Боремся с фишингом через OneNote-вложения…
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Microsoft Store - Download Center
Download Administrative Template files (ADMX/ADML) for Microsoft Office from Official Microsoft Download Center
This download includes the Group Policy Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise, Office LTSC 2024, Office LTSC 2021, Office 2019, and Office 2016 and also includes the OPAX/OPAL files for the Office Customization Tool…
Понеслась тайваньская вода по трубам…
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
👍3
All Hail TP-Link ASIC (нет)
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
👍1
Hinata DDoS-ботнет
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Golang — отличный инструмент. Плюшки в виде многопоточности, многозадачности, высокой производительности и сложного бинарного кода (боль реверс-инженеров) открывают новые горизонты. К сожалению, в том числе и для злоумышленников.
Мы уже писали о GoBruteforcer, а в новостной повестке нашумели KmsdBot и Zerobot.
Пришло время поговорить о Hinata.
Поймали Hinata Akamai Technologies — вредная зверюга распространяется посредством брутфорса SSH и далеко не новых эксплоитов сетевых устройств:
— CVE-2014-8361 — удаленное исполнение произвольного кода в Realtek SDK;
— CVE-2017-17215 — RCE в роутерах Huawei HG532;
— схожая проблема серверов Hadoop YARN (CVE не присвоен).
Зверюшка работает под кучей архитектур (arm, mips, i386, amd64) и ОС (OpenBSD, Plan 9, Solaris, Windows, Linux).
Предыдущие версии зловреда выполняли DDoS-атаки посредством HTTP, UDP, TCP и ICMP. Свежая сборочка ограничена HTTP flood и UDP flood.
Загнав Hinata на «беговую дорожку», спецы замеряли, что посредством HTTP flood за 10 секунд зловред нагенерил 20 430 запросов при размере пакетов 484-589 байт. В режиме UDP-атаки — 6733 пакета общим объемом 421 Мбайт.
В теории, 10 000 ботов Hinata могут создать UDP-поток, который достигнет пика в 3,3 Тбайт в секунду, но, как мы понимаем, нюансов много…
Источник:
https://www.anti-malware.ru/news/2023-03-20-114534/40759
Anti-Malware
Ботнет Hinata способен создать DDoS-поток мощностью свыше 3,3 Тбит/с
Новый DDoS-зловред, обнаруженный на ловушках Akamai Technologies, распространяется посредством брутфорса SSH и эксплуатации хорошо известных уязвимостей в сетевых устройствах. Вредонос HinataBot
Походу, BreachForums — всё
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
BF — значимый форум, который часто ассоциируют с киберпреступниками и злоумышленниками. Но давайте будем откровенными, среди его посетителей — огромное количество спецов из кибербеза и просто праздношатающихся граждан, желающих посмотреть на обратную сторону сети. Да, там, без сомнения, можно было купить всякого: полезные тулзы, слитые и уведенные базы, описания эксплоитов и тактики взлома и проникновения… К примеру, на площадке были размещены данные из Acer, Activision, Twitter и т.д.
Несколько дней назад был арестован основатель ресурса — Pompompurin. Админ под одиозным ником Baphomet положил ресурс в офлайн и пытался перекинуть его на новую инфраструктуру, естественно, чтобы доблестные правоохранители не дотянулись до сервера.
В общем, как гласит последнее сообщение, очень вероятно, что полиция все-таки получила доступ к серверу.
Что ж, вероятнее всего, скоро на просторах сети поднимется новый форум со звучным названием и наследием BreachForums…
👍1
Dark Power — эффективно и недорого
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
На просторах сети разбуянился новый шифровальщик. Имя ему Dark Power, и на его прикладе — уже 10 зарубок. Компаний-жертв между собой ничего не связывает — ни география, ни сфера деятельности. Выкуп достаточно скромный — 10к вечнозеленых в Monero.
Схема неинтересна и тривиальна: переводи деньги в течение 72-х часов или потеряешь данные, и они станут достоянием общественности.
