Сценарий проведения атаки через PoS терминалы (давненько такого не встречал). Чувствуется системный, целенаправленный, профессиональный и я бы даже сказал процессный подход.

Многим современным компаниям стоит поучиться манерам подхода к реализации поставленной задачи :)

Расследование с описанием методологической части новой вредоносной компании под названием Anchor:

https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware

Waterbear, раскрытие еще одного подхода. Модульный, использует API, прячется от антивирусов.

Пошаговый разбор полетов:
https://blog.trendmicro.com/trendlabs-security-intelligence/waterbear-is-back-uses-api-hooking-to-evade-security-product-detection/

Собственно комментарий от первого лица:

http://www.sysoev.ru

Даёшь NGINX!

О ситуации в общем:
https://www.ixbt.com/news/2019/12/12/rambler-reshil-prisvoit-vebserver-nginx.html

За ссылку спасибо BORODA(C)

Чтение, создание файлов через уязвимости менеджеров Node пакетов npm, yarn, pnpm.

Стек приложений на Node растёт, равно как растёт и популярность Node среди разработчиков, но о безопасности данного стека кто и когда из пользователей оного задумывался?

PoC с предысторией по сабжу:
https://blog.daniel-ruf.de/critical-design-flaw-npm-pnpm-yarn/

За ссылку спасибо @ldviolet

Можно пощупать предварительную версию MTP (пользователям о365 посвящается).. ясно что он потом станет наверняка платным, как и все остальные вещи в о365.

Здесь интерес скорее к реализации, чем к самому продукту, кому интересно информация о данном анонсе:

https://docs.microsoft.com/en-us/microsoft-365/security/mtp/microsoft-threat-protection

Любителям и знатокам Vim :)

https://github.com/vim/killersheep/blob/master/README.md

Уязвимость нулевого дня в TP-Link маршрутизаторах. Позволяет удалённому злоумышленнику взять под полный контроль маршрутизатор в обход механизмов аутентификации. Уровень критический. Владельцам девайсов - проверьте фиксы для своих устройств / наличие уязвимости.

PoC:
https://securityintelligence.com/posts/tp-link-archer-router-vulnerability-voids-admin-password-can-allow-remote-takeover/

Баги WatsApp под конец года набирают обороты) В мессенджере обнаружен баг, который может привести к краху мессенджера у всех участников группы, если в группу отправить сообщение с измененным номером телефона любого из участников.

В статье рассказывается как можно расшифровать соединение, просмотреть переписку и подложить “битый” номер в поле “participant to”

https://research.checkpoint.com/2019/breakingapp-whatsapp-crash-data-loss-bug/

Анонс Windows 10 Insider Preview Build 19536. Какие фичи в свежей сборке Windows:

- Доп драйвера для устройств
- Среда восстановления не требует пароль администратора для восстановления
- Настройки семейной группы
- Множество мелких исправлений

https://blogs.windows.com/windowsexperience/2019/12/16/announcing-windows-10-insider-preview-build-19536/#xogQVtqesTSXajtB.97

В Intel rapid найдена уязвимость позволяющая запускать привилегированные процессы, а также потенциально обходить черные списки антивирусов.

Intel rapid технология обеспечивающая повышенную производительность жёстких дисков SATA. Работает под Windows и поставляется, как правило уже в предустановленном виде с ноутбуками оснащёнными ОС Windows. Так что желательно этот момент проверить и обновить это ПО.

PoC:
https://safebreach.com/Post/Intel-Rapid-Storage-Technology-Service-DLL-Preloading-and-Potential-Abuses-CVE-2019-14568

Новый RAT под названием Dacls от Lazarus нацелен на Linux и Windows системы.

Модульный, кроссплатформенный, пока обнаружен на серверах где установлен продукт Atlassian Confluence, известно точно, что используется уязвимость этого продукта для внедрения Dacls на конечные системы.

Детальный PoC, как и что (правда на китайском) от первого лица:

https://blog.netlab.360.com/dacls-the-dual-platform-rat/

Atlassian CVE:
https://nvd.nist.gov/vuln/detail/CVE-2019-3396

Гангнам индастриал стайл или как промышленный шпионаж формирует новое лицо через почтовый фишинг :)

https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/

Не успел Intel rapid остыть и тут подоспели...

Aser / Asus снабжают ноутбуки уязвимым ПО. Непонятно то ли это ошибки программеров, то ли закладки от вендоров :)

Собственно Acer Quick Access и Asus ATK содержат уязвимости позволяющие поднять привилегии в системе по максимуму... Так то:

https://safebreach.com/Post/Acer-Quick-Access-DLL-Search-Order-Hijacking-and-Potential-Abuses-CVE-2019-18670

Имя, адрес, электронная почта, логин, пароль, дата рождения, номер медицинской карты и результаты лабораторных тестов - доступ к таким данным получили злоумышленники в одной из Канадских компаний занимающейся лабораторными исследованиями.

15 миллионов клиентов! Именно по такому количеству людей были украдены данные.

Компания провела переговоры с преступниками и ВЫКУПИЛА ДАННЫЕ У ПРЕСТУПНИКОВ!

Эпично и честно. Официальное письмо от LifeLabs:

https://customernotice.lifelabs.com/

MS рассказывает что такое фишинг, какова его эволюция, что такое “человек по середине” и тп…

Но между нами говоря, фишинговые письма людям приходят при этом даже как бы от внутренних пользователей компании или как бы от официальный тех поддержки…

Как бы там ни было, от знатоков фишинга из MS статья на тему эволюции фишинга в природе:

https://www.microsoft.com/security/blog/2019/12/11/the-quiet-evolution-of-phishing/

Концепция целенаправленных атак вымогателей проста:

‣ получить доступ к корпоративной сети ‣ получить доступ ко всему, что можно ‣ зашифровать данные (чем больше, тем лучше) ‣ запросить единовременную выплату, для восстановления доступа к зашифрованным данным ‣ получить прибыль

До "сегодняшнего дня", теперь к этой парадигме прибавилось:

‣ удержание в заложниках с угрозами публикации данные жертвы, если оплата за расшифровку не будет получена

Что интересно, теперь злоумышленники или их ПО прежде чем донести до жертвы сей мессадж, проводят какое-то время в инфраструктуре, собирают данные и тп..

Собственно рассказ о нескольких подобных инцидентах (имеющих место) от Cisco ресечеров:

https://blog.talosintelligence.com/2019/12/IR-Lessons-Maze.html

Много кто переходит на Matrix (децентрализованный сервер коммуникаций):

https://matrix.org/

В начале года это был проект KDE, теперь Mozilla:

https://www.opennet.ru/opennews/art.shtml?num=52056

Овер 260 миллионов пользователей. Facebook. Снова.

https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/

Минимальная выплата за найденные уязвимости 100к долларов. Apple и их баунти программа:

https://developer.apple.com/security-bounty/

Критическая уязвимость Cisco ASA до сих пор эксплуатируется.

Атакующий может либо перезагрузить устройство, либо получить доступ к информации устройства в обход аутентификации:

https://blog.talosintelligence.com/2019/12/ASA-Bug-Attacked-In-The-Wild.html

Информация об уязвимости:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd

Повышение привилегий до уровня SYSTEM в ОС Windows при помощи механизма самообновления DropBox клиента. Все оказалось очень просто. Есть ли на данный момент патч, ещё под вопросом.

PoC:

https://decoder.cloud/2019/12/18/from-dropboxupdater-to-nt-authoritysystem/