 пройдет второй по счету CIRF — мероприятие, посвященное созданию открыто мыслящего ИБ-комьюнити здорового человека! В этот раз мы решили провести его за городом.
В программе — доклады от экспертов и спикеров: от технических специалистов до практикующих юристов сферы ИБ со стажем. Легкое и открытое общение без титулов и статусов, обсуждение самых наболевших вопросов, круглый стол, крутые активности на свежем воздухе и, надеемся, килотонна полезной информации и улыбок!
За настроение отвечает наш бессменный модератор Дмитрий Борощук (BeholderIsHere)!
Напоминаем вам, что мы против напористой рекламы и «продавливания» компаний и брендов. CIRF — это про пользу!
Уже нестерпимо ждем вас!
Чат здесь: https://news.1rj.ru/str/cirf_chat
Регистрация здесь: https://mko-security.ru/cirf-spring-23
Предложить доклад: https://mko-security.ru/cirf-spring-23
Для тех, кто всегда хочет продолжения вечеринки, предусмотрены скидки на номера в отеле, где будет проходить мероприятие. По всем вопросам писать сюда: https://news.1rj.ru/str/kordovski