А вот сам зловред интересен тем, что написан на Nim (пока экзотика в части нехорошего ПО). Из достоинств можно смело назвать высокую скорость работы кода, мультиплатформенность и обход антивирусов.
Вектор атаки пока остается загадкой. Метод шифрования — AES в CRT-режиме. Для ключа генерируется новая 64-символьная строка ASCII строчными символами. И в качестве расширения приписывается .dark_power!
Работает негодник следующим образом:
— завершение ряда процессов перед шифрованием (освобождение файлов);
— остановка Win-службы VSS, сервисов резервного копирования и антивируса;
— 30 секунд тишины;
— очистка консоли и системных журналов;
— создание документа с требованиями в каждой директории с зашифрованными файлами.
Лишь вопрос времени…
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
Март махнул клетчатым флагом — спецы из T.Hunter говорят, что киберзлодеи начали использовать GPT для фишинговых рассылок. По утверждениям Игоря Бедерова, злоумышленники начали изучать чат-бот с декабря и вот, в марте начали рассылать фишинговые письма. (Ну этого стоило ожидать…)
Бойцы из Group-IB заявляют, что раньше для заморских злодеев в отношении фишинговых писем на территории РФ был барьер — языковой, разумеется. Ну сложно им было в грамматику, орфографию и прочие тонкости великого и могучего. И спалить негодяев и заливисто похихикать над их потугами труда не составляло. Теперь же, с таким инструментом, как ChatGPT, все стало значительно проще для негодяев и сложнее для их потенциальных жертв!
Источник: https://cisoclub.ru/kiberprestupniki-nachali-ispolzovat-chatgpt-dlya-fishinga-i-moshennichestva
CISOCLUB
Киберпреступники начали использовать ChatGPT для фишинга и мошенничества
Возможности инновационного ИИ-решения начали активно использовать злоумышленники в марте 2023 года. Зафиксированы рассылки первых фишинговых писем по электронной почте, которые были разработаны с помощью этого чат-бота, сообщает издание «Известия». Компания…
Один подорожник для приложеньки Росреестра, пожалуйста!
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.
В Telegram-канале «Утечки информации» анонимусы поведали об уязвимости API’шки для мобильных приложений Росреестра. Через лазейку можно вытащить ПДН собственника объекта недвижимости без аутентификации и авторизации (регистрации и SMS). Все, что нужно, — это кадастровый номер.
Как сообщает анонимный читатель вышеназванного канала, все данные об уязвимости были отправлены в Росреестр, но воз и ныне там.
ПДН можно получить, сформировав специальный запрос с кадастровым номером интересующего объекта. В случае успешной обработки mobile.rosreestr.ru возвращает:
* ФИО;
* дату рождения;
* адрес;
* СНИЛС;
* паспорт;
* кадастровую стоимость объекта;
* дату регистрации права собственности.
Новости не из приятных. Искренне надеемся, что спецы из Росреестра пофиксят все очень быстро.
Rilide тиранит браузеры Chromium
Trustwave SpiderLabs Research сообщают, что объявилась новая зверушка для браузеров Chromium — маскирует себя под безопасные расширения (чаще Google Drive), а сама тянет конфиденциальные данные и крипту.
Список функций:
— мониторинг;
— просмотр истории браузера;
— скриншоты;
— внедрение скриптов;
— отображение фейковых диалогов (для двухфакторной аутентификации, конечно).
Trustwave заявляет, что пока зафиксированы два метода распространения: один — посредством трояна Ekipa, второй связан с Aurora.
Источник: https://www.anti-malware.ru/news/2023-04-05-111332/40881
Trustwave SpiderLabs Research сообщают, что объявилась новая зверушка для браузеров Chromium — маскирует себя под безопасные расширения (чаще Google Drive), а сама тянет конфиденциальные данные и крипту.
Список функций:
— мониторинг;
— просмотр истории браузера;
— скриншоты;
— внедрение скриптов;
— отображение фейковых диалогов (для двухфакторной аутентификации, конечно).
Trustwave заявляет, что пока зафиксированы два метода распространения: один — посредством трояна Ekipa, второй связан с Aurora.
Источник: https://www.anti-malware.ru/news/2023-04-05-111332/40881
Anti-Malware
Вредонос Rilide атакует Chromium-браузеры под видом аддона Google Drive
Новая вредоносная программа Rilide атакует основанные на Chromium браузеры. Зловред маскируется под безопасные с виду расширения и пытается вытащить конфиденциальные данные и криптовалюту жертвы.Об
👍1
Любителям «яблок» стоит накатить обновления!
Спецы из Google Threat Analysis Group и Amnesty International Security Lab выявили две zero-day уязвимости в iOS, iPadOS и macOS и Safari им присвоили следующие регалии:
• CVE-2023-28205 — некорректное использование динамической памяти, затрагивающее WebKit. Можно заюзать баг для выполнения кода при специально сформированном веб-контенте.
• CVE-2023-28206 — баг записи за пределами границ в IOSurfaceAccelerator. Дает возможность приложению выполнить код с правами ядра.
Apple уже выложила заплатки. Первый пункт пофиксили, улучшив менеджмент памяти, второй — посредством улучшения алгоритма проверки входящих данных.
Патчи доступны в версиях iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1.
Настоятельно рекомендуем обновиться!
Источник: https://www.anti-malware.ru/news/2023-04-10-111332/40911
Спецы из Google Threat Analysis Group и Amnesty International Security Lab выявили две zero-day уязвимости в iOS, iPadOS и macOS и Safari им присвоили следующие регалии:
• CVE-2023-28205 — некорректное использование динамической памяти, затрагивающее WebKit. Можно заюзать баг для выполнения кода при специально сформированном веб-контенте.
• CVE-2023-28206 — баг записи за пределами границ в IOSurfaceAccelerator. Дает возможность приложению выполнить код с правами ядра.
Apple уже выложила заплатки. Первый пункт пофиксили, улучшив менеджмент памяти, второй — посредством улучшения алгоритма проверки входящих данных.
Патчи доступны в версиях iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1.
Настоятельно рекомендуем обновиться!
Источник: https://www.anti-malware.ru/news/2023-04-10-111332/40911
Anti-Malware
Срочные патчи для iOS и macOS устраняют две используемые в атаках 0-day
Apple оперативно подготовила патчи, устраняющие две опасные уязвимости в iOS, iPadOS, macOS и браузере Safari. Известно, что киберпреступники уже используют эти бреши в атаках, поэтому тянуть с
👍1
Минус 38 проблем!
Коллеги, время качать обновления от Microsoft!
Майский набор патчей устраняет 38 уязвимостей, 3 из которых — 0-day, а 6 имеют статус «критических» и позволяют удаленно выполнять код.
В целом картина следующая: 8 уязвимостей, позволяющих повысить привилегии, 4 позволяют обходить защиту, дюжина — про удаленное выполнение кода, 8 связано с проблемами раскрытия информации, 5 DoS и 1 — про спуфинг (на сдачу, видимо).
Несвятая троица 0-day:
1) CVE-2023-29336 — повышение прав, Win32k, получение привилегий уровня SYSTEM (уже использовалась в реальных кибератаках);
2) CVE-2023-24932 — обход защитных функций (уже использовалась в реальных кибератаках для установки UEFI-буткита BlackLotus);
3) CVE-2023-29325 — Windows OLE, удаленное выполнение кода (описана и лежит в сети, ожидая своего часа).
В источнике есть полная таблица уязвимостей:
https://www.anti-malware.ru/news/2023-05-10-111332/41118
Не забывайте обновляться!
Коллеги, время качать обновления от Microsoft!
Майский набор патчей устраняет 38 уязвимостей, 3 из которых — 0-day, а 6 имеют статус «критических» и позволяют удаленно выполнять код.
В целом картина следующая: 8 уязвимостей, позволяющих повысить привилегии, 4 позволяют обходить защиту, дюжина — про удаленное выполнение кода, 8 связано с проблемами раскрытия информации, 5 DoS и 1 — про спуфинг (на сдачу, видимо).
Несвятая троица 0-day:
1) CVE-2023-29336 — повышение прав, Win32k, получение привилегий уровня SYSTEM (уже использовалась в реальных кибератаках);
2) CVE-2023-24932 — обход защитных функций (уже использовалась в реальных кибератаках для установки UEFI-буткита BlackLotus);
3) CVE-2023-29325 — Windows OLE, удаленное выполнение кода (описана и лежит в сети, ожидая своего часа).
В источнике есть полная таблица уязвимостей:
https://www.anti-malware.ru/news/2023-05-10-111332/41118
Не забывайте обновляться!
Anti-Malware
В мае Microsoft устранила три 0-day в Windows, две используются в атаках
Пока вчера мы отмечали День Победы, Microsoft успела выпустить майский набор патчей для Windows. В общей сложности разработчики устранили 38 проблем, включая три уязвимости нулевого дня (0-day).Шесть
👍2
Коллеги приглашают на мероприятие!
26 мая в Arthurs Spa Hotel by Mercure по адресу МО, д. Ларёво, ул. Хвойная, стр. 26 пройдет второй по счету CIRF — мероприятие, посвященное созданию открыто мыслящего ИБ-комьюнити здорового человека! В этот раз мы решили провести его за городом.
В программе — доклады от экспертов и спикеров: от технических специалистов до практикующих юристов сферы ИБ со стажем. Легкое и открытое общение без титулов и статусов, обсуждение самых наболевших вопросов, круглый стол, крутые активности на свежем воздухе и, надеемся, килотонна полезной информации и улыбок!
За настроение отвечает наш бессменный модератор Дмитрий Борощук (BeholderIsHere)!
Напоминаем вам, что мы против напористой рекламы и «продавливания» компаний и брендов. CIRF — это про пользу!
Уже нестерпимо ждем вас!
Чат здесь: https://news.1rj.ru/str/cirf_chat
Регистрация здесь: https://mko-security.ru/cirf-spring-23
Предложить доклад: https://mko-security.ru/cirf-spring-23
Для тех, кто всегда хочет продолжения вечеринки, предусмотрены скидки на номера в отеле, где будет проходить мероприятие. По всем вопросам писать сюда: https://news.1rj.ru/str/kordovski
26 мая в Arthurs Spa Hotel by Mercure по адресу МО, д. Ларёво, ул. Хвойная, стр. 26 пройдет второй по счету CIRF — мероприятие, посвященное созданию открыто мыслящего ИБ-комьюнити здорового человека! В этот раз мы решили провести его за городом.
В программе — доклады от экспертов и спикеров: от технических специалистов до практикующих юристов сферы ИБ со стажем. Легкое и открытое общение без титулов и статусов, обсуждение самых наболевших вопросов, круглый стол, крутые активности на свежем воздухе и, надеемся, килотонна полезной информации и улыбок!
За настроение отвечает наш бессменный модератор Дмитрий Борощук (BeholderIsHere)!
Напоминаем вам, что мы против напористой рекламы и «продавливания» компаний и брендов. CIRF — это про пользу!
Уже нестерпимо ждем вас!
Чат здесь: https://news.1rj.ru/str/cirf_chat
Регистрация здесь: https://mko-security.ru/cirf-spring-23
Предложить доклад: https://mko-security.ru/cirf-spring-23
Для тех, кто всегда хочет продолжения вечеринки, предусмотрены скидки на номера в отеле, где будет проходить мероприятие. По всем вопросам писать сюда: https://news.1rj.ru/str/kordovski
На Cisoclub опубликовали классный обзор атак за прошлую неделю!
Если коротко пробежаться по списку, то вот основная инфа:
1) ИБ-эксперты сообщают о новой проге-вымогателе — Akira, в прицеле которой корпоративные сети (шифрование файлов) и многомиллионные выкупы.
2) Новый Cactus шифрует сам себя для обхода антивирусов и использует уязвимости в VPN-устройствах для проникновения в периметры крупных коммерческих организаций.
3) Все больше хакеров используют Babuk (для создания шифровальщиков на Linux), на мушке — серверы VMware ESXi.
4) За неделю нападало новых вариантов таких негодяйских программ, как Stop Ransomware, GlobeImposter, Solix, MedusaLocker, BrightNite, Xorist.
5) Intel заявляет о расследовании утечки закрытых ключей для Intel Boot Guard после атаки программы-вымогателя.
6) ABB была атакована посредством Black Busta. Пострадали бизнес-операции компании.
7) Bl00dy Ransomware теперь используют PaperCut для проникновения в сети, — сообщают ФБР и CISA.
В общем, полезный обзор для тех, кто в теме!
Фулл в источнике:
https://cisoclub.ru/obzor-atak-programm-vymogatelej-i-svjazannyh-s-nimi-incidentov-bezopasnosti-za-proshedshuju-nedelju-8-14-maja/
Если коротко пробежаться по списку, то вот основная инфа:
1) ИБ-эксперты сообщают о новой проге-вымогателе — Akira, в прицеле которой корпоративные сети (шифрование файлов) и многомиллионные выкупы.
2) Новый Cactus шифрует сам себя для обхода антивирусов и использует уязвимости в VPN-устройствах для проникновения в периметры крупных коммерческих организаций.
3) Все больше хакеров используют Babuk (для создания шифровальщиков на Linux), на мушке — серверы VMware ESXi.
4) За неделю нападало новых вариантов таких негодяйских программ, как Stop Ransomware, GlobeImposter, Solix, MedusaLocker, BrightNite, Xorist.
5) Intel заявляет о расследовании утечки закрытых ключей для Intel Boot Guard после атаки программы-вымогателя.
6) ABB была атакована посредством Black Busta. Пострадали бизнес-операции компании.
7) Bl00dy Ransomware теперь используют PaperCut для проникновения в сети, — сообщают ФБР и CISA.
В общем, полезный обзор для тех, кто в теме!
Фулл в источнике:
https://cisoclub.ru/obzor-atak-programm-vymogatelej-i-svjazannyh-s-nimi-incidentov-bezopasnosti-za-proshedshuju-nedelju-8-14-maja/
CISOCLUB
Обзор атак программ-вымогателей и связанных с ними инцидентов безопасности за прошедшую неделю (8-14 мая) | Дайджест CISOCLUB
Предлагаем ознакомиться с небольшим обзором атак программ-вымогателей и инцидентов безопасности, связанных с ними. В центре внимания: Akira, Cactus, Stop Ransomware, GlobeImposter, Solix, MedusaLocker, BrightNite, Intel, Babuk, VMware ESXi, Linux, ABB, Black…
Google Play продолжает удивлять!
В общем, ситуация следующая: в сентябре 2021 года в Google Play выложили приложение iRecorder — Screen Recorder. Это небольшая программка для записи видео с экрана. Людям более-менее зашло, и счетчик закачек вальнул к 50 тысячам.
В августе 2022-го разрабы задеплоили апдейтик, в котором содержался троян AhRat (с вредоносом под названием AhMyth в основе). Среди его базовых функций: отслеживание геолокации, история звонков, контакты, текстовые сообщения, отправка SMS, снимки через встроенную камеру и запись аудио.
Вот как так?! Семь подорожников к модераторам Google Play приложите, пожалуйста!
В общем, ситуация следующая: в сентябре 2021 года в Google Play выложили приложение iRecorder — Screen Recorder. Это небольшая программка для записи видео с экрана. Людям более-менее зашло, и счетчик закачек вальнул к 50 тысячам.
В августе 2022-го разрабы задеплоили апдейтик, в котором содержался троян AhRat (с вредоносом под названием AhMyth в основе). Среди его базовых функций: отслеживание геолокации, история звонков, контакты, текстовые сообщения, отправка SMS, снимки через встроенную камеру и запись аудио.
Вот как так?! Семь подорожников к модераторам Google Play приложите, пожалуйста!
👍7
Umbral + Discord = sex/hate/pain
Новая сага о фишинговых атаках при помощи ISO-контейнеров. Бравые бойцы ИБ-фронта из BI.ZONE раскрыли заговор киберзлодеев, которые атаковали российские компании из разных сфер деятельности посредством Umbral (да, да, да… исходники на GitHub).
Шаг 0:
Инфостилер подкидывается через почту с помощью фишинговой атаки. Маскируется под документ с названием «План рейдеров» (не тех, что грабят караваны на просторах пустошей). Вложение — в формате ISO-файла.
Шаг 1:
Вредонос обходит системы защиты и тащит дату из Brave Browser, Google Chrome, Chromium, Comodo, Microsoft Edge, Epic Privacy Browser, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, Яндекс Браузера, Roblox, Minecraft и Discord.
Шаг 2:
Посредством архитектуры Discord нарытая инфа уходит негодяям (корпоративная переписка, ПДН, внутрянка и т.д.).
В общем, мораль стара как мир: нужно обеспечивать секьюрность корпоративной почты, заблочить возможность открытия контейнеров, отшлепать юзеров по рукам (рецепт работает только при соблюдении всех шагов).
Stay safe, stay secure!
Источник:
https://www.anti-malware.ru/news/2023-05-30-111332/41276
Новая сага о фишинговых атаках при помощи ISO-контейнеров. Бравые бойцы ИБ-фронта из BI.ZONE раскрыли заговор киберзлодеев, которые атаковали российские компании из разных сфер деятельности посредством Umbral (да, да, да… исходники на GitHub).
Шаг 0:
Инфостилер подкидывается через почту с помощью фишинговой атаки. Маскируется под документ с названием «План рейдеров» (не тех, что грабят караваны на просторах пустошей). Вложение — в формате ISO-файла.
Шаг 1:
Вредонос обходит системы защиты и тащит дату из Brave Browser, Google Chrome, Chromium, Comodo, Microsoft Edge, Epic Privacy Browser, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, Яндекс Браузера, Roblox, Minecraft и Discord.
Шаг 2:
Посредством архитектуры Discord нарытая инфа уходит негодяям (корпоративная переписка, ПДН, внутрянка и т.д.).
В общем, мораль стара как мир: нужно обеспечивать секьюрность корпоративной почты, заблочить возможность открытия контейнеров, отшлепать юзеров по рукам (рецепт работает только при соблюдении всех шагов).
Stay safe, stay secure!
Источник:
https://www.anti-malware.ru/news/2023-05-30-111332/41276
Anti-Malware
Фишеры атакуют российские компании размещённым на GitHub инфостилером
BI.ZONE раскрыла операцию киберпреступников, атакующих российские компании из различных отраслей. Задача злоумышленников — установить инфостилер Umbral в системы потенциальных жертв.Umbral
«ИБец» подкрался незаметно!
Далеко не самая святая троица в лицах крутой студии видеопродакшена GDS, заядлого ИБ-хулигана Дмитрия Борощука (BeholderIsHere - https://news.1rj.ru/str/BeholderIsHereHub, https://news.1rj.ru/str/PDAYflashdrive, https://news.1rj.ru/str/forensictools, https://news.1rj.ru/str/netsurvivalist) и пачки непривитых из «МКО Системы» (той самой пачки, которая в ответе за мероприятие CIRF) анонсировали коллаборацию в формате пилотной серии подкастов под названием «Полный ИБец!»
В меню заявлены несерьезные разговоры на серьезные ИБ-темы, разносторонние (иногда косые) взгляды на тренды, инсайды, наболевшие темы, крутые гости — и все это под тонким топингом из нелепого юморка!
