И снова маскировка. Hamas Android MRAT (Mobile Remote Access Trojan) под популярные приложения для знакомств.

Ссылка жертвам приходит от симпатичной незнакомки, после загрузки и запуска, приложение "делает вид" что не смогло установится

Основная функциональность данного ПО заключается в сборе данных о жертве, таких как номер телефона, местоположение, SMS-сообщения... Функционал способен расширяться...

В общем будь на чеку, когда прекрасная незнакомка будет вытягивать тебя на контакт (к реальной (оффлайн) жизни тоже относится) ;)

PoC:

https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/

Не сильный фанат GNOME, но в грядущем релизе 3.36 заинтересовал, как фича родительский контроль (очень думаю многим, кто польузется GNOME будет полезен), фича уже релизована в текущем GNOME 3.35.91 который можно загрузить и собрать отсюда:

https://mail.gnome.org/archives/devel-announce-list/2020-February/msg00002.html

Сам релиз запланирован на 11 марта, 2020, все апдейты по нему (очень много пакетов будет обновлено и будет очень много фиксов):

https://download.gnome.org/core/3.35/3.35.91/NEWS

Yo! 22 февраля, мы встречаемся В Алматы

Локальная SysConf встреча

Доклады
- Sys-Admin Forum - кратко об эволюции форума. Sysadminkz. SCM.
- Анализируй это. MOD RK. Nitro Team. Тематика - хакинг
- 3д принтер что это и с чем его едят. Gbroman. SCM. Тематика - железо
- Введение в Azure. SteelYoshi. SCM
- 2FA в Linux SSH / Windows Logon. Sysadminkz. SCM.
- Нюансы организации слаботочных систем при постройке здания из ЛСТК. Vadimml24 (под вопросом). SCM (remote speaker if it may posible).

Время и место
Все кто отметился, как докладчик или готов помочь, просьба подойти чуть пораньше
17:00, SmartPoint зал Deep Purple (заранее в фойе у эскалатора можно встретиться за ~полчаса)

Для тех, кто собирается прийти
https://docs.google.com/forms/d/e/1FAIpQLSdSi1ayZ_equ5d7AmWOm4QSP6znxL7x9wav660advLrA1r-9Q/viewform?usp=sf_link
⁠

MS решили переработать механизм обновления и подставки драйверов от непосредственных разработчиков

Фича называется "ручной драйвер", опционально будет доступна в окне параметров Windows Update:

https://techcommunity.microsoft.com/t5/hardware-dev-center/shipping-label-changes-and-manual-drivers/ba-p/1180497

Увидел свет Android 11 Preview , на сегодня его уже можно установить на Pixel* девайсы:

https://developer.android.com/preview/download

Новости релиза:

https://developer.android.com/preview/release-notes

Или скачать:

https://developer.android.com/preview/gsi-release-notes

Adobe выпустила фиксы для приложений After Effects и Media Encoder, которые исправляют в общей сложности две новые критические уязвимости

Кратко, благодаря этим уязвимостям можно выполнить произвольный код на целевой системе. Обе уязвимости помечены, как Critical, что в нотации Adobe означает:

Уязвимость, которая позволит вредоносному машинному коду выполняться потенциально без ведома пользователя.

1 - https://helpx.adobe.com/security/products/after_effects/apsb20-09.html
2 - https://helpx.adobe.com/security/products/media-encoder/apsb20-10.html

Cisco выпустило 16 патчей для разного рода продуктов. Половина патчей имеет critical, hight приоритеты:

https://tools.cisco.com/security/center/publicationListing.x

Робин Гуд уже не тот :) Охотится на коммерческие организации и критически важной информацией

Один компьютер 3 биткоина, 13 биткоинов за сеть

Как работает вымогатель RobinHood, встречаем:

https://blog.malwarebytes.com/threat-spotlight/2020/02/threat-spotlight-robbinhood-ransomware-takes-the-drivers-seat/

Ох уж эти отели. +10.5 миллионов данных гостей MGM отеля (крупный отель в Las Vegas, в котором иногда проходят крупные конференции, там же имеется и казино) опубликованы на хакерских форумах.

MGM подтвердили, что факт утечки действительно был

Вспомним, что гость оставляет в отеле - это минимум, паспортные данные, иногда данные платежных карт...

https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/

Выполнение произвольного кода в VMWare vRealize Ops for Horizon Adapter

Кто не знает, эта штука позволяет автоматизировать управление приложениями и инфраструктурой между виртуальными, физическими средами

https://www.vmware.com/security/advisories/VMSA-2020-0003.html.