В общем, отличный способ начать сложную неделю с позитивной и полезной пищи для мозга!
В первом выпуске генеральный директор «Нейроинформ» Александр Дмитриев просветит всех за пентест, расскажет интересные кейсы про взаимодействие с заказчиками, всратые моменты из практики, поведает об инструментах, тактиках и методиках. Приготовьтесь, будет громко!
Ссылку на посмотреть разместим по готовности!
Далеко не самая святая троица в лицах крутой студии видеопродакшена GDS, заядлого ИБ-хулигана Дмитрия Борощука (BeholderIsHere - https://news.1rj.ru/str/BeholderIsHereHub, https://news.1rj.ru/str/PDAYflashdrive, https://news.1rj.ru/str/forensictools, https://news.1rj.ru/str/netsurvivalist) и пачки непривитых из «МКО Системы» (той самой пачки, которая в ответе за мероприятие CIRF) анонсировали коллаборацию в формате пилотной серии подкастов под названием «Полный ИБец!»
В меню заявлены несерьезные разговоры на серьезные ИБ-темы, разносторонние (иногда косые) взгляды на тренды, инсайды, наболевшие темы, крутые гости — и все это под тонким топингом из нелепого юморка!
В общем, отличный способ начать сложную неделю с позитивной и полезной пищи для мозга!
В первом выпуске генеральный директор «Нейроинформ» Александр Дмитриев просветит всех за пентест, расскажет интересные кейсы про взаимодействие с заказчиками, всратые моменты из практики, поведает об инструментах, тактиках и методиках. Приготовьтесь, будет громко!
Ссылку на посмотреть разместим по готовности!
Telegram
BeholderIsHere Media HUB
Ничего серьезного, просто личный бложег BeholderIsHere
А тут уже полезное:
t.me/NetSurvivalist - альтернативные сети и каналы связи.
t.me/ForensicTools - инструменты для расследований.
t.me/BIHconsulting - консалтинг в области безопасности.
А тут уже полезное:
t.me/NetSurvivalist - альтернативные сети и каналы связи.
t.me/ForensicTools - инструменты для расследований.
t.me/BIHconsulting - консалтинг в области безопасности.
👍4
Гугол, что ты делаешь, остановись!
Тэкс, всемирная цифровая «империя зла» под названием Google в очередной раз обновила политику конфиденциальности. В последней редакции корпорация оставляет за собой право собирать все, что вы публикуете в сети, и скармливать это ИИ для обучения «Переводчика», Cloud AI и Bard.
Прикол в том, что раньше сбор данных оправдывали обучением языковых моделей, теперь же просто обучением без спецификаций.
А вообще история про то, что большие корпорации воспринимают всемирную сеть как полигон для сбора данных, а также тестов продуктов и гипотез, уже некисло так бесит!
В общем, с одной стороны, нужно внимательно читать все политики, под которыми подписываетесь, а с другой — куда ж теперь без Google и его сервиса…
Тэкс, всемирная цифровая «империя зла» под названием Google в очередной раз обновила политику конфиденциальности. В последней редакции корпорация оставляет за собой право собирать все, что вы публикуете в сети, и скармливать это ИИ для обучения «Переводчика», Cloud AI и Bard.
Прикол в том, что раньше сбор данных оправдывали обучением языковых моделей, теперь же просто обучением без спецификаций.
А вообще история про то, что большие корпорации воспринимают всемирную сеть как полигон для сбора данных, а также тестов продуктов и гипотез, уже некисло так бесит!
В общем, с одной стороны, нужно внимательно читать все политики, под которыми подписываетесь, а с другой — куда ж теперь без Google и его сервиса…
Дамы и господа, вашему вниманию представляем пилотный выпуск нового подкаста на тему информационной безопасности и всего вокруг нее!
Рецепт прост: 1 доза экспертности и хулиганства Дмитрия Борощука (BeholderIsHere) + 1/3 отмороженных маректологов из «МКО Системы» + 1 доля крутого гостя, например, Александра Дмитриева («Нейроинформ»). Все перемешать в охлажденной площадке GDS, добавить крутого продакшена от этой же студии. Обильно приправить скабрёзным юмором и матерком. Подавать строго с дурацкой улыбочкой!
Смотреть на YouTube: https://bit.ly/polniyibetzyou
Смотреть в VK: https://bit.ly/polniyibetzvk
Смотреть на Rutube: https://bit.ly/polniyibetzru
Наш гость:
Александр Дмитриев — https://neuroinform.ru/
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
Рецепт прост: 1 доза экспертности и хулиганства Дмитрия Борощука (BeholderIsHere) + 1/3 отмороженных маректологов из «МКО Системы» + 1 доля крутого гостя, например, Александра Дмитриева («Нейроинформ»). Все перемешать в охлажденной площадке GDS, добавить крутого продакшена от этой же студии. Обильно приправить скабрёзным юмором и матерком. Подавать строго с дурацкой улыбочкой!
Смотреть на YouTube: https://bit.ly/polniyibetzyou
Смотреть в VK: https://bit.ly/polniyibetzvk
Смотреть на Rutube: https://bit.ly/polniyibetzru
Наш гость:
Александр Дмитриев — https://neuroinform.ru/
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
👍1
Дамы и господа, это анонс! А анонсируем мы второй выпуск подкаста «Полный ИБец». В качестве приглашенного гостя — Алексей Филатов, крутой спец по профайлингу и скромная звезда CIRF. За столом с ним — бессменный Дмитрий Борощук и маркетологи из «МКО Системы». Все это безобразие происходит в стенах суперкрутой студии GDS. В общем, обсуждаем, как вычислить нехороших личностей, что с ними делать, а главное — чего не делать!
Наш гость:
Алексей Филатов — https://news.1rj.ru/str/ProProfiIing
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
https://news.1rj.ru/str/secure_sector
https://news.1rj.ru/str/mk_software
https://news.1rj.ru/str/cirf_channel
Наш гость:
Алексей Филатов — https://news.1rj.ru/str/ProProfiIing
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
https://news.1rj.ru/str/secure_sector
https://news.1rj.ru/str/mk_software
https://news.1rj.ru/str/cirf_channel
Как распознать @удака. Советы профайлера - Второй выпуск пилотной серии подкаста «Полный Ибец» - медиа единицы, посвященной информационной безопасности и всему, что с ней связано, даже косвенно. В этом выпуске Дмитрий Борощук и полпачки маркетологов из «МКО Системы» в стенах студии GDS задают каверзные вопросы профайлеру Алексею Филатову, и совместными усилиями выясняют, как вычислить *ВЫМАРАНО ЦЕНЗУРОЙ*.
Youtube:
https://bit.ly/polniyibez2you
VK:
https://bit.ly/polniyibez2vk
Rutube:
https://bit.ly/polniyibez2ru
Наш гость:
Алексей Филатов - https://news.1rj.ru/str/ProProfiIing
/////////
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
https://news.1rj.ru/str/secure_sector
https://news.1rj.ru/str/mk_software
https://news.1rj.ru/str/cirf_channel
Youtube:
https://bit.ly/polniyibez2you
VK:
https://bit.ly/polniyibez2vk
Rutube:
https://bit.ly/polniyibez2ru
Наш гость:
Алексей Филатов - https://news.1rj.ru/str/ProProfiIing
/////////
Студия и продакшен:
https://livestudio.group/
Дмитрий Борощук (BeholderIsHere):
https://news.1rj.ru/str/BeholderIsHereHub
https://news.1rj.ru/str/PDAYflashdrive
https://news.1rj.ru/str/forensictools
https://news.1rj.ru/str/netsurvivalist
МКО Системы:
http://mko-security.ru/
https://news.1rj.ru/str/secure_sector
https://news.1rj.ru/str/mk_software
https://news.1rj.ru/str/cirf_channel
👍2