MS анонсировали свой антивирус (ATP который, и он коммерческий в той или иной мере) и он будет уметь Linux. Сразу скажу, что он работает напрямую с облаком и что в каждом продукте MS есть телеметрия и что в прошлом году министерство обороны США вложило ~10 млрд долларов в MS для помощи в реализации их проектов...

К чему это я, спроси себя ты готов это ставить себе в свой Linux/mac/etc..?)

Тот самый анонс (с большим количеством воды и букв):

https://www.microsoft.com/security/blog/?p=90583

Google индексирует ссылки на приглашения в групповые чаты WhatsApp. Т.е. любой желающий в теории может попасть в группу, увидеть сколько участников в ней, контекст группы, номера телефонов

https://www.vice.com/en_us/article/k7enqn/google-is-letting-people-find-invites-to-some-private-whatsapp-groups

Часто встречаются вопросы типа - как мне из внешки разрешить открывать сайт с домашнего компьютера..

Для некоторых, то что доктор прописал. Позволяет проксировать трафик прямо домой и из него. Правда нужен VPS :)

https://github.com/alexellis/inlets

Пример использования:

https://sysadmins.co.za/the-awesomeness-of-inlets/

Всем привет! 22.02.2020 прошел локальный SysConf, ну что сказать, было круто :)
⁠
Огромне спасибо всем, кто пришел, кто принял участие. Сам формат был фактически "тот самый" в духе SysConf, все познакомились, представились и самое главное все три часа были полны диалогов, докладов, обсуждения персональных и общественных перспектив

Очень понравилось, что участники были из разных сфер ИТ, разного опыта и возраста, крайне надеюсь, что это было не первый и не последний раз ;)

Большое спасибо за поддержку @r0crewKZ, @OrderOfSixAngles, @nitroteamchat

Краткое резюме + доклады на форуме: https://forum.sys-adm.in/t/2020-local-sysconf-almaty-22-feb/6852

Когда мы знаем информацию о чем-то, особенно когда это может помочь другим, этим нужно делиться. Всем PEACE ✌️

P.S. Кто был на конфе, стучитесь в личку, буду раз знакомству. Коля (AWS) ping :)

Моцарт (malware), попадает через pdf, скрывает трафик и получает команды используя DNS запросы. Подписан цифровым сертификатом и конечно же использует мною любимый WSH

PoC:

https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html

Google "говорит" пользователям Edge - переходите на Chrome :D

Конкурирующие боаузеры, использующие одну и туже платформу начали маркетинговую войну (ну бред же). Chrome vs Edge (неужели им кто-то пользуется?):

"У нас уже есть DoH, кросс-платформенный трекинг пользователей" Edge, дно, го к нам в Chrome :)

Особенно понравилась цитата "кросс-платформенный трекинг пользователей".

Борьба за слежку и рынок пользователей (более бредовой ситуации давно не встречал, хотя если все данные сливаются в итоге в одно место, то все выглядит вполне себе норм, с учётом того что разрабы google говорят спасибо разрабам MS за предоставленные модули и ряд фич в chromium складывается впечатление, что цели и этих групп разработчиков в принципе одни):

https://www.forbes.com/sites/zakdoffman/2020/02/21/google-warns-millions-of-microsoft-edge-users-to-switch-to-chrome/#382d26983549

Не баг, а фича. Любое запущенное приложение iOS, iPadOS может прочитать данные копируемой фотографии (если фото сделано на одном из мобильных устройств, в него будут записаны так-же данные GPS) в том числе и данные геолокации. Этот процесс может происходить без взаимодействия с пользователем. В Apple, со слов автора, говорят, что это нормально:

https://www.mysk.blog/2020/02/24/precise-location-information-leaking-through-system-pasteboard/

Скиммеры на сайтах дампили данные платежных карт. Обфусцированные JavaScript сниппеты в web-страницах, детали:

https://www.riskiq.com/blog/labs/magecart-group-12-olympics/

Исследование скиммера с сайта крупного ресцеллера по продаже билетов на спортивные мероприятия (на самом деле, это статья-продолжение, в ней же есть ссылки на предыдущие шаги направленные на исследование этой проблемы):

https://www.goggleheadedhacker.com/blog/post/15

CIS Benchmark for CentOS 8

Обнаружены новые типы атак в 4g/5g сетях - IMP4GT

С помощью IMP4GT злоумышленник может подделать любой интернет трафик, например, чтобы использовать личность жертвы для загрузки критичных данных...

Варианты атак, сценарии нападения, последствия:

https://imp4gt-attacks.net/

Zyxel NAS RCE инфа с офф сайта, патчи там же:

https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml